摘要： 在涉及到密码存储问题上，应该加密/生成密码摘要存储，而不是存储明文密码。比如之前的600w csdn账号泄露对用户可能造成很大损失，因此应加密/生成不可逆的摘要方式存储。5.1 编码/解码Shiro提供了base64(Base64是网络上最常见的用于传输8Bit字节代码的编码方式之一)和16进制字符... 阅读全文

摘要： 6.1 Realm【2.5 Realm】及【3.5 Authorizer】部分都已经详细介绍过Realm了，接下来再来看一下一般真实环境下的Realm如何实现。1、定义实体及关系 即用户-角色之间是多对多关系，角色-权限之间是多对多关系,且用户和权限之间通过角色建立关系,在系统中验证时通过权限验证，... 阅读全文

摘要： 之前章节我们已经接触过一些INI配置规则了，如果大家使用过如Spring之类的IoC/DI容器的话，Shiro提供的INI配置也是非常类似的，即可以理解为是一个IoC/DI容器，但是区别在于它从一个根对象securityManager开始。4.1 根对象SecurityManager 从之前的Sh... 阅读全文

摘要： Authorization(授权):也叫访问控制，即在应用中控制用户能访问哪些资源（如访问页面/编辑数据/页面操作等）。在授权中需了解的几个关键对象：主体（Subject）、资源（Resource）、权限（Permission）、角色（Role）。主体:即访问应用的用户，在Shiro中使用Subje... 阅读全文

摘要： 8.1 拦截器介绍Shiro使用了与Servlet一样的Filter接口进行扩展,所以如果对Filter不熟悉可以参考《Servlet3.1规范》http://www.iteye.com/blogs/subjects/Servlet-3-1了解Filter的工作原理,首先下图是Shiro拦截器的基础... 阅读全文

摘要： Shiro提供了JSTL标签用于在JSP/GSP页面进行权限控制，如根据登录用户显示相应的页面按钮。导入标签库标签库定义在shiro-web.jar包下的META-INF/shiro.tld中定义。guest标签 欢迎游客访问，登录欢迎游客访问，登录用户没有身份验证时显示相应信息，即游客访问信息。u... 阅读全文

摘要： 元素名 属性 解释 server port 指定一个端口，这个端口负责监听关闭tomcat的请求 shutdown 指定向端口发送的命令字符串 ... 阅读全文

摘要： 正如上篇博文 server.xml 配置详解 中所提到的那样，tomcat的默认映射路径是 host 标签的 appBase 属性（应用程序基本目录，即存放应用程序的目录 “这个目录下的内容可以通过url访问到”）。那么，我可以修改这个应用程序基本目录吗？可以把它指向到我的工程吗？ tomcat映射路径的配置方法 一、默认配置 位置：/conf 文件夹里的server.xml文件 a... 阅读全文

摘要： Authentication(身份验证):在应用中证明其合法性，一般提需提供身份ID、一些标识信息来证明其身份（如提供身份证、用户名/密码来证明），在shiro中，用户需要提供principals （身份）和credentials（证明）给shiro，从而应用才能验证用户身份：Principals（... 阅读全文

摘要： 1.1 简介Apache Shiro是Java的一个安全框架。目前，使用Apache Shiro的人越来越多，因为它相当简单，对比Spring Security，可能没有Spring Security做的功能强大，但是在实际工作时可能并不需要那么复杂的东西，所以使用小而简单的Shiro就足够了。对于... 阅读全文