shiro学习总结
首先4个比较好的例子供参考:
1.常规Spring MVC拦截器实现的认证和权限管理例子
https://blog.csdn.net/u013647382/article/details/53995655
2.Shiro+SSM整合例子带数据库可成功访问
https://blog.csdn.net/zzhao114/article/details/55662585
3.Shiro权限管理框架详解(讲解的非常好)
https://www.cnblogs.com/jpfss/p/8352031.html
4. Shiro权限控制过程
http://itwgy.com/html/frame/159.html
先巩固一下session客户端实现的过程:
浏览器第一次访问某个javaee应用的地址时,发送的request的Cookie里是没有JSESSIONID的,
当response时会Set-Cookie设上一个web服务器对本次会话分配的JSESSIONID,
实际上HTTP协议是无状态的,每次请求都跟前一次没有什么关联,但只要你不是每次都重启浏览器来打开页面,
在同一个浏览器进程中不断的打开同一个应用的地址,浏览器都会附带上同样的cookie信息。
这样根据这个JSESSIONID web服务器就会把所有相同JSESSIONID连接识别成同一个会话。
所以说对于web应用来说即使没登录也有session,只不过session中没有存储登录信息。
因此注销时一定要清除session中的信息。注销后再登陆还是同一个JSESSIONID哦(先不管session过期的问题)。
常规Spring MVC拦截器实现的认证和权限管理的主要流程:
登录页面提交登录信息到控制器的登录处理方法,从数据库中根据用户名密码判断登录是否成功,
成功的话将用户信息和权限放到session中。
自定义的Spring MVC登录拦截器和权限拦截器实际上就是从seesion中读取当前用户的登录和权限信息,进行对应的认证和权限匹配。
用户是否登录就判断当前会话session中是否存有用户信息对象,有就认为已登录。
权限就判断请求地址是否在权限列表中。
Shiro实现的认证和权限管理的主要流程:
未登录请求都转到配置的loginUrl上,
登录页面提交登录信息到控制器的登录处理方法,
调用SecurityUtils.getSubject().login(token),
转到自定义的MyRealm域中的doGetAuthenticationInfo方法进行认证。
成功的话将由shiro管理这次会话session控制了。不成功会抛出各种异常。
对权限控制调用MyRealm域中的doGetAuthorizationInfo获得当前用户的权限,
结合spring-shrio中的权限配置即可控制。
通过比较可以看出用shiro的好处:
无须再写自定义的SpringMVC登录拦截器和权限拦截器。
但是要在web.xml中配置shrio拦截器。
只要spring-shiro配置文件中配置好相关权限设置,
配合MyRealm中
doGetAuthenticationInfo登录验证
doGetAuthorizationInfo读取用户权限
即可同样实现。
简单的登录权限验证功能跟自己写拦截器差不多,要求有高级功能可以拓展,自己实现就复杂了,
重要的是别人都用了,不会就过时了。
============shiro配置学习================
参考例子:https://blog.csdn.net/ruihaol/article/details/52186318
<!-- 权限配置 -->
<property name="filterChainDefinitions">
<value>
<!-- anon表示此地址不需要任何权限即可访问 -->
/static/**=anon
<!-- perms[user:query]表示访问此连接需要权限为user:query的用户 -->
/user=perms[user:query]
<!-- roles[manager]表示访问此连接需要用户的角色为manager -->
/user/add=roles[manager]
/user/del/**=roles[admin]
/user/edit/**=roles[manager]
<!--所有的请求(除去配置的静态资源请求或请求地址为anon的请求)都要通过登录验证,如果未登录则跳到/login-->
/** = authc
</value>
</property>
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
//获取登录时输入的用户名
String loginName=(String) principalCollection.fromRealm(getName()).iterator().next();
//到数据库查是否有此对象
User user=userService.findByName(loginName);
if(user!=null){
//权限信息对象info,用来存放查出的用户的所有的角色(role)及权限(permission)
SimpleAuthorizationInfo info=new SimpleAuthorizationInfo();
//用户的角色集合
info.setRoles(user.getRolesName()); // getRolesName()返回Set<String>,存放用户所属角色的集合,比如admin manager noraml,小系统就一个用户一个角色就行了,角色id作为用户的一个字段
//用户的角色对应的所有权限,如果只使用角色定义访问权限,下面的四行可以不要
List<Role> roleList=user.getRoleList();
for (Role role : roleList) {
info.addStringPermissions(role.getPermissionsName()); // 将角色拥有的权限字符串Set<String>集合给该用户,比如query add delele 等
}
return info;
}
return null;
}
可以看出通过shiro配置的filterChainDefinitions,可通过角色、权限(或称为资源)来共同控制,
小系统通过基于角色授权控制就行了(角色能干什么其实就是定义哪个角色能访问什么地址,可以通过自定义filter来讲配置转到数据库中)。
复杂的系统通过基于权限角色授权控制。
最新文章
- PHP获取当前页面的URL
- C# 队列集合的使用
- sql server2008中sql server身份能登录,window身份登录不了
- 配置SMarty解析
- 常用ARM汇编指令
- 【S16】了解如何把vector和string数据传给旧的API
- memcached+php客户端
- 合并js文件minify实例
- 安装saltstack
- 海尔的U+智慧生活操作系统
- Mybatis批量更新数据库与批量插入数据库(以oracle为例)
- springcloud情操陶冶-springcloud config server(一)
- solr6.5.0(windows)教程
- 网络请求Adapter添加数据
- Python 并发编程(管道,事件,信号量,进程池)
- Jenkins 为Jenkins添加Windows Slave远程执行python项目脚本
- Windows 7 任务栏图标消失(变透明,仍然占有地方,但是点击无反应)的解决方法
- java tar.gz文件生成
- groovy对枚举的支持
- HTML-CSS样式表-★★★常用属性★★★及基本概念、分类、选择器