shiro采坑指南—基础概念与实战
说明
其他资料:
基础概念
Authenticate/Authentication(认证)
认证是指检查用户身份合法性,通过校验用户输入的密码是否正确,判断用户是否为本人。
有几个概念需要理解:
Principals (主体标识)
任何可以唯一地确定一个用户的属性都可以充当principal,例如:邮箱、手机号、用户ID等,这些都是与用户一一对应的,可以唯一地确定一个用户。credentials (主体凭证)
credentials是能确认用户身份的东西,可以是证书(Certificate),也可以是密码(password)。token(令牌)
这里的token和api里的token有一点儿差别,这里token是principal和credential的结合体或者说容器。这里先讲一部分,剩下的放到"Subject"讲解。
Authorize/Authorization(授权)
shiro中的“授权”,更贴切说法是“鉴权”,即判定用户是否拥有某些权限,至于拥有该权限在业务上有何意义,则是由业务本身来决定。
关于“授权”,shiro引入了两种概念:
Role (角色)
角色用来区分用户的类别。角色与用户间是多对多的关系,一个用户可以拥有多个角色,如Bob可以同时是admin(管理员)和user(普通用户)。Permission (权限)
权限是对角色的具体的描述,用于说明角色在业务上的特殊性。如admin(管理员)可以拥有user:delete(删除用户)、user:modify(修改用户信息)等的权限。同样的,角色与权限是多对多的数量关系。
shiro权限可以分级,使用":"分割,如delete、user:delete、user:info:delete。可以使用"*"作通配符,例如可以给admin赋予操作用户的所有权限,可以配置为"user:*",这样在授权时,isPermitted("user:123")、isPermitted("user:123:abc")都是返回true;如果配置为"*最新文章
- 把《c++ primer》读薄(4-1 c和c++数组)
- opengles2.0之图元装配和光栅化
- Java动物声音模拟器
- mybatis系列-14-延迟加载
- Pritunl:简易搭建个人VPN及年费200的超编译独立主机 BandwagonHost
- 第一个deeplearning4jproject跑起
- 安卓---app自动更新
- EXCEL读写NPOI
- AngularJS 四大特性
- springcloud-1: 用官方的pom.xml配置添加依赖失败
- firefox 实现web交互机器人
- Python在cmd上打印彩色文字
- ubuntu运行命令tee显示和保存为log
- PAGELATCH_EX Contention on 2:1:103
- 循环赛日常表算法(N可为奇数和偶数)
- 面向对象进阶----->反射 getattr 和hasattr方法
- VMware - "Determining IP Information for eth0...Failed
- 如何优雅的使用RabbitMQ(转载)
- Struts2动作
- Qt之QSS(Q_PROPERTY-自定义属性)
热门文章