A. apache shiro如何實現同時對前台和後台進行許可權控制
一般的網站都分前台和後台,並且分別有兩個登陸地址對應不同的資料庫表,那麼如果通過apache shiro分別對前台和後台進行許可權控制呢?求解
B. springsecurity是不是用了apache的shiro呀
不是呀 這兩個原理都不一樣
springsecurity 的實現原理:
核心 :登陸驗證攔截器 資源管理攔截器AbstractSecurityInterceptor以及AuthenticationManager、accessDecisionManager等組件來支撐。
流程:用戶登陸,會被攔截,調用AuthenticationManager的實現,而且AuthenticationManager會調用ProviderManager來獲取用戶驗證信息(不同的Provider調用的服務不同,因為這些信息可以是在資料庫上,可以是在LDAP伺服器上,可以是xml配置文件上等),如果驗證通過後會將用戶的許可權信息封裝一個User放到spring的全局緩存SecurityContextHolder中,以備後面訪問資源時使用。 訪問資源(即授權管理),訪問url時,會通過AbstractSecurityInterceptor攔截器攔截,其中會調用的方法來獲取被攔截url所需的全部許可權,在調用授權管理器AccessDecisionManager,這個授權管理器會通過spring的全局緩存SecurityContextHolder獲取用戶的許可權信息,還會獲取被攔截的url和被攔截url所需的全部許可權,然後根據所配的策略(有:一票決定,一票否定,少數服從多數等),如果許可權足夠,則返回,許可權不夠則報錯並調用許可權不足頁面
shiro的實現原理:
Shiro的三個核心組件:Subject, SecurityManager 和 Realms.
Subject:即「當前操作用戶」。但是,在Shiro中,Subject這一概念並不僅僅指人,也可以是第三方進程、後台帳戶(Daemon Account)或其他類似事物。它僅僅意味著「當前跟軟體交互的東西」。但考慮到大多數目的和用途,你可以把它認為是Shiro的「用戶」概念。 Subject代表了當前用戶的安全操作,SecurityManager則管理所有用戶的安全操作。
SecurityManager:它是Shiro框架的核心,典型的Facade模式,Shiro通過SecurityManager來管理內部組件實例,並通過它來提供安全管理的各種服務。
Realm: Realm充當了Shiro與應用安全數據間的「橋梁」或者「連接器」。也就是說,當對用戶執行認證(登錄)和授權(訪問控制)驗證時,Shiro會從應用配置的Realm中查找用戶及其許可權信息。
從這個意義上講,Realm實質上是一個安全相關的DAO:它封裝了數據源的連接細節,並在需要時將相關數據提供給Shiro。當配置Shiro時,你必須至少指定一個Realm,用於認證和(或)授權。配置多個Realm是可以的,但是至少需要一個。
Shiro內置了可以連接大量安全數據源(又名目錄)的Realm,如LDAP、關系資料庫(JDBC)、類似INI的文本配置資源以及屬性文件等。如果預設的Realm不能滿足需求,你還可以插入代表自定義數據源的自己的Realm實現。
C. spring security與apache shiro 許可權控制安全框架,那個更實用
具體要看許可權控制到什麼程度,簡單的單純用spring mvc 也能行,就是麻煩,什麼版都要自己寫。如果寫不好,以權後也不好擴展,安全性得不到保證。
apache shiro的話,簡單,易用,功能也強大,spring官網就是用的shiro,可見shiro的強大。shiro不僅支持web項目,還支持非web項目,和spring可以可以整合。
spring security功能更強大,但是比shiro復雜,學習成本高,
D. apache shiro 做的哪些事
Apache Shiro 是ASF旗下的一款開源軟體(Shiro發音為「shee-roh」,日語「堡壘(Castle)」的意思),提供了一個強大而靈活的安全框架。可為任何應用提供安全保障— 從命令行應用、移動應用到大型網路及企業應用。
Apache Shiro提供了認證、授權、加密和會話管理功能,將復雜的問題隱藏起來,提供清晰直觀的API使開發者可以很輕松地開發自己的程序安全代碼。並且在實現此目標時無須依賴第三方的框架、容器或服務,當然也能做到與這些環境的整合,使其在任何環境下都可拿來使用。
Shiro將目標集中於Shiro開發團隊所稱的「四大安全基石」-認證(Authentication)、授權(Authorization)、會話管理(Session Management)和加密(Cryptography):
認證(Authentication):用戶身份識別。有時可看作為「登錄(login)」,它是用戶證明自己是誰的一個行為。
授權(Authorization):訪問控制過程,好比決定「認證(who)」可以訪問「什麼(what)」.
