Welcome to My Blog!

这里记录着我的java后端学习之路

shiro权限框架

2019-12-11

百味皆苦

鉴权

shiro

基本概念
- 架构
登录登出
- 案例
- 源码流程
自定义realm
- 案例
- realm密码加密
用户授权

参考致谢

基本概念

Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能，对于任何一个应用程序,Shiro都可以提供全面的安全管理服务
权限管理包括用户身份认证和授权两个部分,简称认证授权
身份认证 : 为判断用户是否为合法用户的过程,最常用的身份认证方式就是系统通过核对用户输入的用户名和口令,将其与系统中存储的该用户信息相对比,继而来判断用户身份是否正确
授权 : 既访问权限,控制用户访问资源的权限. 主体(subject)进行身份认证后需要分配权限方可访问系统的资源

架构

Shiro可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以用在JavaEE环境. Shiro可以帮助我们完成 : 认证、授权、加密、会话管理、与Web集成、缓存等
Authentication : 身份认证 / 登录,验证用户是不是拥有相应的身份
Authorization : 授权,即权限验证,验证某个已认证的用户是否拥有某个权限. 即判断用户是否能做事情,常见的如 : 验证某个用户是否拥有某个角色,或者细粒度的验证某个用户对某个资源是否具有某个权限
Session Manager : 会话管理,即用户登录后就是一次会话,在没有退出之前,它的所有信息都在会话中. 会话可以是普通JavaSE环境的,也可以是如Web环境的
SessionDAO : DAO大家都用过,数据访问对象,用于会话的CRUD,比如我们想把Session保存到数据库,那么可以实现自己的 SessionDAO,通过如JDBC写到数据库. 比如想把Session放到Memcached中,可以实现自己的Memcached SessionDAO. 另外SessionDAO中可以使用Cache进行缓存,以提高性能
Cryptography : 加密,保护数据的安全性,如密码加密存储到数据库,而不是明文存储
CacheManager : 缓存控制器,来管理如用户、角色、权限等的缓存的. 因为这些数据基本上很少去改变,放到缓存中后可以提高访问的性能
Web Support : Web支持,可以非常容易的集成到Web环境中
Caching : 缓存,比如用户登录后,其用户信息、拥有的角色 / 权限不必每次去查,这样可以提高效率
Concurrency : shiro支持多线程应用的并发验证,即如在一个线程中开启另一个线程,能把权限自动传播过去
Testing : 提供测试支持
Run As : 允许一个用户假装为另一个用户(在他们允许的情况下)的身份进行访问
Remember Me : 记住我,这个是非常常见的功能,即一次登录后,下次不用重复登录了
shiro API含义：
Subject : 主体,代表了当前”用户”,这个用户不一定是一个具体的人,与当前应用交互的任何东西都是Subject,如网络爬虫,机器人等,即为一个抽象概念. 所有Subject都绑定到SecurityManager,与Subject的所有交互都会委托给SecurityManager. 可以把Subject认为是一个门面,SecurityManager才是实际的执行者
SecurityManager : 安全管理器,即所有与安全有关的操作都会与SecurityManager交互,且它管理着所有Subject. 可以看出它是Shiro的核心,它负责与后边介绍的其他组件进行交互,如果学习过SpringMVC,你可以把它看成DispatcherServlet前端控制器
Realm : 域,Shiro从Realm获取安全数据(如用户、角色、权限),就是说SecurityManager要验证用户身份,那么它需要从Realm获取相应的用户进行比较以确定用户身份是否合法,也需要从Realm得到用户相应的角色 / 权限进行验证用户是否能进行操作. 可以把Realm看成 DataSource,即安全数据源。注意 : Shiro不知道你的用户 / 权限存储在哪及以何种格式存储,所以我们一般在应用中都需要实现自己的Realm
Shiro不提供维护用户 / 权限,而是通过Realm让开发人员自己注入内部结构
最简单的一个Shiro应用可以基本分为以下两个步骤 :
- 应用代码通过Subject来进行认证和授权,而Subject又将所有的互交都委托给了SecurityManager
- 我们需要给Shiro的SecurityManager注入Realm,从而让SecurityManager能得到合法的用户及其权限进行判断
Authenticator : 认证器,负责主体认证的,这是一个扩展点,如果用户觉得Shiro默认的不好,可以自定义实现. 其需要认证策略(Authentication Strategy),即什么情况下算用户认证通过了
Authrizer : 授权器,或者访问控制器,用来决定主体是否有权限进行相应的操作,即控制着用户能访问应用中的哪些功能

登录登出

在shiro中,用户需要提供principals(身份)和credentials(证明)给shiro,继而来验证用户的身份信息,最常见的princpals和 credentials组合就是用户名 / 密码
principals : 身份,即主体的标识属性,如用户名、邮箱等,需唯一. 一个主体可以有多个principals,但只有一个Primary principals,一般是用户名 / 手机号
credentials : 证明 / 凭证,即只有主体知道的安全值,如密码 / 数字证书等

