一:权限控制两种主要方式

     粗粒度 URL 级别权限控制和细粒度方法级别权限控制

     1.粗粒度 URL 级别权限控制

         可以基于 Filter 实现在数据库中存放 用户、权限、访问 URL 对应关系, 当前用户访问一个 URL 地址,查

         询数据库判断用户当前具有权限,是否包含这个 URL,如果包含允许访问,如果不包含权限不足

     2.粗粒度 URL 级别权限控制和

         可以代理、自定义注解实现, 访问目标对象方法,在方法上添加权限注解信息,对目标对象创建代理对象,

         访问真实对象先访问代理对象,在代理对象查询数据库判断是否具有注解上描述需要权限,具有权限 允许访问,

         不具有权限,拦截访问,提示权限不足

 二:权限控制相关数据表

     实体 : 用户、角色、权限(他们之间都是多对多的关系)

     用户: 系统登录用户 User

     权限: 描述权限信息 (粗粒度权限控制,可能在权限表描述访问资源 URL 信息)

     Permission

     角色: 方便用户进行授权, 角色就是权限的集合 Role

     用户 *---* 角色 *---* 权限 ==> 建立 至少5 张数据表

     Menu 菜单, 为了方便进行动态菜单管理 , 为不同用户定制不同系统菜单

     不同用户系统菜单,可以根据用户角色 进行管理 角色 * --- * 菜单

 三:建立实体类创建对应的数据库表

 四:ApacheShiro  框架入门

     1.Apache Shiro框架简介和下载导入

         官网: http://shiro.apache.org/

     2.Apache Shiro 体系结构

         2.1Authentication 认证 ---- 用户登录,身份识别 who are you?

         2.2Authorization 授权 --- 用户具有哪些权限、角色 what can you do ?

         2.3Cryptography 安全数据加密

         2.4Session Management 会话管理

         2.5Web Integration web 系统集成

         2.6Interations 集成其它应用,spring、缓存框架

     3.导入对应的jar包

         <!-- 权限控制 框架 -->

         <dependency>

             <groupId>org.apache.shiro</groupId>

             <artifactId>shiro-all</artifactId>

             <version>${shiro.version}</version>

         </dependency>

     4.参考官方文档:Apache_Shiro_reference(中文版).pdf

     5.Apache Shiro执行过程分析和权限控制主要方式

         5.1Shiro运行主要运行流程:

             ApplicationCode 用户编写代码

             Subject 就是 shiro 管理的用户

             SecurityManager 安全管理器,是 shiro 权限控制核心对象, 在编程时,只需要操作

             Subject 方法, 底层调用 SecurityManager 方法,无需直接编程操作 SecurityManager

             Realm 应用程序和安全数据之间连接器 ,应用程序 进行权限控制读取安全数据(数据

             表、文件、网路 … ),通过 Realm 对象完成

             登录流程: 应用程序 --- Subject --- SecurityManager --- Realm --- 安全数据

         5.2Shiro进行权限控制

             四种主要方式 :

             1、 在程序中 通过 Subject 编程方式进行权限控制

             2、 配置 Filter 实现 URL 级别粗粒度权限控制

             3、 配置代理,基于注解实现细粒度权限控制

             4、 在页面中使用 shiro 自定义标签实现 页面显示权限控制

     6.用户登录功能的实现

         6.1配置shiro的Filter实现URL级别权限控制

             6.1.1配置web.xml

                 <!-- shiro的Filter  -->

                 <filter>

                     <!-- 去spring配置文件中寻找同名bean  -->

                     <filter-name>shiroFilter</filter-name>

                     <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>

                 </filter>

                 <filter-mapping>

                     <filter-name>shiroFilter</filter-name>

                     <url-pattern>/*</url-pattern>

                 </filter-mapping>

             6.1.2配置applicationContext-shiro.xml

                 <!-- 配置Shiro核心Filter  -->

                 <bean id="shiroFilter"

