萧曳丶

权限控制的方式从类别上分，有两大类： - 认证：你是谁？–识别用户身份。 - 授权：你能做什么？–限制用户使用的功能。权限的控制级别从控制级别（模型）上分： - URL级别-粗粒度 - 方法级别-细粒度 - 页面级别-自定义标签（显示） - 数据级别-最细化的（数据）URL级别的权限控制-粗粒度在web.xml中配置一个过滤器filter，在过滤器中，对请求的地址进行解析，字符串截取： url.s...

目前很多开放平台如新浪微博开放平台都在使用提供开放API接口供开发者使用，随之带来了第三方应用要到开放平台进行授权的问题，OAuth就是干这个的，OAuth2是OAuth协议的下一个版本，相比OAuth1，OAuth2整个授权流程更简单安全了，但不兼容OAuth1，具体可以到OAuth2官网http://oauth.net/2/查看，OAuth2协议规范可以参考http://tools.ietf....

在某些项目中可能会遇到如每个账户同时只能有一个人登录或几个人同时登录，如果同时有多人登录：要么不让后者登录；要么踢出前者登录（强制退出）。比如spring security就直接提供了相应的功能；Shiro的话没有提供默认实现，不过可以很容易的在Shiro中加入这个功能。 示例代码基于《第十六章 综合实例》完成，通过Shiro Filter机制扩展KickoutSessionControlFilt...

用过Spring Security的朋友应该比较熟悉对URL进行全局的权限控制，即访问URL时进行权限匹配；如果没有权限直接跳到相应的错误页面。Shiro也支持类似的机制，不过需要稍微改造下来满足实际需求。不过在Shiro中，更多的是通过AOP进行分散的权限控制，即方法级别的；而通过URL进行权限控制是一种集中的权限控制。本章将介绍如何在Shiro中完成动态URL权限控制。 本章代码基于《第十六章...

在一些环境中，可能需要把Web应用做成无状态的，即服务器端无状态，就是说服务器端不会存储像会话这种东西，而是每次请求时带上相应的用户名进行登录。如一些REST风格的API，如果不使用OAuth2协议，就可以使用如REST+HMAC认证进行访问。HMAC（Hash-based Message Authentication Code）：基于散列的消息认证码，使用一个密钥和一个消息作为输入，生成它们的消...

在一些场景中，比如某个领导因为一些原因不能进行登录网站进行一些操作，他想把他网站上的工作委托给他的秘书，但是他不想把帐号/密码告诉他秘书，只是想把工作委托给他；此时和我们可以使用Shiro的RunAs功能，即允许一个用户假装为另一个用户（如果他们允许）的身份进行访问。 本章代码基于《第十六章 综合实例》，请先了解相关数据模型及基本流程后再学习本章。 表及数据SQL请运行shiro-example-...

在做用户登录功能时，很多时候都需要验证码支持，验证码的目的是为了防止机器人模拟真实用户登录而恶意访问，如暴力破解用户密码/恶意评论等。目前也有一些验证码比较简单，通过一些OCR工具就可以解析出来；另外还有一些验证码比较复杂（一般通过如扭曲、加线条/噪点等干扰）防止OCR工具识别；但是在中国就是人多，机器干不了的可以交给人来完成，所以在中国就有很多打码平台，人工识别验证码；因此即使比较复杂的如填字、...

在做一些企业内部项目时或一些互联网后台时；可能会涉及到集中权限管理，统一进行多项目的权限管理；另外也需要统一的会话管理，即实现单点身份认证和授权控制。 学习本章之前，请务必先学习《第十章 会话管理》和《第十六章 综合实例》，本章代码都是基于这两章的代码基础上完成的。 本章示例是同域名的场景下完成的，如果跨域请参考《第十五章 单点登录》和《第十七章 OAuth2集成》了解使用CAS或OAuth2实现...

有时候需要显示当前在线人数、当前在线用户，有时候可能需要强制某个用户下线等；此时就需要获取相应的在线用户并进行一些操作。 本章基于《第十六章 综合实例》代码构建。  会话控制器Java代码  @RequiresPermissions("session:*")  @Controller  @RequestMapping("/sessions")  public class SessionContro...

