shiro框架教程,shiro权限框架如何切换数据源(多个数据库)

shiro框架教程,shiro权限框架如何切换数据源(多个数据库)详细介绍

本文目录一览： 若依 权限框架 Shiro

1. shiro中的重要概念
要理解shiro，先要理解框架的几个概念：
1) Subject : 代表当前登陆或者访问的用户；
2） Principals ：一般指用户名等，唯一表明Subject身份也就是当前用户身份的东西；
3） Credentials ：凭证，一般指密码，对当前登陆用户进行验证；
4） Realms： 域，一般是指存储用户信息（用户名，密码，权限，角色）的数据库，也就是保存用户权限等信息的数据源 ；
5） SecurityManager ：shiro安全管理的顶级对象。它集合或者说调用所有其它相关组件，负责所有安全和权限相关处理过程，就像一个中央集权政府；
2. shiro的子系统
上面我们说到shiro的主要功能有：认证，授权，加密，session管理等。而每一个主要功能对应于shiro的一个子系统， 下面分别介绍。
3. Authentication认证子系统
认证子系统，就是处理用户登录，验证用户登录。
一般我们new一个UsernamePasswordToken的对象：UsernamePasswordToken token = new UsernamePasswordToken("xxxusername", "xxxpassword");,
然后 subject.login(token); 就前去登录。相关代码一般如下：
Authentication 子系统会将password加密，然后使用username和加密之后的password和从Realm(一般是数据库)中根据usename获得的密码进行比较，相同就登录成功，不相同同就登录失败，或者用户名不存在也登录失败。就怎么简单。当然从Realm中根据用户名查找用户的过程是需要我们自己编码实现的。该功能的实现代码如下 。
4. Authorization 授权子系统(访问控制，权限控制)
在需要判断用户是否有某权限或者角色时，代码如下：
我们看到 doGetAuthorizationInfo 方法中使用了 SimpleAuthorizationInfo 类封装 Role 和 Permission.roles 和 stringPermissions 都是 String 类型的 Set, 也就是说，它们都是使用字符串来表示你拥有某个角色或者拥有某个权限的。
1) 两种访问控制方式：
SimpleAuthorizationInfo 封装了角色和权限，其实这也说明了实现“访问控制”两种方式：一是 “ 基于角色的访问控制 ” ；而是“ 基于资源的访问控制 ”。所谓的访问控制， 是指对于某个资源，当前用户是否有访问的权限。基于角色的访问控制是一种比较粗粒度的访问控制方式，只要你具有了某个或某几个角色，那么你就可以访问某资源。而基于资源的访问控制，是判断你针对该资源是否有某权限，有才能访问，粒度更细，你是否有某权限，可以根据你有哪些角色，然后改角色有哪些权限来判断的，当然也可以不引入角色的概念，直接判断你是否拥有某些权限。当然两种访问方式可以单独使用，也可以混合使用。比如对于比较简单的权限控制，你可以仅仅只使用基于角色的访问控制，仅仅引入角色表，不需要权限表都可以。混合使用是指，你可以同时要求用户具有某角色并且具有某些权限，才能访问某资源。所以shiro的权限控制时极其灵活的(当然也可以不引入角色表，仅仅引入权限表)。
2）权限的字符串表示方式
上面说到 角色 和 权限 都是使用字符串来表示的，其实 shiro 提供了一套比较强大有点复杂的权限字符串表示格式(分为:分割的三个部分)：“ 资源：操作：对象实例ID ” 表示：对那个资源的哪个实例可以进行哪些操作，支持通配符。多个操作需要使用 “,” 逗号分割，而 “*” 放在三个位置上，分别表示：任意资源，任意操作，任意实例。比如："user:delete:1" 就表示 对user表的id等于1对应的数据或者对象，可以进行删除操作。其实资源表现实现可以是对象，其实最终是对应到数据库表中的记录。再比如："user:update,delete" 就表示 对user表(的任意实例)进行更新和删除操作。"user:update,delete" 其实就等价于 “user:update,delete:*”所以 shiro 的访问控制可以控制到具体实例，或者说具体哪条数据库记录，也可以在表级别控制。如果省略掉 对象实例ID部分，就是在表级别控制。
3）权限相关表的设计
1> 如果对于简单的情况，可以只使用“基于角色的访问控制”粗粒度方式，不涉及到权限，仅仅只通过判断是否有某角色来判断访问控制，那么就只需要增加一个角色表(roles) 和 一个角色(roles)和用户(user)的多对多的一个中间表——用户角色表(user_role)。
2> 如果仅仅使用权限来控制访问，那么就可以仅仅只增加一个权限表(priv)和一个用户和权限的多对多的一个中间表——用户权限表(user_priv).
3> 如果既要用到角色，又要用到权限(权限根据角色推算出来)，那么就要增加：角色表，用户角色表，权限表，角色权限表。
4> 其实还有一种情况：就是角色和权限没有关系，那么就可以增加：角色表，用户角色表，权限表，用户权限表。不过这种方式不同符合常规。
其他的 如 Cryptography 加密子系统 和 Session Management会话管理子系统 这里不做介绍。

