RBAC&&Shiro

最新推荐文章于 2023-06-11 13:13:57 发布
最新推荐文章于 2023-06-11 13:13:57 发布
阅读量1.1k 收藏 1
点赞数 1
分类专栏: 框架 文章标签: shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liu_to_liu/article/details/118490681
版权
本文介绍了基于角色的访问控制(RBAC)模型,特别是RBAC96及其四个子模型,强调了角色在权限管理中的重要性。接着,文章详细探讨了Apache Shiro的安全框架,包括其解决传统访问控制问题的原因、组成、架构及优势。Shiro的环境搭建步骤和认证流程被详细阐述,并讨论了不同认证策略如AtLeastOneSuccessfulStrategy、FirstSuccessfulStrategy和AllSucessfulStrategy的使用场景。
摘要由CSDN通过智能技术生成

RBAC&&Shiro

RBAC

1、 什么是 RBAC

  • RBAC(Role-Based Access Control ) 基于角色的访问控制。
  • RBAC 认为权限的过程可以抽象概括为:
    判断【Who 是否可以对 What 进行 How 的访问操作(Operator) 】
    Who: 权限的拥用者或主体
    What: 权限针对的对象或资源
    How: 具体的权限
    Operator: 操作。 表明对 What 的 How 操作。 也就Privilege+Resource
    Role: 角色, 一定数量的权限的集合。权限分配的单位与载体,目的是隔离User与Privilege的逻辑关系

2、 RBAC96 模型

1 RBAC 模型

  • RBAC96 模型家族,其中包括了 RBAC0~RBAC3 四个概念模型。
    在这里插入图片描述

2 RBAC0

  • 定义了能构成一个 RBAC 控制系统的最小的元素集合
  • 在 RBAC 之中,包含用户 users(USERS)、 角色 roles(ROLES)、 目标 objects(OBS)、 操作operations(OPS)、 许可权 permissions(PRMS)五个基本数据元素, 权限被赋予角色,而不是用户, 当一个角色被指定给一个用户时, 此用户就拥有了该角色所包含的权限。 会话 sessions是用户与激活的角色集合之间的映射。 RBAC0 与传统访问控制的差别在于增加一层间接性
    带来了灵活性, RBAC1、 RBAC2、 RBAC3 都是先后在 RBAC0 上的扩展。
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    UA(User Assignment):用户角色分配
    PA(Permission Assignment):角色许可分配

3 RBAC1

  • 引入角色间的继承关系
  • 角色间的继承关系可分为一般继承关系和受限继承关系。 一般继承关系仅要求角色继承关系是一个绝对偏序关系, 允许角色间的多继承。 而受限继承关系则进一步要求角色继承关系是一个树结构
    在这里插入图片描述

4 RBAC2

  • 该模型中添加了责任分离关系
  • RBAC2 的约束规定了权限被赋予角色时,或角色被赋予用户时,以及当用户在某一时刻激活一个角色时所应遵循的强制性规则。 责任分离包括静态责任分离和动态责任分离。 约束与用户-角色-权限关系一起决定了 RBAC2 模型中用户的访问许可
    在这里插入图片描述
    在这里插入图片描述

Shiro

1、Shiro 的简介

A、 为什么学习 Shiro

目前使用遇到的问题?

  • [1]使用 RBAC 进行角色访问控制的时候, 代码书写起来相对比较麻烦
  • [2]目前学习的写的操作代码整体不太安全

B、 解决的方案

  • [1]Spring securing 安全框架 缺点: 基于 Spring 之上的, 局限性比较大
  • [2]shiro javaEE javaSE 分布式项目

C、 什么是 shiro

  • Apache Shiro 是一个强大而灵活的开源安全框架, 它干净利落地处理身份认证, 授权, 企业会话管理和加密

  • Shiro 的官网: http://shiro.apache.org/

D、 Shiro 中的体系的组成

在这里插入图片描述
Authentication: 身份的验证-就是我们平时做的登录

Authorization: 授权: 赋予角色不同的 菜单功能

Session Management: 管理登录用户的信息

Cryptography: 加密技术 MD5 加密算法等。

Web Support: shiro 对 web 项目进行的支持

Caching: 缓存 可以安全快速的操作

Concurrency: 支持并发多线程的处理

Testing: 测试

Run As: 可以实现在一个用户允许的前提下, 使用另一个用户访问

Remember Me: 记住我Authentication:身份的验证-就是我们平时做的登录

E、 shiro 的架构

在这里插入图片描述

  • Subject(org.apache.shiro.subject.Subject)
    当前与软件进行交互的实体( 用户, 第三方服务, cron job, 等等) 的安全特定“视图”当前与软件进行交互的实体( 用户, 第三方服务, cron job, 等等) 的安全特定“视图”

  • SecurityManager
    SecurityManager 是 Shiro 架构的心脏。 它基本上是一个“保护伞”对象, 协调其管理的组件 以 确 保 它 们 能 够 一 起 顺 利 的 工 作 类 似 于SpringMVC 中的入口 servlet

