文章目录
前言
demo用到:
mybatis shiro redis mysql docker lombok
开源地址
一. 权限管理方案
1.spring一站式解决方案:spring security ,springcould security 和spring体系配合较好,学习成本较高,但细粒度更好.
2.shiro 框架:简单轻巧.对其他体系弱依赖.
权限管理主要包含两个方面: 身份认证和授权
身份认证: 就是判断一个用户是否为合法用户的处理过程。最常用的简单身份认证方式是系统通过核对用户输入的用户名和口令,看其是否与系统中存储的该用户的用户名和口令一致,来判断用户身份是否正确。将其存入缓存,降低多次读取数据库压力.
授权: 分配权限方可访问系统的资源.基于角色或基于资源分配权限.
二. shiro使用
2.1 下载
2.2 shiro身份认证关键词
subject: 认证主体对象
principal: 身份信息 `唯一性``
credential:凭证信息 只有认证主体自己知晓的信息
2.3 boot整合shiro Salt+md5+hash散列认证加密
MD5算法不可逆,同一段内容无论执行多少次,加密结果始终一致.
想使用md5加密:必须要在业务层中完成处理.但还要加时间盐(salt 给用户的密码拼接随机字符串).防止数据库信息被穷举.
controller只做功能处理,详细处理一般在service层做
2.3.1 写入数据库的加密逻辑
踩坑注意
boot和shiro有冲突问题
- 配置注意
yaml配置中 static-path-pattern: /resources/** 会和
shiro配置类
shiroFilterFactoryBean.setLoginUrl("/index.html"); 重定向冲突
// 但是shiro的优先级高,注释直接默认重定向login.jsp,同时它的mvc默认静态资源映射识别失效
servlet:
# context-path: /springboot-shrio
- 前后端传值注意(疑点)
- 是不是vue不用原生表单,基本都是json?
ajax,axios都用的json - 我使用了原生表单,不能用@requestBody解析 . 那么如图表单赋值成功,那么谁给这个对象的属性赋的值?
原生表单是用的x-www-form-urlencoded,name和实体属性对的上就能赋值
2.4 boot整合shiro 授权管理
要点: 前端请求–>后端判别用户身份–>查表用户对应的权限( 注意权限资源表应具有 前端路由地址和资源功能名称字段 ,在前端根据用户资源做动态展示功能模块)
2.5 redis实现数据缓存和验证
为了避免查询身份操作频繁访问数据库的io消耗.要实现redis数据缓存