转载请出处：http://www.cnblogs.com/zhouguanglin/p/8477807.html shiro（java安全框架）　以下都是综合之前的人加上自己的一些小总结　　　　Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码学和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业...

shiro安全框架是目前为止作为登录注册最常用的框架，因为它十分的强大简单，提供了认证、授权、加密和会话管理等功能 。文章目录Shiro能做什么？Shiro 的四大核心部分shiro的三个核心组件：shiro整合SSM框架：1.加入 jar 包：以下jar包自行百度下载2.配置 ==web.xml==文件,在web.xml中加入以下代码—==shiro过滤器==。3.在 Spring 的配置文件...

出自目录项目背景解决方案参考文章项目背景       公司在几年前就采用了前后端分离的开发模式，前端所有请求都使用ajax。这样的项目结构在与CAS单点登录等权限管理框架集成时遇到了很多问题，使得权限部分的代码冗长丑陋，CAS的各种重定向也使得用户体验很差，在前端使用vue-router管理页面跳转时，问题更加尖锐。于是我就在寻找一个解决方案，这个方案应该对代码的侵入较少，...

作者项目背景       公司在几年前就采用了前后端分离的开发模式，前端所有请求都使用ajax。这样的项目结构在与CAS单点登录等权限管理框架集成时遇到了很多问题，使得权限部分的代码冗长丑陋，CAS的各种重定向也使得用户体验很差，在前端使用vue-router管理页面跳转时，问题更加尖锐。于是我就在寻找一个解决方案，这个方案应该对代码的侵入较少，开发速度快，实现优雅。最近无意中看到spri...

原因是将 空值 插入到 权限 信息中

简单的实体关系图 简单数据字典用户(sys_user)名称类型长度描述idbigint 编号 主键usernamevarchar100用户名passwordvarchar100密码saltvarchar50盐role_idsvarchar100角色列表lockedbool 账户是否锁定组织机构(sys_organization)名称类型长度描述idbigint 编号 主键namevarchar10...

Shiro 1.2开始提供了Jasig CAS单点登录的支持，单点登录主要用于多系统集成，即在多个系统中，用户只需要到一个中央服务器登录一次即可访问这些系统中的任何一个，无须多次登录。此处我们使用Jasig CAS v4.0.0-RC3版本：https://github.com/Jasig/cas/tree/v4.0.0-RC3 Jasig CAS单点登录系统分为服务器端和客户端，服务器端提供单点...

对于SSL的支持，Shiro只是判断当前url是否需要SSL登录，如果需要自动重定向到https进行访问。 首先生成数字证书，生成证书到D:\localhost.keystore使用JDK的keytool命令，生成证书（包含证书/公钥/私钥）到D:\localhost.keystore：keytool -genkey -keystore "D:\localhost.keystore" -alias...

1.1  简介Apache Shiro是Java的一个安全框架。目前，使用Apache Shiro的人越来越多，因为它相当简单，对比Spring Security，可能没有Spring Security做的功能强大，但是在实际工作时可能并不需要那么复杂的东西，所以使用小而简单的Shiro就足够了。对于它俩到底哪个好，这个不必纠结，能更简单的解决项目问题就好了。本教程只介绍基本的Shiro使用，不会...

身份验证，即在应用中谁能证明他就是他本人。一般提供如他们的身份ID一些标识信息来表明他就是他本人，如提供身份证，用户名/密码来证明。在shiro中，用户需要提供principals （身份）和credentials（证明）给shiro，从而应用能验证用户身份：principals：身份，即主体的标识属性，可以是任何东西，如用户名、邮箱等，唯一即可。一个主体可以有多个principals，但只有一个...

授权，也叫访问控制，即在应用中控制谁能访问哪些资源（如访问页面/编辑数据/页面操作等）。在授权中需了解的几个关键对象：主体（Subject）、资源（Resource）、权限（Permission）、角色（Role）。主体主体，即访问应用的用户，在Shiro中使用Subject代表该用户。用户只有授权后才允许访问相应的资源。资源在应用中用户可以访问的任何东西，比如访问JSP页面、查看/编辑某些数据、...

之前章节我们已经接触过一些INI配置规则了，如果大家使用过如Spring之类的IoC/DI容器的话，Shiro提供的INI配置也是非常类似的，即可以理解为是一个IoC/DI容器，但是区别在于它从一个根对象securityManager开始。 4.1 根对象SecurityManager从之前的Shiro架构图可以看出，Shiro是从根对象SecurityManager进行身份验证和授权的；也就是所...

