权限管理和Shiro

最新推荐文章于 2024-10-04 12:19:51 发布
最新推荐文章于 2024-10-04 12:19:51 发布
阅读量54 收藏
点赞数
文章标签: java maven spring 分布式 mybatis spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_77664771/article/details/131616971
版权

1.权限管理

1.1什么是权限管理

基本上涉及到用户参与的系统都要进行权限管理,权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。

权限管理包括用户身份认证和授权两部分,简称认证授权。对于需要访问控制的资源用户首先经过身份认证,认证通过后用户具有该资源的访问权限方可访问。

1.2.什么是身份认证

 身份认证,就是判断一个用户是否为合法用户的处理过程。最常用的简单身份认证方式是系统通过核对用户输入的用户名和口令,看其是否与系统中存储的该用户的用户名和口令一致,来判断用户身份是否正确。对于采用指纹等系统,则出示指纹;对于硬件Key等刷卡系统,则需要刷卡。

 1.3.什么是授权

授权,即访问控制,控制谁能访问哪些资源。主体进行身份认证后需要分配权限方可访问系统的资源,对于某些资源没有权限是无法访问的

 

如果自己完成认证和授权相对来说比较麻烦。可以使用第三方框架帮你完成认证和权限的绑定。

使用比较多的第三方框架---shirospringsecurity安全框架。shiro使用比较简单。而且它可以单独使用也可以和spring框架整合。

 2.什么是shiro

Apache Shiro™ is a powerful and easy-to-use Java security framework that performs authentication, authorization, cryptography, and session management. With Shiro’s easy-to-understand API, you can quickly and easily secure any application – from the smallest mobile applications to the largest web and enterprise applications.

注解:

Apache Shiro 是一个强大易用的 Java 安全框架,提供了认证、授权、加密和会话管理等功能,对于任何一个应用程序,Shiro 都可以提供全面的安全管理服务。并且相对于其他安全框架spring security,Shiro 要简单的多.

Shiro是apache旗下一个开源框架,它将软件系统的安全认证相关的功能抽取出来,实现用户身份认证,权限授权、加密、会话管理等功能,组成了一个通用的安全认证框架。

 2.1为什么学习shiro----简单,安全

Shiro可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以用在JavaEE环境。Shiro可以帮助我们完成:认证、授权、加密、会话管理、与Web集成、缓存等。

 2.2shiro的核心组件

 1)Subject

Subject主体,外部应用与subject进行交互,subject将用户作为当前操作的主体,这个主体:可以是一个通过浏览器请求的用户,也可能是一个运行的程序。Subject在shiro中是一个接口,接口中定义了很多认证授相关的方法,外部程序通过subject进行认证授,而subject是通过SecurityManager安全管理器进行认证授权

 2)SecurityManager

SecurityManager权限管理器,它是shiro的核心,负责对所有的subject进行安全管理。通过SecurityManager可以完成subject的认证、授权等,SecurityManager是通过Authenticator进行认证,通过Authorizer进行授权,通过SessionManager进行会话管理等。SecurityManager是一个接口,继承了Authenticator, Authorizer, SessionManager这三个接口

 3)Authenticator

Authenticator即认证器,对用户登录时进行身份认证

 4)Authorizer

Authorizer授权器,用户通过认证器认证通过,在访问功能时需要通过授权器判断用户是否有此功能的操作权限。

 5)Realm(数据库读取 + 认证功能 + 授权功能实现)

 

Realm领域,相当于datasource数据源,securityManager进行安全认证需要通过Realm获取用户权限数据
比如:
	如果用户身份数据在数据库那么realm就需要从数据库获取用户身份信息。
注意:
	不要把realm理解成只是从数据源取数据,在realm中还有认证授权校验的相关的代码。

 6)SessionManager

SessionManager会话管理,shiro框架定义了一套会话管理,它不依赖web容器的session,所以shiro可以使用在非web应用上,也可以将分布式应用的会话集中在一点管理,此特性可使它实现单点登录。

 7)SessionDAO

SessionDAO即会话dao,是对session会话操作的一套接口
比如:
	可以通过jdbc将会话存储到数据库
	也可以把session存储到缓存服务器redis

 8)CacheManager

CacheManager缓存管理,将用户权限数据存储在缓存,这样可以提高性能

 9)Cryptogeaphy9)

Cryptography密码管理,shiro提供了一套加密/解密的组件,方便开发。比如提供常用的散列、md5等功能

 2.3使用shiro完成认证 ini

用户的信息存在--ini文件【实际开发存储数据库】

 1)创建java的maven工程并引入shiro依赖

<dependencies>
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-core</artifactId>
            <version>1.7.0</version>
        </dependency>
    </dependencies>

2)创建一个 ini 文件

安装一个注释插件

 