  • Realms: 域
    Realms 在 Shiro 和你的应用程序的安全数据之间担当“桥梁”或“连接器”。 当它实际上与安全相关的数据如用来执行身份验证( 登录) 及授权(访问控制) 的用户帐户交互时, Shiro 从一个或多个为应用程序配置的 Realm中寻找许多这样的东西

2、Shiro 的环境搭建

使用 shiro 实现登陆的操作

第一步 导包

最低0.47元/天 解锁文章
Iliuhu
关注
专栏目录
RBACshiro
lkf1995的博客
05-29 2103
RBACshirojava小课堂分享人:李恪非1.背景介绍2.知识剖析3.编码实战4.常见问题5.参考文献6.扩展思考7.更多讨论1.背景介绍RBACrole-based-access-controller基于角色的权限控制系统三要素user:用户role:角色permission:权限如何建表user-user_role-role-role_permission-permission将显示外键...
RBAC模型与Shiro简单的实例介绍
weixin_33976072的博客
11-13 218
2019独角兽企业重金招聘Python工程师标准>>> ...
RBAC权限模型 --shiro
qq_36116242的博客
02-18 973
1、RBAC简介 基于RBAC设计的目标,简化权限管理! ==RBAC(全称:Role-Based Access Control)基于角色的权限访问控制==,作为传统访问控制(自主访问,强制访问)的有前景的代替受到广泛的关注。在RBAC中,权限与角色相关联,用户通过成为适当角色的成员而得到这些角色的权限。这就极大地简化了权限的管理。在一个组织中,角色是为了完成各种工作而创造,用户则依据它的责任和资格来被指派相应的角色,用户可以很容易地从一个角色被指派到另一个角色。角色可依新的需求和系统的合并而赋予.
shiro基于RBAC模型的分布式权限管理系统教程及源码
03-12
18章完整的基于shiro的分布式权限管理系统,包含完整的教程及源码,学过此教程,觉得很有意义,特意来分享。
结合shiroRBAC
u013275741的专栏
08-12 3952
shiro本身的"RESOURCE:OPERATION"方式与RBAC模式结合比较方便。 fa
RBAC】基于springboot+shiro实现RBAC权限后台管理系统.zip
最新发布
09-08
RBAC】基于springboot+shiro实现RBAC权限后台管理系统.zip 项目结构 |—— ctrl —— 请求层 |—— service —— 业务层 |—— common |—— |—— annotation —— 项目中使用的注解 |—— |—— aspect —— ...
Springboot+Shiro+Redis实现RBAC用户权限管理
07-22
本文将详细探讨如何使用Springboot、Shiro和Redis来实现基于RBAC(Role-Based Access Control)的用户权限管理,并结合org.creazycake插件进行Redis整合。 **Springboot** 是一个由Pivotal团队提供的开源框架,它...
Shiro+RBACRBAC(基于角色的访问控制)+Shiro实现权限管理系统.zip
09-08
Shiro+RBACRBAC(基于角色的访问控制)+Shiro实现权限管理系统.zip
基于RBAC访问控制框架Shiro简介
热门推荐
Louis的博客
08-13 1万+
权限认证Shiro与SSM整合实现登录 1.Shiro功能简介 2.shiro与SSM的整合 3.Shiro的登录验证实例 快捷键 加粗 Ctrl + B 斜体 Ctrl + I 引用 Ctrl + Q 插入链接 Ctrl + L 插入代码 Ctrl + K 插入图片 Ctrl + G 提升标题 Ctrl + H 有序列表 Ctr
RBAC权限管理,Shiro实践
qq_41617901的博客
06-11 2889
RBAC中,每个角色都被授予一组权限,而用户则被分配到一个或多个角色。用户可以访问与他们相关的角色所授予的权限。这种机制使得管理和授权变得更加容易,因为只需要将用户分配到角色,而不需要为每个用户单独指定其访问权限。RBAC通过将用户分配到不同的角色,来控制用户对系统中资源的访问权限。RBAC还可以减少错误和安全漏洞的可能性,因为访问控制是由系统管理员预先配置好的,并且与用户的身份无关。此外,RBAC还支持审计和监控,以便对用户的访问行为进行跟踪和检查。
shiro-权限控制与RBAC分配表
classbao-cn与您分享
07-22 433
shiro-权限控制与RBAC分配表 注:  所有shiro使用方法都是围绕springrain项目进行的. 具体的springrain项目demo可以在之前的博客中找到. 经典权限五张表指的是:  ①用户表  ②用户-角色表  ③角色表  ④角色权限表  ⑤权限表 ER图: 这里写图片描述 t_org是部门表,考虑到员工兼职,所以有t_user_org 中间表. t_menu是菜单表,字段 type 是标示是菜单资源还是普通资源 菜单资源的意义就是导航菜单,会显示到左侧导航,普通资源就是菜单内的按钮或者
SSM整合Shiro实现RBAC(八)
两个蝴蝶飞
05-14 809
> 勿以恶小而为之,勿以善小而不为--------------------------刘备 > 劝诸君,多行善事积福报,莫作恶 主要内容: SSM整合Shiro, 包括注解配置和异常处理
