一.授权以及认证框架(shiro)

最新推荐文章于 2023-05-04 14:32:23 发布
最新推荐文章于 2023-05-04 14:32:23 发布
阅读量654 收藏
点赞数
分类专栏: shiro 文章标签: java shiro spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/benben574599386/article/details/105434458
版权

目录

 

1.权限控制和初学JavaWeb处理访问权限控制

   简介:讲解什么是权限控制,初学JavaWeb时处理流程

2.大话权限框架核心知识ACL和RBAC

   2.1 权限框架设计之ACL和RBAC讲解

            简介:介绍什么是ACL和RBAC               

     2.2主流权限框架介绍和技术选型讲解

         简介:介绍主流的权限框架 Apache Shiro、spring Security

3.Apache Shiro基础概念知识和架构讲解

    1.Shiro核心知识之架构图交互和四大模块讲解

          简介:讲解Shiro架构图交互和四大核心模块 身份认证,授权,会话管理和加密

   2.用户访问Shrio权限控制运行流程和常见概念讲解

          简介:讲解用户访问整合Shrio的系统,权限控制的运行流程和Shiro常见名称讲解

1.权限控制和初学JavaWeb处理访问权限控制

   简介:讲解什么是权限控制,初学JavaWeb时处理流程

  • 什么是权限控制:

    • 忽略特别细的概念,比如权限能细分很多种,功能权限,数据权限,管理权限等

    • 理解两个概念:用户和资源,让指定的用户,只能操作指定的资源(CRUD)

  • 初学javaweb时怎么做

    • Filter接口中有一个doFilter方法,自己编写好业务Filter,并配置对哪个web资源进行拦截后

    • 如果访问的路径命中对应的Filter,则会执行doFilter()方法,然后判断是否有权限进行访问对应的资源

    • /api/user/info?id=1

public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
            throws Exception {
        HttpServletRequest httpRequest=(HttpServletRequest)request;
        HttpServletResponse httpResponse=(HttpServletResponse)response;
        
        HttpSession session=httpRequest.getSession();
        
        if(session.getAttribute("username")!=null){
            chain.doFilter(request, response);
        } else {
            httpResponse.sendRedirect(httpRequest.getContextPath()+"/login.jsp");
        }
        
    }

2.大话权限框架核心知识ACL和RBAC

   2.1 权限框架设计之ACL和RBAC讲解

            简介:介绍什么是ACL和RBAC               

  • ACL: Access Control List 访问控制列表

    • 以前盛行的一种权限设计,它的核心在于用户直接和权限挂钩

    • 优点:简单易用,开发便捷

    • 缺点:用户和权限直接挂钩,导致在授予时的复杂性,比较分散,不便于管理

    • 例子:常见的文件系统权限设计, 直接给用户加权限

  • RBAC: Role Based Access Control

    • 基于角色的访问控制系统。权限与角色相关联,用户通过成为适当角色的成员而得到这些角色的权限

    • 优点:简化了用户与权限的管理,通过对用户进行分类,使得角色与权限关联起来

    • 缺点:开发对比ACL相对复杂

    • 例子:基于RBAC模型的权限验证框架与应用 Apache Shiro、spring Security

  • BAT企业 ACL,一般是对报表系统,阿里的ODPS

     2.2主流权限框架介绍和技术选型讲解

         简介:介绍主流的权限框架 Apache Shiro、spring Security

  • 什么是 spring Security:官网基础介绍

    • 官网:https://spring.io/projects/spring-security

    • Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。 一句话:Spring Security 的前身是 Acegi Security ,是 Spring 项目组中用来提供安全认证服务的框架

  • 什么是 Apache Shiro:官网基础介绍

    • https://github.com/apache/shiro

    • Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。 ​ 一句话:Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能

  • 两个优缺点,应该怎么选择

    • Apache Shiro比Spring Security , 前者使用更简单

    • Shiro 功能强大、 简单、灵活, 不跟任何的框架或者容器绑定,可以独立运行

    • Spring Security 对Spring 体系支持比较好,脱离Spring体系则很难开发

    • SpringSecutiry 支持Oauth鉴权 https://spring.io/projects/spring-security-oauth,Shiro需要自己实现

    • ......

