【权限管理】基于shiro的权限管理开发实现

最新推荐文章于 2023-04-03 09:37:25 发布
最新推荐文章于 2023-04-03 09:37:25 发布
阅读量1.1w 收藏 17
点赞数 6
分类专栏: ●项目流程和架构设计 -----【权限管理】
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010539352/article/details/51220276
版权

上篇博客中简单介绍了一下权限管理的原理,其中包括最主要的两部分认证和授权。这篇博客中简单介绍一下shiro的认证和授权过程。

 

什么是shiro

Shiroapache旗下一个开源框架,它将软件系统的安全认证相关的功能抽取出来,实现用户身份认证,权限授权、加密、会话管理等功能,组成了一个通用的安全认证框架。

 

为什么要用shiro

既然可以基于url实现权限的管理,为什么还要用shiro呢??

1.shiro将安全认证相关的功能抽取出来组成一个框架,使用shiro就可以非常快速的完成认证、授权等功能的开发,降低系统成本。最主要的就是方便了我们的开发。

2.shiro使用广泛,shiro可以运行在web应用,非web应用,集群分布式应用中越来越多的用户开始使用shiro

 

shiro认证

认证流程:


实例:

1.创建一个java工程,并加入shiro-corejar包以及它的依赖包。


2.自定义realm

Shiro有自带的IniRealmIniRealmini配置文件中读取用户的信息,大部分情况下需要从系统的数据库中读取用户信息,所以需要自定义realm

public class CustomRealm extends AuthorizingRealm {

	@Override
	public String getName() {
		return "customRealm";
	}

	// 用于认证
	@Override
	protected AuthenticationInfo doGetAuthenticationInfo(
			AuthenticationToken token) throws AuthenticationException {

		// token是用户输入的
		// 第一步从token中取出身份信息
		String userCode = (String) token.getPrincipal();

		// 第二步:根据用户输入的userCode从数据库中查询
		// 模拟从数据库查询到密码
		String password = "111111";

		// 如果查询到返回认证信息AuthenticationInfo

		SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo(
				userCode, password, this.getName());
		return simpleAuthenticationInfo;
	}
}

3.配置shiro-realm.ini文件


[main]
#自定义realm
customRealm=cn.itcast.shiro.realm.CustomRealm
#将realm设置到securityManager,相当于spring中注入
securityManager.realms=$customRealm

4.创建认证代码

 // 用户登录和退出
@Test
public void testCustomRealm() {

	// 创建securityManager工厂,通过ini配置文件创建securityManager工厂
	Factory<SecurityManager> factory = new IniSecurityManagerFactory(
				"classpath:shiro-realm.ini");

	// 通过工厂创建SecurityManager
	SecurityManager securityManager = factory.getInstance();

	// 将securityManager设置到运行环境中
	SecurityUtils.setSecurityManager(securityManager);

	// 创建一个Subject实例,该实例认证要使用上边创建的securityManager进行
	Subject subject = SecurityUtils.getSubject();

	// 创建token令牌,记录用户认证的身份和凭证即账号和密码
	UsernamePasswordToken token = new UsernamePasswordToken("zhangsan",
				"111111");

	try {
		// 用户登陆
		subject.login(token);
	} catch (AuthenticationException e) {
		// TODO Auto-generated catch block
		e.printStackTrace();
	}

	// 用户认证状态

	Boolean isAuthenticated = subject.isAuthenticated();

	System.out.println("用户认证状态:" + isAuthenticated);

	// 用户退出

	subject.logout();

	isAuthenticated = subject.isAuthenticated();

	System.out.println("用户认证状态:" + isAuthenticated);

}

5.认证流程

1)创建token令牌,token中有用户提交的认证信息即账号和密码

2)执行subject.login(token),最终由securityManager通过Authenticator进行认证

3Authenticator的实现ModularRealmAuthenticator调用realm从数据库中取用户真实的账号和密码

4CustomRealm先根据token中的账号去数据库中找该账号,如果找不到则给ModularRealmAuthenticator返回null,如果找到则匹配密码,匹配密码成功则认证通过。

