说起Shiro就不得不说一下权限了,由于本人不爱一些第三方框架,比较喜欢自己手工实现。
项目里面早期是SpringSecurity框架,由于招的人很多都表示不会该框架,所以我就萌生了去掉的想法,在整理需要用到哪些表、在哪里使用、以及各个login、login_success、redirect以后,就用过滤器给替换了,rememberme也自己用cookie实现了。又弄
APP、小程序什么的又弄了个token。。。。
原来的表是,user、role、resources,这表名起的也还算是专业,但是我觉得role、resources可以合并了,么有必要多一张表了。
就把role/resources合并成一张menu表了,因为没有控制到接口级别。。。
其实说到权限,应该提一下RBAC和RBAC。。。
也就是:(Role-Based Access Control)和(Resources-Based Access Control)
今天为什么又要转移到坑人的Shiro里面来了呢,又是有开发觉得应该用一用权限框架才能显示是一个有技术的架构。。
其实Shiro比较麻烦的地方是搞集群,因为Shiro实现了一个不伦不类的Session,本来做好Http的Session就行了,但是现在还要做一个Shiro的Session集群,这集群还好,主要是集群以后还要做登陆限制这些,就有点烦人,其实做到集群,在用Shiro这些已经是倒退了,Shiro这类权限框架本来就是给管理系统用的,并不是给互联网项目使用的。。。。
好了咱们从Shiro入门到弃用Shiro都提了一点,后面开始介绍一下。。。
先上代码比较合适一点,以前搜过一个博客,写Shiro的,居然有几百万的访问量,然后这孩子还进了京东做开发。。。
写的文章几乎就是官网博客的谷歌翻译。。。还不如不看。
代码在这里:目前只是有ssm的,更新到集群。SpringBoot大家有兴趣可以照着xml写一个,我后面有空了也会写一个出来。