1 权限概述
认证:系统提供的用于识别用户身份的功能,通常登录功能就是认证功能-----让系统知道你是谁??
授权:系统授予用户可以访问哪些功能的许可(证书)----让系统知道你能做什么??
2 常见的权限控制方式
2.1 URL拦截权限控制
底层基于拦截器或者过滤器实现
通过拦截器或者过滤器拦截客户端发送的请求,在拦截器或者过滤器判断当前用户是否具有访问权限,如果有权限,则放行,如果没有,则跳转到权限不足的提示页面
2.2 方法注解权限控制
底层基于代理技术实现,为Action创建代理对象,由代理对象进行权限校验
3 创建权限数据模型
权限表
角色表
用户表
角色权限关系表
用户角色关系表
角色就是权限的集合,引入角色表,是为了方便授权
3 apache shiro框架简介
官网:shiro.apache.org
下载文件:
shiro框架的核心功能:
认证
授权
会话管理
加密
shiro框架认证流程
Application Code:应用程序代码,由开发人员负责开发的
Subject:框架提供的接口,代表当前用户对象
SecurityManager:框架提供的接口,代表安全管理器对象
Realm:可以开发人员编写,框架也提供一些,类似于DAO,用于访问权限数据
