shiro（二）shiro详解

《一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码》，点击传送门，即可获取！

2、仅定义非空的 [users] 或 [roles] 部分就将自动地触发org.apache.shiro.realm.text.IniRealm 实例的创建

四、Shiro 的 Permissions

1、基础语法之简单的字符串：即用简单的字符串来表示一个权限，如：user （相当于：user:*）

2、基础语法之多层次管理：

一、例如：user:query、user:edit

二、冒号是一个特殊字符，它用来分隔权限字符串的下一部件：第一部分是权限被操作的领域（打印机），第二部分是被执行的操作。

三、多个值：每个部件能够保护多个值。因此，除了授予用户 user:query 和 user:edit 权限外，也可以简单地授予他们一个：user:query, edit

四、还可以用 * 号代替所有的值，如：user:* ， 也可以写：*:query，表示某个用户在所有的领域都有 query 的权限

五、身份认证：Authentication

1、Authentication ：身份验证——通过提交用户的身份和凭证给 Shiro，以判断它们是否和应用程序预期的相匹配。

2、基本概念

一、Principals(身份)：Subject 的 identifying attributes(标识属性)。比如我们登录提交的用户名。

二、Credentials(凭证)：用来作为一种起支持作用的证据，此证据包含身份证明。比如我们登录提供的密码

3、认证的基本步骤

一、收集Subjects 提交的Principals(身份)和Credentials(凭证)；

二、提交Principals(身份)和Credentials(凭证)进行身份验证；

三、如果提交成功，则允许访问，否则重新进行身份验证或者阻止访问。

六、身份认证 – 示例代码

1、AuthenticationToken：Shiro 中代表提交的 Principals(身份) 和 Credentials (凭证) 的身份验证系统的最基本接口。

3、UsernamePasswordToken ：AuthenticationToken 的接口的实现类，支持最常见的用户名/密码的身份验证

3、提交用户名/密码进行认证

Subject currentUser = SecurityUtils.getSubject();

currentUser.login(token);

4、处理认证成功和失败

认证成功：没有返回，也没有异常，通过。

认证失败，拋出异常，可以在程序中捕获并处理

七、认证顺序

八、认证过程

1、Step 1：应用程序代码调用 Subject.login 方法，传递创建好的包含终端用户的 Principals(身份)和 Credentials(凭证)的 AuthenticationToken 实例

2、Step 2：Subject 实例，通常为 DelegatingSubject（或子类）委托应用程序的 SecurityManager 通过调用 securityManager.login(token) 开始真正的验证。

3、Step3：SubjectManager 接收 token，调用内部的 Authenticator 实例调用 authenticator.authenticate(token)。 Authenticator 通常是一个 ModularRealmAuthenticator 实例，支持在身份验证中协调一个或多个Realm 实例。

4、Step 4：如果应用程序中配置了一个以上的 Realm，ModularRealmAuthenticator 实例将利用配置好的AuthenticationStrategy 来启动 Multi-Realm 认证尝试。在Realms 被身份验证调用之前，期间和以后，AuthenticationStrategy 被调用使其能够对每个Realm 的结果作出反应。

5、Step 5：每个配置的 Realm 用来帮助看它是否支持提交的AuthenticationToken。如果支持，那么支持 Realm 的 getAuthenticationInfo 方法将会伴随着提交的 token 被调用。getAuthenticationInfo 方法有效地代表一个特定 Realm 的单一的身份验证尝试。

九、注销

1、logout(注销)：currentUser.logout();

2、调用 logout() 方法时，现有 Session 将失效，而且身份将失去关联（在Web 应用程序中，RememberMe cookie 将被删除）。

3、在 Subject 注销后，该 Subject 的实例被再次认为是匿名的。

4、注意：WEB 应用程序记住身份往往依靠 Cookie，然而Cookie 只能在 Response 被返回后被删除，所以建议在调用subject.logout() 后立即向终端重定向一个新的视图或页面。这样即能保证与安全相关的 Cookie 都能像预期的一样被删除。

