shiro开发(一)

最新推荐文章于 2024-04-07 15:48:16 发布
最新推荐文章于 2024-04-07 15:48:16 发布
阅读量1.2k 收藏 1
点赞数 1
CC 4.0 BY-SA版权
分类专栏: java 文章标签: shiro 权限管理 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Oeljeklaus/article/details/68070695

1      课程目标
通过学习本课程掌握权限管理的设计思想及方法,使用Shiro框架完成权限管理功能开发。
 
1、  理解基于资源的权限管理方法。
2、  掌握权限管理的数据模型。
3、  掌握不使用shiro开发基于url的权限管理方法。
4、  掌握Shiro进行用户认证的常用方法。
5、  掌握Shiro进行授权的常用方法。
6、  掌握Shiro整合企业应用开发的方法。
 
2      权限管理
2.1    什么是权限管理
         基本上涉及到用户参与的系统都要进行权限管理,权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源
         权限管理包括用户身份认证和授权两部分,简称认证授权。对于需要访问控制的资源用户首先经过身份认证,认证通过后用户具有该资源的访问权限方可访问。
        
2.2    用户身份认证
2.2.1  概念
         身份认证,就是判断一个用户是否为合法用户的处理过程。最常用的简单身份认证方式是系统通过核对用户输入的用户名和口令,看其是否与系统中存储的该用户的用户名和口令一致,来判断用户身份是否正确。对于采用指纹等系统,则出示指纹;对于硬件Key等刷卡系统,则需要刷卡。
 
 
2.2.2  用户名密码身份认证流程

 关键对象
         上边的流程图中需要理解以下关键对象:
 Subject:主体
   访问系统的用户,主体可以是用户、程序等,进行认证的都称为主体;
 Principal:身份信息
         是主体(subject)进行身份认证的标识,标识必须具有唯一性,如用户名、手机号、邮箱地址等,一个主体可以有多个身份,但是必须有一个主身份(Primary Principal)
  credential:

         是只有主体自己知道的安全信息,如密码、证书等。


3.1权限

3.1.1概念

         授权,即访问控制,控制谁能访问哪些资源。主体进行身份认证后需要分配权限方可访问系统的资源,对于某些资源没有权限是无法访问的。

 

3.1.2 授权流程



1.1.1 关键对象

 授权可简单理解为who对what(which)进行How操作:

who 即主体(Subject),主体需要访问系统中权限/许可(Permission),规定了主体对资源的操作许可,权限离开资源没有意义,如用户查询权限、用户添加权限、某个类方法的调用权限、编号为001用户的修改权限等,通过权限可知主体对哪些资源都有哪些操作许可。
权限分为粗颗粒和细颗粒,粗颗粒权限是指对资源类型的权限,细颗粒权限是对资源实例的权限。的资源。

        what       即资源(Resource),如系统菜单、页面、按钮、类方法、系统商品信息等。资源包括资源类型和资源实例,比如商品信息为资源类型,类型为t01的商品资源实例,编号为001的商品信息也属于资源实例。

        how        权限/许可(Permission),规定了主体对资源的操作许可,权限离开资源没有意义,如用户查询权限、用户添加权限、某个类方法的调用权限、编号为001用户的修改权限等,通过权限可知主体对哪些资源都有哪些操作许可。权限分为粗颗粒和细颗粒,粗颗粒权限是指对资源类型的权限,细颗粒权限是对资源实例的权限。


对上节中的主体、资源、权限通过数据模型表示。

 

主体(账号、密码)

资源(资源名称、访问地址)

权限(权限名称、资源id)

角色(角色名称)

角色和权限关系(角色id、权限id)

主体和角色关系(主体id、角色id)

 

 

如下图:


通常企业开发中将资源和权限表合并为一张权限表,如下:

资源(资源名称、访问地址)

权限(权限名称、资源id)

合并为:

权限(权限名称、资源名称、资源访问地址)

 

上图常被称为权限管理的通用模型,不过企业在开发中根据系统自身的特点还会对上图进行修改,但是用户、角色、权限、用户角色关系、角色权限关系是需要去理解的。

 

 

1.1.2  权限分配

         对主体分配权限,主体只允许在权限范围内对资源进行操作,比如:对u01用户分配商品修改权限,u01用户只能对商品进行修改。

         权限分配的数据通常需要持久化,根据上边的数据模型创建表并将用户的权限信息存储在数据库中。

 

 

1.1.3  权限控制

         用户拥有了权限即可操作权限范围内的资源,系统不知道主体是否具有访问权限需要对用户的访问进行控制。

 

 

1.1.3.1 基于角色的访问控制

      RBAC基于角色的访问控制(Role-Based Access Control)是以角色为中心进行访问控制,比如:主体的角色为总经理可以查询企业运营报表,查询员工工资信息等,访问控制流程如下:

               

if(主体.hasRole("总经理角色id")){

         查询工资

}

 

 

