关于Apache Shiro的初步学习

权限控制大体上分类：

① 在程序中，通过Subject编程方式进行权限控制

② 配置Filter 实现URL级别粗粒度权限控制（通过在权限表里查看该用户是否存在URL地址判断）

基于过滤器Filter 来实现

③ 配置代理 基于注解实现细粒度权限控制（通过在业务层添加@Permission("person_add")检测客户权限后决定是否执行）

--补充一点就是基于自定义注解实现的权限控制，是交由>Spring管理 可以返回对象代理对象，在访问真实对象每个方法时，查询数据库判断是否具有注解需要的权限，允许or拦截

④ 在页面中使用 shiro自定义标签实现 页面显示权限控制

首先是shiro的体系结构

Authentication ：认证（用户登录过程）
Authentization ：授权（用户具有哪些权限，在这些权限下能干什么）
Cryptography：数据安全加密
Session Manangement 会话管理
Web Integration web系统集成
Integrations 集成其他应用、spring、缓存框架

shiro运行的主要流程

application code --》 subject --》securityManager --》realm
applicationCode 用户编写的代码
Subject 就是shiro管理的用户
securityManager 安全管理器，是shiro权限控制核心对象，在编程时，只需要操作Subject方法，
底层调用SecurityManager方法，无需直接编程操作SecurityManager
Realm应用程序和安全数据之间的连接器，应用程序 进行权限控制读取安全数据（数据表、文件、网络。。。）

关于粗粒度的权限控制配置的认识：

思路，首先是在web.xml中配置shiroFilter <filter>|<filtername>shiroFilter<filter-class>org.springframework.web.filter.DelegatingFilterProxy<filtermapping>|<filtername>shiroFilter<url-pattern>/*
然后为了单独区分出shiro的配置文件，可以在spring原有的applicationContext.xml中配置一下,配置引入方式<import resource="applicationContext-shiro.xml">,接着在同级目录下面创建applicationContext-shiro.xml文件在里面配置beans后，加上<bean id="shiroFilter"class="org.apache.shiro.web.shiroFilterFactoryBean">主要为了产生shirofilter 相关代码块，及其说明：

  <bean id="shiroFilter" class=org.apache.shiro.spring.web.shiroFilterFactoryBean>
           <!-- 安全管理器-->
           <property name="securityManager" ref="securityManager">
           <!-- 未认证，跳转到那个界面 -->
           <property name="loginUrl" value="/login.html"/>
           <!-- 成功登录之后的界面
           <property name="successUrl" value="/index.html"/>
           <!-- 认证后，没有权限跳转页面 -->
           <property name="unauthorizedUrl" value="/unauthorized.html">
           <!-- shiro URL控制过滤器规则>
           <property name="filterChainDefinitions">
               <value>
                   /login.html* =anon     --后面加*主要是考虑到可能带有参数
                   /css/** =anon         --两颗星号（**）代表当前目录或子目录下
                   /js/** =anon
                   /images/** =anon
                   /** =authc     --除上面的情况其他资源都需要认证后才能访问
               </value>    
           </property>     
<bean>  
<!--配置安全管理器 -->
<bean id="securityManager" class="org.apache.shiro.web.mgt.defaultWebSecurityManager"><bean>
<!-- 后续处理器(主要是shiro的环境做一些后续处理)-->
<bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor">

-- 参数含义
anon ：未认证可以访问*
authc ：认证后可以访问*
perms ：需要特定的权限才能访问*
roles ：需要特定的角色才能访问*
user ： 需要特定的用户才能访问*
port ： 需要特定的端口才能访问
reset ：根据指定HTTP请求访问才能访问

关于权限相关表的创建思路：

首先能确定的实体：用户、角色、权限
用户： 系统登录用户 User
权限： 描述权限信息（粗粒度权限控制，可能在权限表描述访问URL信息）permission
角色： 方便用户进行授权，角色就是权限的集合

E-R关系：

用户 n---m 角色 n---m 权限 ==》建立5张表