随笔分类 -  Spring Security / Apache Shiro

跟开涛老师学shiro -- 编码/加密
摘要:在涉及到密码存储问题上,应该加密/生成密码摘要存储,而不是存储明文密码。比如之前的600w csdn账号泄露对用户可能造成很大损失,因此应加密/生成不可逆的摘要方式存储。 5.1 编码/解码 Shiro提供了base64和16进制字符串编码/解码的API支持,方便一些编码解码操作。Shiro内部的一 阅读全文
posted @ 2016-05-11 15:24 二郎那个三郎
跟开涛老师学shiro -- INI配置
摘要:之前章节我们已经接触过一些INI配置规则了,如果大家使用过如spring之类的IoC/DI容器的话,Shiro提供的INI配置也是非常类似的,即可以理解为是一个IoC/DI容器,但是区别在于它从一个根对象securityManager开始。 4.1 根对象SecurityManager 从之前的Sh 阅读全文
posted @ 2016-05-11 15:09 二郎那个三郎
跟开涛老师学shiro -- 授权
摘要:授权,也叫访问控制,即在应用中控制谁能访问哪些资源(如访问页面/编辑数据/页面操作等)。在授权中需了解的几个关键对象:主体(Subject)、资源(Resource)、权限(Permission)、角色(Role)。(这里的资源和权限区别是什么呢?) 主体 主体,即访问应用的用户,在Shiro中使用 阅读全文
posted @ 2016-05-11 14:52 二郎那个三郎
跟开涛老师学shiro -- 身份验证
摘要:身份验证,即在应用中谁能证明他就是他本人。一般提供如他们的身份ID一些标识信息来表明他就是他本人,如提供身份证,用户名/密码来证明。 在shiro中,用户需要提供principals (身份)和credentials(证明)给shiro,从而应用能验证用户身份: principals:身份,即主体的 阅读全文
posted @ 2016-05-11 14:17 二郎那个三郎
跟开涛老师学shiro -- shiro简介
摘要:1.1 简介 Apache Shiro是Java的一个安全框架。目前,使用Apache Shiro的人越来越多,因为它相当简单,对比Spring Security,可能没有Spring Security做的功能强大,但是在实际工作时可能并不需要那么复杂的东西,所以使用小而简单的Shiro就足够了。对 阅读全文
posted @ 2016-05-11 13:20 二郎那个三郎
Spring Security的核心拦截器
摘要:1. HttpSessionContextIntegrationFilter 位于过滤器顶端,第一个起作用的过滤器。 用途一,在执行其他过滤器之前,率先判断用户的session中是否已经存在一个SecurityContext了。如果存在,就把SecurityContext拿出来,放到Security 阅读全文
posted @ 2016-02-25 09:26 二郎那个三郎
临远的spring security教程
摘要:为啥选择Spring Security 欢迎阅读咱们写的Spring Security教程,咱们既不想写一个简单的入门教程,也不想翻译已有的国外教程。咱们这个教程就是建立在咱们自己做的OA的基础上,一点一滴总结出来的经验和教训。 首先必须一提的是,Spring Security出身名门,它是Spri 阅读全文
posted @ 2016-02-25 09:16 二郎那个三郎
spring security原理图及其解释
摘要:用户发出订单修改页面的请求,Access Decision Manager进行拦截,然后对比用户的授权和次页面需要的授权是不是有重合的部分,如果有重合的部分,那面页面就授权成功,如果失败就通知用户。 We can see that a component called the access deci 阅读全文
posted @ 2016-02-25 09:13 二郎那个三郎
Spring Security教程(5)---- 国际化配置及UserCache
摘要:这一章是为了给后面的讲解打基础的,主要介绍下国际化的配置及UserCache的配置及使用 国际化配置 [html] view plain copy <!-- 定义上下文返回的消息的国际化 --> <bean id="messageSource" class="org.springframework. 阅读全文
posted @ 2016-02-24 17:03 二郎那个三郎
spring DelegatingFilterProxy管理过滤器
摘要:安全过滤器链 Spring Security的web架构是完全基于标准的servlet过滤器的。它没有在内部使用servlet或任何其他基于servlet的框架(比如spring mvc),所以它没有与任何特定的web技术强行关联。 它只管处理HttpServletRequest和HttpServl 阅读全文
posted @ 2016-02-24 17:02 二郎那个三郎
spring security的标签库
摘要:应用标签库:<%@ taglib prefix='security ' uri='http://www.springframework.org/security /tags' %> <security :authorize>是一个流程控制标签,能够在满足特定安全需求的条件下显示它的内容体。它有三个互 阅读全文
posted @ 2016-02-24 16:44 二郎那个三郎
Remember-Me功能
摘要:Remember-Me功能 目录 1.1概述 1.2基于简单加密token的方法 1.3基于持久化token的方法 1.4Remember-Me相关接口和实现类 1.4.1TokenBasedRememberMeServices 1.4.2PersistentTokenBasedRememberMe 阅读全文
posted @ 2016-02-24 16:41 二郎那个三郎
DelegatingFilterProxy
摘要:安全过滤器链 Spring Security的web架构是完全基于标准的servlet过滤器的。 它没有在内部使用servlet或任何其他基于servlet的框架(比如spring mvc), 所以它没有与任何特定的web技术强行关联。 它只管处理HttpServletRequest 和HttpSe 阅读全文
posted @ 2016-02-24 16:11 二郎那个三郎