shiro笔记一:权限控制

最新推荐文章于 2022-11-28 10:05:02 发布
最新推荐文章于 2022-11-28 10:05:02 发布
阅读量293 收藏
点赞数
分类专栏: 【springBoot+shiro】 文章标签: springBoot shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33322074/article/details/106033582
版权

shiro笔记一:权限控制

  1. 权限控制

权限:用户和资源,让指定的用户,只能操作指定的资源。

  1. javaweb通过doFilter过滤进行处理权限控制。
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws Exception {
    HttpServletRequest httpRequest = (HttpServletRequest) request;
    HttpServletResponse httpResponse = (HttpServletResponse) response;
    HttpSession session = httpRequest.getSession();
    if (session.getAttribute("username") != null) {
        chain.doFilter(request, response);//如果存在,就继续该请求。
    } else {//否则就进入login.jsp
        httpResponse.sendRedirect(httpRequest.getContextPath() + "/login.jsp");
    }
}
权限框架设计之ACL和RBAC
  1. ACL:Access Control List访问控制列表
  • 以前盛行的一种权限设计,它的核心在于用户直接和权限挂钩。
  • 优点:简单易用,开发便捷。
  • 缺点:用户和权限直接挂钩,导致在授予时的复杂性,比较分散,不便于管理。
  • 例子:常见的文件系统权限设计,直接给用户加权限。
  1. RBAC:Role Based Access Control
  • 基于角色的访问控制系统,权限与角色相关联,用户通过成为适当的角色的成员而得到这些角色的权限。
  • 优点:简化了用户与权限的管理,通过对用户进行分类,使得角色与权限关联起来。
  • 缺点:开发对比ACL相对复杂。
  • 例子:基于RBAC模型的权限验证框架与应用Appache shiro,Spring Security
  1. 总结:不能过于复杂,规则过多,维护性和性能下降,更多分类ABAC,PBAC等。
当前主流权限框架
  1. spring Security:

Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供 了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功 能,减少了为企业系统安全控制编写大量重复代码的工作。

一句话:Spring Security 的前身是 Acegi Security ,是 Spring 项目组中用来提供安全认证服务的框架

  1. Apache Shiro:

Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于 理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。

一句话:Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能

  1. 总结

Apache Shiro比Spring Security , 前者使用更简单

Shiro 功能强大、 简单、灵活, 不跟任何的框架或者容器绑定,可以独立运行

Spring Security 对Spring 体系支持比较好,脱离Spring体系则很难开发

SpringSecutiry 支持Oauth鉴权 https://spring.io/projects/spring-security-oauth,Shiro需要自己实现

