shiro教程(3)-shiro授权

最新推荐文章于 2023-07-11 20:42:20 发布
最新推荐文章于 2023-07-11 20:42:20 发布
阅读量2.6k 收藏 17
点赞数 3
分类专栏: √ shiro 带你进入shiro的世界 文章标签: shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sihai12345/article/details/68948456
版权

shiro授权

1.1 授权流程

1.2 授权方式

Shiro 支持三种方式的授权:

1、编程式:通过写if/else 授权代码块完成:

Subject subject = SecurityUtils.getSubject();

if(subject.hasRole(“admin”)) {

//有权限

} else {

//无权限

}

2、注解式:通过在执行的Java方法上放置相应的注解完成:

@RequiresRoles("admin")

public void hello() {

//有权限

}

3、 JSP/GSP 标签:在JSP/GSP页面通过相应的标签完成:

<shiro:hasRole name="admin">

<!— 有权限—>

</shiro:hasRole>

本教程序授权测试使用第一种编程方式,实际与web系统集成使用后两种方式。

1.3 授权测试

1.3.1 shiro-permission.ini

创建存放权限的配置文件shiro-permission.ini,如下:

[users]
#用户zhang的密码是123,此用户具有role1和role2两个角色
zhang=123,role1,role2
wang=123,role2

[roles]
#角色role1对资源user拥有create、update权限
role1=user:create,user:update
#角色role2对资源user拥有create、delete权限
role2=user:create,user:delete
#角色role3对资源user拥有create权限
role3=user:create

在ini文件中用户、角色、权限的配置规则是:“用户名=密码,角色1,角色2...” “角色=权限1,权限2...”,首先根据用户名找角色,再根据角色找权限,角色是权限集合。

1.3.2 权限字符串规则

权限字符串的规则是:“资源标识符:操作:资源实例标识符”,意思是对哪个资源的哪个实例具有什么操作,“:”是资源/操作/实例的分割符,权限字符串也可以使用*通配符。

例子:

用户创建权限:user:create,或user:create:*

用户修改实例001的权限:user:update:001

用户实例001的所有权限:user:*:001

1.3.3 测试代码

测试代码同认证代码,注意ini地址改为shiro-permission.ini,主要学习下边授权的方法,注意:在用户认证通过后执行下边的授权代码。

@Test

public void testPermission() {

 

// 从ini文件中创建SecurityManager工厂

Factory<SecurityManager> factory = new IniSecurityManagerFactory(

"classpath:shiro-permission.ini");

 

// 创建SecurityManager

SecurityManager securityManager = factory.getInstance();

 

// 将securityManager设置到运行环境

SecurityUtils.setSecurityManager(securityManager);

 

// 创建主体对象

Subject subject = SecurityUtils.getSubject();

 

// 对主体对象进行认证

// 用户登陆

// 设置用户认证的身份(principals)和凭证(credentials)

UsernamePasswordToken token = new UsernamePasswordToken("zhang", "123");

try {

subject.login(token);

} catch (AuthenticationException e) {

// TODO Auto-generated catch block

e.printStackTrace();

}

 

// 用户认证状态

Boolean isAuthenticated = subject.isAuthenticated();

 

System.out.println("用户认证状态:" + isAuthenticated);

 

// 用户授权检测 基于角色授权

// 是否有某一个角色

System.out.println("用户是否拥有一个角色:" + subject.hasRole("role1"));

// 是否有多个角色

System.out.println("用户是否拥有多个角色:" + subject.hasAllRoles(Arrays.asList("role1", "role2")));

//subject.checkRole("role1");

//subject.checkRoles(Arrays.asList("role1", "role2"));

 

// 授权检测,失败则抛出异常

// subject.checkRole("role22");

 

// 基于资源授权

System.out.println("是否拥有某一个权限:" + subject.isPermitted("user:delete"));

System.out.println("是否拥有多个权限:" + subject.isPermittedAll("user:create:1","user:delete"));

//检查权限

subject.checkPermission("sys:user:delete");

subject.checkPermissions("user:create:1","user:delete");

 

}

1.3.4 基于角色的授权

// 用户授权检测 基于角色授权

// 是否有某一个角色

System.out.println("用户是否拥有一个角色:" + subject.hasRole("role1"));

// 是否有多个角色

System.out.println("用户是否拥有多个角色:" + subject.hasAllRoles(Arrays.asList("role1", "role2")));

对应的check方法:

subject.checkRole("role1");

subject.checkRoles(Arrays.asList("role1","role2"));

上边check方法如果授权失败则抛出异常:

org.apache.shiro.authz.UnauthorizedException: Subject does not have role [.....]