6.测试


登录时用户认证成功,退出时用户认证失败。


shiro授权

授权流程



授权方式

shiro支持三种方式的授权:

1.编程式

Subject subject = SecurityUtils.getSubject();
if(subject.hasPermission(“admin”)) {
//有权限
} else {
//无权限
}

2.注解式

@RequiresPermissions("admin")
public void hello() {
//有权限
}

3.JSP/GSP标签

<shiro:hasPermission name="admin">
<!— 有权限—>
</shiro:hasRole>
web系统集成中使用后两种方式,我在这儿举个简单的例子就用第一种方式了。

实例

1.自定义realm

    // 用于授权
	@Override
	protected AuthorizationInfo doGetAuthorizationInfo(
			PrincipalCollection principals) {
		// 获取身份信息
		//将getPrimaryPrincipal方法返回值转为真实身份类型(在上边的doGetAuthenticationInfo认证通过填充到Simpl)
		String username = (String) principals.getPrimaryPrincipal();
		
		// 根据身份信息从数据库中查询权限数据
		// ....这里使用静态数据模拟
		List<String> permissions = new ArrayList<String>();
		permissions.add("user:create");
		permissions.add("user:delete");

		// 将权限信息封闭为AuthorizationInfo
		SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
		for (String permission : permissions) {
			simpleAuthorizationInfo.addStringPermission(permission);
		}

		return simpleAuthorizationInfo;

	}

2.配置shiro-realm.ini文件与上面认证配置文件相同

3.创建授权代码

 // 自定义realm进行资源授权测试
	@Test
	public void testAuthorizationCustomRealm() {

		// 从ini文件中创建SecurityManager工厂
		Factory<SecurityManager> factory = new IniSecurityManagerFactory(
				"classpath:shiro-realm.ini");

		// 创建SecurityManager
		SecurityManager securityManager = factory.getInstance();

		// 将securityManager设置到运行环境
		SecurityUtils.setSecurityManager(securityManager);

		// 创建主体对象
		Subject subject = SecurityUtils.getSubject();

		// 对主体对象进行认证
		// 用户登陆
		// 设置用户认证的身份(principals)和凭证(credentials)
		UsernamePasswordToken token = new UsernamePasswordToken("zhangsan",
				"111111");
		try {
			subject.login(token);
		} catch (AuthenticationException e) {
			// TODO Auto-generated catch block
			e.printStackTrace();
		}

		// 用户认证状态
		Boolean isAuthenticated = subject.isAuthenticated();

		System.out.println("用户认证状态:" + isAuthenticated);

		// 授权检测,失败则抛出异常
		// subject.checkRole("role22");

		// 基于资源授权
		System.out.println("是否拥有某一个权限:" + subject.isPermitted("user:delete"));
		System.out.println("是否拥有多个权限:"
				+ subject.isPermittedAll("user:update", "user:delete"));

		// 检查权限
		subject.checkPermission("user:delete");

	}

4.授权流程

1)执行subject.isPermitted("user:delete")

2securityManager通过ModularRealmAuthorizer进行授权

3ModularRealmAuthorizer调用realm获取权限信息

4ModularRealmAuthorizer再通过permissionResolver解析权限字符串,校验是否匹配

5.测试


表明该用户拥有delete权限但是不拥有update权限。

 

