Shiro系统权限管理、及原理剖析

最新推荐文章于 2024-04-16 00:38:58 发布
最新推荐文章于 2024-04-16 00:38:58 发布
阅读量1.5w 收藏 29
点赞数 5
分类专栏: 工作积累 权限系统 文章标签: shiro filterChain session
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/helloworldwt/article/details/51759224
版权

1.简介       


        常用的Java EE安全框架有shiro、spring security。shiro被应用非常广泛,可以集成cas,搭建单点登录系统。spring security则被认为比较重,应用没有shiro广泛。shiro提供用户名、密码验证,及密码的加密存储,会话Session的管理,与web集成,支持HTTPS的拦截。


2.Shiro原理简析

shiro 原理剖析:

       shiro的核心是java servlet规范中的filter,通过配置拦截器,使用拦截器链来拦截请求,如果允许访问,则通过。通常情况下,系统的登录、退出会配置拦截器。登录的时候,调用subject.login(token),token是用户验证信息,这个时候会在Realm中doGetAuthenticationInfo方法中进行认证。这个时候会把用户提交的验证信息与数据库中存储的认证信息进行比较,一致则允许访问,并在浏览器种下此次回话的cookie,在服务器端存储session信息。退出的时候,调用subject.logout(),会清除回话信息。

      shiro中核心概念介绍:
         Filter:
                 1.AnonymousFilter:通过此filter修饰的url,任何人都可以进行访问,即使没有进行权限认证
                 2.FormAuthenticationFilter:通过此filter修饰的url,会对请求的url进行验证,如果没有通过,则会重定向返回到loginurl
                 3.BasicHttpAuthenticationFilter:通过此filter修饰的url,要求用户已经通过认证,如果没有通过,则会要求通过Authorization 信息进行认证
                 4.LogoutFilter:通过此filter修饰的url,一旦收到url请求,则会立即调用subject进行退出,并重定向到redirectUrl
                 5.NoSessionCreationFilter:通过此filter修饰的url,不会创建任何会话
                 6.PermissionAuthorizationFilter:权限拦截器,验证用户是否具有相关权限
                 7.PortFilter:端口拦截器,不是通过制定端口访问url,将自动将端口重定向到指定端口
                 8.HttpMethodPermissionFilter:rest风格拦截器,配置rest的访问方式
                 9.RolesAuthorizationFilter:角色拦截器,未登陆,将跳转到loginurl,未授权,将跳转到unauthorizedUrl
                 10.SslFilter:HTTPS拦截器,需要以HTTPS的方式进行访问
                 11.UserFilter:用户拦截器,需要用户已经认证,或已经remember me


         Subject:
                 表示当前操作的主体用户,是一个抽象的概念,Subject可以进行登录、退出、权限判断等动作,通常一个subject与一个线程进行关联。


         Realm:
                表示验证的数据源,存储用户的安全数据,可以进行用户名和密码的匹配,及用户权限查询。


3.Shiro配置方法

shiro 配置方法:

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xmlns:util="http://www.springframework.org/schema/util"
       xsi:schemaLocation="http://www.springframework.org/schema/beans
            http://www.springframework.org/schema/beans/spring-beans-4.0.xsd
            http://www.springframework.org/schema/util http://www.springframework.org/schema/util/spring-util.xsd
            http://www.springframework.org/schema/aop
            http://www.springframework.org/schema/aop/spring-aop-4.0.xsd
            http://www.springframework.org/schema/context
            http://www.springframework.org/schema/context/spring-context-4.0.xsd
            http://www.springframework.org/schema/tx
            http://www.springframework.org/schema/tx/spring-tx-4.0.xsd">

    <description>Apache Shiro Security Configuration</description>

    <!-- Realm实现 -->
    <bean id="userRealm" class="com.ttyc.mammon.service.shiro.UserRealm">
        <property name="cachingEnabled" value="false"/>
    </bean>

    <!-- 会话ID生成器 -->
    <bean id="sessionIdGenerator" class="org.apache.shiro.session.mgt.eis.JavaUuidSessionIdGenerator"/>

