Shiro入门学习手册.pptVIP

Subject subject = SecurityUtils.getSubject(); subject.logout(); 自定义登出 基于编码的角色授权实现 Subject?currentUser?=?SecurityUtils.getSubject();?? if?(currentUser.hasRole(administrator))?{?? ????//拥有角色administrator }?else?{?? ????//没有角色处理 }?? Subject?currentUser?=?SecurityUtils.getSubject();?? //如果没有角色admin，则会抛出异常，someMethod()也不会被执行 currentUser.checkRole(“admin);?? someMethod();?? 断言方式控制 基于编码的资源授权实现 Subject?currentUser?=?SecurityUtils.getSubject();?? if?(currentUser.isPermitted(permssion:look))?{?? ????//有资源权限 }?else?{?? ????//没有权限 }?? 断言方式控制 Subject?currentUser?=?SecurityUtils.getSubject();?? //如果没有资源权限则会抛出异常。 currentUser.checkPermission(permssion:look);?? someMethod();?? 在JSP上的TAG实现 标签名称 标签条件（均是显示标签内容） shiro:authenticated 登录之后 shiro:notAuthenticated 不在登录状态时 shiro:guest 用户在没有RememberMe时 shiro:user 用户在RememberMe时 shiro:hasAnyRoles name=abc,123 在有abc或者123角色时 shiro:hasRole name=abc 拥有角色abc shiro:lacksRole name=abc 没有角色abc shiro:hasPermission name=abc 拥有权限资源abc shiro:lacksPermission name=abc 没有abc权限资源 shiro:principal 默认显示用户名称 7. 默认，添加或删除用户的角色 或资源 ，系统不需要重启，但是需要用户重新登录。 即用户的授权是首次登录后第一次访问需要权限页面时进行加载。 但是需要进行控制的权限资源，是在启动时就进行加载，如果要新增一个权限资源需要重启系统。 8. Spring security 与。Shiro对很多其他的框架兼容性更好，号称是无缝集成。apache shiro 差别： shiro配置更加容易理解，容易上手；security配置相对比较难懂。 在spring的环境下，security整合性更好 shiro 不仅仅可以使用在web中，它可以工作在任何应用环境中。 在集群会话时Shiro最重要的一个好处或许就是它的会话是独立于容器的。 Shiro提供的密码加密使用起来非常方便。 9. 控制精度： 注解方式控制权限只能是在方法上控制，无法控制类级别访问。 过滤器方式控制是根据访问的URL进行控制。允许使用*匹配URL，所以可以进行粗粒度，也可以进行细粒度控制。 * * Shiro入门学习手册 简单的介绍，简单的配置，简单的扩展 By jfm 一，shiro简介 Apache Shiro是一个强大而灵活的开源安全框架，它能够干净利落地处理身份认证，授权，企业会话管理和加密。 以下是你可以用 Apache Shiro所做的事情： ? 验证用户 ? 对用户执行访问控制，如： ? 判断用户是否拥有角色admin。 判断用户是否拥有访问的权限 ? 在任何环境下使用 Session API。例如CS程序。 ? 可以使用多个用户数据源。例如一个是oracle用户库，另外一个是mysql用户库。 ? 单点登录（SSO）功能。 ? “Remember Me”服务 ，类似购物车的功能，shiro官方建议开启。 Shiro的4大部分——身份验证，授权，会话管理和加密 ? Authentication：身份验证，简称“登录”。 ? Authorization：授权，给用户分配角色或者权限资源 ? Session Management：用户session管理器，可以让CS程序也使用session来控制权限 ? Cryptography：把JDK中复杂的密码加密方式进行封装。 除了以上功能，shiro还提供很多扩