一:权限控制两种主要方式

     粗粒度 URL 级别权限控制和细粒度方法级别权限控制

     1.粗粒度 URL 级别权限控制

         可以基于 Filter 实现在数据库中存放 用户、权限、访问 URL 对应关系, 当前用户访问一个 URL 地址,查

         询数据库判断用户当前具有权限,是否包含这个 URL,如果包含允许访问,如果不包含权限不足

     2.粗粒度 URL 级别权限控制和

         可以代理、自定义注解实现, 访问目标对象方法,在方法上添加权限注解信息,对目标对象创建代理对象,

         访问真实对象先访问代理对象,在代理对象查询数据库判断是否具有注解上描述需要权限,具有权限 允许访问,

         不具有权限,拦截访问,提示权限不足

 二:权限控制相关数据表

     实体 : 用户、角色、权限(他们之间都是多对多的关系)

     用户: 系统登录用户 User

     权限: 描述权限信息 (粗粒度权限控制,可能在权限表描述访问资源 URL 信息)

     Permission

     角色: 方便用户进行授权, 角色就是权限的集合 Role

     用户 *---* 角色 *---* 权限 ==> 建立 至少5 张数据表

     Menu 菜单, 为了方便进行动态菜单管理 , 为不同用户定制不同系统菜单

     不同用户系统菜单,可以根据用户角色 进行管理 角色 * --- * 菜单

 三:建立实体类创建对应的数据库表

 四:ApacheShiro  框架入门

     1.Apache Shiro框架简介和下载导入

         官网: http://shiro.apache.org/

     2.Apache Shiro 体系结构

         2.1Authentication 认证 ---- 用户登录,身份识别 who are you?

         2.2Authorization 授权 --- 用户具有哪些权限、角色 what can you do ?

         2.3Cryptography 安全数据加密

         2.4Session Management 会话管理

         2.5Web Integration web 系统集成

         2.6Interations 集成其它应用,spring、缓存框架

     3.导入对应的jar包

         <!-- 权限控制 框架 -->

         <dependency>

             <groupId>org.apache.shiro</groupId>

             <artifactId>shiro-all</artifactId>

             <version>${shiro.version}</version>

         </dependency>

     4.参考官方文档:Apache_Shiro_reference(中文版).pdf

     5.Apache Shiro执行过程分析和权限控制主要方式

         5.1Shiro运行主要运行流程:

             ApplicationCode 用户编写代码

             Subject 就是 shiro 管理的用户

             SecurityManager 安全管理器,是 shiro 权限控制核心对象, 在编程时,只需要操作

             Subject 方法, 底层调用 SecurityManager 方法,无需直接编程操作 SecurityManager

             Realm 应用程序和安全数据之间连接器 ,应用程序 进行权限控制读取安全数据(数据

             表、文件、网路 … ),通过 Realm 对象完成

             登录流程: 应用程序 --- Subject --- SecurityManager --- Realm --- 安全数据

         5.2Shiro进行权限控制

             四种主要方式 :

             1、 在程序中 通过 Subject 编程方式进行权限控制

             2、 配置 Filter 实现 URL 级别粗粒度权限控制

             3、 配置代理,基于注解实现细粒度权限控制

             4、 在页面中使用 shiro 自定义标签实现 页面显示权限控制

     6.用户登录功能的实现

         6.1配置shiro的Filter实现URL级别权限控制

             6.1.1配置web.xml

                 <!-- shiro的Filter  -->

                 <filter>

                     <!-- 去spring配置文件中寻找同名bean  -->

                     <filter-name>shiroFilter</filter-name>

                     <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>

                 </filter>

                 <filter-mapping>

                     <filter-name>shiroFilter</filter-name>

                     <url-pattern>/*</url-pattern>

                 </filter-mapping>

             6.1.2配置applicationContext-shiro.xml

                 <!-- 配置Shiro核心Filter  -->

                 <bean id="shiroFilter"

                     class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">

                     <!-- 安全管理器 -->

                     <property name="securityManager" ref="securityManager" />

                     <!-- 未认证,跳转到哪个页面  -->

                     <property name="loginUrl" value="/login.html" />

                     <!-- 登录页面页面 -->

                     <property name="successUrl" value="/index.html" />

                     <!-- 认证后,没有权限跳转页面 -->

                     <property name="unauthorizedUrl" value="/unauthorized.html" />

                     <!-- shiro URL控制过滤器规则  -->

                     <property name="filterChainDefinitions">

                         <value>

                             /login.html* = anon

                             /user_login.action* = anon

                             /validatecode.jsp* = anon

                             /css/** = anon

                             /js/** = anon

                             /images/** = anon

                             /services/** = anon

                             /pages/base/courier.html* = perms[courier:list]

                             /pages/base/area.html* = roles[base]

                             /** = authc

                         </value>

                     </property>

                 </bean>

                 <!-- 安全管理器  -->

                 <bean id="securityManager"

                     class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">

                     <property name="realm" ref="bosRealm" />

                 </bean>

                 <bean id="lifecycleBeanPostProcessor"

                     class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>

         6.2过滤器的参考配置

             anon 未认证可以访问

             authc 认证后可以访问

             perms 需要特定权限才能访问

             roles 需要特定角色才能访问

             user 需要特定用户才能访问

             port 需要特定端口才能访问

             reset 根据指定 HTTP 请求访问才能访问

         6.3用户登录(认证)功能实现(代码编写)

             编写 UserAction 提供 login 登录方法

             创建subject对象-->创建token对象用来保存用户输入的数据-->调用subject对象的login方法实现认证登录成功

             编写realm类提供shiro的认证管理(doGetAuthenticationInfo)

             和授权管理(doGetAuthorizationInfo)(让其继承extends AuthorizingRealm即可实现)