                     class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">

                     <!-- 安全管理器 -->

                     <property name="securityManager" ref="securityManager" />

                     <!-- 未认证,跳转到哪个页面  -->

                     <property name="loginUrl" value="/login.html" />

                     <!-- 登录页面页面 -->

                     <property name="successUrl" value="/index.html" />

                     <!-- 认证后,没有权限跳转页面 -->

                     <property name="unauthorizedUrl" value="/unauthorized.html" />

                     <!-- shiro URL控制过滤器规则  -->

                     <property name="filterChainDefinitions">

                         <value>

                             /login.html* = anon

                             /user_login.action* = anon

                             /validatecode.jsp* = anon

                             /css/** = anon

                             /js/** = anon

                             /images/** = anon

                             /services/** = anon

                             /pages/base/courier.html* = perms[courier:list]

                             /pages/base/area.html* = roles[base]

                             /** = authc

                         </value>

                     </property>

                 </bean>

                 <!-- 安全管理器  -->

                 <bean id="securityManager"

                     class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">

                     <property name="realm" ref="bosRealm" />

                 </bean>

                 <bean id="lifecycleBeanPostProcessor"

                     class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>

         6.2过滤器的参考配置

             anon 未认证可以访问

             authc 认证后可以访问

             perms 需要特定权限才能访问

             roles 需要特定角色才能访问

             user 需要特定用户才能访问

             port 需要特定端口才能访问

             reset 根据指定 HTTP 请求访问才能访问

         6.3用户登录(认证)功能实现(代码编写)

             编写 UserAction 提供 login 登录方法

             创建subject对象-->创建token对象用来保存用户输入的数据-->调用subject对象的login方法实现认证登录成功

             编写realm类提供shiro的认证管理(doGetAuthenticationInfo)

             和授权管理(doGetAuthorizationInfo)(让其继承extends AuthorizingRealm即可实现)

             认证管理:将token转换为UsernamePasswordToken-->接着从token中获取当前登录用户的用户名和密码

             -->根据用户的用户名查询数据库,获取用户对象(判断是否存在在数据库中)-->不存在retuurn null、

             存在return new SimpleAuthenticationInfo(user, user.getPassword(),getName());-->交由securityManager处理

             授权管理:创建SimpleAuthorizationInfo授权对象-->获取当前的用户对象(利用subject.getPrincipal();)

             -->查询当前用户的所有角色和权限(通过数据jpa获取)-->获取到的用户角色和权限信息

             添加到SimpleAuthorizationInfo授权对象中并且返回交由securityManager处理具体的授权模块

         6.4用户注销功能实现

             只需调用subject的logout()方法即可注销当前登录用户保存在shiro的签名信息中的数据

     7.细粒度的基于method的注解式权限管理的实现和jsp页面控制权限菜单的显示参考www.baidu.com;

shiro权限控制入门的更多相关文章

  1. shiro权限控制的简单实现

    权限控制常用的有shiro.spring security,两者相比较,各有优缺点,此篇文章以shiro为例,实现系统的权限控制. 一.数据库的设计 简单的五张表,用户.角色.权限及关联表: CREA ...

  2. Spring boot后台搭建二为Shiro权限控制添加缓存

    在添加权限控制后,添加方法 查看 当用户访问”获取用户信息”.”新增用户”和”删除用户”的时,后台输出打印如下信息 , Druid数据源SQL监控 为了避免频繁访问数据库获取权限信息,在Shiro中加 ...

  3. Spring boot后台搭建二集成Shiro权限控制

    上一篇文章,实现了用户验证 查看,接下来实现下权限控制 权限控制,是管理资源访问的过程,用于对用户进行的操作授权,证明该用户是否允许进行当前操作,如访问某个链接,某个资源文件等 Apache Shir ...

  4. shiro权限控制配置

    shiro配置流程 web.xml中配置shiro的filter spring中配置shiro的过滤器工厂,指定对不同地址权限控制 , 传入安全管理器 配置安全管理器,传入realm,realm中定义 ...

