权限控制_shiro_授权流程

Shiro Authorization （ 授权）

官方授权图片

image

步骤：

image

授权成功后

关于权限使用有三种方式

1、编写代码

image

2、JDK标签

image

3、JSPGSP标签库

image

这里要解释下 RBAC

以前的RBAC是 Role-Based-Access-Control

基于角色的访问控制

权限表 是 用户表-角色表-操作url表 【Menu】

控制方式是 用户拥有某权限--------权限拥有某url【controller】 才可以访问

麻烦点就是 后台判断用户是否拥有权限时，判断用户角色 那么就是把角色和资源绑定到一起、这样后期开发会发生这么一种情况、就是有个默认角色后期我可能要删除、使用新角色来控制这些资源、那么 到时候就要更新代码重新发布

而最新的RBAC是 Resource-Based-Access-Control

基于资源的访问控制

权限表是 用户表【user】-角色表-功能许可表【Permission】

控制方式就是 用户拥有某一角色--------角色拥有这一资源许可-------资源许可和代码【controller】绑定在一起 后期要更改角色权限 就把这个角色删掉就可以了 并不会影响代码 不需要重构代码

shiro中同时使用两种方式进行 权限判断 用户可以自行选择

相关使用方法 参加xmind

image