會話管理(SessionManagement):管理用戶的會話(sessions),甚至在沒有WEB或EJB容器的環境中。管理用戶與時間相關的狀態。
加密(Cryptography):使用加密演算法保護數據更加安全,防止數據被偷窺。
此外還有一些附加的功能進行支持和加強,例如:
Web支持:利用Shiro的web支持API可以很容易地實現web程序安全;
Caching:Caching在Apache Shiro的API中是一等公民,確保安全認證的動作快速而有效。
並發(Concurrency):Apache Shiro支持多線程;
測試(Testing):支持測試,幫助你開發單元和綜合測試程序確保你的代碼如你所預期的那樣進行安全認證。
「Run As」:允許用戶使用其他用戶身份(如果被允許),這在執行某些管理角本中非常有用。
「Remember Me」:在整個會話周期中(sessions)記住用戶的身份,用戶只需要在程序強制要求登錄的情況下才需要登錄。
E. apache shiro 支持不支持集群
支不支持集群和shiro沒關系,你要看你的cache層,如果是Ehcache,那麼要費勁點,如果是版其他的還權好點,如果是Redis,那麼就沒問題。Session共享,集群什麼的都OK
推薦一套完整的ShiroDemo,免費的。
ShiroDemo:http://www.sojson.com/shiro
Demo已經部署到線上,地址是http://shiro.itboy.net
管理員帳號:admin,密碼:sojson.com如果密碼錯誤,請用sojson。PS:你可以注冊自己的帳號,然後用管理員賦許可權給你自己的帳號,但是,每20分鍾會把數據初始化一次。建議自己下載源碼,讓Demo跑起來,然後跑的更快。
F. org.apache.shiro.web.util.webutils 引用什麼jar
引用的是一個shiro-web-x.x.x.jar的包,你看下,這是最晚的回答了
G. apache shiro是個什麼
推薦一套完整的Shiro Demo,免費的。
Shiro介紹文檔:http://www.sojson.com/shiro
Demo已經部署到線上,地址是http://shiro.itboy.net
管理員回帳號:admin,密答碼:sojson.com 如果密碼錯誤,請用sojson。PS:你可以注冊自己的帳號,然後用管理員賦許可權給你自己的帳號,但是,每20分鍾會把數據初始化一次。建議自己下載源碼,讓Demo跑起來,然後跑的更快。
H. org.apache.shiro.web.filter.authc.formauthenticationfilter 這個什麼jar包
一般為所抄有的請求啟用或禁用一個過濾器是通過設置其enabled 屬性為true 或false。默認的設置是true, 因為 如果他們被配置在一個過濾器鏈中則本質上是需要執行的。禁用過濾器的例子如下:
[main]
# configure Shiro's default 'ssl' filter to be disabled while testing:
ssl.enabled = false
[urls]
/some/path = ssl, authc
/another/path = ssl, roles[admin]
I. apache.shiro需要哪些配置
配置較多,來無法細說。
推薦一自套完整的Shiro Demo,免費的。
Shiro介紹文檔:http://www.sojson.com/shiro
Demo已經部署到線上,地址是http://shiro.itboy.net,
管理員帳號:admin,密碼:sojson.com 如果密碼錯誤,請用sojson。
PS:你可以注冊自己的帳號,然後用管理員賦許可權給你自己的帳號,但是,每20分鍾會把數據初始化一次。建議自己下載源碼,讓Demo跑起來,然後跑的更快。