shiro落地的设计复杂度(最后总结)

最新推荐文章于 2022-08-24 05:08:20 发布
最新推荐文章于 2022-08-24 05:08:20 发布
阅读量366 收藏
点赞数
分类专栏: JAVA SE 文章标签: 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ahua186186/article/details/84922353
版权
经过1周的源码研究,终于对shiro的原理有了深刻的理解,基于原理我们识别出生产环境落地这个技术的设计复杂度


shiro落地的设计复杂度:
(1)自定义CachingSessionDAO,这是核心,因为它存储了session,Principals,AuthenticationState等所有可以持久化的数据。
(2)sessionid无状态化设计:我们就可以通过继承DefaultWebSessionManager,自定义getSessionId逻辑实现无状态的会话,而不需要依赖cookie来获取session.,此方案登陆成功后必须把sessionID传给客户端。
(3)登陆成功后最好初始化session:
Session session = subject.getSession();//初始化会话
//下一步最好按照一定的规则存用户的session和相关数据到数据仓库中(比如redis),以备以后使用
(4)其他:shiro扩展:自定义AuthorizingRealm,SessionFactory,SimpleSession,过滤器,SessionListenerAdapter等等,这些都是基本操作,不重要,初级水平的开发都能理解。
(5)典型应用:单点登陆(登陆认证、登出,验证token)--特殊的认证,
单点登陆增加的设计复杂度:
-->增加登陆界面
-->登陆成功,跨域重定向(cors方案即可)

