shiro realm

shiro realm

浏览: 2545 2018年06月30日
Realm【Realm】及【Authorizer】部分都已经详细介绍过 Realm 了,接下来再来看一下一般真实环境下的 Realm 如何实现。1、定义实体及关系即用户 - 角色之间是多对多关系,角色 - 权限之间是多对多关系;且用户和权限之间通过角色建立关系;在系统中验证时通过权限验证,角色只...

shiro 编码加密

浏览: 2633 2018年06月29日
在涉及到密码存储问题上,应该加密 / 生成密码摘要存储,而不是存储明文密码。比如之前的 600w csdn 账号泄露对用户可能造成很大损失,因此应加密 / 生成不可逆的摘要方式存储。编码 / 解码Shiro 提供了 base64 和 16 进制字符串编码 / 解码的 API 支持,方便一些编码解...

shiro ini配置

浏览: 2676 2018年06月28日
之前章节我们已经接触过一些 INI 配置规则了,如果大家使用过如 Spring 之类的 IoC/DI 容器的话,Shiro 提供的 INI 配置也是非常类似的,即可以理解为是一个 IoC/DI 容器,但是区别在于它从一个根对象 securityManager 开始。根对象 SecurityMan...
shiro 授权

shiro 授权

浏览: 2477 2018年06月26日
授权授权,也叫访问控制,即在应用中控制谁能访问哪些资源(如访问页面/编辑数据/页面操作等)。在授权中需了解的几个关键对象:主体(Subject)、资源(Resource)、权限(Permission)、角色(Role)。主体主体,即访问应用的用户,在 Shiro 中使用 Subject 代表该用...
spring shiro登录验证码与记住登录实现

spring shiro登录验证码与记住登录实现

浏览: 5551 2018年03月01日
一、前言上一章节通过注解和缓存做了权限验证,这里增加验证码与记住登录功能。注意:shiro缓存是权限授权的缓存。二、验证码2.1编写继承FormAuthenticationFilter的权限验证自定义类重写一个验证验证码的onAccessDenied方法CustomFormAuthenticat...
shiro注解和缓存详解

shiro注解和缓存详解

浏览: 3883 2018年02月28日
一、前言总结上一章节,我们搭建springmvc+mybatis+shrio初级整合。主要步骤web.xml+applicationContext-shiro配置filter,最后实现自己的realm。我们用到的过滤器配置:anon org.apache.shiro.web.filter.aut...
shiro springmvc 完整案例整合

shiro springmvc 完整案例整合

浏览: 4352 2018年02月26日
一、前言前面我们主要讲解了写什么,讲解通过ini文件加载,自定义realm源(ishi加密),对用户认证和权限授权。这一章开始,我们开始整合shrio到web项目中,当然还是与我们之前的springmvc与mybatis整合。这里的mybatis不强求,如果你整合的时候也可以用hibernate...
shiro授权例子代码实现

shiro授权例子代码实现

浏览: 3475 2018年02月25日
上一章节介绍了shiro的认证流程 咱们再次温习下shiro整个认证流程:一,shiro认证流程0:通过securityFactory建立securityManager,加入securityUtil加入环境1、subject(主体)请求认证,调用login(token)2、securityMan...
shiro认证流程详解

shiro认证流程详解

浏览: 4974 2018年02月24日
一、前言前面我们通过url拦截器实现了权限验证,功能齐全,开发难度也不大。但是为了更好的进行开发权限,开发我们选择shrio,终于扯上正题了是不是?当你学习shrio你会发现,都是一样的。shiro使用广泛,shiro可以运行在web应用,非web应用,集群分布式应用中越来越多的用户开始使用sh...
shiro基于url拦截-用户授权

shiro基于url拦截-用户授权

浏览: 4690 2018年02月22日
一、前言照例回顾前面一章,注意内容。首先我们登录输入用户名密码-----进入我们的拦截器----匿名地址----存用户到session。这个就是我们rel用户认证的流程,其中关键是查询数据库和拦截器存入session。这样一来我们的用户认证就这么简单是不是,有种豁然开朗的感觉。既然用户认证了,我...
shiro拦截url之用户验证

shiro拦截url之用户验证

浏览: 4852 2018年02月21日
一、前言第一篇我们注意讲解了一些基础。接下来我们看看具体权限解决方案。二、权限解决方案2.1 资源分类针对第一篇中的出现资源分类,这里做强调讲解。资源分类注意包括:粗粒度和细粒度。1、粗粒度权限:资源权限类型的管理。例如:部门操作、用户信息操作 统一拦截处理(可框架)2、细粒度权限:资源权...
权限管理基础