十、授权： Authorization

1、授权：又称访问控制—控制谁有权限在应用程序中做什么。

2、授权检查的例子：用户是否能访问某个网页，编辑数据，或打使用这台打印机

3、授权的三要素：权限、角色和用户 。

4、需要在应用程序中对用户和权限建立关联：通常的做法是将权限分配给角色，然后将角色分配给一个或多个用户。

5、权限：Shiro 安全机制最核心的元素。它在应用程序中明确声明了被允许的行为。一个格式良好的权限声明可以清晰表达出用户对该资源拥有的权限。在 Shiro 中主要通过通配符表达式来完成权限的描述。

十一、角色：Role

1、角色：一个命名的实体， 通常代表一组行为或职责。 这些行为演化为在一个应用中能或者不能做的事情。角色通常分配给用户帐户

2、一个角色拥有一个权限的集合。授权验证时，需要判断当前角色是否拥有指定的权限。这种角色权限可以对该角色进行详细的权限描述。 Shiro官方推荐使用这种方式。

3、Shiro的三种授权方式

编写代码：在 Java 代码中用像 if 和 else 块的结构执行授权检查。

JDK 的注解：可以添加授权注解给 Java 方法

JSP 标签库：可以控制基于角色和权限的JSP 页面输出。

十二、编程授权

1、通过使用 subject 的方法来实现角色的判断，常用的 API：

hasRole(String roleName)

hasRoles(List roleNames)

hasAllRoles(Collection roleNames)

2、断言支持：Shiro 还支持以断言的方式进行授权验证。断言成功，不返回任何值，程序继续执行；断言失败时，将抛出异常信息。常用方法：

checkRole(String roleName) 、

checkRoles(CollectionroleNames)、

checkRoles(String… roleNames)

十三、编程授权

1、基于权限对象的实现

isPermitted(Permission p)、isPermitted(List perms)、isPermittedAll(Collection perms)

2、基于字符串的实现

if (currentUser.isPermitted(“printer:print:laserjet4400n”))

isPermitted(String perm)、isPermitted(String… perms)、isPermittedAll(String… perms)

3、权限的实现也都可以采用断言的方式，相关方法：

checkPermission(Permission p)、checkPermission(String perm)、checkPermissions(Collection perms)、checkPermissions(String… perms)

十四、授权的顺序

总目录展示

该笔记共八个节点（由浅入深），分为三大模块。

高性能。 秒杀涉及大量的并发读和并发写，因此支持高并发访问这点非常关键。该笔记将从设计数据的动静分离方案、热点的发现与隔离、请求的削峰与分层过滤、服务端的极致优化这4个方面重点介绍。

一致性。 秒杀中商品减库存的实现方式同样关键。可想而知，有限数量的商品在同一时刻被很多倍的请求同时来减库存，减库存又分为“拍下减库存”“付款减库存”以及预扣等几种，在大并发更新的过程中都要保证数据的准确性，其难度可想而知。因此，将用一个节点来专门讲解如何设计秒杀减库存方案。

高可用。 虽然介绍了很多极致的优化思路，但现实中总难免出现一些我们考虑不到的情况，所以要保证系统的高可用和正确性，还要设计一个PlanB来兜底，以便在最坏情况发生时仍然能够从容应对。笔记的最后，将带你思考可以从哪些环节来设计兜底方案。

---

篇幅有限，无法一个模块一个模块详细的展示（这些要点都收集在了这份《高并发秒杀顶级教程》里），麻烦各位转发一下（可以帮助更多的人看到哟！）

由于内容太多，这里只截取部分的内容。
《一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码》，点击传送门，即可获取！
记的最后，将带你思考可以从哪些环节来设计兜底方案。

---

篇幅有限，无法一个模块一个模块详细的展示（这些要点都收集在了这份《高并发秒杀顶级教程》里），麻烦各位转发一下（可以帮助更多的人看到哟！）

[外链图片转存中…(img-3L07AfM6-1714745480181)]

[外链图片转存中…(img-C4S5vui6-1714745480182)]

由于内容太多，这里只截取部分的内容。
《一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码》，点击传送门，即可获取！