    <!-- 会话Cookie模板 -->
    <bean id="sessionIdCookie" class="org.apache.shiro.web.servlet.SimpleCookie">
        <constructor-arg value="sid"/>
        <property name="domain" value=".ttyongche.com"/>
        <property name="path" value="/"/>
        <property name="httpOnly" value="false"/>
        <property name="maxAge" value="-1"/>
    </bean>

    <!-- 会话DAO -->
    <bean id="sessionDAO" class="org.crazycake.shiro.RedisSessionDAO">
        <property name="sessionIdGenerator" ref="sessionIdGenerator"/>
        <property name="redisManager" ref="redisManager"/>
    </bean>

    <!-- 会话管理器 -->
    <bean id="sessionManager" class="org.apache.shiro.web.session.mgt.DefaultWebSessionManager">
        <property name="globalSessionTimeout" value="1800000"/>
        <property name="deleteInvalidSessions" value="true"/>
        <property name="sessionDAO" ref="sessionDAO"/>
        <property name="sessionIdCookieEnabled" value="true"/>
        <property name="sessionIdCookie" ref="sessionIdCookie"/>
    </bean>

    <!-- 安全管理器 -->
    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
        <property name="realm" ref="userRealm"/>
        <property name="sessionManager" ref="sessionManager"/>
        <property name="cacheManager" ref="redisCacheManager"/>
    </bean>

    <!-- 相当于调用SecurityUtils.setSecurityManager(securityManager) -->
    <bean class="org.springframework.beans.factory.config.MethodInvokingFactoryBean">
        <property name="staticMethod" value="org.apache.shiro.SecurityUtils.setSecurityManager"/>
        <property name="arguments" ref="securityManager"/>
    </bean>

    <bean id="authFilter" class="com.ttyc.mammon.controller.filter.AuthFilter"/>
    <bean id="permissionFilter" class="com.ttyc.mammon.controller.filter.PermissionFilter"/>

    <!-- Shiro的Web过滤器 -->
    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <property name="securityManager" ref="securityManager"/>
        <property name="loginUrl" value="/login"/>
        <property name="filters">
            <util:map>
                <entry key="auth" value-ref="authFilter"/>
                <entry key="perm" value-ref="permissionFilter"/>
            </util:map>
        </property>
        <property name="filterChainDefinitions">
            <value>
                /** = auth
            </value>
        </property>
    </bean>

    <!-- Shiro生命周期处理器-->
    <bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>

    <!-- cacheManager -->
    <bean id="redisCacheManager" class="org.crazycake.shiro.RedisCacheManager">
        <property name="redisManager" ref="redisManager" />
    </bean>

    <!-- shiro redisManager -->
    <bean id="redisManager" class="com.ttyc.mammon.service.shiro.RedisManager">
        <property name="host" value="${redis.host}" />
        <property name="port" value="${redis.port}" />
        <property name="expire" value="${redis.expire}" />
        <property name="dataBase" value="${redis.database}" />
    </bean>

</beans>

     Pom依赖:
    <shiro.version>1.2.2</shiro.version>
    <shiro.redis.version>2.4.2.1-RELEASE</shiro.redis.version> 
<dependency>
			<groupId>org.apache.shiro</groupId>
			<artifactId>shiro-core</artifactId>
			<version>${shiro.version}</version>
		</dependency>
		<dependency>
			<groupId>org.apache.shiro</groupId>
			<artifactId>shiro-web</artifactId>
			<version>${shiro.version}</version>
		</dependency>
		<dependency>
			<groupId>org.apache.shiro</groupId>
			<artifactId>shiro-spring</artifactId>
			<version>${shiro.version}</version>
		</dependency>
		<dependency>
			<groupId>org.crazycake</groupId>
			<artifactId>shiro-redis</artifactId>
			<version>${shiro.redis.version}</version>
		</dependency>


     UserRealm:
    继承AuthorizingRealm,重写doGetAuthorization和doGetAuthorication方法。 
 

 

 
 
@Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        String username = (String)principals.getPrimaryPrincipal();
        SysUser user = getUserByName(username);
        SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();