缺点:以角色进行访问控制粒度较粗,如果上图中权限查询工资所需要的角色,变化为总经理和部门经理,此时就需要修改判断逻辑为“判断主体的角色是否是总经理或部门经理”,系统可扩展性差。

修改代码如下:

if(主体.hasRole("总经理角色id") ||  主体.hasRole("部门经理角色id")){

         查询工资

}

 

 

1.1.3.2 基于资源的访问控制

         RBAC基于资源的访问控制(Resource-Based Access Control)是以资源为中心进行访问控制,比如:主体必须具有查询工资权限才可以查询员工工资信息等,访问控制流程如下:

 

 

上图中的判断逻辑代码可以理解为:

if(主体.hasPermission("查询工资权限标识")){

         查询工资

}

 

优点:系统设计时定义好查询工资的权限标识,即使查询工资所需要的角色变化为总经理和部门经理也只需要将“查询工资信息权限”添加到“部门经理角色”的权限列表中,判断逻辑不用修改,系统可扩展性强。


Shiro入门实战【附源码】
永远年轻
06-25 1316
文章目录1. Shiro简介2. Shiro 的认证流程3. 编码实战3.1 创建 SpringBoot 项目,pom.xml 依赖如下:3.2 application.yml 配置如下:3.3 实体类创建3.4 创建 mapper 接口3.5 在主启动类上加 @MapperScan 注解扫描 mapper 的位置3.6 创建 mapper.xml 文件,代码如下:3.7 创建数据库 test,sql 语句如下:3.8 创建 AuthRealm,实现 Shiro 框架的 AuthorizingRealm,代
Shiro 开发文档中文版
04-10
Shiro种应用系统权限开发的API,里面是中文版,分享给大家
shiro开发指南
bhwqq的博客
12-02 410
,JAVASE 环境 1.依赖引入 Pom.xml <dependencies> <dependency> <groupId>junit</groupId> <artifactId>junit</artifactId> <version>4.9</version> </dependency> <dependency&
shiro实际开发整理
ZZY的博客
12-29 914
1.1         shiro介绍 Apache Shiro一个强大且易用的Java安全框架,执行身份验证、授权、密码学和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。 三个核心组件:Subject, SecurityManager 和 Realms. 1、Subject 即“当前操作用户”。但是,在S
Apache Shiro中文开发文档.pdf
12-06
Apache Shiro一个强大而灵活的开源安全框架,它干净利落地处理身份认证,授权,企业会话管理和加密。 Apache Shiro 的首要目标是易于使用和理解。安全有时候是很复杂的,甚至是痛苦的,但它没有必要这样。框架应 该尽可能掩盖复杂的地方,露出一个干净而直观的 API,来简化开发人员在使他们的应用程序安全上的努力。 以下是你可以用 Apache Shiro 所做的事情:  验证用户来核实他们的身份  对用户执行访问控制,如:  判断用户是否被分配了一个确定的安全角色  判断用户是否被允许做某事  在任何环境下使用 Session API,即使没有 Web 或 EJB 容器。  在身份验证,访问控制期间或在会话的生命周期,对事件作出反应。  聚集一个多个用户安全数据的数据源,并作为一个的复合用户“视图”。  启用单点登录(SSO)功能。  为没有关联到登录的用户启用"Remember Me"服务 … 以及更多——全部集成到紧密结合的易于使用的 API 中。 Shiro 视图在所有应用程序环境下实现这些目标——从最简单的命令行应用程序到最大的企业应用,不强制依赖其 他第三方框架,容器,或应用服务器。当然,该项目的目标是尽可能地融入到这些环境,但它能够在任何环境下立 即可用。
高性能Shiro开发?这篇文章就够了
风团团
01-18 4046
最近整合了shiro脚手架出现了很多问题......比较多的问题其实还是我自测出来的,主要是关于shiro 中内置 session 污染、缓存污染方面的问题,在排查 bug的过程中我都度想禁用shiro中的session功能了,但是想想研究研究这个东西万以后用的上呢?因为不是说你开发的每一个项目都是分布式项目。都可以用到重量级的 spring security。当然不是说 spring security不好,为了体现出本文的价值,我想说:shiro天下第shiro是天底下最好的权限框架
shiro开发手册
05-16
Apache Shiro一个强大且易用的Java安全框架,执行身份验证、授权、密码学和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序. 文档供...
shiro开发文档
07-12
首先Shiro较之 Spring Security,Shiro在保持强大功能的同时,还在简单性和灵活性方面拥有巨大优势。...Shiro一个强大而灵活的开源安全框架,能够非常清晰的处理认证、授权、管理会话以及密码加密。
shiro开发文档以及案例代码
05-30
本资源包含两个PDF文档——"apache_shiro开发文档.pdf"和"Shiro教程.pdf",以及一个名为"shiro-example-master.zip"的案例代码包,对于初学者来说是极好的学习材料。 "apache_shiro开发文档.pdf"通常会涵盖Shiro的...
Apache Shiro API(Apache Shiro开发文档).CHM
08-31