现在只是跟着燕青老师做了几个简单的demo而已,接下来要好好研究一下与ITOO项目的整合,还需要继续努力!再次再推荐一下,燕青老师讲的这套视频真心不错。





luckgirlstar
关注
  • 6
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 11
    评论
专栏目录
基于shiro的按钮级别的权限管理系统
chunlulin2540的博客
01-17 2671
一、项目背景 作为程序猿的你,是否在大学课堂上听到老师讲权限管理一脸懵逼;是否在互联网上看到炫酷的权限管理系统一脸羡慕;是否在公司学习使用权限管理一脸激动。那么,今天你看到这个教程之后,请你不要再懵逼,请不要再羡慕,请肆无忌惮的激动吧。好嗨哟,即将带你走上人生的巅峰。下面将手把手的教...
Shiro 权限管理
心猿意码
06-24 3350
一共5个表 用户表 角色表 权限表 用户角色中间表 角色权限中间表 权限验证 通过角色来判断有没有权限。 比如 if 用户有在用户角色中间表中有经理的角色, 就可以查看工资。这中判断比较笼统。适合比如实现不同的角色登录以后看到不同的菜单。 通过权限标识来判断, 这个就需要查出用户拥有的具体权限。 这个权限控制比较细致。 适合细致的,比如部门公司的管理员,只能修改该部门下的员工资料。 Shi...
权限系统控制到按钮级别开源推荐 Spring Boot-Shiro-Vue
the shy
04-03 740
再搞权限系统的时候,权限控制到菜单很容易,但是很多情况要控制到按钮接口级别,这个时候设计就要研究下了。方案好几种,
Shiro权限控制
一个死宅的不屈
06-27 2516
shiro权限验证框架
shiro权限认证与授权
weixin_34085658的博客
03-16 104
什么是shiroShiro是apache旗下一个开源框架,它将软件系统的安全认证相关的功能抽取出来,实现用户身份认证,权限授权、加密、会话管理等功能,组成了一个通用的安全认证框架。   为什么要用shiro? 既然可以基于url实现权限的管理,为什么还要用shiro呢?? 1.shiro将安全认证相关的功能抽取出来组成一个框架,使用shiro就可以非常快速的完成认证、授权等功能的开发,降低系统...
基于Springboot和Shiro权限管理系统设计源码
04-09
权限管理系统 - 基于Springboot和Shiro开发,包含127个文件,如JAVA、FTL、PNG、XML、JS、GITIGNORE、LICENSE、MD、SQL和YML等。该项目提供了一个基于Springboot和Shiro权限管理系统,通过界面交互和功能模块,为...
基于Java和Shiro权限管理系统设计源码
最新发布
04-18
本项目是基于Java和Shiro权限管理系统设计源码,包含1343个文件,其中主要包含462个js...系统后端采用jboot框架,前端使用layui进行界面设计,集成了Shiro实现权限管理功能,提供安全、高效的权限控制解决方案。
基于Extjs4和Shiro的Java权限管理框架设计源码
04-04
本设计源码提供了一个基于Extjs4和Shiro的Java权限管理框架。项目包含2062个文件,主要使用JavaScript、Java和CSS编程语言。文件类型包括1598个GIF图片文件、281个PNG图片文件、50个JavaScript脚本文件、44个Java源...
基于Java的maven-ssm-shiro权限管理系统设计源码
04-09
本项目是基于Java的maven-ssm-shiro权限管理系统设计源码,包含2118个文件,其中975个JavaScript文件,472个PNG文件,247个CSS文件,83个HTML文件,63个Java文件,54个SVG文件,34个GIF文件,24个JSP文件和23个JPG...
基于SSM+Shiro+Layui的后台权限管理系统设计源码
04-14
系统采用SSM框架、Shiro权限控制、Layui前端框架和Easyui前端组件,以Maven为项目管理工具。该系统提供了一个强大的后台管理功能,包括用户权限管理、数据管理、角色管理等功能。系统的设计注重用户体验,提供了简洁...
java shiro 实现按钮级别控制_权限系统控制到按钮级别开源推荐 Spring Boot-Shiro-Vue...
weixin_42451850的博客
02-13 410
大伙再搞权限系统的时候,权限控制到菜单很容易,但是很多情况要控制到按钮接口级别,这个时候设计就要研究下了。方案好几种,锋哥这里推荐一个不错的开源方案,大伙可以参考学习下。Spring Boot-Shiro-Vue实现;github开源地址:https://github.com/Heeexy/SpringBoot-Shiro-Vue系统演示地址:http://g.heeexy.com/Spring ...
shiro学习笔记五:shiro认证原理
chunlulin2540的博客
08-17 180
