● URL级别权限控制
1. 方法注解权限控制:
基于代理技术实现,首先要在spring配置文件中进行声明开启shiro注解,然后在代码方法上用注解声明调用该方法需要什么权限。
<bean id=“defaultAdvisorAutoProxyCreator”
class=“org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator”>
然后在方法上声明:
@RequiresPermissions(“user-delete”)
//执行这个方法,需要当前用户具有user-delete这个权限
public String deleteUser(){
staffService.deleteUser(user_name);
return LIST;
}
2. 页面标签权限控制:
首先要在jsp页面进入表签:
<%@ taglib uri=“http://shiro.apache.org/tags” prefix=“shiro” %>
然后包裹权限控制的内容
<shiro:hasPermission name=“user-delete”>
<!— 有权限 —>
删除用户
</shiro:hasPermission>
3.代码级别权限控制:
public String deleteUser(Model model){
Subject subject = SecurityUtils.getSubject();
if(subject…checkPermission(“user-delete”)) {
//有权限
} else {
//无权限
}
}
4. URL拦截权限控制:
基于filter过滤器实现,我们在spring配置文件中配置shiroFilter时配置
/css/ = anon
/js/ = anon
/images/ = anon
/validatecode.jsp = anon
/login.jsp = anon
/user/userlogin = anon
/user/deleteUser = perms[“user-delete”]
/** = authc
正常情况下,没有授权会跳转到为授权(登录)页面
anon
:表示不拦截(匿名用户可访问)
user:使用rememberme的用户可访问
perms:对应权限可访问
role:对应的角色才能访问
authc
:认证用户可访问
使用shiro进行权限控制时 这四种方法并不是进行单一的使用,是相互结合的使用从而完整的进行权限控制。
-
Subject
: 与应用交互的用户 -
SecurityManager
: 相当于SpringMVC中的DispatcherServlet,所有具体的交互都由SecurityManager控制;它管理着所有的Subject,且负责进行认证,授权,会话和缓存的管理 -
Realm
: 安全实体数据源,可以有1个或多个
除了以上三个核心组件外,还包括:
-
Authenticator
: 认证器, 对用户身份进行验证;Authenticator是一个接口,shiro提供ModularRealmAuthenticator实现类,也可以自定义 -
Authorizer
: 授权器,决定用户是否有权限进行某种操作,控制着用户能访问应用中的哪些功能 -
SessionManager
: 管理session的生命周期(可以实现单点登录) -
CacheManager
: 缓存管理器 -
Cryptography
: 密码管理模块
课间休息,又来秀一下来自咱们群里同学的搬砖工地,坐标:济南 大明湖。
作者:帅玉阳
===================================================================================
认证流程
-
首先调用
Subject.login(token)
进行登录,其会自动委托给 Security Manager,调用之前必须通过SecurityUtils.setSecurityManager()
设置; -
SecurityManager 负责真正的身份验证逻辑;它会委托给 Authenticator 进行身份验证;
-
Authenticator 才是真正的身份验证者
,Shiro API 中核心的身份认证入口点,此处可以自定义插入自己的实现; -
Authenticator 可能会委托给相应的 AuthenticationStrategy 进行多 Realm 身份验证,默认 ModularRealmAuthenticator 会调用 AuthenticationStrategy 进行多 Realm 身份验证;
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。
深知大多数Java工程师,想要提升技能,往往是自己摸索成长或者是报班学习,但对于培训机构动则几千的学费,着实压力不小。自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!
因此收集整理了一份《2024年Java开发全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上Java开发知识点,真正体系化!
由于文件比较大,这里只是将部分目录大纲截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且后续会持续更新
如果你觉得这些内容对你有帮助,可以添加V获取:vip1024b (备注Java)
总结
谈到面试,其实说白了就是刷题刷题刷题,天天作死的刷。。。。。
为了准备这个“金三银四”的春招,狂刷一个月的题,狂补超多的漏洞知识,像这次美团面试问的算法、数据库、Redis、设计模式等这些题目都是我刷到过的
并且我也将自己刷的题全部整理成了PDF或者Word文档(含详细答案解析)
66个Java面试知识点
架构专题(MySQL,Java,Redis,线程,并发,设计模式,Nginx,Linux,框架,微服务等)+大厂面试题详解(百度,阿里,腾讯,华为,迅雷,网易,中兴,北京中软等)
算法刷题(PDF)
并且我也将自己刷的题全部整理成了PDF或者Word文档(含详细答案解析)*
[外链图片转存中…(img-ZVRNTYmn-1712088736894)]
66个Java面试知识点
架构专题(MySQL,Java,Redis,线程,并发,设计模式,Nginx,Linux,框架,微服务等)+大厂面试题详解(百度,阿里,腾讯,华为,迅雷,网易,中兴,北京中软等)
[外链图片转存中…(img-4yoq0ymM-1712088736894)]
算法刷题(PDF)
[外链图片转存中…(img-OsKAwJj3-1712088736895)]