从事 Java 工作有 5 年多了,做的不少后台管理系统都需要用到权限,之前都是用基于过滤器或拦截器自己实现,简单、实用。但是由于自身的限制,不知道这种方式有什么不足,最主要是会引起什么安全问题。
一直想用一种正统的权限实现方式,在网上寻找了一下 Java 相关的权限框架,有 Apache shiro 和 Spring Security 。结合自身的初步使用,和众多周围人及网友的推荐,然后选择了 Apache shiro 。
可进一步使用 Apache shiro 中,有了一些麻烦,首先是要配置 N 多配置文件,其次,由于我只是初步使用,还不是很清楚怎么进行用户、角色、权限三者的关联,总感觉没有自己写权限简单、有效。
所以,想请大家发表一下自己的看法,帮我去掉心中的困惑
1
Ouyangan 2016-01-07 13:05:06 +08:00
看看开涛<<跟我学 shiro>>原理剖析的挺清楚.
|
2
colincat 2016-01-07 13:18:33 +08:00 via iPhone
先有权限-》角色-》用户, shiro 其实配置并不是很麻烦,很多模块都可以去掉的,配置一个 xml 就可以了
|
3
wangchenyang OP @Ouyangan 就是看着教程整的,教程很不错,但是太复杂。就是想知道不按照那种方式整,自己实现有什么问题没有
|
4
colincat 2016-01-07 13:25:27 +08:00
https://github.com/colincatsu/WorkNote/blob/master/shiro%E9%81%87%E5%88%B0%E7%9A%84%E4%B8%80%E4%BA%9B%E9%97%AE%E9%A2%98.md
可以看一下这个 主要配置这个 xml 和配置 spring.xml 一样 |
5
colincat 2016-01-07 13:28:48 +08:00
web.xml
``` xml <!-- shiro --> <filter> <filter-name>shiroFilter</filter-name> <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class> <init-param> <param-name>targetFilterLifecycle</param-name> <param-value>true</param-value> </init-param> </filter> <filter-mapping> <filter-name>shiroFilter</filter-name> <url-pattern>/*</url-pattern> </filter-mapping> ``` |
6
wangchenyang OP @colincat 嗯嗯,非常感谢,我看一下
|
7
colincat 2016-01-07 13:46:33 +08:00
@wangchenyang 好好看看,没想象中那么难,需要自己实现一些东西 public class SecurityRealm extends AuthorizingRealm 这个, shiro 毕竟大而全,看自己需求来定了,我用着挺好用的,可以把权限模块独立出来使用,以后再有项目直接迁移就好了
|
8
wangchenyang OP @colincat 谢谢,难倒是不难,就是感觉没必要弄那么麻烦。就像你说的, shiro 大而全,系统中常用的应该只是其中的一小部分功能
|
9
colincat 2016-01-07 13:57:54 +08:00
@wangchenyang 看需求了,没必要过度设计或者使用,因情况而异,并不觉得所有项目 shiro 都适合
|
10
wangchenyang OP @colincat 和我的想法一样!开此贴的目的也就是想交流一下权限这块的处理方式,哈哈,非常感谢!
|
11
feilaoda 2016-01-07 15:32:29 +08:00
shiro 需要很多配置文件么?几行配置而已
|
12
hsluoyz 2018-05-08 17:08:15 +08:00
@wangchenyang 试试 jcasbin
|