        SysRole sysRole = sysRolePermService.getSysRoleByUserId(user.getId());
        addRole(authorizationInfo,sysRole);
        List<SysPermission> sysPermissions = sysRolePermService.getSysPermissionByUserId(user.getId());
        addPermissions(authorizationInfo,sysPermissions);
        return authorizationInfo;
    }

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {

        String username = (String)token.getPrincipal();

        SysUser user = getUserByName(username);

        //交给AuthenticatingRealm使用CredentialsMatcher进行密码匹配,如果觉得人家的不好可以自定义实现
        if (user != null){
            return new SimpleAuthenticationInfo(user.getUserName(),"", getName());
        }
        return null;
    }
 
 
 
 
 

 


       
 AuthFilter: 

 


  AuthFilter继承AccessControllerFilter,需要重写isAccessAllowed和onAccessDenied方法 

 

 
 
 

 

 
 
@Override
    protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
        HttpServletRequest httpRequest = (HttpServletRequest)request;
        HttpServletResponse httpResponse = (HttpServletResponse)response;

        //支持跨域
        supportCrossDomain(httpResponse);

        // 对外API,通过Service-Token进行认证
        String url = httpRequest.getRequestURI().substring(httpRequest.getContextPath().length());
        if (url.startsWith(HTTP_API_URL)) {
            if (validateSign(httpRequest.getHeader("Service-Token"))) {
                return true;
            }
            else {
                return false;
            }
        }

        //运营后台通过cookie,token,sid进行认证
        Subject currentSubject = SecurityUtils.getSubject();
        if (! currentSubject.isAuthenticated()){
            SysUser sysTokenUser = loginAuthService.validTokenAuth((HttpServletRequest) request);
            SysUser sysCookieUser = loginAuthService.validCookieAuth((HttpServletRequest) request);

            if (sysTokenUser == null && sysCookieUser == null){
                return false;
            }
            SysUser sysUser = null;
            if (sysTokenUser != null){
                sysUser = sysTokenUser;
            }else {
                sysUser = sysCookieUser;
            }

            UsernamePasswordToken token = new UsernamePasswordToken(sysUser.getUserName(),"");
            currentSubject.login(token);
            Session session = currentSubject.getSession();
            session.setAttribute("LoginUser",sysUser);
        }

        //在request里设置登录用户
        SysUser currentUser = (SysUser) currentSubject.getSession().getAttribute("LoginUser");
        request.setAttribute("loginId", currentUser.getId());

        return true;
    }

    @Override
    protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
        response.setContentType("application/json; charset=utf-8");
        response.getWriter().write(json);

        return false;
    }
 
 
 
 
 

 

 
 
 

 


       
 RedisManager: 

 


  shiro原生不支持redis,只支持ehcache,ehcache只能单机缓存,不适合于大型集群应用。第三方crazycake支持shiro使用redis缓存,配置方式如下: 

 

 
 
 

 

 
  
 
import redis.clients.jedis.Jedis;
import redis.clients.jedis.JedisPool;
import redis.clients.jedis.JedisPoolConfig;

import java.util.Set;

public class RedisManager extends org.crazycake.shiro.RedisManager {

	private String host = "127.0.0.1";

	private int port = 6379;

	// 0 - never expire
	private int expire = 0;

	// timeout for jedis try to connect to redis server, not expire time! In
	// milliseconds
	private int timeout = 0;

	private String password = "";

	private int dataBase;

	private static JedisPool jedisPool = null;

	public RedisManager() {

	}

	/**
	 * 初始化方法
	 */
	public void init() {
		if (jedisPool == null) {
			if (password != null && "".equals(password.trim())) {
				password = null;
			}
			jedisPool = new JedisPool(new JedisPoolConfig(), host, port, timeout, password, dataBase);
		}
	}

	/**
	 * get value from redis
	 * 
	 * @param key
	 * @return
	 */
	public byte[] get(byte[] key) {
		byte[] value = null;
		Jedis jedis = jedisPool.getResource();
		try {
			value = jedis.get(key);
		} finally {
			jedis.close();
		}
		return value;
	}

