基本概念略
一.、Shiro中认证的关键对象
1.1shiro中认证的关键对象
Subject:主体
访问系统的用户,主体可以是用户、程序等,进行认证的均称之为主体
Principal:身份信息
是主体(subject)进行身份认证的标识,标识必须具有唯一性,如用户名、手机号、邮箱等,一个主体可以有多个身份,但是必须有一个主身份(Primary Principal)。
credential:凭证信息
是只有主体自己知道的安全信息,如密码,证书等。
1.2认证流程
1.3MD5
作用:一般用来加密或者签名
特点:MD5算法不可逆,如果内容相同无论执行多少次md5生成的结果都是相同的
注意:在使用Md5Hash的时候不要使用它的set方法进行加密,而是使用构造方法
@SpringBootTest
@RunWith(SpringJUnit4ClassRunner.class)
public class TestShiroMD5 {
public static void main(String[] args) {
//使用MD5
Md5Hash md5Hash = new Md5Hash("123");
System.out.println(md5Hash.toHex());
}
@Test
public void testMD5SlatHash(){
//使用MD5 + salt处理 +hash散列
Md5Hash md5Hash = new Md5Hash("123", "X0*7ps",1024);
System.out.println(md5Hash.toHex());
}
@Test
public void testMD5Slat(){
//使用MD5 + salt处理
Md5Hash md5Hash = new Md5Hash("123", "X0*7ps");
System.out.println(md5Hash.toHex());
}
}
二、Shiro中的授权
2.1授权
授权,即访问控制,控制谁能访问哪些资源。主体进行身份认证后需要分配权限方式可访问系统的资源,对于某些某些资源没有权限访问的。
2.2关键对象
授权可以简单理解为谁(who)对什么(what)进行了怎样(how)的操作
Who,即主体(Subject),主体需要访问系统中的资源。
What,即资源(Resource),如菜单、页面、按钮、类方法、系统商品信息。资源包括资源类型和资源实例,比如商品信息为资源信息,类型为t01的商品为资源实例,编号为001的商品信息也属于资源实例。
How,权限许可(Permission),规定了主体对资源的操作许可,权限离开资源没有意义,如用户查询权限、用户添加权限、某个类方法的调用权限、编号为001用户的修改权限等,通过权限可知主体对哪些资源都有哪些操作许可。
2.3授权流程
2.4授权方式
- 基于角色的访问控制
- 基于资源的访问控制
2.5权限字符串
规则:资源标识符:操作:资源实例标识符
意思就是:对哪个资源的哪个实例具有什么操作,":"是资源/操作/实例的分隔符,权限字符串也可以使用*通配符
3、SpringBoot整合Shiro
3.1整合思路