将 Shiro 作为应用的权限基础一:shiro的整体架构近来在做一个重量级的项目,其中权限、日志、报表、工作量由我负责,工作量还是蛮大的,不过想那么多干嘛,做就是了。这段时间,接触的东西挺多,比如apacheshiro,spring data,springside、DWZ等,java的东西好多,学...
分类:
其他好文 时间:
2014-07-18 20:07:35
阅读次数:
198
Apache Shiro的配置主要分为四部分:SecurityManager的配置URL过滤器的配置静态用户配置静态角色配置其中,由于用户、角色一般由后台进行操作的动态数据,比如通过@RequiresRoles注解控制某方法的访问,因此Shiro配置一般仅包含前两项的配置。SecurityManag...
分类:
其他好文 时间:
2014-07-18 20:05:40
阅读次数:
226
授权即访问控制,它将判断用户在应用程序中对资源是否拥有相应的访问权限。如,判断一个用户有查看页面的权限,编辑数据的权限,拥有某一按钮的权限等等。一、用户权限模型为实现一个较为灵活的用户权限数据模型,通常把用户信息单独用一个实体表示,用户权限信息用两个实体表示。用户信息用 LoginAccount 表...
分类:
其他好文 时间:
2014-07-18 20:03:44
阅读次数:
369
一、在web.xml中添加shiro过滤器Xml代码shiroFilterorg.springframework.web.filter.DelegatingFilterProxyshiroFilter/*二、在Spring的applicationContext.xml中添加shiro配置1、添加sh...
分类:
编程语言 时间:
2014-07-18 20:02:21
阅读次数:
201
配置web.xml,applicationContext.xml,spring-mvc.xml,applicationContext-shiro.xml,而且都有详细的说明。Web.xml是web项目最基本的配置文件,看这个配置,可以快速知道web项目使用什么框架,它就像一个面板,切入我们想用的插件...
分类:
编程语言 时间:
2014-07-18 19:39:10
阅读次数:
324
认证就是验证用户身份的过程。在认证过程中,用户需要提交实体信息(Principals)和凭据信息(Credentials)以检验用户是否合法。最常见的“实体/凭证”组合便是“用户名/密码”组合。一、认证过程1、收集实体/凭据信息Java代码 UsernamePasswordToken toke...
分类:
编程语言 时间:
2014-07-18 19:32:15
阅读次数:
412
在系统中使用shiro进行权限管理,当用户访问没有权限的资源时会跳转到指定的登录url。
但是如果系统中支持手机app,手机访问时没有使用session进行登录凭证管理,而是使用token,有两种解决方法:
1:支持手机客户端访问的资源在权限配置中配置成anon
2:实现自定义认证拦截器,对用户请求资源进行认证
显然第一种方法不适用,这些资源应该只能让我们自己的app进行访问。
第二...
分类:
其他好文 时间:
2014-07-12 17:22:28
阅读次数:
339
1.Apache Shiro 使用手册(一)Shiro架构介绍
2.Apache Shiro 使用手册(二)Shiro 认证
3.Apache Shiro 使用手册(三)Shiro 授权
4.Apache Shiro 使用手册(四)Realm 实现
5.Apache Shiro 使用手册(五)Shiro 配置说明...
分类:
其他好文 时间:
2014-07-08 20:20:20
阅读次数:
180
很多人现在都倾向于使用成型的权限认证框架Shiro,并且shiro的官方文档说它帮你实现了rememberMe。多么美好的诱饵啊!但是我们实际用起来的时候却发现不是我们想的那样的,那么shiro的 rememberMe究竟是怎么用的,为什么rememberMe设置了没作用?本文会针对原理来解释,并给出解决方案...
分类:
其他好文 时间:
2014-07-06 00:13:54
阅读次数:
1052
shiro最闪亮的四大特征是认证,授权,加密,会话管理。上一篇已经演示了如何使用shiro的授权模块,有了shiro这个利器,可以以统一的编码方式对用户的登入,登出,认证进行管理,相当的优雅。为了提高应用系统的安全性,这里主要关注shiro提供的密码服务模块;1,加密工具类的熟悉首先来个结构图,看看...
分类:
其他好文 时间:
2014-07-01 18:42:52
阅读次数:
289