	/**
	 * set
	 * 
	 * @param key
	 * @param value
	 * @return
	 */
	public byte[] set(byte[] key, byte[] value) {
		Jedis jedis = jedisPool.getResource();
		try {
			jedis.set(key, value);
			if (this.expire != 0) {
				jedis.expire(key, this.expire);
			}
		} finally {
			jedis.close();
		}
		return value;
	}

	/**
	 * set
	 * 
	 * @param key
	 * @param value
	 * @param expire
	 * @return
	 */
	public byte[] set(byte[] key, byte[] value, int expire) {
		Jedis jedis = jedisPool.getResource();
		try {
			jedis.set(key, value);
			if (expire != 0) {
				jedis.expire(key, expire);
			}
		} finally {
			jedis.close();
		}
		return value;
	}

	/**
	 * del
	 * 
	 * @param key
	 */
	public void del(byte[] key) {
		Jedis jedis = jedisPool.getResource();
		try {
			jedis.del(key);
		} finally {
			jedis.close();
		}
	}

	/**
	 * flush
	 */
	public void flushDB() {
		Jedis jedis = jedisPool.getResource();
		try {
			jedis.flushDB();
		} finally {
			jedis.close();
		}
	}

	/**
	 * size
	 */
	public Long dbSize() {
		Long dbSize = 0L;
		Jedis jedis = jedisPool.getResource();
		try {
			dbSize = jedis.dbSize();
		} finally {
			jedis.close();
		}
		return dbSize;
	}

	/**
	 * keys
	 * 
	 * @param pattern
	 * @return
	 */
	public Set<byte[]> keys(String pattern) {
		Set<byte[]> keys = null;
		Jedis jedis = jedisPool.getResource();
		try {
			keys = jedis.keys(pattern.getBytes());
		} finally {
			jedis.close();
		}
		return keys;
	}

	public String getHost() {
		return host;
	}

	public void setHost(String host) {
		this.host = host;
	}

	public int getPort() {
		return port;
	}

	public void setPort(int port) {
		this.port = port;
	}

	public int getExpire() {
		return expire;
	}

	public void setExpire(int expire) {
		this.expire = expire;
	}

	public int getTimeout() {
		return timeout;
	}

	public void setTimeout(int timeout) {
		this.timeout = timeout;
	}

	public String getPassword() {
		return password;
	}

	public void setPassword(String password) {
		this.password = password;
	}

	public int getDataBase() {
		return dataBase;
	}

	public void setDataBase(int dataBase) {
		this.dataBase = dataBase;
	}

}

 
 
 
 
 

 

 
 
 

 

 


                

        

        

    




    

      

        

            

              
                
                  helloworldwt
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                    5
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    29
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                  1
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      

            

                专栏目录
          










                



	

		

			

				
					
构建安全可靠的应用程序:深入解读Shiro基本原理,实现身份认证与权限控制的利器

				
			

			

				

					资料免费分享,点击名片
				

				

					11-11
					
					54
					
				

			

		

		

			
				
使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序,特别是今天对权限校验和管理特别严格,大家有必要对shiro有一个基本的认识和学习。推荐了解java培训课程。Realms:Realms作为Shiro和你的应用的连接桥,当需要与安全数据交互的时候,像用户账户,或者访问控制Shiro就从一个或多个Realms中查找。Shiro提供了一些可以直接使用的Realms,如果默认的Realms不能满足你的需求,你也可以定制自己的 Realms。

			
		

	



                

              
                



	

		

			

				
					
Spring整合Shiro权限控制模块详细案例分析

				
			

			

				

					10-05
				

			

		

		

			
				
4. **连接Spring和Shiro**:配置Spring Security Manager并注入自定义的Realm,使Shiro能够获取和管理用户权限信息。  ```xml <bean id="securityManager" class="org.apache.shiro.web.mgt....