【Shiro】一步步的看Shiro 【Shiro与Spring Security区别】

Apache Shiro 是 Java 的一个安全框架。目前，使用 Apache Shiro 的人越来越多，因为它相 当简单，Shiro 可以非常容易的开发出足够好的应用，其不仅可以用在 JavaSE 环境，也可以用在 JavaEE 环境。Shiro 可以帮助我们完成：认证、授权、加密、会话管理、与 Web 集成、缓 存等
Spring Security是一个提供身份验证、授权和防范常见攻击的框架。它对命令式应用程序和响应式应用程序都提供了一流的支持，是保护基于spring的应用程序的事实上的标准
OAuth for Spring Security为Spring Security提供了一个OAuth实现。支持OAuth提供者和OAuth消费者的实现。支持OAuth 2.0
完美撒花~，下面我会根据Shiro的具体内容结合不同场景的进行讲述以及配置。
有需要讨论Shiro和Spring Security有什么区别或者有什么不同看法的，欢迎留言 大家共同学习

Shiro+SessionId构建token鉴权体系

随着社会的发展，现在前端展示的方式多样，由原本网页单一形式，到现在的网页、小程序、Android、IOS等多元化模式。由于前端展示的多元化，原有采用session有状态的认证方式已经无法满足需求，所以需要调整后台的技术框架，让系统能满足有状态认证和无状态token认证并存。

后台的管理系统是采用码云上开源的renren-security系统，该系统采用的认证框架是Shiro。考虑系统采用原本的权限控制采用Session方式，整体风险大且时间周期长，所以整合考虑采用SessionId作为token的方式，进行无状态的token认证方式。
登录时，POST用户名与密码到/login进行登入，如果成功返回一个会话ID，以会话ID作为token，失败的话直接返回401错误。之后用户访问每一个需要权限的网址请求必须在header中添加Authorization字段，例如Authorization: token，token为密钥。后台会进行token的校验，如果有误会直接返回401。

在login方法验证通过后，以SessionId作为token，通过json返回客户端。

重写Sessionmanager的getSessionId方法，获取token作为SessionId，同时修改request的“REFERENCED_SESSION_ID”为token，因为token为验证通过的sessionId，所以此request也会采用验证通过的Session进行获取验证和权限。

新建一个Maven工程，添加相关的依赖。

编写认证方法和授权方法。

重写继承DefaultWebSessionManager的SessionManager，修改getSessionId方法，通过获取的token作为SessionId。

配置Realm和SessionManager，还有关于路径的拦截等配置。

整体配置可以参考: https://blog.csdn.net/qq_34996727/article/details/81133729
SessionManager可以参考: https://blog.csdn.net/u011456867/article/details/80484559

Shiro是什么？

Shiro是一个安全管理的框架，其可以实现常见安全管理相关的所有功能。包括：认证，鉴权，加密，记住等等。对于使用者而言，其核心概念如下：

Shiro由多种组件实现上述所说的功能，其实现机制如下图所示：

前台使用shiro框架后如何直接访问首页

<!-- -->

/static/js/myjs/** = authc

/static/** = anon

/userIndex/** = anon

/WEB-INF/jsp/userIndex/** = anon

/** = authc

我是直接把loginUrl的property标签的VALUE指向首页的路径，虽然可以实现这个效果，但还不是很理想，还在学习中。

shiro框架 RequiresPermissions注解怎么动态配置

动态不了。动态请采用配置文件，或者自定义的Filter。
推荐一套完整的Shiro Demo，免费的。
Shiro介绍文档：http://www.sojson.com/shiroDemo已经部署到线上，地址是http://shiro.itboy.net管理员帐号：admin，密码：sojson.com 如果密码错误，请用sojson。PS：你可以注册自己的帐号，然后用管理员赋权限给你自己的帐号，但是，每20分钟会把数据初始化一次。建议自己下载源码，让Demo跑起来，然后跑的更快。