Shiro-授权(RBAC)
weixin_33971205的博客
08-16 261
0. 前言 在[Shiro-认证]中讲解了如何使用Shiro实现登录后访问URL, 对于大部分系统来说, 登录只是安全的第一道屏障, 系统中的某些页面需要登录后访问, 而有些是需要有特定权限才可以访问, 比如删除, 冻结, 查看账号收益等敏感的操作. 本文将带你实现基于Shiro的权限控制, Shiro中叫做授权 1. 什么是权限 系统中有A,B,C三个用户, 其中A用户是管理员, B和C是普通用...
基于SSM的RBAC权限系统(3)-Shiro基于非注解的基础使用
卡莱相位折跃研究所
07-26 515
基于SSM的RBAC权限系统(3)-Shiro基于非注解的基础使用导包官方并不推荐导入all的方式,而是根据自己需要进行导包,这里为了方便导入all <dependency> <groupId>org.slf4j</groupId> <artifactId>slf4j-api</artifactId> <version>1.7.25</version>
shiro RBAC基于角色的权限管理
theONLY的博客
07-05 324
文章目录1. 摘要2. 三种权限管理实现的方式3. 使用编程方式实现权限验证4. 自定义realm进行权限验证(解决权限验证硬编码) 1. 摘要 RBAC简单理解为:谁扮演什么角色,被允许做什么操作。 用户对象:user:当前操作用户 角色对象:role: 表示权限操作许可权的集合 权限对象:permission:资源操作许可权 例子: 张三(user)下载(permission)一个高清无码的资源,需要VIP权限(role), 张三——》普通用户——》VIP用户——》下载资源 2. 三
权限框架Apache Shiro 和 Spring Security及RBAC
i_hanjt的博客
05-23 5388
前言 一年半年前,我负责的一个项目中需要权限管理。当时google了一些权限管理的资料,发现了RBAC这个东西。可惜一直没狠下心来学习更详细的RBAC模型非常复杂。之后又在各大社区论坛接触到了Shiro和Spring security,下面就是我个人对这三种技术的一些认识与简单对比。 RBAC RBAC(Role-Based Access Control )基于角色的访问控制。 在20世纪...
shiro权限认证+RBAC权限五表+细粒度控制
weixin_44869980的博客
09-25 2321
RBAC权限五表 经典的权限五表:用户表+角色表+权限表+角色和用户的中间表+权限与角色的中间表 这里最重要的就是权限表,一般情况下不同角色在登录之后遇见的菜单不是一样的多,就是在权限表中查出来的不是一样多 图中的数据库没有写全!!!!!! shiro就是通过上面的方式来查询权限的:当用户登录之后先确定角色信息,在通过角色查询权限 shiro的使用 shiro maven <!--shiro和spring整合--> <dependency>
自己实现一个简单的shiro框架—RBAC
qq_39071530的博客
04-15 1458
RBAC的权限管理 文章目录RBAC的权限管理前言框架数据库设计代码注解控制权限实体类Dao层思考 前言 在用shiro或者spring security时总是会很迷惑底层到底是怎么实现的,所以这次不用任何的权限框架实现RBAC(Role-Based Access Control基于角色的权限访问控制)。 为了更好的理解,没有使用springboot,这里是代码的地址,用mvn clean pac...
spring rbac shiro 视频教程
10-26
Spring RBAC Shiro 视频教程是一种教学视频,主要介绍了在Spring框架中如何使用RBAC(基于角色的访问控制)和Shiro(一个强大而灵活的Java安全框架)来实现应用程序的权限管理和安全控制。以下是对该视频教程的回答: 这个视频教程是为那些想要学习如何在Spring框架中实现角色基础的访问控制和安全控制的人而制作的。RBAC是一种常见的权限管理模型,它通过将用户划分为不同的角色,并将访问权限分配给每个角色来实现安全控制。在这个视频教程中,你将学习如何在Spring框架中实现这种权限模型。 Shiro是一个功能强大且易于使用的Java安全框架,它提供了身份验证、授权、加密等安全功能。在这个视频教程中,你将了解如何与Spring框架集成Shiro,并使用Shiro提供的功能来实现RBAC模型中的权限管理和安全控制。 这个视频教程将从基础开始介绍RBACShiro的概念和原理,然后通过实际的示例演示如何在Spring项目中配置和使用它们。你将学习如何定义用户、角色和权限,并将它们组织起来以实现灵活的安全控制。你还将学习如何在应用程序中使用Shiro提供的注解、过滤器和其他功能来实现身份验证和授权。 通过学习这个视频教程,你将能够在你的Spring项目中实现基于角色的访问控制和安全控制,保护你的应用程序免受未经授权的访问和潜在的安全威胁。这个视频教程提供了清晰的解释和实用的示例,可以帮助你快速上手并理解如何使用Spring RBACShiro。无论你是初学者还是有一定经验的开发人员,这个视频教程都将是提升你的后端开发技能的有价值的资源。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值