			
		

	



                


  
              

                


	

		

			

				
					
ssm+shiro

				
			

			

				

					mengyong1108的博客
				

				

					08-16
					
					366
					
				

			

		

		

			
				
shiro原理
框架解释: 
subject:主体,可以是用户也可以是程序,主体要访问系统系统需要对主体进行认证、授权。
securityManager:安全管理器,主体进行认证和授权都 是通过securityManager进行。它包含下面的认证器和授权器。
authenticator:认证器,主体进行认证最终通过authenticator进行的。 
authorizer:授权器,主体

			
		

	





	

		

			

				
					
shiro权限管理基本原理和实现的整理

				
			

			

				

					StreamlineWq的博客
				

				

					05-31
					
					3963
					
				

			

		

		

			
				
shiro权限管理基本原理和实现的整理
引言:这两天学习了一个对权限管理的新的框架shiro,在这里做一个总结,既为了帮助有需要的人,也方便自己以后来回顾。
本篇文章主要针对下面几个关键点来说明:
1. shiro简介
2. 集成spring,快速搭建环境
3. shiro认证(即登录,重点)
4. shiro授权(重点)
5. shiro会话管理(Session)
6. shiro缓存(reme...

			
		

	



		

			
		



	

		

			

				
					
Shiro安全框架 一】 十分钟带你熟悉Shiro的认证机制,吊打面试官系列

					
最新发布

				
			

			

				

					m0_57540655的博客
				

				

					04-16
					
					290
					
				

			

		

		

			
				
#声明自定义的Relam。

			
		

	





	

		

			

				
					
shiro-基本原理和逻辑配置

				
			

			

				

					大帅的博客
				

				

					01-14
					
					5748
					
				

			

		

		

			
				
https://jinnianshilongnian.iteye.com/blog/2049092
https://my.oschina.net/huangyong/blog/215153
http://shiro.apache.org/articles.html
http://shiro.apache.org/documentation.html



			
		

	





	

		

			

				
					
Shiro权限管理实现(详解)

				
			

			

				

					a1050762704的博客
				

				

					08-19
					
					1220
					
				

			

		

		

			
				
前言
Apache Shiro 是 Java 的一个安全框架。功能强大,使用简单的Java安全框架,它为开发人员提供一个直观而全面的认证,授权,加密及会话管理的解决方案。
功能介绍
资源-角色-权限
登录认证,密码加密(Authentication, Authorization, Cryptography)
用户角色和权限放入缓存(Caching)
会话管理(Session Management)
功能实现
实现说明
基于Spring开发Shiro的话,我们只需要实现ShiroFilterFactoryBe

			
		

	





	

		

			

				
					
Shiro权限基础框架

				
			

			

				

					04-22
				

			

		

		

			
				
7. **Shiro源码阅读**:高级话题可能涉及对Shiro核心类的源码分析,帮助开发者更深入理解其工作原理。  8. **工具使用**:可能会介绍一些辅助工具,如Shiro的命令行工具或日志工具,帮助调试和优化应用安全性。  9. ...

			
		

	





	

		

			

				
					
权限管理系统

				
			

			

				

					10-18
				

			

		

		

			
				
本文将重点讨论基于Java技术的权限管理系统,深入剖析其核心概念、设计模式以及实现细节。  一、权限管理基础  权限管理主要包括三个基本要素:用户(User)、角色(Role)和权限(Permission)。用户是系统中的实际...

			
		

	





	

		

			

				
					
SSH项目源码完整下载学生管理包括权限系统

				
			

			

				

					03-19
				

			

		

		

			
				
在学生管理系统中,权限系统是关键的一环。权限控制通常涉及到角色(Role)、资源(Resource)和权限(Permission)的概念。用户根据其角色拥有不同的操作权限,这些权限定义了他们能访问哪些资源以及能执行何种操作...

			
		

	





	

		

			

				
					
Spring Shiro学习系统 v1.4.0.zip

				
			

			

				

					04-02
				

			

		

		

			
				
《Spring Shiro学习系统 v1.4.0》是一个针对Java开发者的学习资源,它整合了Spring框架和Apache Shiro安全框架,旨在帮助用户理解和掌握如何在实际项目中应用这两个技术进行权限管理和认证。该资源包括源码源代码,...

			
		

	





	

		

			

				
					
shiro授权的实现原理

				
			

			

				

					08-29
				

			

		

		

			
				
主要介绍了shiro授权的实现原理,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧

			
		

	





	

		

			

				
					
Shiro权限框架认证和授权原理介绍

				
			

			

				

					IT飞岳的博客
				

				

					06-12
					
					1万+
					
				

			

		

		

			
				
1、简介shiro是一个安全框架,是Apache的一个子项目shiro提供了:认证、授权、加密、会话管理、与web集成、缓存等模块。   1.1、模块介绍Authentication:用户身份识别,可以认为是登录;Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是...