综合实例:基于shiro的按钮级别的权限管理系统 一、shiro框架认证外部结构 说明:应用代码通过Subject对象来进行认证,而Subject又委托给SecurityManager,同时需要给SecurityManager注入Realm(比对的源数据,如用户注册时存...
shiro 自定义 用户 角色 权限 (认证与授权)按钮级控制
CaiXinXing的CSDN博客
06-02 1113
ShiroConfig.java(shiro配置) /** * @todo: 集成shiro * @author: cxx * @date: 2020-5-22 09:56:10 * @description: manage */ @Configuration public class ShiroConfig { @Value("${spring.jedis.port}") private int port; @Value("${spring.jedis.host}
shiro菜单权限‘_权限系统控制到按钮级别开源推荐 Spring BootShiroVue
weixin_30440721的博客
01-25 1015
往期精彩推荐:高逼格开源聊天系统 推荐 Spring+Netty+Websocket实现java人关注这个github开源项目,你会嫌弃手上的笔试面试题资料2020年一线大厂java笔试面试题分享!锋哥挥泪整理!杠把子级别的Java开源后台管理系统这个Java分布式快速开发平台比较厉害!!!炸街版Java开源OA系统,你值得学习大伙再搞权限系统的时候,权限控制到菜单很容易,但是很多情况要...
JAVAWEB开发权限管理(二)——shiro入门详解以及使用方法、shiro认证与shiro授权
m0_54850825的博客
08-17 986
上边的程序中使用的是Shiro自带的iniRealm。iniRealm从配置文件中读取用户的信息,大部分情况下需要从系统的数据库中读取用户信息,所以需要自定义Realm。// 设置Realm的名称@Override}// 支持UsernamePasswordToken@Override}// 用于认证@Override// token是用户输入的// 第一步从token中取出身份信息// 第二步:根据用户输入的usercode从数据库查询// 如果查询不到返回null。...
Shiro权限管理框架详解
WGH100817的博客
01-25 1537
1 权限管理1.1 什么是权限管理 基本上涉及到用户参与的系统都要进行权限管理权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。 权限管理包括用户身份认证和授权两部分,简称认证授权。对于需要访问控制的资源用户首先经过身份认证,认证通过后用户具有该资源的访问权限方可访问。 1.2 用户身份认证1.2...
shiro session_极简入门,Shiro的认证与授权流程解析
weixin_39940688的博客
11-26 332
Cat哥领读:接下来的几天,我们开讲Shiro,从入门到分析、集成、单点登录整合等几篇。今天我们先来认识一下Shiro吧~其实Shiro框架并不难,我梳理了一下,你只需要学会以下内容基本就足够了:登陆、授权流程shiro过滤器链整合Springboot、redis做共享会话结合xxl-sso实现单点登录接下来我会分为几篇文章分别去介绍,这篇我们先来了解一下shiro的一些基础知识,以及登...
shiro进行权限控制的四种方式
热门推荐
力挽狂澜的POWER
08-19 4万+
我们使用shiro进行权限控制 有以下几种方式 1.  URL拦截权限控制:基于filter过滤器实现 我们在spring配置文件中配置shiroFilter时配置 &lt;!--指定URL级别拦截策略  --&gt; &lt;property name="filterChainDefinitions"&gt;  &lt;value&gt; /css/ = anon /js/ = anon /im...
Shiro实现访问权限控制
渣渣想逆袭
02-18 3945
用户权限管理一般是对用户页面、按钮的访问权限管理Shiro框架是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理,对于Shiro的介绍这里就不多说。本篇博客主要是了解Shiro的基础使用方法,在权限管理系统中集成Shiro实现登录、url和页面按钮的访问控制。 一、引入依赖 使用SpringBoot集成Shiro时,在pom.xml中可以引入shiro-spring-bo...
gateway+shiro权限管理
12-21
Gateway Shiro 权限管理是一种基于 Apache Shiro 框架的...同时,Gateway Shiro 也为开发人员提供了便捷的 API 和工具,帮助他们更好地实现对权限的管理。因此,Gateway Shiro 是一个非常值得推荐的网关权限管理系统。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 11
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值