- 前言
- 一. 权限管理方案
- 二. shiro使用
- 2.1 下载
- 2.2 shiro身份认证关键词
- 2.3 boot整合shiro Salt+md5+hash散列认证加密
- 2.3.1 写入数据库的加密逻辑
- 2.4 boot整合shiro 授权管理
- 2.5 redis实现数据缓存和验证
前言
demo用到:
mybatis shiro redis mysql docker lombok
开源地址
1.spring一站式解决方案:spring security ,springcould security 和spring体系配合较好,学习成本较高,但细粒度更好.
2.shiro 框架:简单轻巧.对其他体系弱依赖.
权限管理主要包含两个方面: 身份认证
和授权
身份认证: 就是判断一个用户是否为合法用户的处理过程。最常用的简单身份认证方式是系统通过核对用户输入的用户名和口令,看其是否与系统中存储的该用户的用户名和口令一致,来判断用户身份是否正确。将其存入缓存,降低多次读取数据库压力.
授权: 分配权限方可访问系统的资源.基于角色或基于资源分配权限.
二. shiro使用 2.1 下载
官网地址
2.2 shiro身份认证关键词subject: 认证主体对象
principal: 身份信息 `唯一性``
credential:凭证信息 只有认证主体自己知晓的信息
MD5算法不可逆,同一段内容无论执行多少次,加密结果始终一致.
想使用md5加密:必须要在业务层中完成处理.但还要加时间盐(salt 给用户的密码拼接随机字符串).防止数据库信息被穷举.
controller只做功能处理,详细处理一般在service层做
踩坑注意
boot和shiro有冲突问题
- 配置注意
yaml配置中 static-path-pattern: /resources/** 会和
shiro配置类
shiroFilterFactoryBean.setLoginUrl("/index.html"); 重定向冲突
// 但是shiro的优先级高,注释直接默认重定向login.jsp,同时它的mvc默认静态资源映射识别失效
servlet:
# context-path: /springboot-shrio
- 前后端传值注意(疑点)
- 是不是vue不用原生表单,基本都是json?
ajax,axios都用的json - 我使用了原生表单,不能用@requestBody解析 . 那么如图表单赋值成功,那么谁给这个对象的属性赋的值?
原生表单是用的x-www-form-urlencoded,name和实体属性对的上就能赋值
要点: 前端请求–>后端判别用户身份–>查表用户对应的权限( 注意权限资源表应具有 前端路由地址和资源功能名称字段
,在前端根据用户资源做动态展示功能模块)
为了避免查询身份 *** 作频繁访问数据库的io消耗.要实现redis数据缓存
以上内容所有源码链接地址
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)