Apache Shiro是一个轻量级的安全框架,与Spring Security相比,它更通用。Shiro的核心包括认证、授权和加密。在认证过程中,Shiro通过加盐加密增强密码安全性。配置时,Realm充当安全数据源,包含用户身份、凭证和权限信息。Subject是认证和授权的主体,通过UsernamePasswordToken进行登录尝试。ShiroDialect在Thymeleaf中用于支持Shiro标签,实现页面权限控制。
一、shiro是一个安全(权限)框架
shiro和security都是安全框架
security整合了spring,shiro通用,具体的用看适用环境,一般用shiro
基础核心内容也就是
1.认证:(看用户是否拥有相应的身份,也就是这个用户是否在数据库中,
举个例子:小区中,门禁卡里边有的信息大概有几单元,几号楼,几层,门牌号
就说明你在这个小区)
2.授权:(可以说是查询用户有那种权限,而并不是授予用户哪种权限)
3.加密也可以,不过是通过加盐的操作
(意思就是在注册用户的时候,shiro会自动在密码后面加盐,也就是再加了
一串加密的字符串,这样就更加安全,不能说百分百破解不出来,可以说是
相当之困难,那么这个加盐的内容会被存入到数据库中,密码也就是通过
加盐之后的的加密内容,在数据库中看到的仍然是密文,但是相比较之前用
MD5进行的加密,可以说是又上了一道安全锁,使之更加安全,并且在页面中你是无法获取到密码,这个应该也是shiro对被别人抓包的考虑吧,然后在用户再次登录的时候,会从数据库中调出加盐字符串,再加上密码转换成密文,再与数据库中的密码的密文进行匹配,匹配成功就大功告成,进入主页面)
二、关于配置信息也就是之前的xml文件:
subject—》主体(也就是认证和授权)
realm—》安全数据源(所有的用户相关的信息都需要放在这里
身份
最低0.47元/天 解锁文章
2310
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