蓝桥软件学院java课程培训主要是讲什么内容的？

深圳远标JAVA培训包括以下内容：HTML/XML语言。 数据库技术。 Java程序设计。 数据结构与算法。 Java设计模式。 J2EE设计和应用。 Eclipse/CVS/OpenSource. 软件测试/安全性编码技术。 UML设计。 UNIX. 项目实战。
课程内容很多，大致归纳一下的话，主要包括以下内容：
基础课程
Java8编程语言>数据库入门教程>Web前端入门教程>UI框架：jQueryEasyUI和Bootstrap>JSP、Servlet编程> MyBatis框架>Spring框架>SpringMVC框架>
高级课程
数据结构与算法>设计模式>clean code>guava解析>缓存>apache-commons包解析>数据库性能调优>存储过程>JVM性能调优>系统安全与Shiro框架教程>框架源码解读系列
项目课程
JavaSe桌面游戏>JavaSe桌面应用>H5游戏>H5网站应用>JSP、Servlet项目>JavaEE全栈式项目化工程实践概述>SSM框架企业级项目应用>SSH框架企业级项目应用

shiro什么意思

Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。
使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。
三个核心组件：Subject, SecurityManager 和 Realms.
Subject：即“当前操作用户”。但是，在Shiro中，Subject这一概念并不仅仅指人，也可以是第三方进程、后台帐户（Daemon Account）或其他类似事物。它仅仅意味着“当前跟软件交互的东西”。
SecurityManager：它是Shiro框架的核心，典型的Facade模式，Shiro通过SecurityManager来管理内部组件实例，并通过它来提供安全管理的各种服务。
Realm： Realm充当了Shiro与应用安全数据间的“桥梁”或者“连接器”。也就是说，当对用户执行认证（登录）和授权（访问控制）验证时，Shiro会从应用配置的Realm中查找用户及其权限信息。
从这个意义上讲，Realm实质上是一个安全相关的DAO：它封装了数据源的连接细节，并在需要时将相关数据提供给Shiro。当配置Shiro时，你必须至少指定一个Realm，用于认证和（或）授权。配置多个Realm是可以的，但是至少需要一个。