3.Apache Shiro基础概念知识和架构讲解

    1.Shiro核心知识之架构图交互和四大模块讲解

          简介:讲解Shiro架构图交互和四大核心模块 身份认证,授权,会话管理和加密

  • 直达Apache Shiro官网 http://shiro.apache.org/introduction.html

  • 什么是身份认证

    • Authentication,身份证认证,一般就是登录

  • 什么是授权

    • Authorization,给用户分配角色或者访问某些资源的权限

  • 什么是会话管理

    • Session Management, 用户的会话管理员,多数情况下是web session

  • 什么是加密

    • Cryptography, 数据加解密,比如密码加解密等

   2.用户访问Shrio权限控制运行流程和常见概念讲解

          简介:讲解用户访问整合Shrio的系统,权限控制的运行流程和Shiro常见名称讲解

  • 直达官网 :http://shiro.apache.org/architecture.html

  • Subject

    • 我们把用户或者程序称为主体(如用户,第三方服务,cron作业),主体去访问系统或者资源

  • SecurityManager

    • 安全管理器,Subject的认证和授权都要在安全管理器下进行

  • Authenticator

    • 认证器,主要负责Subject的认证

  • Realm

    • 数据域,Shiro和安全数据的连接器,好比jdbc连接数据库; 通过realm获取认证授权相关信息

  • Authorizer

    • 授权器,主要负责Subject的授权, 控制subject拥有的角色或者权限

  • Cryptography

    • 加解密,Shiro的包含易于使用和理解的数据加解密方法,简化了很多复杂的api

  • Cache Manager

    • 缓存管理器,比如认证或授权信息,通过缓存进行管理,提高性能

1210fei
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro认证授权demo
10-28
Apache Shiro是一个强大的Java安全框架,它提供了身份验证(Authentication)、授权(Authorization)以及会话管理(Session Management)等功能,简化了开发人员在构建安全应用时的复杂性。本Demo旨在展示如何使用...
Springboot shiro认证授权实现原理及实例
08-19
作为一款流行的 Java 框架Spring Boot 提供了许多插件来支持开发过程,而 Shiro 则是一个功能强大的身份验证和授权框架。下面,我们将详细介绍 Spring Boot 中如何使用 Shiro 实现认证授权Shiro 认证 Shiro...
Shiro框架-史上详解
kentlhxy的博客
05-12 4万+
Shiro   1.权限管理概述 2.Shiro权限框架   2.1 概念   2.2 Apache ShiroSpring Security区别 3.Shiro认证   3.1 基于ini认证   3.2 自定义Realm --认证 4.Shiro授权   4.1 基于ini授权   4.2 自定义realm – 授权 5.项目集成shiro 认证-授权注意点   5.1 认证   5.2 授权   5.3 注解@RequiresPermissions()   5.4 标签式权限验证 6.S
很全的 Java 权限认证框架
最新发布
z_ssyy的博客
05-04 1024
今天给大家推荐的这个开源项目超级棒,可能是史上功能最全的 Java 权限认证框架!。
Spring Security基本框架认证授权
大后生大大大的博客
11-11 864
Authentication、AuthenticationManager、AuthenticationProvider、ProviderManager、AccessDecisionMamager、AccessDecisionVoter
OAuth 2.0授权框架详解
m0_59598029的博客
01-12 249
在现代的网站中,我们经常会遇到使用OAuth授权的情况,比如有一个比较小众的网站,需要用户登录,但是直接让用户注册就显得非常麻烦,用户可能因为这个原因而流失,那么该网站可以使用OAuth授权,借助于github或者其他的第三方网站的认证授权,来获取相关的用户信息,从而避免了用户注册的步骤。当然,很可能在第三方网站上授权获得用户信息之后,还需要在本网站填写一些必要的信息进行绑定,比如手机号,用户名等等。但是这比单纯的注册要方便太多了,也容易让用户接受。
一个开箱即用的高效认证鉴权框架
Github导航站
02-19 281
  大家好,我是为广大程序员兄弟操碎了心的小编,每天推荐一个小工具/源码,装满你的收藏夹,每天分享一个小技巧,让你轻松节省开发效率,实现不加班不熬夜不掉头发,是我的目标!   今天是春节开工第一天,小编给各位兄弟介绍一个开箱即用的高效认证鉴权框架sureness,专注于restful api的动态保护。 背景   在主流的前后端分离架构中,如何通过有效快速的认证鉴权来保护后端提供的restful api变得尤为重要。对现存框架,不原生支持rest的apache shiro, 还是深度绑定spring,较慢性
基于springboot实现整合shiro实现登录认证以及授权过程解析
