随笔分类 - shiro
摘要:查看源码 自定义SessionIdGenerator 配置: 验证 注意点 没有100%可靠的算法,暴力破解,穷举 限制时间内ip登录错误次数 增加图形验证码,不能过于简单,常用的OCR可以识别验证码 建议:微服务里面,特别是对C端用户的应用,不要做过于复杂的权限校验,特别是影响性能这块 源码地址:
阅读全文
摘要:为啥session也要持久化 重启应用,用户无感知,可以继续以原先的状态继续访问 怎么持久化 注意点 DAO对象需要实现序列化接口 Serializable logout接口和以前一样调用,请求logout后会删除redis里面的对应的key,即删除对应的token 常见Bean配置 源码地址:ht
阅读全文
摘要:控制流程图 背景 授权的时候每次都去查询数据库,对于频繁访问的接口,性能和响应速度比较慢,所以使用缓存 添加依赖 配置 由控制图可以看出,所有组件都是由securityManager管理的,所以必须将CacheManager配置到SecurityManager中 原有问题 解决:在自定义Custom
阅读全文
摘要:源码解析 shori中的默认filter 查看RolesAuthorizationFilter,以这个Filter为例: 分析:改源码表示,例如:/admin/order= roles["admin, root"] ,只有当放问该接口同时具备admin和root两种角色时,才可以被访问。 需求 配置
阅读全文
摘要:Shiro内置的Filter过滤器 核心过滤器类:DefaultFilter, 配置哪个路径对应哪个拦截器进行处理 anon:org.apache.shiro.web.filter.authc.AnonymousFilter 匿名拦截器,不需要登录即可访问的资源,匿名用户或游客,一般用于过滤静态资源
阅读全文
摘要:自定义Realm简介 一般情况现自定义Realm是继承AuthorizingRealm。 Realm的继承关系:AuthorizingRealm->AuthenticatingRealm->CachingRealm->Realm。 步骤 重写方法介绍 实体对象介绍 代码实战 自定义CustomRea
阅读全文
摘要:Realm简介: 重要的事再说一遍,数据域,Shiro和安全数据的连接器,好比jdbc连接数据库; 通过realm获取认证授权相关信息 realm作用: Shiro 从 Realm 获取安全数据 默认自带的realm: idae查看realm继承关系,有默认实现和自定义继承的realm 两个概念:
阅读全文
摘要:Realm简介: 数据域,Shiro和安全数据的连接器,好比jdbc连接数据库; 通过realm获取认证授权相关信息 realm作用: Shiro 从 Realm 获取安全数据 默认自带的realm: idae查看realm继承关系,有默认实现和自定义继承的realm 两个概念: principal
阅读全文
摘要:授权 授权一般是在登陆之后才做的操作: 请查看:快速理解shiro的认证 整体流程: 简单的api: 测试代码: 测试结果:
阅读全文
摘要:shiro的认证: 流程图: 采用测试用例的方式快速开始: 单元测试注解的执行顺序: 测试代码: 测试结果:
阅读全文
摘要:创建项目: 采用官网的快速开始:https://start.spring.io maven依赖: 整合Shiro相关jar包
阅读全文
摘要:官网地址: http://shiro.apache.org/architecture.html 官网流程图: 概念介绍: Subject 我们把用户或者程序称为主体(如用户,第三方服务,cron作业),主体去访问系统或者资源 SecurityManager 安全管理器,Subject的认证和授权都要
阅读全文
摘要:Apache Shiro官网: http://shiro.apache.org/introduction.html 架构图: 什么是身份认证 Authentication,身份证认证,一般就是登录 什么是授权 Authorization,给用户分配角色或者访问某些资源的权限 什么是会话管理 Sess
阅读全文
浙公网安备 33010602011771号