在涉及到密码存储问题上，应该加密/生成密码摘要存储，而不是存储明文密码。比如之前的600w csdn账号泄露对用户可能造成很大损失，因此应加密/生成不可逆的摘要方式存储。 5.1 编码/解码 Shiro提供了base64和16进制字符串编码/解码的API支持，方便一些编码解码操作。Shiro内部的一些数据的存储/表示都使用了base64和16进制字符串。Java代码  String str = "...

6.1 Realm【2.5 Realm】及【3.5 Authorizer】部分都已经详细介绍过Realm了，接下来再来看一下一般真实环境下的Realm如何实现。  1、定义实体及关系即用户-角色之间是多对多关系，角色-权限之间是多对多关系；且用户和权限之间通过角色建立关系；在系统中验证时通过权限验证，角色只是权限集合，即所谓的显示角色；其实权限应该对应到资源（如菜单、URL、页面按钮、Java方法...

Shiro提供了与Web集成的支持，其通过一个ShiroFilter入口来拦截需要安全控制的URL，然后进行相应的控制，ShiroFilter类似于如Strut2/SpringMVC这种web框架的前端控制器，其是安全控制的入口点，其负责读取配置（如ini配置文件），然后判断URL是否需要登录/权限等工作。 7.1 准备环境1、创建webapp应用 此处我们使用了jetty-maven-plugi...

8.1 拦截器介绍Shiro使用了与Servlet一样的Filter接口进行扩展；所以如果对Filter不熟悉可以参考《Servlet3.1规范》http://www.iteye.com/blogs/subjects/Servlet-3-1了解Filter的工作原理。首先下图是Shiro拦截器的基础类图：1、NameableFilterNameableFilter给Filter起个名字，如果没有设...

Shiro提供了JSTL标签用于在JSP/GSP页面进行权限控制，如根据登录用户显示相应的页面按钮。  导入标签库Java代码  <%@taglib prefix="shiro" uri="http://shiro.apache.org/tags" %>  标签库定义在shiro-web.jar包下的META-INF/shiro.tld中定义。 guest标签 Java代码  <...

Shiro提供了完整的企业级会话管理功能，不依赖于底层容器（如web容器tomcat），不管JavaSE还是JavaEE环境都可以使用，提供了会话管理、会话事件监听、会话存储/持久化、容器无关的集群、失效/过期支持、对Web的透明支持、SSO单点登录的支持等特性。即直接使用Shiro的会话管理可以直接替换如Web容器的会话管理。 会话所谓会话，即用户访问应用时保持的连接关系，在多次交互中应用能够识...

Shiro提供了类似于Spring的Cache抽象，即Shiro本身不实现Cache，但是对Cache进行了又抽象，方便更换不同的底层Cache实现。对于Cache的一些概念可以参考我的《Spring Cache抽象详解》：http://jinnianshilongnian.iteye.com/blog/2001040。 Shiro提供的Cache接口： Java代码  public interf...

Shiro的组件都是JavaBean/POJO式的组件，所以非常容易使用Spring进行组件管理，可以非常方便的从ini配置迁移到Spring进行管理，且支持JavaSE应用及Web应用的集成。 在示例之前，需要导入shiro-spring及spring-context依赖，具体请参考pom.xml。spring-beans.xml配置文件提供了基础组件如DataSource、DAO、Servic...

Shiro提供了记住我（RememberMe）的功能，比如访问如淘宝等一些网站时，关闭了浏览器下次再打开时还是能记住你是谁，下次访问时无需再登录即可访问，基本流程如下：1、首先在登录页面选中RememberMe然后登录成功；如果是浏览器登录，一般会把RememberMe的Cookie写到客户端并保存下来；2、关闭浏览器再重新打开；会发现浏览器还是记住你的；3、访问一般的网页服务器端还是知道你是谁，...

在项目开发中，需要实现shiro的超级管理员功能。但网上查了一下相关实现，发现很多实现都是在用户获取权限资源时，如果是超级管理员，就将系统的全部权限，角色赋给用户。我个人觉得该方法比较复杂，取权限资源时，还要特别为超级管理员做特殊的处理。实际项目中，有没有更简单的方法呢？答：有的，只需要很简单的实现.实现方式如下：在集成 shiro 时，我们都需要继承 AuthorizingRea...