基于RBAC的权限管理框架Shiro(1)框架简介
来源:互联网 发布:数据修复图片 编辑:程序博客网 时间:2024/05/21 07:39
Shiro是apache旗下一个开源框架,它将软件系统的安全认证相关的功能抽取出来,实现用户身份认证,权限授权、加密、会话管理等功能,组成了一个通用的安全认证框架。也是当下比较主流的轻量级权限管理框架。相较于spring security(原名Acegi)必须依赖spring ,shiro就显的非常独立。
Shiro 的核心:
- Subject 主体 用于记录当前的操作用户,Subject在shiro中是一个接口,接口中定义了很多认证授相关的方法,外部程序通过subject进行认证授权,而subject是通过SecurityManager安全管理器进行认证授权
- SecurityManager安全管理器,对Subject 进行管理,他是shiro的核心SecurityManager是一个接口,继承了Authenticator, Authorizer, SessionManager这三个接口。
- Authenticator认证器 对用户身份进行认证
- Authorizer 授权器 用户通过认证后,来判断时候拥有该权限
- realm 获取用户权限数据
- sessionManager 会话管理 shiro框架定义了一套会话管理,它不依赖web容器的session,所以shiro可以使用在非web应用上,也可以将分布式应用的会话集中在一点管理,此特性可使它实现单点登录。
CacheManager 缓存管理器 将用户权限数据存储在缓存,这样可以提高性能。
shiro 的认证过程:
- 1、 创建token令牌,token中有用户提交的认证信息即账号和密码
- 2、 执行subject.login(token),最终由securityManager通过Authenticator进行认证
- 3、 Authenticator的实现ModularRealmAuthenticator调用realm从ini配置文件取用户真实的账号和密码,这里使用的是IniRealm(shiro自带)
4、 IniRealm先根据token中的账号去ini中找该账号,如果找不到则给ModularRealmAuthenticator返回null,如果找到则匹配密码,匹配密码成功则认证通过。
shiro 的认证代码
// 用户登陆、用户退出 @Test public void testLoginLogout() { // 构建SecurityManager工厂,IniSecurityManagerFactory可以从ini文件中初始化SecurityManager环境 Factory<SecurityManager> factory = new IniSecurityManagerFactory( "classpath:shiro.ini"); // 通过工厂创建SecurityManager SecurityManager securityManager = factory.getInstance(); // 将securityManager设置到运行环境中 SecurityUtils.setSecurityManager(securityManager); // 创建一个Subject实例,该实例认证要使用上边创建的securityManager进行 Subject subject = SecurityUtils.getSubject(); // 创建token令牌,记录用户认证的身份和凭证即账号和密码 UsernamePasswordToken token = new UsernamePasswordToken("zhang", "123"); try { // 用户登陆 subject.login(token); } catch (AuthenticationException e) { // TODO Auto-generated catch block e.printStackTrace(); } // 用户认证状态 Boolean isAuthenticated = subject.isAuthenticated(); System.out.println("用户认证状态:" + isAuthenticated); // 用户退出 subject.logout(); isAuthenticated = subject.isAuthenticated(); System.out.println("用户认证状态:" + isAuthenticated); }
shiro 的自定义realm 上面一篇文章已经说过,这里就不做赘述了
shiro 的授权方式
- 编程式 通过写if/else 授权代码块完成:
Subject subject = SecurityUtils.getSubject();
if(subject.hasRole(“admin”)) {
//有权限
} else {
//无权限
} - 注解式:通过在执行的Java方法上放置相应的注解完成:
@RequiresRoles(“admin”)
public void hello() {
//有权限
}
3. JSP/GSP 标签:在JSP/GSP 页面通过相应的标签完成:
1 0
- 基于RBAC的权限管理框架Shiro(1)框架简介
- 基于RBAC访问控制框架Shiro简介
- shiro权限管理框架简介(一)
- Shiro权限管理框架(1)
- Shiro权限管理(shiro框架--案例)
- Shiro权限框架简介
- Shiro权限框架简介
- Shiro权限框架简介
- 权限管理框架Shiro
- Shiro权限管理框架
- Yii框架RBAC权限管理
- 1 RBAC(基于角色的权限管理)
- Shiro权限管理框架(一)权限的管理
- Apache Shiro权限管理框架
- 权限管理框架Shiro学习
- 框架学习--shiro权限管理框架基础
- YII2.0框架(五) RBAC基于角色的权限控制源码透析yii\rbac\DbManager
- 基于Java的一些权限框架简介
- cocos2d-x 3.13 触摸事件
- Binder-1 基础概念
- linux 系统下编译cpp文件
- 数组的常用方法
- Codeforces Round #407 (Div. 1):B
- 基于RBAC的权限管理框架Shiro(1)框架简介
- ValueError: No engine for filetype: 'csv'解决与书本7-2代码改写
- 微信API接口整理
- pat 1001-1010
- mmap详解
- 基础贪心01(poj3122)
- TCP连接分析
- tcp协议与udp协议的区别
- CSU 1922:Irony Ring(贪心算法)