项目实战day shiro使用方法入门学习.pptxVIP

Shiro入门学习手册;一，shiro简介;Shiro的4大部分——身份验证，授权，会话管理和加密 ? Authentication：身份验证，简称“登录”。 ? Authorization：授权，给用户分配角色或者权限资源 ? Session Management：用户session管理器，可以让CS程序也使用session来控制权限 ? Cryptography：把JDK中复杂的密码加密方式进行封装。;除了以上功能，shiro还提供很多扩展 ? Web Support：主要针对web应用提供一些常用功能。 ? Caching：缓存可以使应用程序运行更有效率。 ? Concurrency：多线程相关功能。 ? Testing：帮助我们进行测试相关功能 ? Run As：一个允许用户假设为另一个用户身份（如果允许）的功能，有时候在管理脚本很有用。 ? “Remember Me”：记住用户身份，提供类似购物车功能。;Subject 是与程序进行交互的对象，可以是人也可以是服务或者其他，通常就理解为用户。 所有Subject 实例都必须绑定到一个SecurityManager上。我们与一个 Subject 交互，运行时shiro会自动转化为与 SecurityManager交互的特定 subject的交互。;SecurityManager 是 Shiro的核心，初始化时协调各个模块运行。然而，一旦 SecurityManager协调完毕，SecurityManager 会被单独留下，且我们只需要去操作Subject即可，无需操作SecurityManager 。 但是我们得知道，当我们正与一个 Subject 进行交互时，实质上是 SecurityManager在处理 Subject 安全操作。;小结：;1.Subject(org.apache.shiro.subject.Subject): 简称用户;4.Authorizer(org.apache.shiro.authz.Authorizer) ： 决定subject能拥有什么样角色或者权限。;二，简单配置;Spring整合配置;2.在Spring的applicationContext.xml中添加shiro配置?;securityManager：这个属性是必须的。;过滤器简称;anon:例子/admins/**=anon 没有参数，表示可以匿名使用。;rest：例子/admins/user/**=rest[user],根据请求的方法，相当于/admins/user/**=perms[user:method] ,其中method为post，get，delete等。;ssl:例子/admins/user/**=ssl没有参数，表示安全的url请求，协议为https;3. 在applicationContext.xml中添加securityManagerper配置;4.配置bosRealm;5.配置shiro注解模式;@RequiresAuthentication;@ RequiresRoles;三.简单扩展;//这是认证方法 protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException { //token中储存着输入的用户名和密码 UsernamePasswordToken upToken = (UsernamePasswordToken)token; //获得用户名与密码 String username = upToken.getUsername(); String password = String.valueOf(upToken.getPassword()); //TODO 与数据库中用户名和密码进行比对。比对成功则返回info，比对失败则抛出对应信息的异常AuthenticationException ………………….. SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(username, password .toCharArray(),getName()); return info; };自定义登录;Subject subject = SecurityUtils.getSubject(); subject.logout();;基于编码的资源授权实现;在JSP上的TAG实现;7. 默认，添加或删除用户的角色 或资源 ，系统不需要重启，但是需要用户重新登录。 即用户的授权是首次登录后第一次访问需要