案例

maven依赖

<dependencies>
    <!--Junit 单元测试 -->
    <dependency>
        <groupId>junit</groupId>
        <artifactId>junit</artifactId>
        <version>4.11</version>
        <scope>test</scope>
    </dependency>
    <!-- Shiro核心包 -->
    <dependency>
        <groupId>org.apache.shiro</groupId>
        <artifactId>shiro-core</artifactId>
        <version>1.3.2</version>
    </dependency>
    <!-- slf4j的接口实现 -->
    <dependency>
        <groupId>org.slf4j</groupId>
        <artifactId>slf4j-log4j12</artifactId>
        <version>1.7.12</version>
    </dependency>
</dependencies>

shiro文件：shiro.ini(存储用户身份信息(账户=密码))相当于从数据库中查询出的账号密码

[users]
root=yubuntu0109

测试

/**
 * Shiro认证测试:验证用户登录信息
 */
public class ShiroTest {

    @Test
    public void testLogin() {
        //1:加载配置文件,创建SecurityManager工厂对象
        Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini");
        //2:获得securityManager实例对象
        SecurityManager securityManager = factory.getInstance();
        //3:将securityManger实例绑定到当前运行环境中,便于访问
        SecurityUtils.setSecurityManager(securityManager);
        //4:创建当前登录的主体
        Subject currentUser = SecurityUtils.getSubject();
        //5:绑定主体登录的身份/凭证,既账户及密码（相当于从前台form表单获取到的账号密码）
        UsernamePasswordToken token = new UsernamePasswordToken("root", "yubuntu0109");
        //6:主体登录
        try {
            currentUser.login(token);
            System.out.println("用户身份是否验证成功 :" + currentUser.isAuthenticated());
        } catch (UnknownAccountException e) {
            System.err.println("用户账户信息错误 !");
        } catch (IncorrectCredentialsException e) {
            System.err.println("用户密码信息错误 !");
        } catch (AuthenticationException e) {
            e.printStackTrace();
        }
        //8:注销登录
        currentUser.logout();
        System.out.println("身份身份是否注销成功 :" + !currentUser.isAuthenticated());

    }
}

源码流程

1：调用subject.login(AuthenticationToken token)方法进行用户登录,其会自动委托给securityManager.login(Subject subject, AuthenticationToken token)方法进行登录
2：securityManager(安全管理器)通过Authenticator(认证器)进行认证
3：Authenticator的实现类ModularRealmAuthenticator通过调用realm从shiro.ini配置文件中获取用户真实的信息(账户和密码),这里的Realm(域)可以看成DataSource,即安全数据源
4：IniRealm(可通过加载.ini文件生成reaml对象)先根据token中的账号去shiro.ini配置文件中去匹配该账号,如果找不到则ModularRealmAuthenticator返回null,如果找到则继续匹配密码,若匹配成功则认证通过,反之不通过
5：最后可以使用Subject.logout()进行退出操作

自定义realm

Realm : 域,Shiro从Realm获取安全数据(如用户、角色、权限),就是说SecurityManager要验证用户身份,那么它需要从Realm获取相应的用户进行比较以确定用户身份是否合法. 也需要从Realm得到用户相应的角色 / 权限进行验证用户是否能进行操作,可以把Realm看成 DataSource,即安全数据源. 如我们之前的ini配置方式使用的是org.apache.shiro.realm.text.IniRealm接口

//org.apache.shiro.realm.Realm接口
//返回一个唯一的Realm名字
String getName(); 
//判断此Realm是否支持此Token
boolean supports(AuthenticationToken token); 
//根据Token获取认证信息
AuthenticationInfo getAuthenticationInfo(AuthenticationToken token) throws AuthenticationException;

案例

依赖

<dependencies>
    <dependency>
        <groupId>junit</groupId>
        <artifactId>junit</artifactId>
        <version>4.11</version>
        <scope>test</scope>
    </dependency>
    <!-- Shiro核心包 -->
    <dependency>
        <groupId>org.apache.shiro</groupId>
        <artifactId>shiro-core</artifactId>
        <version>1.3.2</version>
    </dependency>
    <!-- slf4j的接口实现 -->
    <dependency>
        <groupId>org.slf4j</groupId>
        <artifactId>slf4j-log4j12</artifactId>
        <version>1.7.12</version>
    </dependency>
    <!-- java.lang.NoClassDefFoundError: org/apache/commons/logging/LogFactory -->
    <dependency>
        <groupId>commons-logging</groupId>
        <artifactId>commons-logging</artifactId>
        <version>1.2</version>
    </dependency>
</dependencies>

信息文件：shiro.ini

#自定义realm
myRealm = com.xxx.MyRealm
#指定SecurityManager的realms实现
securityManager.realm = $myRealm

自定义realm：MyRealm

public class MyRealm extends AuthorizingRealm {

    @Override
    public String getName() {
        return "myRealm"; //区分不同的Realm
    }

    @Override
    //授权操作
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        return null;
    }

    @Override
    //认证操作:其token存储着传入的用户登录信息(usernamePasswordToken)
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {

        //获取并验证用户账号信息(前端传入)
        String username = (String) token.getPrincipal();
        //与数据库中的数据进行比较
        if (!"root".equals(username)) {
            return null;
        }
        //假设数据库中用户密码信息
        String password = "yubuntu0109";