1.3.5 基于资源授权

// 基于资源授权

System.out.println("是否拥有某一个权限:" + subject.isPermitted("user:delete"));

System.out.println("是否拥有多个权限:" + subject.isPermittedAll("user:create:1","user:delete"));

对应的check方法:

subject.checkPermission("sys:user:delete");

subject.checkPermissions("user:create:1","user:delete");

上边check方法如果授权失败则抛出异常:

org.apache.shiro.authz.UnauthorizedException: Subject does not have permission [....]

1.4 自定义realm

与上边认证自定义realm一样,大部分情况是要从数据库获取权限数据,这里直接实现基于资源的授权。

1.4.1 realm代码

在认证章节写的自定义realm类中完善doGetAuthorizationInfo方法,此方法需要完成:根据用户身份信息从数据库查询权限字符串,由shiro进行授权。

// 授权

@Override

protected AuthorizationInfo doGetAuthorizationInfo(

PrincipalCollection principals) {

// 获取身份信息

String username = (String) principals.getPrimaryPrincipal();

// 根据身份信息从数据库中查询权限数据

//....这里使用静态数据模拟

List<String> permissions = new ArrayList<String>();

permissions.add("user:create");

permissions.add("user.delete");

//将权限信息封闭为AuthorizationInfo

SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();

for(String permission:permissions){

simpleAuthorizationInfo.addStringPermission(permission);

}

return simpleAuthorizationInfo;

}

1.4.2 shiro-realm.ini

ini配置文件还使用认证阶段使用的,不用改变。

1.4.3 测试代码

同上边的授权测试代码,注意修改ini地址为shiro-realm.ini。

1.4.4 授权执行流程

1、 执行subject.isPermitted("user:create")

2、 securityManager通过ModularRealmAuthorizer进行授权

3、 ModularRealmAuthorizer调用realm获取权限信息

4、ModularRealmAuthorizer再通过permissionResolver解析权限字符串,校验是否匹配

 