java框架有哪些常用框架

十大常用框架：
一、SpringMVC
二、Spring
三、Mybatis
四、Dubbo
五、Maven
六、RabbitMQ
七、Log4j
八、Ehcache
九、Redis
十、Shiro
延展阅读：
一、SpringMVC
SpringWebMVC是一种基于Java的实现了WebMVC设计模式的请求驱动类型的轻量级Web框架，即使用了MVC架构模式的思想，将web层进行职责解耦，基于请求驱动指的就是使用请求-响应模型，框架的目的就是帮助我们简化开发，SpringWebMVC也是要简化我们日常Web开发的。
模型（Model）封装了应用程序的数据和一般他们会组成的POJO。
视图（View）是负责呈现模型数据和一般它生成的HTML输出，客户端的浏览器能够解释。
控制器（Controller）负责处理用户的请求，并建立适当的模型，并把它传递给视图渲染。
Spring的web模型-视图-控制器（MVC）框架是围绕着处理所有的HTTP请求和响应的的设计。
SpringWebMVC处理请求的流程
具体执行步骤如下：
1、首先用户发送请求————>前端控制器，前端控制器根据请求信息（如URL）来决定选择哪一个页面控制器进行处理并把请求委托给它，即以前的控制器的控制逻辑部分；图2-1中的1、2步骤；
2、页面控制器接收到请求后，进行功能处理，首先需要收集和绑定请求参数到一个对象，这个对象在SpringWebMVC中叫命令对象，并进行验证，然后将命令对象委托给业务对象进行处理；处理完毕后返回一个（模型数据和逻辑视图名）；图2-1中的3、4、5步骤；
3、前端控制器收回控制权，然后根据返回的逻辑视图名，选择相应的视图进行渲染，并把模型数据传入以便视图渲染；图2-1中的步骤6、7；
4、前端控制器再次收回控制权，将响应返回给用户，图2-1中的步骤8；至此整个结束。
二、Spring
2.1、IOC容器：wwwblogs/linjiqin/archive/2013/11/04/3407126.html
IOC容器就是具有依赖注入功能的容器，IOC容器负责实例化、定位、配置应用程序中的对象及建立这些对象间的依赖。应用程序无需直接在代码中new相关的对象，应用程序由IOC容器进行组装。在Spring中BeanFactory是IOC容器的实际代表者。
2.2、AOP：blog.csdn.net/moreevan/article/details/11977115
简单地说，就是将那些与业务无关，却为业务模块所共同调用的逻辑或责任封装起来，便于减少系统的重复代码，降低模块间的耦合度，并有利于未来的可操作性和可维护性。AOP代表的是一个横向的关系
AOP用来封装横切关注点，具体可以在下面的场景中使用:
权限
Caching缓存
Contextpassing内容传递
Errorhandling错误处理
Lazyloading懒加载
Debugging调试
logging,tracing,profilingandmonitoring记录跟踪优化校准
Performance性能优化
Persistence持久化
Resourcepooling资源池
同步
事务
三、Mybatis
MyBatis是支持普通SQL查询，存储过程和高级映射的优秀持久层框架。MyBatis消除了几乎所有的JDBC代码和参数的手工设置以及结果集的检索。MyBatis使用简单的XML或注解用于配置和原始映射，将接口和Java的POJOs（PlainOldJavaObjects，普通的Java对象）映射成数据库中的记录。
总体流程：
(1)加载配置并初始化
触发条件：加载配置文件
将SQL的配置信息加载成为一个个对象（包括了传入参数映射配置、执行的SQL语句、结果映射配置），存储在内存中。
(2)接收调用请求
触发条件：调用Mybatis提供的API
传入参数：为SQL的ID和传入参数对象
处理过程：将请求传递给下层的请求处理层进行处理。
(3)处理操作请求触发条件：API接口层传递请求过来
传入参数：为SQL的ID和传入参数对象
处理过程：
(A)根据SQL的ID查找对应的对象。
(B)根据传入参数对象解析对象，得到最终要执行的SQL和执行传入参数。
(C)获取数据库连接，根据得到的最终SQL语句和执行传入参数到数据库执行，并得到执行结果。
(D)根据对象中的结果映射配置对得到的执行结果进行转换处理，并得到最终的处理结果。
(E)释放连接资源。
(4)返回处理结果将最终的处理结果返回。
MyBatis最强大的特性之一就是它的动态语句功能。如果您以前有使用JDBC或者类似框架的经历，您就会明白把SQL语句条件连接在一起是多么的痛苦，要确保不能忘记空格或者不要在columns列后面省略一个逗号等。动态语句能够完全解决掉这些痛苦。
四、Dubbo
Dubbo是一个分布式服务框架，致力于提供高性能和透明化的RPC（远程过程调用协议）远程服务调用方案，以及SOA服务治理方案。简单的说，bbo就是个服务框架，如果没有分布式的需求，其实是不需要用的，只有在分布式的时候，才有bbo这样的分布式服务框架的需求，并且本质上是个服务调用的东东，说白了就是个远程服务调用的分布式框架。
1、透明化的远程方法调用，就像调用本地方法一样调用远程方法，只需简单配置，没有任何API侵入。
2、软负载均衡及容错机制，可在内网替代F5等硬件负载均衡器，降低成本，减少单点。
3、服务自动注册与发现，不再需要写死服务提供方地址，注册中心基于接口名查询服务提供者的IP地址，并且能够平滑添加或删除服务提供者。
节点角色说明：
Provider:暴露服务的服务提供方。
Consumer:调用远程服务的服务消费方。
Registry:服务注册与发现的注册中心。
Monitor:统计服务的调用次调和调用时间的监控中心。
Container:服务运行容器。
五、Maven
Maven这个个项目管理和构建自动化工具，越来越多的开发人员使用它来管理项目中的jar包。但是对于我们程序员来说，我们最关心的是它的项目构建功能。