        //SimpleAuthenticationInfo(Object principal, Object credentials, String realmName)
        SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(username, password, getName());
        return info;
    }
}

测试

/**
 * 测试自定义realm
 */
public class loginByMyRealm {

    public static void main(String[] args) {
        //1:加载配置文件,创建SecurityManager工厂对象
        Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:my-shiro.ini");
        //2:获得securityManager实例对象
        SecurityManager securityManager = factory.getInstance();
        //3:将securityManger实例绑定到当前运行环境中,便于访问
        SecurityUtils.setSecurityManager(securityManager);
        //4:创建当前登录的主体
        Subject currentUser = SecurityUtils.getSubject();
        //5:绑定主体登录的身份/凭证,既账户及密码
        UsernamePasswordToken token = new UsernamePasswordToken("root", "yubuntu0109");
        //6:主体登录
        try {
            currentUser.login(token);
            System.out.println("用户身份是否验证成功 :" + currentUser.isAuthenticated());
        } catch (UnknownAccountException e) {
            System.err.println("用户账户错误 !");
        } catch (IncorrectCredentialsException e) {
            System.err.println("用户密码错误 !");
        } catch (AuthenticationException e) {
            e.printStackTrace();
        }
        //8:注销登录
        currentUser.logout();
        System.out.println("身份身份是否注销成功 :" + !currentUser.isAuthenticated());

    }
}

realm密码加密

散列算法一般用于生成数据的摘要信息,是一种不可逆的算法,一般适合存储密码之类的数据,常见的散列算法如MD5、SHA等.
通过使用MD5加密自定义Realm,

[main]
#定义凭证匹配器
credentialsMatcher = org.apache.shiro.authc.credential.HashedCredentialsMatcher
#散列算法
credentialsMatcher.hashAlgorithmName = md5
#散列次数
credentialsMatcher.hashIterations = 10
#将凭证匹配器设置到realm
myRealm = com.xxx.EncryRealm
myRealm.credentialsMatcher = $credentialsMatcher
securityManager.realms = $myRealm

/**
*加密realm
*/
public class EncryRealm extends AuthorizingRealm {

    @Override
    public String getName() {
        return "myRealm"; //区分不同的Realm
    }

    @Override
    //授权操作
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        return null;
    }

    @Override
    //认证操作
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {

        //获取用户账户信息
        String username = token.getPrincipal().toString();
        if (!"root".equals(username)) {
            return null;
        }
        //MD5加密后的用户密码信息
        String password = "f3005f7acf36cec973498845460b0c33";//password + username + 10
        //指定盐值:ByteSource.Util.bytes(username)
        return new SimpleAuthenticationInfo(username, password, ByteSource.Util.bytes(username), getName());
    }
}

用户授权

授权,也叫访问控制,即在应用中控制谁能访问哪些资源(如访问页面/编辑数据/页面操作等). 在授权中需了解的几个关键对象 : 主体(Subject)、资源(Resource)、权限(Permission)、角色(Role)
主体 : 主体,即访问应用的用户,在Shiro中使用Subject代表该用户. 用户只有授权后才允许访问相应的资源
资源 : 在应用中用户可以访问的任何资源,比如访问JSP页面、查看/编辑某些数据、访问某个业务方法、打印文本等等..用户需要授权后方可访问
权限 : 安全策略中的原子授权单位,可用权限控制用户在应用中是否能访问某个资源,如访问用户列表页面,查看/新增/修改/删除用户数据(基本为CRUD式权限控制)
角色 : 角色代表了操作集合,可以理解为权限的集合,一般情况下我们会赋予用户角色而不是权限,即这样用户可以拥有一组权限,不同的角色拥有一组不同的权限
- 隐式角色 : 即直接通过角色来验证用户有没有操作权限,即粒度是以角色为单位进行访问控制的,粒度较粗. 若进行变更可能需要多处代码的修改
- 显示角色 : 在程序中通过权限控制谁能访问某个资源,角色聚合一组权限集合. 这样若需要哪个角色不能访问某个资源,只需要从角色代表的权限集合中移除指定的访问权限即可,无须修改多处

授权方式

编程式 : 通过写if/else授权代码块完成

Subject subject = SecurityUtils.getSubject();
if(subject.hasRole("admin")) {
    //有权限
} else {
    //无权限
}

注解式 : 通过在执行的Java方法上放置相应的注解完成

@RequiresRoles("admin")
public void hello() {
    //有权限
}

JSP/GSP 标签 : 在JSP/GSP页面通过相应的标签完成

<shiro:hasRole name="admin">
<!— 有权限 —>
</shiro:hasRole>

授权流程

首先调用Subject.isPermitted/hasRole接口,其会委托给SecurityManager,而SecurityManager接着会委托给Authorizer
Authorizer是真正的授权者,如果我们调用如isPermitted(“user:create”),其首先会通过PermissionResolver把字符串转换成相应的Permission实例
在进行授权之前,其会调用相应的Realm获取Subject相应的角色/权限用于匹配传入的角色/权限
Authorizer会判断Realm的角色/权限是否和传入的匹配,如果有多个Realm,则会委托给ModularRealmAuthorizer进行循环判断,如果匹配如isPermitted/hasRole会返回true,否则返回false以表示授权失败