hello-java-maker
关注
  • 3
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
shiro简介及入门
qq_44847231的博客
10-13 423
文章目录shiro简介1. 什么是shiro2. 在应用程序角度来观察如何使用Shiro完成工作3. shiro架构Shiro入门案例Shiro与web容器的集成 shiro简介 1. 什么是shiro shiro是apache的一个开源框架,是一个权限管理的框架,实现 用户认证、用户授权。 spring中有spring security (原名Acegi),是一个权限框架,它和spring依赖过...
用url作为shiropermission的范例
03-29
是用菜单URL作为shiropermission来管理,每一个用户分配其角色(可以有多个角色),这个系统要求必须登录才能使用,如果是对外的公开项目就不合适,shiro一般也是用在需要控制权限的项目. 每个角色分配其可以访问的url,所以当一个用户登录的时候,他会有可以访问的url的清单,这样我们就可以利用动态生成菜单和在页面上配置的方式让其只能看见自己可以访问的菜单,用户登录的时候只能看到他有权限的菜单,只要能看到的菜单或功能,都是有权限访问的. 项目用到spring-boot和mybatis。需要在test数据库里运行代码里的sql脚本,默认登录用户hao或yiqian,密码都是12345
shiro权限代码
04-08
有自动数据生成的数据库,所以不用感到懵逼,里面有关于shiro的认证授权等相关代码,欢迎大家下载,有写不好的地方请指正,谢谢。
Shiro 授权(权限)
我的博客----机械鱼人
01-09 1209
一、授权(权限) 1.1 什么是权限 授权,也叫访问控制,即在应用中控制谁能访问哪些资源(如访问页面/编辑数据/页面操作等)。 1.2 权限框架 shiro spring security Apache Shiro是Java的一个安全框架。目前,使用Apache Shiro的人越来越多,因为它相当简单, 对比Spring Security,可能没有Spring Security做的功能强大,但...
Shiropermission管理,用户的认证和授权
超人的博客
08-16 3551
以下是步骤: 1.web.xml中配置:<display-name>shirodemo</display-name> <welcome-file-list> <welcome-file>index.jsp</welcome-file> </welcome-file-list> <context-param> <param-name>contex
shiro 授权
快乐的小三菊的博客
05-14 1621
shiro 授权源码探究
权限解决方案:Shiro自定义Permission、AOP + Shiro
qq_45716444的博客
06-01 2575
权限解决方案 Shiro自定义Permission Shiro授权扩展 Shiro AuthorizerRealm重写isPermitted AOP + Shiro AOP 加 Shiro
ShiroPermission字符串及认证授权的相关内容
kevin的博客
05-09 1080
粗颗粒:对资源类型的管理称为粗颗粒度权限控制,即只控制到菜单、按钮、方法。细颗粒:对资源实例的控制称为细颗粒度权限管理,即控制到数据级别的权限。
shiro的@RequiresPermissions五种注解使用说明
weixin_46504244的博客
09-19 4087
@RequiresAuthentication 验证用户是否登录,跟subject.isAuthenticated()结果为true时一样。 @RequiresUser 验证用户是否被记忆,user有两种含义: 成功登录的(subject.isAuthenticated()结果为true); 被记忆的(subject.isRemembered()结果为true)。 @RequiresGuest ...
Shiro最全基础教程
思月行云
10-18 2265
以下引自百度百科shiro(java安全框架)_百度百科Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。(一)主要功能三个核心组件:Subject,SecurityManager 和 Realms。
Shiro教程(一):入门概述与基本使用
WwLK123的博客
07-11 2094
Shiro入门概述与基本使用
shiro-all-1.4.2.jar下载
08-21
shiro是java安全框架工具,而使用shiro jar包可以执行身份验证,授权,密码学和会话管理功能,想使用shiro这款安全框架的朋友们,欢迎前来下载shiro jar包进行使用。
shiro教程文档-张开涛
03-17
shiro文档张开涛,文档详细,层次分明。Shiro 简介、身份验证、授权、INI 配置、编码/加密、Realm 及相关对象、与 Web 集成.....
shiro-root-1.4.0
02-22
Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码学和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。
spring-boot-shiro:spring-boot-shiro前后端分离实现
05-14
它是一个很易用与Java项目的的安全框架,提供了认证、授权、加密、会话管理,与spring Security 一样都是做一个权限的安全框架,但是与Spring Security 相比,在于 Shiro 使用了比较简单易懂易于使用的授权方式。...
shiro-web-1.3.2.jar包
02-24
Apache Shiro是Java的一个安全框架,旨在简化身份验证和授权Shiro在JavaSE和JavaEE项目中都可以使用。它主要用来处理身份认证,授权,企业会话管理和加密等。
shiro教程(1)-基于url权限管理
热门推荐
好好学java
03-30 1万+
一、 权限管理 1.1 什么是权限管理 基本上涉及到用户参与的系统都要进行权限管理,权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。 权限管理包括用户身份认证和授权两部分,简称认证授权。对于需要访问控制的资源用户首先经过身份认证,认证通过后用户具有该资源的访问权限方可访问。 1.2 用户身份认证 1.
shiro教程:记住我功能
好好学java
07-23 5493
虽然不太推荐使用记住我功能, 但是,还是讲一下这个功能,实际上大多数使用session来管理。 1、applicationContext-shiro.xml文件 &lt;!-- 安全管理器 --&gt; &lt;bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager"&g...
shiro教程:session管理
好好学java
07-23 2610
当我们项目需要进行session管理的时候,我们就需要进行相关的配置了,下面讲一下步骤 1、配置文件配置 首先我们需要对sessionManager进行相关的配置。 &lt;!-- 会话管理器 start --&gt; &lt;bean id="sessionManager" class="org.apache.shiro.web.session.mgt.DefaultWebS...
shiro-spring-boot-starter
最新发布
08-26
Shiro 是一个 Java 安全框架,可以为应用程序提供身份认证、授权、加密和会话管理等功能。通过使用 Shiro-Spring-Boot-Starter,你可以轻松地配置和使用 Shiro,无需繁琐的手动配置。 该起步依赖提供了一些默认的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

hello-java-maker

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值