谙忆-陈浩翔

本系列是我在学习Shiro的路上的笔记，第一篇是属于非常入门级别的。 首先是介绍了下shiro，然后进行了一个小例子进行实际的操作 本节操作不涉及数据库，只是文本字符操作认证 Shiro简介:百度百科上的介绍: Apache Shiro（日语“堡垒（Castle）”的意思）是一个强大易用的Java安全框架，提供了认证、授权、加密和会话管理功能，可为任何应用提供安全保障 - 从命令行应用、移动

上一节博客讲的文本数据验证，基本不会在项目中用到，只是方便用来学习和测试 在本节，进行简单的数据库安全验证实例 Subject认证主体Subject认证主体包含两个信息: Principals: 身份，可以是用户名，邮件，手机号码等等，只要能用来标识一个登陆主体身份的东西都可以 Credentials: 凭证(比如你说你叫张三，你凭什么说叫张三，你这个时候会拿出身份证说你就是叫张三，这个凭证

本节讲权限认证，也就是授权 基于角色的访问控制和基于权限的访问控制的小实例 以及注解式授权和JSP标签授权详解权限认证权限认证核心要素权限认证，也就是访问控制，即在应用中控制谁能访问哪些资源 在权限认证中，最核心的三个要素是：权限，角色和用户 (资源也算一个要素，但不是最核心的) 权限，即操作资源的 权限，比如访问某个页面，以及对某个模块的数据的添加，修改，删除，查看的权利(整合以后，其

本节讲集成Web(没有通过数据库-通过text) 实现登录经过Shiro验证后跳转另外的页面，以及没验证通过进行的权限拦截 shiro.ini文件配置[main]authc.loginUrl=/login;这里的配置为authc验证没通过请求的路径 loginUrl为一个属性名 org.apache.shiro.web.filter.authc.FormAuthenticationFil

前面讲的，用户数据，以及配置ini数据都是在文件里面配置的，实际项目中，很少这么开发的。基本上是通过读取数据库来配置的。 这个时候就需要用到自定义Realm了。 用数据库的话，至少会涉及到这几张表: 用户表，角色表，权限表 角色和用户是一对多的关系 多个用户可以拥有同一个角色 角色和权限在这里也是一对多的关系 一个角色可以拥有很多个权限 数据库表名: t_role 角色表 并插入如下