检查角色

依赖

<dependencies>
    <dependency>
        <groupId>junit</groupId>
        <artifactId>junit</artifactId>
        <version>4.11</version>
        <scope>test</scope>
    </dependency>
    <!-- Shiro核心包 -->
    <dependency>
        <groupId>org.apache.shiro</groupId>
        <artifactId>shiro-core</artifactId>
        <version>1.3.2</version>
    </dependency>
    <!-- slf4j的接口实现 -->
    <dependency>
        <groupId>org.slf4j</groupId>
        <artifactId>slf4j-log4j12</artifactId>
        <version>1.7.12</version>
    </dependency>
    <!-- java.lang.NoClassDefFoundError: org/apache/commons/logging/LogFactory -->
    <dependency>
        <groupId>commons-logging</groupId>
        <artifactId>commons-logging</artifactId>
        <version>1.2</version>
    </dependency>
</dependencies>

配置信息：shiro.ini

#权限表达式的定义:首先根据用户名查找角色,再根据角色查找权限,角色是权限的集合

[users]
#用户hunagyuhui的密码为loveyourself,且具有student和programmer两个角色
huangyuhui = loveyourself,student,programmer

[roles]
#角色student对资源'user'拥有create,update权限
student = user:create,user:update
#角色programmer对资源'user'read,delete权限
programmer = user:read,user:delete

测试

public class RolesTest {

    public static void main(String[] args) {
        //1:加载配置文件,创建SecurityManager工厂对象
        Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:per-shiro.ini");
        //2:获得securityManager实例对象
        SecurityManager securityManager = factory.getInstance();
        //3:将securityManger实例绑定到当前运行环境中,便于访问
        SecurityUtils.setSecurityManager(securityManager);
        //4:创建当前登录的主体
        Subject currentUser = SecurityUtils.getSubject();
        //5:绑定主体登录的身份/凭证,既账户及密码
        UsernamePasswordToken token = new UsernamePasswordToken("huangyuhui", "loveyourself");
        //6:主体登录
        try {
            currentUser.login(token);
            System.out.println("用户身份是否验证成功 :" + currentUser.isAuthenticated());
            //7:进行用户角色判断
            System.out.println("判断当前登录用户是否拥有'student'角色 : " + currentUser.hasRole("student"));
            System.out.println("判断当前登录用户是否同时拥有'student'与'programmer'角色 : " + currentUser.hasAllRoles(List.of("student", "programmer")));
            System.out.println("判断当前登录用户是否拥有'student','programmer','singer'角色 : " + Arrays.toString(currentUser.hasRoles(List.of("student", "programmer", "singer"))));
            //判断当前用户是否拥有某个角色,若拥有该角色则不做任何操作(无返回值),反之则抛出:UnauthorizedException
            currentUser.checkRole("singer");

        } catch (UnknownAccountException e) {
            System.err.println("用户账户错误 !");
        } catch (IncorrectCredentialsException e) {
            System.err.println("用户密码错误 !");
        } catch (UnauthorizedException e) {
            System.err.println("用户并不拥有'singer'角色 !");
        } catch (AuthenticationException e) {
            e.printStackTrace();
        }
        //8:注销登录
        currentUser.logout();
        System.out.println("用户信息是否注销成功 :" + !currentUser.isAuthenticated());

    }
}
/*
// ······
用户身份是否验证成功 :true
// ······
判断当前登录用户是否拥有'student'角色 : true
// ······
判断当前登录用户是否同时拥有'student'与'programmer'角色 : true
// ······
判断当前登录用户是否拥有'student','programmer','singer'角色 : [true, true, false]
// ······
用户并不拥有'singer'角色 !
// ······
用户信息是否注销成功 :true
*/

Read All

Oracle-11g

2019-11-20

百味皆苦

数据库

数据库 Oracle
SqlPlus常用命令
- Oracle11g 登录 sqlplus 两种方式
  - Scott@orcl 密码
  - Scott/system@orcl
- 使用查询、插入、删除、update 等等类似 sql 的语句的时候需要加;结尾。
- 查看登录用户：show user；
- 切换用户：
  - Conn[ect]
  - Conn system/system@orcl
  - Conn sys@orcl as sysdba(sysoper)
  - 使用 conn sys@orcl 后面一定要跟上 as 角色权限
- 断开连接：disc[onnect]
- passw[word] 用户
  - 以高级用户重置低级用户密码
  - 普通用户也可以给自己重置密码（前提是得知道自己的密码）
- exit：退出，该命令会断开与数据库的连接，同时退出数据库
文件操作命令
- start
  - 调用外部的脚本
  - 在地盘存放了 select * from dept;的语句，并保存为 dept.sql
  - sql>start d:\dept.sql
- edit
  - 该命令可以编辑指定的脚本
  - Sql>edit d:\dept.sql
  - 在打开的sql脚本中编辑sql
- spool
  - 该命令可以将sqlplus屏幕上的内容输出到特定文件里
  - Sql>spool d:\dept.sql
  - Sql>select * from dept;
  - Sql>spool off
  - 注意：当 spool off 后，方把所有的输出写入到外部 dept.sql 文件里
- &
  - 可以替代变量，变量的值在交互时由用户输入
  - Sql>select * from dept DNAME=’&DNAME’;
  - Sql>根据提示输入相应的值：例如 SALES
用户管理
- 创建用户（sys system用户）
  - create user username identified by password
  - 注意：密码不能以数字开头
  - 新创建的用户不能通过conn立刻登录，需要先赋予一定的权限
  - grant create session to username;
  - sql>conn edu/system@orcl 就可以登录了
管理用户
- 创建一个用户 software，然后给他分配权限，可以让 software 登录数据库、创建表、可以操作自己创建的表；回收角色，最后删除用户。
- 使用 system 创建 software 用户,密码设置为 system
  