  5. shiro权限管理入门程序

    最近在学shiro,觉得入门程序还是有用的,记下来防止遗忘,也可供大家参考. package cn.itcast.shiro.authentication; import org.apache.shi ...

  6. Shiro权限控制框架

    Subject:主体,可以看到主体可以是任何可以与应用交互的"用户": SecurityManager:相当于SpringMVC中的DispatcherServlet或者Strut ...

  7. shiro权限控制

    1.1  简介 Apache Shiro是Java的一个安全框架.目前,使用Apache Shiro的人越来越多,因为它相当简单,对比Spring Security,可能没有Spring Securi ...

  8. JFinal配合Shiro权限控制在FreeMarker模板引擎中控制到按钮粒度的使用

    实现在FreeMarker模板中控制对应按钮的显示隐藏主要用到了Shiro中的hasRole, hasAnyRoles, hasPermission以及Authenticated等方法,我们可以实现T ...

  9. shiro权限控制(一):shiro介绍以及整合SSM框架

    shiro安全框架是目前为止作为登录注册最常用的框架,因为它十分的强大简单,提供了认证.授权.加密和会话管理等功能 . shiro能做什么? 认证:验证用户的身份 授权:对用户执行访问控制:判断用户是 ...

随机推荐

  1. BZOJ2243 [SDOI2011]染色(LCT)

    传送门 明明是道树剖的题…… 然而我硬生生做成了LCT 虽然的确用LCT只是板子啦(LCT的题哪道不是板子) 就是把颜色打上标记,然后基本就是板子 //minamoto #include<bit ...

  2. scrapy框架基于CrawlSpider的全站数据爬取

    引入 提问:如果想要通过爬虫程序去爬取”糗百“全站数据新闻数据的话,有几种实现方法? 方法一:基于Scrapy框架中的Spider的递归爬取进行实现(Request模块递归回调parse方法). 方法 ...

  3. 【spring】Spring Boot:定制自己的starter

    概念 在学习Spring Boot的过程中,接触最多的就是starter.可以认为starter是一种服务——使得使用某个功能的开发者不需要关注各种依赖库的处理,不需要具体的配置信息,由Spring ...

  4. 循环神经网络RNN原理

    一.循环神经网络简介 循环神经网络,英文全称:Recurrent Neural Network,或简单记为RNN.需要注意的是,递归神经网络(Recursive Neural Network)的简写也 ...

  5. 题目1010:A + B(字符串拆分)

    问题来源 http://ac.jobdu.com/problem.php?pid=1010 问题描述 给我们一行标准的字符串,整行读入之后,把它拆开转换成数字进行计算. 问题分析 首先考虑一个问题:如 ...

  6. iOS8 dismissViewControllerAnimated:YES在Show Segue不工作

    最近使用iOS8 Sdk(xcode6.1.1)使用Show Segue功能,V_A视图push到V_B视图,然后想通过使用按键返回V_A,我记得ios6的时候可以使用[self dismissVie ...

  7. 网络基础 01_OSI网际互联

    1 通信概述 网络是用物理链路将各个孤立的工作站或主机相连在一起,组成数据链路,从而达到资源共享和通信的目的. 通信是人与人之间通过某种媒体进行的信息交流与传递. 网络通信是通过网络将各个孤立的设备进 ...

  8. 达人篇:5)公差的正态分布与CPK与制程能力(重要)

    本章目的:明确公差分布(Tolerance Distribution)也有自己的形状,了解CPK概念. 1.正态分布(常态分布)normal distribution的概念 统计分析常基于这样的假设: ...

  9. 数组去重 && 快速排序 && 数组中重复元素最多的 && 深拷贝

    var arr0 = [1,3,3,3,4,4,4,4,5,5]; var arr1 = [10,9,2,5,7,34,65,48,90,103]; var newArr=[]; /* for(var ...

  10. vue-cli项目启动遇到的坑

    利用 npm init webpack projectname 之后 切换到项目所在文件夹下,执行命令 npm install ,一直非常慢,卡在那里基本不动. 最后是利用cnpm 安装成功的. 转载 ...