shiros权限框架介绍
1.概念介绍
- 特点:shiro框架本身在权限实现上,采用”非侵入式“模式实现
1.1 核心模块组成
[外链图片转存失败(img-P5LVzyIX-1567082201573)(md_images\1566832547598.png)]
1) Authorization 授权:用户具有哪些权限、角色 what can you do?
2) Cryptography安全数据加密
3) Session Management 会话管理
4) Web Integration web系统集成
5) Integrations 集成其他应用,spring、缓存框架
1.2 shiro的工作原理
[外链图片转存失败(img-2WyTB08Y-1567082201575)(md_images\1566832646283.png)]
- 核心工作原理
1)Application Code用户编写代码
2)Subject就是shiro管理的用户
3)SecurityManager安全管理器,就是shiro权限控制核心对象,在编程时,只需要操作Subject方法,底层调用SecurityManager方法,无需直接编程操作SecurityManager
4)Realm应用程序和安全数据之间连接器,应用程序进行权限控制读取安全数据(数据表、文件、网络…)通过Realm对象完成
- 执行流程
应用程序--->Subject--->SecurityManager--->Realm--->安全数据
1.3 权限控制的4种主要方式
1)在程序中通过Subject编程方式进行权限控制
2)配置Filter实现URL级别粗粒度权限控制
3)配置代理,基于注解实现细粒度权限控制
4)在页面中使用shiro自定义标签实现,页面显示权限控制
2. 环境准备
2.1 导入坐标
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-all</artifactId>
<version>1.2.2</version>
</dependency>
2.2 配置web.xml
<!-- shiro权限框架配置-->
<filter>
<!-- 去spring配置文件中寻找同名bean -->
<filter-name>shiroFilter</filter-name>
<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
<filter-mapping>
<filter-name>shiroFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
2.3 配置spring-shiro.xml
2.3.1 配置核心拦截器参数
<!-- 配置Shiro核心Filter -->
<bean id="shiroFilter"
class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
<!-- 安全管理器 -->
<property name="securityManager" ref="securityManager"/>
<!-- 未认证,跳转到哪个页面 -->
<property name="loginUrl" value="/login.html"/>
<!-- 登录成功,跳转的界面-->
<propert