  create user software identified system;
- 要想让 software 登录（连接）数据库，需要给其 connect、session 权限（角色）；
  
  grant connect to software;
  
  grant resource to software;
- 使用 software 用户登录
  
  conn software/system@orcl
- Software 创建一张表
  
  create table users(id number)
- 删除 software 用户
  
  drop user software [cascade]
  
  注意：当 software 拥有自己的数据对象时，加上选项 cascade，一并把该用户拥有数据对象删除
赋予权限

访问其他用户表
- 完成一个功能，让 xiaohong 用户可以查询 scott 的 emp 表
- Scott登录
  
  conn scott/system
- 赋予权限
  
  grant select[/update/delete/insert/all] on emp to xiaohong
- xiaohong登录
  
  conn xiaohong/system
- 小红查询 scott 的 emp 表
  
  select * from scott.emp;
常用数据类型
- 三大类：文本，数值，时间
文本
- char（size）
  - 存放定长的字符串，最大存放2000个字符
  - 长度不能超过size，不够size用空格补齐
  - 字符串的长度一般是16的倍数，32，64，128
- varchar2（size）
  
  变长，最大可存放4000个字符
- nchar(size),nvarchar2(size)
  
  n代表的意思是编码格式为Unicode编码，无论中文还是英文都用一个字符来存放数据
  
  比如：“a”，占用一个字符，“软”，也是占用一个字符
- clob（size）
  
  变长，字符型的大对象，最大8tb
  
  在varchar2不够用的情况下使用clob
- blob（size）
  
  变长，二进制数据，可以存放图片声音等，8tb
数值
- number（p，s）
  
  变长，可以存放整数和小数
  
  p表示有效位（从左开始），s表示小数位；范围：p[1,38],s[-84,127]
  
  Number 可以表示的数值范围：-1.0e-130 ~~1.0e+126
  
  占用机器码的空间是 1~22bytes
日期
- date
  
  oracle dd-mm-yyyy
  
  Sql->insert into test1(’01-1 月-14’);
- timestamp(n)
  
  邮戳的时间类型
  
  与 date 区别，邮戳（timestamp）当某条数据更新时，使用邮戳字段也会自动更新。
修改表字段
- alter table tablename add (colname datatype);
- alter table tablename modify (colname datatype);
- alter table tablename drop column colname;
- rename old_tablename to new_tablename;
- drop table tablename;
分页查询
- 通用模板：查询emp表中第4到6行数据
  
  select t2.* from (select t1.empno,t1.ename,rownum rw from (select * from emp) t1 where rownum<=6 ) t2 where rw >=4;
- 请按照入职时间的先后进行排序，查询从 7 行到 10 行的雇员是谁。
  
  select t2.* from (select t1.empno,t1.ename,rownum rw from (select * from emp order by hiredate) t1 where rownum<=10 ) t2 where rw >=7;
合并查询
- Union,union all,intersect,minus
- Union
  
  并集：该操作符用于取得两个结果集的并集。当使用该操作符时，会自动去掉结果集中重复的行。
- Union all
  
  该操作符不会去掉重复行，而且不排序显示，重复的内容显示 2次。
  
  select ename,sal,job from emp where sal>2500 union all select ename,sal,job from emp where job=’MANAGER’
- Intersect
  
  该操作符用于取得两个结果集的交集
- Minus
  
  使用该操作符用于取得两个结果集的差集，它只会显示存在第 1个集合中，而不存在第二个集合中的数据。
函数

单行函数
- REPLACE(‘string’,’s1’,’s2’)
  
  string：希望被替换的字符或变量
  
  s1：被替换的字符串
  
  s2 ：要替换的字符串
- INSTR(C1,C2,I,J)
  
  在一个字符串中搜索指定的字符,返回发现指定的字符的位置;
  
  C1：被搜索的字符串
  
  C2：希望搜索的字符串
  
  I ：搜索的开始位置,默认为 1
  
  J ：出现的位置,默认为 1
- ASCII（s）
  
  返回与指定的字符对应的十进制数;
- CHR（number）
  
  给出整数,返回对应的字符;
- CONCAT
  
  连接两个字符串;
- INITCAP
  
  返回字符串并将字符串的第一个字母变为大写;
- SUBSTR(string,start,count)
  