Apache Shiro。 官网 Apache Shiro API。 Apache Shiro开发文档。
shiro授权以及注解式开发
最新发布
2401_84094725的博客
04-07 330
RequiresAuthenthentication:表示当前Subject已经通过login进行身份验证;即 Subject.isAuthenticated()返回 true@RequiresUser:表示当前Subject已经身份验证或者通过记住我登录的@RequiresGuest:表示当前Subject没有身份验证或者通过记住我登录过,即是游客身份。
shiro授权及shiro注解式开发
men_ma的博客
10-30 451
转载请标明出处:https://blog.youkuaiyun.com/men_ma/article/details/106847165. 本文出自 不怕报错 就怕不报错的小猿猿 的博客 shiro授权及shiro注解式开发目标1.授权2.注解式开发 目标 1、shiro授权角色、权限 2、Shiro的注解式开发 1.授权 在ShiroUserMapper.xml中新增内容 <select id="getRolesByUserId" resultType="java.lang.String" para.
Shiro简介以及快速搭建
qq_39130032的博客
08-16 1801
Apache Shirojava一个安全(权限)框架。Shiro可以非常容易的开发出足够好的应用,在javase和javaee环境都可以使用。Shiro可以完成:认证,授权,加密,会话管理,与WEB集成,缓存等。 Shiro架构(外部): Subject:应用代码直接交互的对象是subject,Subject代表了当前“用户”。与Subject的所有交互都会委托给SecurityMan...
shiro开发文档阅读(四)缓存组件
kevin的博客
02-22 316
shiro缓存 1.cache接口 cache接口主要定义了针对缓存的些操作,下边是shiro中cache接口的些相关方法 public interface Cache&amp;lt;K, V&amp;gt; { // 得到缓存 V get(K var1) throws CacheException; // 放入缓存 V put(K var1, V var2) throws...
shiro授权 shiro和企业项目整合开发
Ly
10-14 1041
如果需要本篇博客内容的代码!请到我的博客下载中心去下载: https://download.youkuaiyun.com/download/qq_36125138/10720415 项目运行图: 什么是权限管理权限管理是系统的安全范畴,要求必须是合法的用户才可以访问系统(用户认证),且必须具有该 资源的访问权限才可以访问该 资源(授权)。 认证:对用户合法身份的校验,要求必须是合法的用户才可以...
Apache Shiro 是如何产生的?
王浩的技术博客
09-19 227
在2008年加入Apache软件基金会之前,Shiro已经5岁了,之前它被称为JSecurity项目,始于2003年初。当时,对于Java 应用开发人员而言,没有太多的通用安全替代方案 - 我们被Java认证/授权服务(或称为JAAS)紧紧套牢了。JAAS有太多的缺点 - 尽管它的认证功能尚可忍受,但授权方面却显得拙劣,用起来令人沮丧。此外,JAAS跟虚拟机层面的安全问题关系非常紧密,如判断JVM...
在项目中集成shiro权限框架
Icardi9的博客
11-10 848
在项目中集成shiro权限框架(1)   Shiro一个功能强大的轻量级权限框架,相对其它权限框架(比如spring security)来说,要易用得很,下面,我给大家讲讲如何在一个项目中简单整合shiro。 我们通常所说的权限,就是要判断某个操作者是否有操作某个资源的权限,而资源,可以是菜单、链接、功能按钮、业务方法、某类型的数据等等,根据需求,每个项目的权限可能都有所不同,通用万能权限
Shiro 框架详解
兴趣是最好的老师,勤能补拙
05-11 4516
Shiro一个开源的 Java 安全框架,由 Apache 开发和维护。Shiro 可以帮助开发人员快速实现安全特性,包括身份认证、授权、加密和会话管理等。Shiro 的目标是简化 Java 安全编程,并提供更好的开发体验。易于学习和使用:Shiro 设计简单,易于学习和使用。灵活性高:Shiro 可以适用于任何应用场景,支持多种应用程序类型。安全性高:Shiro 的安全性能比较优越,提供了多种方式来保护应用程序的安全性。
Java---Shiro框架
weixin_67224308的博客
07-31 1715
Apache Shiro一个功能强大且易于使用的 Java 安全(权限)框架。Shiro 可以完成:认证、授权、加密、会话管理、与 Web 集成、缓存 等。借助 Shiro 您可以快速轻地保护任何应用程序——从最小的移动应用程序到最大的 Web 和企业应用程序。下载地址。
Shiro安全框架详解及springboot使用示例
weixin_46822367的博客
12-28 4135
目录、认识Shiro1、什么是Shiro?2、有哪些功能?3、Shiro架构(外部)4、Shiro架构(内部) 、认识Shiro 1、什么是Shiro? Apache Shiro一个Java 的安全(权限)框架。 Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以用在JavaEE环 境。 Shiro可以完成,认证,授权,加密,会话管理,Web集成,缓存等。 2、有哪些功能? Authentication:身份认证、登录,验证用户是不是拥有相应的身份; Aut
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值