常见的安全框架有spring security , apache shrio , 前者过于繁杂,不易掌握;后者较为简易,且常见功能也具备
对RBAC的理解:
基于角色的控制访问(Role-Based Access Contro)
用户通过成为适当角色的成员而得到这些角色的权限,
权限授予角色,再把角色赋予用户
shrio 可以做什么:
Authentication 认证
Authorization 授权,对用户进行访问权限控制
Session Management 会话管理
Cryptography 加密
caching 缓存
RememberMe 记住我
SSO 单点登陆
Shrio 架构包含三个主要的理念:
Subject ,(当前用户)
SecurityManager , (管理所有用户) 是shrio架构的核心
Realm (链接数据源) 用于权限信息的验证, 本质是一个安全的dao ,可以安全地得到shrio需要的相关数据