  取子字符串,从 start 开始,取 count 个
- LENGTH
  
  返回字符串的长度;
- LOWER
  
  返回字符串,并将所有的字符小写
- UPPER
  
  返回字符串,并将所有的字符大写
- Rpad 和 lpad 函数
  
  RPAD 在列的右边粘贴字符
  
  LPAD 在列的左边粘贴字符
  
  不够字符则用*来填满
- LTRIM 和 RTRIM 函数
  
  LTRIM 删除左边出现的字符串
  
  RTRIM 删除右边出现的字符串
- CEIL（不是四舍五入，向上取整）
  
  返回大于或等于给出数字的最小整数
- FLOOR
  
  对给定的数字取整数
- MOD(n1,n2)
  
  返回一个 n1 除以 n2 的余数
- POWER(n1,n2)
  
  返回 n1 的 n2 次方根
- ROUND 和 TRUNC
  
  按照指定的精度进行舍入
  
  Round 四舍五入
  
  Trunc 截取（可以指定截取到哪 1 位，没有指定的话，则默认截取到整数）
- SYSDATE
  
  用来得到系统的当前日期
- TO_DATE(string,’format’)
  
  将字符串转化为 ORACLE 中的一个日期
- TO_NUMBER
  
  将给出的字符转换为数字
Read All
java注解

2019-11-13

百味皆苦

注解

注解
何为注解
- 乔布斯重新定义了手机、罗永浩重新定义了傻X（这里纯属引用玩笑），这其实就是等同于贴标签的行为。在某些网友眼中，罗永浩就成了傻X的代名词。
- 广大网友给罗永浩贴了一个名为“傻x”的标签，他们并不真正了解罗永浩，不知道他当教师、砸冰箱、办博客的壮举，但是因为“傻x”这样的标签存在，这有助于他们直接快速地对罗永浩这个人做出评价，然后基于此，罗永浩就可以成为茶余饭后的谈资，这就是标签的力量。而在网络的另一边，老罗靠他的人格魅力自然收获一大批忠实的拥泵，他们对于老罗贴的又是另一种标签（段子手，单口相声演员，工匠精神）。
- 我们可以抽象概括一下，标签是对事物行为的某些角度的评价与解释。
- 初学者可以这样理解注解：想像代码具有生命，注解就是对于代码中某些鲜活个体的贴上去的一张标签。简化来讲，注解如同一张标签。
注解语法定义
- 注解通过 @interface关键字进行定义。
- 它的形式跟接口很类似，不过前面多了一个 @ 符号。
```
public @interface TestAnnotation {
}
```
- 以上可以简单理解为创建了一张名字为 TestAnnotation 的标签。
```
@TestAnnotation
public class Test {
}
```
- 创建一个类 Test,然后在类定义的地方加上 @TestAnnotation 就可以用 TestAnnotation 注解这个类了。你可以简单理解为将 TestAnnotation 这张标签贴到 Test 这个类上面。
元注解
- 元注解也是一张标签，但是它是一张特殊的标签，它的作用和目的就是给其他普通的标签进行解释说明的。
- 元注解是可以注解到注解上的注解，或者说元注解是一种基本注解，但是它能够应用到其它的注解上面。
- 元标签有 @Retention、@Documented、@Target、@Inherited、@Repeatable 5 种。
@Retention
- 当 @Retention 应用到一个注解上的时候，它解释说明了这个注解的的存活时间。
- 它的取值如下：
  - RetentionPolicy.SOURCE 注解只在源码阶段保留，在编译器进行编译时它将被丢弃忽视。
  - RetentionPolicy.CLASS 注解只被保留到编译进行的时候，它并不会被加载到 JVM 中。
  - RetentionPolicy.RUNTIME 注解可以保留到程序运行的时候，它会被加载进入到 JVM 中，所以在程序运行时可以获取到它们。
- @Retention 去给一张标签解释的时候，它指定了这张标签张贴的时间。
- @Retention 相当于给一张标签上面盖了一张时间戳，时间戳指明了标签张贴的时间周期。
```
@Retention(RetentionPolicy.RUNTIME)
public @interface TestAnnotation {
}
```
- 上面的代码中，我们指定 TestAnnotation 可以在程序运行周期被获取到，因此它的生命周期非常的长。
@Documented
- 顾名思义，这个元注解肯定是和文档有关。它的作用是能够将注解中的元素包含到 Javadoc 中去。
@Target
- Target 是目标的意思，@Target 指定了注解运用的地方。
- 当一个注解被 @Target 注解时，这个注解就被限定了运用的场景。
- 类比到标签，原本标签是你想张贴到哪个地方就到哪个地方，但是因为 @Target 的存在，它张贴的地方就非常具体了，比如只能张贴到方法上、类上、方法参数上等等。
- @Target 有下面的取值:
  - ElementType.ANNOTATION_TYPE 可以给一个注解进行注解
