关于shiro总结
-
1
一般来说,实现权限控制至少要五张表:用户 --- 角色 --- 权限 ==> 三张实体表两张中间表,一共建立 5 张数据表,
用户: 系统登录用户 User
权限: 描述权限信息 (粗粒度权限控制,可能在权限表描述访问资源 URL 信息)
Permission角色: 方便用户进行授权, 角色就是权限的集合 Role
-
2
Apache Shiro (更轻量, 使用更简单, 并不完全依赖 spring,可以独立使用 )
登录流程: 应用程序 --- Subject --- SecurityManager --- Realm --- 安全数据
image.png
①ApplicationCode 用户编写代码
②Subject 就是 shiro 管理的用户
③SecurityManager 安全管理器,是 shiro 权限控制核心对象, 在编程时,只需要操作Subject 方法, 底层调用 SecurityManager 方法,无需直接编程操作 SecurityManager
④Realm 应用程序和安全数据之间连接器 ,应用程序 进行权限控制读取安全数据(数据 表、文件、网路 … ),通过 Realm 对象完成
- Shiro 进行权限控制
四种主要方式 :
1、 在程序中 通过 Subject 编程方式进行权限控制
2、 配置 Filter 实现 URL 级别粗粒度权限控制
3、 配置代理,基于注解实现细粒度权限控制
4、 在页面中使用 shiro 自定义标签实现 页面显示权限控制
Apache Shiro 权限控制(小结)
第一种:URL 级别粗粒度权限控制
配置 web.xml 的 shiroFilter 拦截 /*
在 spring 的 applicationContext.xml 配置文件中配置同名 bean,配置 filterChainDefinitions 拦截控制规则
xxx.html = anon (未登录可以访问)
xxx.html* =authc (必须登录才能访问 )
xxx.html* = perms[权限] (需要特定权限才能访问)
xxx.html* = roles[角色] (需要特定角色才能访问 )
第二种: 方法级别细粒度权限控制
在 spring 的 applicationContext*.xml 配置 spring aop 对 spring 管理 bean 对象开启 shiro
注解支持
@RequiresPermissions(权限) 需要特定权限才能访问
@RequiresRoles(角色) 需要特定角色才能访问
@RequiresAuthentication 需要认证才能访问
第三种:通过 shiro 自定义标签,实现页面元素显示控制
<shiro:authenticated> 登录后才能访问
<shiro:hasPermission name="abc"> 需要特定权限才能访问
<shiro:hasRole name="abc"> 需要特定角色才能访问
第四种:在程序中通过代码 判断用户是否具有指定权限( 不太常用 ,有代码侵入 )
image.png
补充: 权限表达式 “:”代表子权限
权限 courier 包含 courier:add、courier:list、courier:* ,如果用户具有父权限,操作 所有子权限功能
权限 courier:list 包含 courier:list:10
补充,另一个安全框架spring_security,见22
网友评论