六、RabbitMQ
消息队列一般是在项目中，将一些无需即时返回且耗时的操作提取出来，进行了异步处理，而这种异步处理的方式大大的节省了服务器的请求响应时间，从而提高了系统的吞吐量。
RabbitMQ是用Erlang实现的一个高并发高可靠AMQP消息队列服务器。
Erlang是一门动态类型的函数式编程语言。对应到Erlang里，每个Actor对应着一个Erlang进程，进程之间通过消息传递进行通信。相比共享内存，进程间通过消息传递来通信带来的直接好处就是消除了直接的锁开销(不考虑Erlang虚拟机底层实现中的锁应用)。
AMQP(AdvancedMessageQueueProtocol)定义了一种消息系统规范。这个规范描述了在一个分布式的系统中各个子系统如何通过消息交互。
七、Log4j
日志记录的优先级，分为OFF、FATAL、ERROR、WARN、INFO、DEBUG、ALL或者您定义的级别。
八、Ehcache
EhCache是一个纯Java的进程内缓存框架，具有快速、精干等特点，是Hibernate中默认的。Ehcache是一种广泛使用的开源Java分布式缓存。主要面向通用缓存,JavaEE和轻量级容器。它具有内存和磁盘存储，缓存加载器,缓存扩展，缓存异常处理程序，一个gzip缓存servlet过滤器，支持REST和SOAPapi等特点。
优点：
1、快速
2、简单
3、多种缓存策略
4、缓存数据有两级：内存和磁盘，因此无需担心容量问题
5、缓存数据会在虚拟机重启的过程中写入磁盘
6、可以通过RMI、可插入API等方式进行分布式缓存
7、具有缓存和缓存管理器的侦听接口
8、支持多缓存管理器实例，以及一个实例的多个缓存区域
9、提供Hibernate的缓存实现
缺点：
1、使用磁盘Cache的时候非常占用磁盘空间：这是因为DiskCache的算法简单，该算法简单也导致Cache的效率非常高。它只是对元素直接追加存储。因此搜索元素的时候非常的快。如果使用DiskCache的，在很频繁的应用中，很快磁盘会满。
2、不能保证数据的安全：当突然kill掉java的时候，可能会产生冲突，EhCache的解决方法是如果文件冲突了，则重建cache。这对于Cache数据需要保存的时候可能不利。当然，Cache只是简单的加速，而不能保证数据的安全。如果想保证数据的存储安全，可以使用BekeleyDBJavaEdition版本。这是个嵌入式数据库。可以确保存储安全和空间的利用率。
九、Redis
redis是一个key-value存储系统。和Memcached类似，它支持存储的value类型相对更多，包括string(字符串)、list(链表)、set(集合)、zset(sortedset_有序集合)和hash（哈希类型）。这些数据类型都支持push/pop、add/remove及取交集并集和差集及更丰富的操作，而且这些操作都是原子性的。在此基础上，redis支持各种不同方式的排序。与memcached一样，为了保证效率，数据都是缓存在内存中。区别的是redis会周期性的把更新的数据写入磁盘或者把修改操作写入追加的记录文件，并且在此基础上实现了master-slave(主从)同步。
Redis数据库完全在内存中，使用磁盘仅用于持久性。相比许多键值数据存储，Redis拥有一套较为丰富的数据类型。Redis可以将数据复制到任意数量的从服务器。
1.2、Redis优点：
（1）异常快速：Redis的速度非常快，每秒能执行约11万集合，每秒约81000条记录。
（2）支持丰富的数据类型：Redis支持最大多数开发人员已经知道像列表，集合，有序集合，散列数据类型。这使得它非常容易解决各种各样的问题，因为我们知道哪些问题是可以处理通过它的数据类型更好。
（3）操作都是原子性：所有Redis操作是原子的，这保证了如果两个客户端同时访问的Redis服务器将获得更新后的值。
（4）多功能实用工具：Redis是一个多实用的工具，可以在多个用例如缓存，消息，队列使用(Redis原生支持发布/订阅)，任何短暂的数据，应用程序，如Web应用程序会话，网页命中计数等。
1.3、Redis缺点：
（1）单线程
（2）耗内存
十、Shiro
ApacheShiro是Java的一个安全框架，旨在简化身份验证和授权。Shiro在JavaSE和JavaEE项目中都可以使用。它主要用来处理身份认证，授权，企业会话管理和加密等。Shiro的具体功能点如下：
（1）身份认证/登录，验证用户是不是拥有相应的身份；
（2）授权，即权限验证，验证某个已认证的用户是否拥有某个权限；即判断用户是否能做事情，常见的如：验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具有某个权限；
（3）会话管理，即用户登录后就是一次会话，在没有退出之前，它的所有信息都在会话中；会话可以是普通JavaSE环境的，也可以是如Web环境的；
（4）加密，保护数据的安全性，如密码加密存储到数据库，而不是明文存储；
（5）Web支持，可以非常容易的集成到Web环境；
Caching：缓存，比如用户登录后，其用户信息、拥有的角色/权限不必每次去查，这样可以提高效率；
（6）shiro支持多线程应用的并发验证，即如在一个线程中开启另一个线程，能把权限自动传播过去；
（7）提供测试支持；
（8）允许一个用户假装为另一个用户（如果他们允许）的身份进行访问；
（9）记住我，这个是非常常见的功能，即一次登录后，下次再来的话不用登录了。

shiro权限框架如何切换数据源(多个数据库)

根据Shiro的设计思路，用户与角色之前的关系为多对多，角色与权限之间的关系也是多对多。在数据库中需要因此建立5张表，分别是用户表（存储用户名，密码，盐等）、角色表（角色名称，相关描述等）、权限表（权限名称，相关描述等）、用户-角色对应中间表（以用户ID和角色ID作为联合主键）、角色-权限对应中间表（以角色ID和权限ID作为联合主键）。具体dao与service的实现本文不提供。