  - ElementType.CONSTRUCTOR 可以给构造方法进行注解
  - ElementType.FIELD 可以给属性进行注解
  - ElementType.LOCAL_VARIABLE 可以给局部变量进行注解
  - ElementType.METHOD 可以给方法进行注解
  - ElementType.PACKAGE 可以给一个包进行注解
  - ElementType.PARAMETER 可以给一个方法内的参数进行注解
  - ElementType.TYPE 可以给一个类型进行注解，比如类、接口、枚举
@Inherited
- Inherited 是继承的意思，但是它并不是说注解本身可以继承，而是说如果一个超类被 @Inherited 注解过的注解进行注解的话，那么如果它的子类没有被任何注解应用的话，那么这个子类就继承了超类的注解。
```
@Inherited
@Retention(RetentionPolicy.RUNTIME)
@interface Test {}


@Test
public class A {}


public class B extends A {}
```
- 注解 Test 被 @Inherited 修饰，之后类 A 被 Test 注解，类 B 继承 A,类 B 也拥有 Test 这个注解。
- 可以这样理解：老子非常有钱，所以人们给他贴了一张标签叫做富豪。老子的儿子长大后，虽然别人没有给他贴标签，但是他自然也是富豪。这就是人们口中戏称的富一代，富二代，富三代。
@Repeatable
- Repeatable 自然是可重复的意思。
- 什么样的注解会多次应用呢？通常是注解的值可以同时取多个。
```
@interface Persons {
	Person[]  value();
}


@Repeatable(Persons.class)
@interface Person{
	String role default "";
}


@Person(role="artist")
@Person(role="coder")
@Person(role="PM")
public class SuperMan{
	
}

//一个人他既是程序员又是产品经理,同时他还是个画家。
```
- @Repeatable 注解了 Person。而 @Repeatable 后面括号中的类相当于一个容器注解。
- 什么是容器注解呢？就是用来存放其它注解的地方。它本身也是一个注解。
- 按照规定，Persons里面必须要有一个 value 的属性，属性类型是一个被 @Repeatable 注解过的注解数组，注意它是数组。
- Persons 是一张总的标签，上面贴满了 Person 这种同类型但内容不一样的标签。把 Persons 给一个 SuperMan 贴上，相当于同时给他贴了程序员、产品经理、画家的标签。
注解的属性
- 注解的属性也叫做成员变量。
- 注解只有成员变量，没有方法。
- 注解的成员变量在注解的定义中以“无形参的方法”形式来声明，其方法名定义了该成员变量的名字，其返回值定义了该成员变量的类型。
```
@Target(ElementType.TYPE)
@Retention(RetentionPolicy.RUNTIME)
public @interface TestAnnotation {
	
	int id();
	
	String msg();

}
```
- TestAnnotation 这个注解中拥有 id 和 msg 两个属性。在使用的时候，我们应该给它们进行赋值。
- 赋值的方式是在注解的括号内以 value=”” 形式，多个属性之前用，隔开。
```
@TestAnnotation(id=3,msg="hello annotation")
public class Test {

}
```
- 需要注意的是，在注解中定义属性时它的类型必须是 8 种基本数据类型外加类、接口、注解及它们的数组。
- 注解中属性可以有默认值，默认值需要用 default 关键值指定。
```
@Target(ElementType.TYPE)
@Retention(RetentionPolicy.RUNTIME)
public @interface TestAnnotation {
	
	public int id() default -1;
	
	public String msg() default "Hi";

}
```
- 如果一个注解内仅仅只有一个名字为 value 的属性时，应用这个注解时可以直接将属性值填写到括号内。
```
public @interface Check {
	String value();
}
```
```
@Check("hi")
int a;
//效果等同于
@Check(value="hi")
int a;
```
- 如果一个注解没有任何属性，那么在应用这个注解的时候，括号都可以省略。
```
public @interface Perform {}
```
```
@Perform
public void testMethod(){}
```
java预设注解

