leonsccott的博客

一、shiro的会话管理 SessionManager 会话管理器：管理所有Subject的session创建、删除、失效、验证、维护等工作。 由SecurityManager管理，可以把SessionManager看作为接口。 Shiro提供了三种默认实现： DefaultSessionManager：用于JavaSE环境 ServletContainerSessionManager（默认存放位置HttpSession）：用于Web环境，直接使用servlet容器的会话。 DefaultWebSessi

一、Shiro配置类创建流程 创建shiro配置函数ShiroConfig可以分为四大块： 1、创建realm 2、创建安全管理器 3、配置shiro过滤器工厂 4、开启对shiro注解的支持 1、创建Realm 可以直接创建CustonRealm这个对象，也可以通过Realm创建。 @Bean public Realm getRealm(){ CustonRealm custonRealm = new CustonRealm(); return custonRea

自定义Realm分为以下几步骤： 1、继承AuthorizingRealm，并实现其中的重写方法：setName，doGetAuthorizationInfo，doGetAuthenticationInfo 2、认证 根据用户名密码登录，将用户数据保存（安全数据） 主要目的：比较用户名密码是否和数据库一致 将安全数据存入shiro保管 参数：AuthenticationToken登录构造的usernamepasswordtoken 实现步骤如下： 1、构造usernamepasswordtoken 2、获取

shiro整合流程示意图 常见过滤器 shiro注解 @RequiresRoles(value={"admin","user"})//同时具有相同角色 @RequiresPermissions("user:update:*")//判断权限字符串

1、Shrio使用md5、随机salt、hash散列 导入shiro依赖 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <version>1.5.3</version> </dependency> 在shiro中有一个函数可以自动生成MD5+salt+hash

Shiro内部结构剖析 shiro内部结构图 1、认证流程（也就是登录） Subject对象传入Security Manager并将内容交给认证器 Authenticator ，但认证器不做任何处理，因为在这时认证器不了解登录信息（数据库，用户名密码，认证规则等），正真进行逻辑判断的地方Realms（从数据库获取数据）从中可以获取很多很多的认证规则。 2、Authrizer 授权器： 判断Subject是否有权限进行相关操作，授权器同理，需要使用Realms进行权限信息判断。 3、SessionManag