(6)备选方案1:spring security

(7)备选方案2:自己实现3类接口即可,不需要什么鬼框架,增加学习成本。。
-->用户登陆认证接口
-->用户权限查询和校验接口 (结合自定义注解+自定义过滤器实现权限过滤)
-->session的保存,更新,删除接口
ahua186186
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
非常详尽的 Shiro 架构解析!
weixin_34097242的博客
11-13 349
Shiro是什么? Apache Shiro是一个强大而灵活的开源安全框架,它干净利落地处理身份认证,授权,企业会话管理和加密。 Apache Shiro的首要目标是易于使用和理解。安全有时候是很复杂的,甚至是痛苦的,但它没有必要这样。框架应该尽可能掩盖复杂的地方,露出一个干净而直观的API,来简化开发人员在使他们的应用程序安全上的努力。 官网:ht...
史上功能最全的Java权限认证框架
永远年轻
03-12 2242
文章目录Sa-Token是什么?Sa-Token 能做什么?代码示例官网地址sa-token 使用示例SpringBoot 环境1. 创建项目2. 设置jar包依赖3. 配置文件4. 启动类5. 运行 Sa-Token是什么? sa-token是一个轻量级Java权限认证框架,主要解决:登录认证、权限认证、Session会话、单点登录、OAuth2.0 等一系列权限相关问题 框架针对踢人下线、自动续签、前后台分离、分布式会话……等常见业务进行N多适配,通过sa-token,你可以以一种极简的方式实现系统的
Shiro————核心设计思想
热门推荐
Morty的技术乐园
09-14 2万+
引言 以此篇博客为引,开启一个新的专栏分类——Shiro。 之前在工作中有比较快速的学习过Shiro安全框架,但经过一年的荒废,已经不是很熟悉了,通过这个系列,深入研究和学习Shiro的一些知识,填补安全管理方面的知识漏洞。使我们在web 开发领域更具竞争力,不做只会CRUD的程序员! 一、Shiro介绍 Shiro是一个Java安全框架,执行身份验证、授权、密码、会话管理。Shiro是A...
Apache Shiro系列四,概述 —— Shiro的架构
weixin_30843605的博客
12-06 119
Shiro设计目标就是让应用程序的安全管理更简单、更直观。 软件系统一般是基于用户故事来做设计。也就是我们会基于一个客户如何与这个软件系统交互来设计用户界面和服务接口。比如,你可能会说:“如果用户登录了我们的系统,我就给他们显示一个按钮,点击之后可以查看他自己的账户信息。如果没有登录,我就给他显示一个注册按钮。” 上述应用程序在很大程度上是为了满足用户的需求而...
简单扩展shiro 实现NOT、AND、OR权限验证(支持复杂一点的表达式)
chang734615869的博客
08-10 485
简单扩展Shiro实现  类似organization:create OR organization:update OR organization:delete  ( organization:create Or organization:update ) OR  NOT organization:delete  ( organization:create && organ...
Shiro 框架-Shiro的简介和设计思想
Warkey1998的博客
08-18 625
Apache Shiro 是 Java 的一个安全框架,相比较其他安全框架更简单容易上手,学习成本低。强大易用的shiro框架提供认证Authentication,授权Authorization,加密Encryption,会话管理Session Management,可以在JavaSE,JavaEE坏境下使用,一般用于JavaEE当中 Shiro 框架的优点 > 简单的身份认证...
基于Java的OAuth2和Shiro整合设计源码
05-28
本OAuth2和Shiro整合项目基于Java开发,包含191个文件,其中包括137个Java源文件...系统致力于实现OAuth2(oltu)和Shiro的整合,提供了一个稳定、安全的认证和授权解决方案,适用于需要进行身份验证和授权的Web应用。
基于Java的Apache Shiro安全框架设计源码
最新发布
06-01
本源码是基于Java开发的Apache Shiro安全框架设计,包含1040个文件,其中包括724个.java文件,92个.groovy文件,72个.xml文件,36个.jsp文件,以及23个.properties文件,16个.ini文件,10个.md文件,7个.css文件和5...
shiro数据库设计 五张表
11-07
shiro权限框架数据库设计,附少量数据,仅供测试,非实际项目
权限设计模型(Shiro实现).rar
03-25
本资源“权限设计模型(Shiro实现).rar”提供了一套基于Shiro的权限设计解决方案。 Shiro框架的核心概念包括:身份(Identity)、会话(Session)和权限(Permission)。身份是指用户是谁,会话管理用户与系统的...
注册密码复杂度校验适用联通规则
11-19
口令不能为空 口令长度应大于等于8个字符 口令应由大写字母、小写字母、数字、特殊符号中的3种及以上类型组成 口令不得使用一串相同的数字或字母作为口令 口令不能含有与账号名称相同的英文单词、汉语拼音或其简写 口令中不应含有明确意义的英文单词或汉语拼音 口令不得使用看似符合要求,实为连续键盘序列组合作为口令
基于Spring4和Struts2的简单Shiro项目设计源码
04-09
本资源提供了一套基于Spring4和Struts2的简单Shiro项目设计源码。该项目包含了11个XML配置文件、9个Java源文件、4个JSP文件、1个LICENSE文件、1个Markdown文件、1个META-INF文件、1个SQL文件、1个XSD文件,共29个...
shiro权限控制+前后端分离+复杂请求(OPTIONS+POST)遇到的问题
feinifi的博客
01-03 1万+
我们知道,shiro做权限控制,能够对请求的url做控制,如果用户未登陆,那么对于有些请求,就会出现禁止访问的情况。 对于前后端分离的项目,存在跨域的问题,shiro做权限控制,也是有解决办法的,就是让前端的所有异步ajax请求带上cookie。比如: 通过xhrFields:{withCredentials:true}属性,我们就让我们的前端跨域 请求带上了cookie,用户登录之后,再...
关于shiro权限的一些讨论和自身思考问题的方式
伟大是熬出来的
07-17 673
最近又重新重新看了一遍shiro的权限框架,继续加深了解 但是在和同事的讨论过程中,我觉得使我的收益更大 众所周知,权限一般是有5张表的,role,user,permission,role-user,role-permission 可能我是比较注重这个规范的,但是同事的一番话语使我幡然醒悟 要在具体的项目中具体的使用,然而现在做的这个项目没有很细分的权限,所以就使用的是4张表 刚开始我也...
非常详尽的 Shiro 架构解析
Java技术栈,分享最主流的Java技术
06-17 1312
Shiro是什么? Apache Shiro是一个强大而灵活的开源安全框架,它干净利落地处理身份认证,授权,企业会话管理和加密。 Apache Shiro的首要目标是易于使用和理解。安全有时候是很复杂的,甚至是痛苦的,但它没有必要这样。框架应该尽可能掩盖复杂的地方,露出一个干净而直观的API,来简化开发人员在使他们的应用程序安全上的努力。 官网:http://shiro.apache.org Shiro有什么用? 以下是你可以用Apache Shiro所做的事情: 验证用户来核实他们的身份 对用户.
shiro详解-shiro史上最全学习笔记
m0_67391120的博客
08-24 737
Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在 JavaSE 环境,也可以用在 JavaEE 环境。Shiro 可以帮助我们完成:认证、授权、加密、会话管理、与 Web 集成、缓存等。记住一点,Shiro 不会去维护用户、维护权限;这些需要我们自己去设计 / 提供;然后通过相应的接口注入给 Shiro 即可。
Shiro快速入门:简介与架构原理
Zbr_Cheer的博客
01-24 307
Shiro理论知识 一、RABC回顾 RBAC是一个基于角色的访问控制,其实就是一种数据库设计思想 概念介绍 基于角色的权限访问控制(Role-Based Access Control)作为传统访问控制(自主访问、强制访问)的有前景的代替收到广泛的关注 在RBAC中,权限与角色关联,用户通过成为适当角色的成员而得到这些角色的权限,这就极大的简化了权限的管理 RBAC:一种数据库设计思想,根据数据库设计方案,完成项目的权限控制 权限:具备操作事物的能力 角色:一系列权限的集合 二、Shiro简介 上面提
shiro框架的密码校验(二)
阿沐沐的博客
05-14 2819
前面的内容在这里 shiro框架简单介绍以及使用(一) 上一篇简单介绍了一下shiro框架和账号验证,这篇简单写一下shiro密码校验的介绍和几种使用方式 一、加密/加盐介绍 什么是加密?什么是加盐? 1.加密:加密是以某种特殊的算法改变原有的信息数据,这样的话即使你拿到了密文,但因为你不知道加密方式也没办法知道密文的内容。比如说电报,你监听到了发的电报,但是你不知道用的是那个密码本,一样无法知道电报内容是什么。 2.加盐:加盐是指将每口令同一个叫做”盐“值相关联,我们这里用于密码加盐,盐值一般都是随机
Shiro之加密方式-yellowcong
m0_67402731的博客
04-07 1963
Shiro加密验证,是通过自身的方式来进行验证的。有无加密和加密的两种验证方式。在密码的生成方面,我们可以通过SimpleHash来生成密码。 源码下载地址 https://gitee.com/yellowcong/shior-dmeo/tree/master/test 1、密码比对方式 Shiro中密码的比对,是由Shiro中的AuthenticatingRealm.getCredentialsMatcher 的方法来进行比对的,我们只需要在AuthorizingRealm的继承类中,复写验证asse.
解决问题spring加载配置文件<aop:before >报错: Cannot create inner bean '(inner bean)' of type...
ahua186186的专栏
07-21 1万+
解决 报如下错误的问题: 1.把aspectjweaver的版本换成aspectjweaver-1.6.9.jar,我项目中用1.6.8会报错。 Exception in thread "main" org.springframework.beans.factory.BeanCreationException: Error creating bean with name 'hello...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值