08-25
基于Spring Boot实现整合Shiro实现登录认证以及授权过程解析 在本文中,我们将详细介绍如何使用Spring Boot框架实现整合Shiro进行登录认证授权过程的解析。Shiro是Apache软件基金会下的一个基于Java的开源安全...
shiro.freemarker.ShiroTags已打包
07-17
Apache Shiro 是一个强大且易用的 Java 安全框架,它提供了认证授权、加密和会话管理功能,简化了开发人员在应用程序中处理安全问题的复杂性。ShiroTags 是 Shiro 提供的一套用于模板引擎的标签库,如 Freemarker ...
安全控制框架教程shiro
10-29
Apache Shiro 是一款功能强大的Java安全框架,专为简化应用程序的安全管理而设计。它涵盖了认证授权、会话管理和加密等多个关键领域,使得开发者能够轻松地实现用户身份验证、权限控制以及安全设置。本教程主要...
springboot-shiro认证系统框架--成型框架
09-17
springboot-shiro认证系统框架--成型框架认证中心服务,分布式框架,可以直接使用,配置多元化,组件化,只需修改配置文件,达到相应需求,适合生产开发,开发学习
Shiro安全框架入门篇(登录验证实例详解与源码)
weixin_30838873的博客
02-03 3987
一、Shiro框架简单介绍 Apache ShiroJava的一个安全框架,旨在简化身份验证和授权ShiroJavaSE和JavaEE项目中都可以使用。它主要用来处理身份认证授权,企业会话管理和加密等。Shiro的具体功能点如下: (1)身份认证/登录,验证用户是不是拥有相应的身份; (2)授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做...
4种认证(authentication)或授权(authorization)方式
漫游学海之旅
04-12 8万+
Authentication vs. authorization It is easy to confuse authentication with another element of the security plan: authorization. While authentication verifies the user’s identity, authorization verifie...
从零开始搭建公司微服务授权架构技术栈(3种模式),这架构稳的一批...
程序员闪充宝
01-09 223
作者 | Graham Kaemmer译者 | Rayden审校 | 王强在过去的 5 个月里,我与 50 多家公司讨论了他们的授权系统。其中超过一半的公司以某种形式使用微服务,我...
JAVAWEB开发之权限管理(一)——权限管理详解(权限管理原理以及方案)、不使用权限框架的原始授权方式详解
热门推荐
07-13 9万+
知识清单 1.了解基于资源的权限管理方式 2. 掌握权限数据模型 3. 掌握基于url的权限管理(不使用Shiro权限框架的情况下实现权限管理) 4. shiro实现用户认证 5. shiro实现用户授权 6. shiro与企业web项目整合开发的方法 权限管理原理知识 什么是权限管理 只要有用户参与的系统一般都要有权限管理,权限管理实现对用户访问系统的控制。按照安全规则或安全策
安全认证框架-Apache Shiro研究心得
待定的专栏
03-07 2008
最近因为项目需要,研究了一下Apache Shiro安全认证框架,把心得记录下来。(原创by:西风吹雨) Apache Shrio是一个安全认证框架,和Spring Security相比,在于他使用了和比较简洁易懂的认证授权方式。其提供的native-session(即把用户认证后的授权信息保存在其自身提供Session中)机制,这样就可以和HttpSession、EJB Session
Web开发中常见的认证机制
weixin_33756418的博客
03-13 388
HTTP基本认证(HTTP Basic Auth) 在HTTP中,HTTP基本认证是一种允许Web浏览器或者其他客户端在请求时提供用户名和口令形式的身份凭证的一种登录验证方式。 简单而言,HTTP基本认证就是我们平时在网站中最常用的通过用户名和密码登录来认证的机制。优点HTTP 基本认证是基本上所有流行的网页浏览器都支持。但是基本认证很少...
JAVA认证鉴权安全框架【JustAuthPlus】(一篇足已)
王大师企业官方博客
06-24 975
学习目标(附超链接传送门) 1、掌握 JAVA入门到进阶知识(持续写作中……) 2、学会Oracle数据库用法(创作中……) 3、手把手教你vbs脚本制作(完善中……) 4、牛逼哄哄的 IDEA编程利器(编写中……) 5、吐血整理的 面试技巧(更新中……) 面试题[技巧]  第一章:日常_JAVA_面试题集1(含答案)  第二章:日常_JAVA_面试题集2(含答案)  第三章:日常_JAVA_面试题集3(含答案)  第四章:日常_JAVA_面试题集4(含答案) 前言 世上无难事!冲冲冲!!!2021
Shiro框架认证授权详解
本文将深入探讨Shiro框架中的核心组件以及认证过程,帮助理解如何实现用户权限的分配与授权。 首先,Shiro框架的核心组件包括Subject、SecurityManager和Realms。 1. **Subject**:这是Shiro中的核心概念,代表了...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值