¥诸葛村夫¥
关注
专栏目录
最新权限框架shiro视频
06-12
最新权限框架shiro视频
Shiro权限管理 的jar包 ,一些example ,shiro资料笔记与核心单词
06-29
- **角色(Role)**:一组权限的集合,可以赋予一个或多个用户。 - **权限(Permission)**:对资源的具体访问权限,如“read file:/home/user”表示读取/home/user目录的权限。 - **权限表达式**:可以使用...
权限控制原理及其具体实现思路
FG7313的博客
02-17 185
*表一 User 用户表(给用户分配权限时,将循环所有的Module和表五,将选择的Module和Action数据插入到表七,给用户分配角色时将数据插入到表八)*表二 Role 角色表(给角色分配权限时,将循环所有的Module和表五,将选择的Module和Action数据插入到表六)*表三 Module 模块表(在添加Module时,显示所有的Action,将数据写到表五)*表...
shiro笔记
weixin_34112030的博客
10-25 76
控制某一角色拥有此选项 上图 标签为shiro:hasRole表示 此时只有admin角色才拥有 系统用户管理和角色管理两个tab 页 上图 标签为shiro:hasPermission表示 此时只有 权限为 system:sysUser才拥有 系统用户管理和角色管理两个tab 页 分别对应数据库中的权限表 将权限修改为,拥有system:sysUser角色而不仅仅是拥有adm...
权限管理系统——开发日记
weixin_45749993的博客
07-20 815
技术栈 —— Spring + SpringMVC + Mybatis +(AdminLTE模板工具+jsp、Oracle) 一、环境搭建及产品订单操作 二、springSecurity框架 三、用户/角色/权限之间的关联操作
动吧项目(权限管理子系统)学习-shiro框架
zhoushiliu的博客
01-23 259
1.shiro简介 2.shiro框架图 3.认证拦截实现 4.登录认证实现 5.授权认证实现
learning-shiro:Shiro学习笔记
04-27
本项目“learning-shiro”显然是一个关于 Apache Shiro 的学习资源集合,包含了作者在学习过程中积累的笔记和示例代码。下面将详细探讨 Shiro 的核心概念以及如何使用它来实现应用安全。 1. **认证(Authentication...
shiro学习笔记
04-03
1. **权限控制**:通过注解或配置文件进行权限控制,如`@RequiresRoles("admin")`或`<shiro:hasRole name="admin">`。 2. **URL过滤**:在web.xml中配置Shiro Filter,根据URL规则进行权限检查。 3. **自定义 Realm*...
shiro课堂笔记
04-20
学习 Shiro 的过程中,我们可以通过创建一个简单的项目,设置权限控制,实现用户登录、权限校验等功能,从而加深理解和掌握。 总之,Apache Shiro 提供了一套全面的安全管理解决方案,对于 Java 开发者来说,它是...
Shiro笔记(五)Shiro授权
weixin_30724853的博客
09-04 92
Shiro授权   也叫访问控制,即在应用中控制谁能访问那些资源(如访问页面、编辑数据、页面操作等)。在授权中需要了解几个关键对象:主体(subject)、资源(resource)、权限(Permission)、角色(Role)。 Shiro授权需要了解的几个对象:   主体:访问应用的用户,在Shiro中使用Subject代表该用户。用户只有授权后才能允许访问响应的资源。   资源:在应用中用户...
Shiro学习笔记——Shiro的标签
shen的博客
09-13 309
标签 guest标签 用户没有身份验证时显示相应信息,即游客访问信息。 user标签 用户已经经过认证/记住我登录后显示相应的信息。 authenticated标签 用户已经身份验证通过,即Subject.login(token)登录成功,不是记住我登录的。 notAuthenticated标签 用户未进行身份验证,即没有调用Subject.login(token)进行登录,包...
复杂场景下的权限系统该怎么玩?ABAC权限模型帮你搞定它!
最新发布
Java知音
11-28 597
点击关注公众号,实用技术文章及时了解ABAC授权模型常用的授权模型ABAC的访问控制表达式语言SpEL性能ABAC实践crud代码security上下文数据库设计java程序测试类Spring Security 和 Apache Shiro整合最近有点无聊,以至于我很已经很久没有写出高质量的博客,为了挽回自己的这种无聊感打算手撕一下ABAC模型,毕竟RBAC模型五张基础表玩来玩去也玩不出来多少火花...
shiro 方法级别细粒度权限控制_Spring Boot Web应用集成Keycloak进阶之细粒度权限控制...
weixin_39863631的博客
12-18 254
本文讲述Spring Boot的Web应用如何集成Keycloak实现细粒度权限控制。Keycloak核心权限概念综述Keycloak支持细粒度权限控制策略,可以组合使用如下不同的访问控制机制:Attribute-based access control (ABAC)Role-based access control (RBAC)User-based access control (UBAC)Co...
权限管理之基于ACL的实现:针对需求做分析和设计
445822357
08-20 339
几乎所有的系统都需要进行权限管理,可见权限管理是非常基础而重要的。比如系统包含很多模块,以模块为单位,针对不同用户进行不同操作。比如张三对组织模块只能查看,而李四既可以进行查看,也可以进行修改。所以需要对模块进行权限管理,即权限授予和验证权限两个过程。 实现思路 使用角色达到复用。角色,即权限的集合。通过授予用户角色,达到控制权限的目的。好处很明显,角色具有通用性,比如既可以授予张三管理员...
shiro权限框架实战
热门推荐
在奋斗的路上
08-27 1万+
shiro框架作为一种开源的权限框架,通过将身份认证和授权从具体的业务逻辑中分离出来极大地提高了我们的开发速度,它的易用性使得它越来越受到人们的青睐。与之前的ACL权限框架相比,shiro能更容易的实现权限控制,而且作为基于RBAC的权限管理框架通过与shiro标签结合使用,能够让开发人员在更加细粒度的层面上进行控制。举个例子来讲,之前我们使用基于ACL的权限控制大多是控制到连接(这里的连接大家可以简单的认为是页面,下同)层面,也就是通过给用户授权让这个用户对某些连接拥有权限,这种情况显然不太适合具体的项目
java面试之shiro框架(权限控制
qq_41117551的博客
07-26 766
Shiro是apache旗下的权限控制框架,有四大核心: 认证器(authenticator)、授权器(Authorizer)、会话管理中心(sessionManager)、密码管理器(Cryptography) 在项目当中我们使用shiro的时候,需要配置shirFilter、指定securityManager、登录url、非法访问的url、权限过滤规则等等,认证和授权通过自定义Realm,重写dogetAuthentication,登录认证方法以及dogetAuthorization方法,授权方法。 s
Shiro笔记(五)----授权(Authorization)
fendo
07-16 3150
1.什么是授权 授权,就是访问控制控制某个用户在应用程序中是否有权限做某件事 2.授权检查的例子 用户是否能访问某个网页,编辑数据,或打使用这台打印机 3.角色与权限关联 需要在应用程序中对用户和权限建立关联:通常的做法是将权限分配给角色,然后将角色分配给一个或多个用户。 4.授权三要素 4.1、权限       权
Apache Shiro入门教程:权限与角色控制解析
"这篇自学笔记主要介绍了Apache Shiro框架,包括其基本概念、身份认证、权限授权、Web集成以及URL匹配规则,旨在帮助读者掌握如何使用Shiro进行权限和角色控制。" Apache Shiro是一个全面的Java安全框架,提供身份...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值