慕课网权限管理系统.pdfVIP

目 录 【1】权限管理系统介绍 【2】Spring Security学习 【3】Apache Shiro学习 【4】权限管理系统核心表设计 【5】SSM开发环境搭建与配置 【6】项目准备与核心辅助工具类开发 【7】部门模块开发 本文档使用 看云 构建 - 2 - 【1】权限管理系统介绍 【1】权限管理系统介绍 1.1 为什么要权限管理 ？ 安全性 ：误操作 ，认为破坏 ，数据泄露等 数据隔离 ：不同的权限能看到及操作不同的数据 明确职责 ：运营 ，客服等不同角色 1.2 权限管理的核心是什么 ？ 用户--权限 ：人员少 ，功能固定 RBAC(Role-Base-Access-Control)基于角色的权限访问控制 1.3 理想中的权限管理 能实现角色级权限 RBAC 能实现功能级 ，数据级权限 简单 ，易操作 ，能够应付各种需求 权限管理界面 ，角色管理界面 ，用户管理界面(group) 本文档使用 看云 构建 - 3 - 【2】Spring Security学习 【2】Spring Security学习 2.1 SpringSecurity框架介绍 SpringSecurtiy为基于J2EE开发的企业级安全框架。 组件图 身份验证模式 Basic HTTP1.0 用户名和密码(Base64编码)。安全性问题 1.无状态 ，每次登陆都要认证 2.密码明文传输 Digest解决Basic安全。 X.509 ：证书 LDAP ： Form ：基于表单的认证 2.2 常用权限拦截器讲解 本文档使用 看云 构建 - 4 - 【2】Spring Security学习 SpringSecurity提供了很多的过滤器 ，它会拦截用户的请求,并将请求转交给安全认证过滤器和访问决策过滤 器 Filter SecurityContextPersistenceFilter 实际上这个过滤器是 HttpSessionContextIntegrationFilter 的重构 ，它位于所有过滤器的顶端 ， 它是第一个被执行的过滤器。它的作用是在其他过滤器执行之前判断用户的session信息是否存在于 SecurityContext,如果存在 ，就将SecurityContext实例拿出来放到SecurityContextHolder中供 SpringSecurity的其他部分使用。如果不存在就自己创建一个。第二个用途是在所有过滤器执行完毕后 ，清空 SecurityContextHolder中的内容。因为SecurityContextHolder是基于ThreadLocal的。ThreadLocal看一 本文档使用 看云 构建 - 5 - 【2】Spring Security学习 下。使用ThreadLocal后一定要使用remove （）方法。 LogoutFilter 默认处理 j_spring_secutity_logout 请求.作用清空用户session ，清空SecurityContextHolder ，重 定向到注销成功页面。可以与rember me功能结合 ，在清空用户session的同时清空cookie AbstractAuthenticationProcessingFilter 处理Form登录的过滤器,与Form登录操作有关的所有操作都交由这个过滤器进行处理。默认处理 j_spring_securtiy_check 请求。通过用户提交的用户名和密码来判断 ，如果成功就跳转到用户登录 之前的受保护的页面或登录成功之后的默认页面。 DefaultLoginPageGeneratingFil