- 博客(12)
- 收藏
- 关注
RSS订阅原创 shiro入门学习--授权(Authorization)|筑基初期
写在前面经过前面的学习,我们了解了shiro中的认证流程,并且学会了如何通过自定义Realm实现应用程序的用户认证。在这篇文章当中,我们将学习shiro中的授权流程。授权概述这里的授权指的是授予某一系统的某一用户访问受保护资源的权限,分为查询、修改、插入和删除几类。没有相关权限的用户将无法访问受保护资源,具有权限的用户只能在自己权限范围内操作受保护资源。关键对象主体(Subject)即指定的某一用户,这里的用户可以是浏览器、APP和第三方应用程序等。资源(Resource)这里的资源包括资源
2020-10-10 00:17:35
540
原创 shiro入门学习--使用MD5和salt进行加密|练气后期
写在前面在上一篇文章《Shiro入门学习—使用自定义Realm完成认证|练气中期》当中,我们学会了使用自定义Realm实现shiro数据源的切换,我们可以切换成从关系数据库如MySQL中读取用户认证信息进行认证,亦可从非关系型数据库例如mongodb中读取用户认证信息进行认证。这是一个伟大的进度,这使得我们可以使用shiro来提升我们应用程序的安全度了,那么,请大家思考一个问题,我们的应用程序真的安全了吗?我把咱么上一篇文章当中的认证方法代码摘抄在下面给大家看看/**认证 * @author 赖柄
2020-10-10 00:16:28
238
原创 Shiro入门学习---使用自定义Realm完成认证|练气中期
写在前面在上一篇文章《shiro认证流程源码分析–练气初期》当中,我们简单分析了一下shiro的认证流程。不难发现,如果我们需要使用其他数据源的信息完成认证操作,我们需要自定义Realm继承AuthorizingRealm类,并实现两个方法,分别对应授权和认证。在这一篇文章当中,我们将介绍如何自定义Realm对象,完成认证信息数据源的切换。自定义Reaml/**自定义Realm对象 * @author 赖柄沣 bingfengdev@aliyun.com * @version 1.0 * @d
2020-10-10 00:14:39
158
1
原创 shiro认证流程源码分析--练气初期
写在前面在上一篇文章当中,我们通过一个简单的例子,简单地认识了一下shiro。在这篇文章当中,我们将通过阅读源码的方式了解shiro的认证流程。建议大家边读文章边动手调试代码,这样效果会更好。认证异常分析shiro中的异常主要分为两类,一类是AuthenticationException认证异常,一类是AuthorizationException权限异常。分别对应http响应状态码中的401和403认证异常AuthenticationException子类权限异常AuthorizationEx
2020-10-10 00:13:11
217
1
原创 走进shiro,构建安全的应用程序---shiro修仙序章
0. 写在前面在最近的一个项目当中,我们基于Shiro实现我们系统的认证和授权。借此机会,写几篇博客,总结一下在本次实践当中遇到的问题,和较全面地学习一下Shiro的知识点,1. 权限管理权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户访问而且只能访问授权访问的资源。权限管理主要分为两个部分,一是身份认证(authentication),二是授权(authorization)。2. 实现方案与模型目前主流的解决方案spring security+JWT或者Shiro+JWT方案
2020-10-10 00:09:41
199
1
原创 Spring Security使用数据库数据完成认证--练气后期2
写在前面没错,这篇文章还是练气后期!但作者我相信筑基指日可待!在前一篇文章当中,我们简单地分析了一下Spring Security的认证流程,知道了如果想要实现对自己用户数据(账户、角色、权限)的读取,需要实现UserDetailsService这个接口以及实现对应的loadUserByUsername 的方法,编写自己的业务逻辑。并在spring security的配置文件当中指定认证使用的业务对象 。步骤第一步:编写自己的User实体类/** * @author 赖柄沣 bingfengde
2020-09-05 00:22:18
122
原创 Spring Security认证流程分析--练气后期
写在前面在前一篇文章中,我们介绍了如何配置spring security的自定义认证页面,以及前后端分离场景下如何获取spring security的CSRF Token。在这一篇文章中我们将来分析一下spring security的认证流程。提示:我使用的spring security的版本是5.3.4.RELEASE。如果读者使用的不是和我同一个版本,源码细微之处有些不同,但是大体流程都是一样的。认证流程分析通过查阅spring security的官方文档我们知道,spring security
2020-09-05 00:20:25
184
原创 Spring Security自定义认证页面(动态网页解决方案+静态网页解决方案)--练气中期圆满
写在前面上一回我们简单分析了spring security拦截器链的加载流程,我们还有一些简单的问题没有解决。如何自定义登录页面?如何通过数据库获取用户权限信息?今天主要解决如何配置自定义认证页面的问题。因为现在前后端分离,无状态、restful接口设计比较火,因此在思考静态网页如何获取spring security的CRSF Token.这个问题我在文末提出了我的见解,但似乎也不是很好的解决方案,很期待大家的宝贵建议!Spring Security配置自定义认证页面步骤第一步:在spring se
2020-09-05 00:19:18
839
原创 Spring Security拦截器加载流程分析--练气中期
写在前面上回我们讲了spring security整合spring springmvc的流程,并且知道了spring security是通过过滤器链来进行认证授权操作的。今天我们来分析一下springsecurity过滤器链的加载流程。读者在阅读本文时可以边阅读边跟着操作,这样子会理解的更清楚一些。Spring Security过滤器链spring security的过滤器非常多,这里简单介绍几个常用的过滤器。spring security常过滤器链介绍org.springframework.se
2020-09-05 00:18:20
609
1
原创 springSecurity初识-练气初期
1.写在前面Spring Security是一个框架,提供针对常见攻击的身份验证,授权和保护。通过对命令式和反应式应用程序的一流支持,它是保护基于Spring的应用程序的事实标准。Spring Security是spring AOP思想的具体实现。它基于servlet过滤器实现访问控制。它提供了完善的认证机制和方法级的授权功能。是一款非常优秀的权限管理框架 (画外音:学起来有点复杂,相对于Shiro)。2. Spring Security主要jar包功能介绍spring-security-core.
2020-09-05 00:17:17
265
原创 springBoot整合spring security实现权限管理(单体应用版)--筑基初期
写在前面在前面的学习当中,我们对spring security有了一个小小的认识,接下来我们整合目前的主流框架springBoot,实现权限的管理。在这之前,假定你已经了解了基于资源的权限管理模型。数据库设计的表有 user 、role、user_role、permission、role_permission。步骤:默认大家都已经数据库已经好,已经有了上面提到的表。(文末提供sql脚本下载)第一步:在pom.xml文件中引入相关jar包<?xml version="1.0" encodin
2020-09-05 00:15:16
709
1
原创 springBoot整合spring security+JWT实现单点登录与权限管理前后端分离--筑基中期
写在前面在前一篇文章当中,我们介绍了springBoot整合spring security单体应用版,在这篇文章当中,我将介绍springBoot整合spring secury+JWT实现单点登录与权限管理。本文涉及的权限管理模型是基于资源的动态权限管理。数据库设计的表有 user 、role、user_role、permission、role_permission。单点登录当中,关于访问者信息的存储有多种解决方案。如将其以key-value的形式存储于redis数据库中,访问者令牌中存放key。校验
2020-09-05 00:10:03
1589
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人