             认证管理:将token转换为UsernamePasswordToken-->接着从token中获取当前登录用户的用户名和密码

             -->根据用户的用户名查询数据库,获取用户对象(判断是否存在在数据库中)-->不存在retuurn null、

             存在return new SimpleAuthenticationInfo(user, user.getPassword(),getName());-->交由securityManager处理

             授权管理:创建SimpleAuthorizationInfo授权对象-->获取当前的用户对象(利用subject.getPrincipal();)

             -->查询当前用户的所有角色和权限(通过数据jpa获取)-->获取到的用户角色和权限信息

             添加到SimpleAuthorizationInfo授权对象中并且返回交由securityManager处理具体的授权模块

         6.4用户注销功能实现

             只需调用subject的logout()方法即可注销当前登录用户保存在shiro的签名信息中的数据

     7.细粒度的基于method的注解式权限管理的实现和jsp页面控制权限菜单的显示参考www.baidu.com;

shiro权限控制入门的更多相关文章

  1. shiro权限控制的简单实现

    权限控制常用的有shiro.spring security,两者相比较,各有优缺点,此篇文章以shiro为例,实现系统的权限控制. 一.数据库的设计 简单的五张表,用户.角色.权限及关联表: CREA ...

  2. Spring boot后台搭建二为Shiro权限控制添加缓存

    在添加权限控制后,添加方法 查看 当用户访问”获取用户信息”.”新增用户”和”删除用户”的时,后台输出打印如下信息 , Druid数据源SQL监控 为了避免频繁访问数据库获取权限信息,在Shiro中加 ...

  3. Spring boot后台搭建二集成Shiro权限控制

    上一篇文章,实现了用户验证 查看,接下来实现下权限控制 权限控制,是管理资源访问的过程,用于对用户进行的操作授权,证明该用户是否允许进行当前操作,如访问某个链接,某个资源文件等 Apache Shir ...

  4. shiro权限控制配置

    shiro配置流程 web.xml中配置shiro的filter spring中配置shiro的过滤器工厂,指定对不同地址权限控制 , 传入安全管理器 配置安全管理器,传入realm,realm中定义 ...

  5. shiro权限管理入门程序

    最近在学shiro,觉得入门程序还是有用的,记下来防止遗忘,也可供大家参考. package cn.itcast.shiro.authentication; import org.apache.shi ...

  6. Shiro权限控制框架

    Subject:主体,可以看到主体可以是任何可以与应用交互的"用户": SecurityManager:相当于SpringMVC中的DispatcherServlet或者Strut ...

  7. shiro权限控制

    1.1  简介 Apache Shiro是Java的一个安全框架.目前,使用Apache Shiro的人越来越多,因为它相当简单,对比Spring Security,可能没有Spring Securi ...

  8. JFinal配合Shiro权限控制在FreeMarker模板引擎中控制到按钮粒度的使用

    实现在FreeMarker模板中控制对应按钮的显示隐藏主要用到了Shiro中的hasRole, hasAnyRoles, hasPermission以及Authenticated等方法,我们可以实现T ...

  9. shiro权限控制(一):shiro介绍以及整合SSM框架

    shiro安全框架是目前为止作为登录注册最常用的框架,因为它十分的强大简单,提供了认证.授权.加密和会话管理等功能 . shiro能做什么? 认证:验证用户的身份 授权:对用户执行访问控制:判断用户是 ...

随机推荐

  1. 深入了解java虚拟机(JVM) 第三章 内存区域----堆空间

    一.堆的含义 jvm堆的区域主要是用来存放对象的实例,它的空间大小是JVM内存区域中占比重最大的,也是jvm最大的内存管理模块,最重要的是,这个区域是垃圾收集器主要管理的区域,这意味着我们在考虑垃圾回 ...

  2. jar -- java文档归档工具

    参考文档 http://docs.oracle.com/javase/7/docs/technotes/tools/solaris/jar.html http://blog.chinaunix.net ...

  3. pandas如何统计所有列的空值,并转化为list?

    统计所有列的空值:data.isnull().sum() 转化成list: df.isnull().sum().index.tolist() df.isnull().sum().values.toli ...

  4. python3入门之赋值语句介绍

    获得更多资料欢迎进入我的网站或者 csdn或者博客园 本节主要介绍赋值语句,以及几种特殊的赋值.下面附有之前的文章: python3入门之print,import,input介绍 python入门之字 ...

  5. iOS 循环轮播框架思路

    使用3个imageview实现无线轮播的大致原理 将3个imageview添加到scrollview上面,scrollview的contensize是3个imageview的宽度,设置scrollvi ...

  6. Linux进程间通信——使用System V 消息队列

    消息队列 消息队列提供了一种从一个进程向另一个进程发送一个数据块的方法. 每个数据块都被认为含有一个类型,接收进程可以独立地接收含有不同类型的数据结构.我们可以通过发送消息来避免命名管道的同步和阻塞问 ...

  7. Linux安装Elasticsearch-head插件

    首先需要下载以下内容: 我试验的对应版本:ES:elasticsearch-6.6.1.tar.gz  Node:node-v10.15.3-linux-x64.tar  JDK:jdk-8u201- ...

  8. Comparable比较器和Comparator比较器

    1.Comparable比较器 在Arrays类中存在sort()排序方法,此方法可以直接对对象数组进行排序. public static void sort(Object[] a 根据元素的自然顺序 ...

  9. print高亮显示

    显示颜色格式:\033[显示方式;字体色;背景色m......[\033[0m] ------------------------------------------- --------------- ...

  10. Leo-io 的C语言实现简单五子棋游戏观后感

    源代码: /************************************************************** ** 文 件 名:wuziqi.cpp ** 功    能:扫 ...