@Deprecated
- 这个元素是用来标记过时的元素
- 编译器在编译阶段遇到这个注解时会发出提醒警告，告诉开发者正在调用一个过时的元素比如过时的方法、过时的类、过时的成员变量。
@Override
- 提示子类要复写父类中被 @Override 修饰的方法
@SuppressWarnings
- 阻止警告的意思。
- 调用被 @Deprecated 注解的方法后，编译器会警告提醒，而有时候开发者会忽略这种警告，他们可以在调用的地方通过 @SuppressWarnings 达到目的。
@SafeVarargs
- 参数安全类型注解。
- 它的目的是提醒开发者不要用参数做一些不安全的操作,它的存在会阻止编译器产生 unchecked 这样的警告。
```
@SafeVarargs // Not actually safe!
	static void m(List<String>... stringLists) {
	Object[] array = stringLists;
	List<Integer> tmpList = Arrays.asList(42);
	array[0] = tmpList; // Semantically invalid, but compiles without warnings
	String s = stringLists[0].get(0); // Oh no, ClassCastException at runtime!
}
```
@FunctionalInterface
- 函数式接口注解
- 函数式接口 (Functional Interface) 就是一个具有一个方法的普通接口。
注解提取
- 形象的比喻就是你把这些注解标签在合适的时候撕下来，然后检阅上面的内容信息。
- 要想正确检阅注解，离不开一个手段，那就是反射。
注解与反射
- 注解通过反射获取。
- 可以通过 Class 对象的 isAnnotationPresent() 方法判断它是否应用了某个注解
```
public boolean isAnnotationPresent(Class<? extends Annotation> annotationClass) {}
```
- 然后通过 getAnnotation() 方法来获取 Annotation 对象。
```
 public <A extends Annotation> A getAnnotation(Class<A> annotationClass) {}
```
- 或者是 getAnnotations() 方法。
```
public Annotation[] getAnnotations() {}
```
- 前一种方法返回指定类型的注解，后一种方法返回注解到这个元素上的所有注解。
- 如果获取到的 Annotation 如果不为 null，则就可以调用它们的属性方法了。
```
@TestAnnotation()
public class Test {
	
	public static void main(String[] args) {
		
		boolean hasAnnotation = Test.class.isAnnotationPresent(TestAnnotation.class);
		
		if ( hasAnnotation ) {
			TestAnnotation testAnnotation = Test.class.getAnnotation(TestAnnotation.class);
			
			System.out.println("id:"+testAnnotation.id());
			System.out.println("msg:"+testAnnotation.msg());
		}

	}

}
/*
id:-1
msg:
*/
```
- 属性、方法上的注解照样可以使用反射获取
```
@TestAnnotation(msg="hello")
public class Test {
	
	@Check(value="hi")
	int a;
	
	
	@Perform
	public void testMethod(){}
	
	
	@SuppressWarnings("deprecation")
	public void test1(){
		Hero hero = new Hero();
		hero.say();
		hero.speak();
	}


	public static void main(String[] args) {
		
		boolean hasAnnotation = Test.class.isAnnotationPresent(TestAnnotation.class);
		
		if ( hasAnnotation ) {
			TestAnnotation testAnnotation = Test.class.getAnnotation(TestAnnotation.class);
			//获取类的注解
			System.out.println("id:"+testAnnotation.id());
			System.out.println("msg:"+testAnnotation.msg());
		}
		
		
		try {
			Field a = Test.class.getDeclaredField("a");
			a.setAccessible(true);
			//获取一个成员变量上的注解
			Check check = a.getAnnotation(Check.class);
			
			if ( check != null ) {
				System.out.println("check value:"+check.value());
			}
			
			Method testMethod = Test.class.getDeclaredMethod("testMethod");
			
			if ( testMethod != null ) {
				// 获取方法中的注解
				Annotation[] ans = testMethod.getAnnotations();
				for( int i = 0;i < ans.length;i++) {
					System.out.println("method testMethod annotation:"+ans[i].annotationType().getSimpleName());
				}
			}
		} catch (NoSuchFieldException e) {
			// TODO Auto-generated catch block
			e.printStackTrace();
			System.out.println(e.getMessage());
		} catch (SecurityException e) {
			// TODO Auto-generated catch block
			e.printStackTrace();
			System.out.println(e.getMessage());
		} catch (NoSuchMethodException e) {
			// TODO Auto-generated catch block
			e.printStackTrace();
			System.out.println(e.getMessage());
		}	

	}

}

/*
id:-1
msg:hello
check value:hi
method testMethod annotation:Perform
*/
```
- 如果一个注解要在运行时被成功提取，那么 @Retention(RetentionPolicy.RUNTIME) 是必须的。
使用场景
- 提供信息给编译器：编译器可以利用注解来探测错误和警告信息
- 编译阶段时的处理：软件工具可以用来利用注解信息来生成代码、Html文档或者做其它相应处理。
- 运行时的处理：某些注解可以在程序运行的时候接受代码的提取
- 注解不是代码本身的一部分。罗永浩还是罗永浩，不会因为某些人对于他“傻x”的评价而改变，标签只是某些人对于其他事物的评价，但是标签不会改变事物本身，标签只是特定人群的手段。所以，注解同样无法改变代码本身，注解只是某些工具的的工具。
- 当开发者使用了Annotation 修饰了类、方法、Field 等成员之后，这些 Annotation 不会自己生效，必须由开发者提供相应的代码来提取并处理 Annotation 信息。这些处理提取和处理 Annotation 的代码统称为 APT（Annotation Processing Tool)。
Read All

20/59

Welcome to My Blog!

shiro权限框架

基本概念

架构

登录登出

案例

源码流程

自定义realm

案例

realm密码加密

用户授权

授权方式

授权流程

检查角色

Oracle-11g

SqlPlus常用命令

文件操作命令

用户管理

管理用户

赋予权限

访问其他用户表

常用数据类型

文本

数值

日期

修改表字段

分页查询

合并查询

函数

单行函数

java注解

何为注解

注解语法定义

元注解

@Retention

@Documented

@Target

@Inherited

@Repeatable

注解的属性

java预设注解

@Deprecated

@Override

@SuppressWarnings

@SafeVarargs

@FunctionalInterface

注解提取

注解与反射

使用场景