			
		

	





	

		

			

				
					
Shiro权限控制+整合shiro

					
热门推荐

				
			

			

				

					Armymans的博客
				

				

					03-02
					
					1万+
					
				

			

		

		

			
				
Shiro权限控制
0.1传统的权限认证方式

特点:为每个人单独的分配权限模块,能够实现权限控制,但是当公司人员庞大之后,非常难管理
上述权限控制如何设计表?
关系:员工和菜单权限的关系:多对多




员工id
菜单名称




1
取派管理


2
快递员管理


2
运单管理


好处:可以方便的 实现权限控制
缺陷:比如当修改权限的时候,公司统一的给组长级别的人 加一个“计算工资”权限,...

			
		

	





	

		

			

				
					
shiro权限与安全

				
			

			

				

					worn_xiao的博客
				

				

					11-21
					
					240
					
				

			

		

		

			
				
1.  权限概述
系统提供了很多功能,并不是所有的用户登录系统都可以操作这些功能。我们需要对用户的访问进行控制。
认证:系统提供的用于识别用户身份的功能(通常是登录功能)。
授权:系统提供的赋予用户访问某个功能的能力。



1.  常见的权限控制的方式
1.1 URL拦截权限控制---基于过滤器或者拦截器




方法注解权限控制---基于代理技术




1

			
		

	





	

		

			

				
					
使用shiro拦截器链实现权限管理

				
			

			

				

					m0_67392811的博客
				

				

					04-28
					
					751
					
				

			

		

		

			
				
在开篇之前,先介绍一下shiro,那么
什么是shiro呢?

Apache Shiro(发音为“shee-roh”,日语“堡垒(Castle)”的意思)是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理功能,可为任何应用提供安全保障 - 从命令行应用、移动应用到大型网络及企业应用。
Shiro为解决下列问题(我喜欢称它们为应用安全的四要素)提供了保护应用的API:
认证 - 用户身份识别,常被称为用户“登录”;
授权 - 访问控制;
密码加密 - 保护或隐藏数据防止被偷窥;
会话管理 -每

			
		

	





	

		

			

				
					
Shiro 权限管理

				
			

			

				

					心猿意码
				

				

					06-24
					
					3902
					
				

			

		

		

			
				
一共5个表

用户表
角色表
权限表
用户角色中间表
角色权限中间表

权限验证

通过角色来判断有没有权限。 比如 if 用户有在用户角色中间表中有经理的角色, 就可以查看工资。这中判断比较笼统。适合比如实现不同的角色登录以后看到不同的菜单。
通过权限标识来判断, 这个就需要查出用户拥有的具体权限。 这个权限控制比较细致。
适合细致的,比如部门公司的管理员,只能修改该部门下的员工资料。

Shi...

			
		

	





	

		

			

				
					
shiro权限

				
			

			

				

					天地无名
				

				

					09-30
					
					666
					
				

			

		

		

			
				
一、权限框架介绍
1.什么说权限框架?
   权限说简单点就是我们字面理解的意思,项目中,例如普通用户和超级管理园

权限管理包括用户身份认证和授权两部分,简称认证授权。对于需要访问控制的资源用户首先经过身份认证,认证通过后用户具有该资源的访问权限方可访问。

1.1 用户身份认证
身份认证,就是判断一个用户是否为合法用户的处理过程。最常用的简单身份认证方式是系统通过核对用户输入的用户名和口令,看其是否与系统中存储的该用户的用户名和口令一致,来判断用户身份是否正确。对于采用指纹等系统,则出示指纹;对于硬件K

			
		

	



              



  
“相关推荐”对你有帮助么?

  

      
    
          
  • 
              
    
                  
                  
              
    
              
    非常没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    一般
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    有帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    非常有帮助
    
          
    • 
      

      

      

          
          提交
      

      

  




          




        



    





    



      

      

        
      

      





	

		
评论 1

	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值