权限管理基础

浏览: 6341 2018年02月20日
一、前言什么权限管理,我认为大概包括用户认证与用户授权。只要用用户的系统,都会存在权限管理。二、权限管理基础2.1用户认证首先不管你做没有做过权限管理,如下图你也是熟悉的。这个图的流程很简单,很直观的看到权限认证的流程走向。那么上图中存在哪些关键的东西,我们来总结一下。subject:主体 ...
Shiro教程(2):shiro身份验证

Shiro教程(2):shiro身份验证

浏览: 3828 2018年02月10日
身份验证,即在应用中谁能证明他就是他本人。一般提供如他们的身份ID一些标识信息来表明他就是他本人,如提供身份证,用户名/密码来证明。在shiro中,用户需要提供principals (身份)和credentials(证明)给shiro,从而应用能验证用户身份:principals:身份,即主体的...
Shiro教程(1):Shiro简介

Shiro教程(1):Shiro简介

浏览: 3929 2017年12月25日
本系列教程摘录自张开涛系列教程1.1 简介Apache Shiro是Java的一个安全框架。目前,使用Apache Shiro的人越来越多,因为它相当简单,对比Spring Security,可能没有Spring Security做的功能强大,但是在实际工作时可能并不需要那么复杂的东西,所以使...

shiro 在线会话管理

浏览: 2525 2017年08月01日
有时候需要显示当前在线人数、当前在线用户,有时候可能需要强制某个用户下线等;此时就需要获取相应的在线用户并进行一些操作。本章基于《第十六章 综合实例》代码构建。 会话控制器@RequiresPermissions("session:*") @Controller @RequestMappin...

shiro 多项目集中权限管理及分布式会话

浏览: 2738 2017年07月31日
在做一些企业内部项目时或一些互联网后台时;可能会涉及到集中权限管理,统一进行多项目的权限管理;另外也需要统一的会话管理,即实现单点身份认证和授权控制。学习本章之前,请务必先学习《第十章 会话管理》和《第十六章 综合实例》,本章代码都是基于这两章的代码基础上完成的。本章示例是同域名的场景下完成的,...

shiro 集成验证码

浏览: 2591 2017年07月30日
在做用户登录功能时,很多时候都需要验证码支持,验证码的目的是为了防止机器人模拟真实用户登录而恶意访问,如暴力破解用户密码/恶意评论等。目前也有一些验证码比较简单,通过一些OCR工具就可以解析出来;另外还有一些验证码比较复杂(一般通过如扭曲、加线条/噪点等干扰)防止OCR工具识别;但是在中国就是人...

shiro 授予身份及切换身份

浏览: 2526 2017年07月29日
在一些场景中,比如某个领导因为一些原因不能进行登录网站进行一些操作,他想把他网站上的工作委托给他的秘书,但是他不想把帐号/密码告诉他秘书,只是想把工作委托给他;此时和我们可以使用Shiro的RunAs功能,即允许一个用户假装为另一个用户(如果他们允许)的身份进行访问。本章代码基于《第十六章 综合...

shiro 无状态Web集成

浏览: 2612 2017年07月28日
在一些环境中,可能需要把Web应用做成无状态的,即服务器端无状态,就是说服务器端不会存储像会话这种东西,而是每次请求时带上相应的用户名进行登录。如一些REST风格的API,如果不使用OAuth2协议,就可以使用如REST+HMAC认证进行访问。HMAC(Hash-based Message Au...

shiro 动态URL权限控制

浏览: 3161 2017年07月26日
用过Spring Security的朋友应该比较熟悉对URL进行全局的权限控制,即访问URL时进行权限匹配;如果没有权限直接跳到相应的错误页面。Shiro也支持类似的机制,不过需要稍微改造下来满足实际需求。不过在Shiro中,更多的是通过AOP进行分散的权限控制,即方法级别的;而通过URL进行权...