# [users]定义用户的信息--当对于表名叫users
[users]
# =左边表示用户名  =右边表示密码
zhangsan=123456
lisi=123456

 3)编写代码

package demo01;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.mgt.DefaultSecurityManager;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.realm.Realm;
import org.apache.shiro.realm.text.IniRealm;
import org.apache.shiro.subject.Subject;
public class Test01 {
    public static void main(String[] args) {
        //创建一个SecurityManager对象
        DefaultSecurityManager securityManager = new DefaultSecurityManager();
        //设置securityManager使用的realm
        IniRealm realm=new IniRealm("classpath:shiro.ini");
        securityManager.setRealm(realm);
        //把SecurityManager放入上下文中,使其有效
        SecurityUtils.setSecurityManager(securityManager);
        //获取Subject对象
        Subject subject = SecurityUtils.getSubject();
        //shiro把用户输入的账号和密码封装到UsernamePasswordToken类中
        UsernamePasswordToken token = new UsernamePasswordToken("hmq", "12345");
        try{
            //调用subject中的认证方法
            subject.login(token);
            System.out.println("登录成功");
        }catch (Exception e ){
            e.printStackTrace();
            System.out.println("登录失败");
        }
    }
}

流程图:

 

 2.4使用shiro完成授权功能--ini

一定是认证后才能对权限判断

 1)修改ini 文件

# [users]定义用户的信息--当对于表名叫users
[users]
# =左边表示用户名  =右边表示密码和对应的角色
zhangsan=123456,admin
lisi=123456,role1,role2
#[roles]定义角色信息以及该角色具有的权限信息。
[roles]
#=左边:角色名  右边: 该角色具有的权限
admin=user:query,user:insert,user:delete,user:update
role1=user:query,user:export
role2=user:delete,user:update

2)修改代码

package demo01;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.mgt.DefaultSecurityManager;
import org.apache.shiro.realm.text.IniRealm;
import org.apache.shiro.subject.Subject;
import java.util.Arrays;
public class Test02 {
    public static void main(String[] args) {
        //1.获取SecurityManager对象
        DefaultSecurityManager securityManager = new DefaultSecurityManager();
        //2.为SecurityManager指定操作数据源的对象realm
        IniRealm realm = new IniRealm("classpath:shiro.ini");
        securityManager.setRealm(realm);
        //3.把securityManager放入上下文 使其生效
        SecurityUtils.setSecurityManager(securityManager);
        //4.获取Subject
        Subject subject = SecurityUtils.getSubject();
        UsernamePasswordToken token = new UsernamePasswordToken("hmq", "12345");
        try{
            subject.login(token);
        }catch (Exception e){
            e.printStackTrace();
            System.out.println("登录失败");
        }
        //subject.logout();//退出
        System.out.println("----------------权限校验-------------");
        boolean permitted = subject.isPermitted("user:query");
        System.out.println("判断当前用户是否具有user:query的权限:"+permitted);
        boolean[] permitted1 = subject.isPermitted("user:query", "user:delete", "user:export");
        System.out.println("判断当前用户具有的权限:"+ Arrays.toString(permitted1));
        boolean[] permitted2 = subject.isPermitted("user:query", "user:update", "user:insert");
        System.out.println("是否同时具有上面的权限:"+permitted2);
    }
}

流程图:

 

 2.5使用shiro完成认证--数据源

上面通过读取ini文件,可以获取数据源。IniRealm完成的读取,现在如果读取数据源的数据完成认证,则需要自定义realm类

 1)新建一个maven工程,导入pom配置文件

<dependencies>
    <dependency>
        <groupId>org.apache.shiro</groupId>
        <artifactId>shiro-core</artifactId>
        <version>1.7.0</version>
    </dependency>
    <dependency>
        <groupId>org.projectlombok</groupId>
        <artifactId>lombok</artifactId>
        <version>1.18.28</version>
    </dependency>
</dependencies>

2)创建一个MyRealm类并继承AuthorizingRealm

package demo01;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import java.util.List;

public class MyRealm extends AuthorizingRealm {//重写方法
    private UserService userService = new UserService();
    //完成授权的业务
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        System.out.println("授权执行该方法+++++++++++++++++");
        return null;
    }
    //完成认证的功能
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        System.out.println("认证执行该方法!!!!!!!!!!!!!!!!");
        //获取当前登录的账号
        String username = authenticationToken.getPrincipal().toString();
        /*System.out.println("-------------输入账号:"+username);*/
        //根据账号查询数据库中是否存在对应的记录
        User user = userService.findByUsername(username);
        if (user!=null){
            //Object principal  ,账号
            //Object credentials,密码--从数据中查询到该用户密码
            //String realmName;realm的名称----自己定义---内置一个方法 getName
            SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(username, user.getPassword(), this.getName());
            return info;
        }
        return null;
    }
}

3)创建user实体类

package demo01;
import lombok.AllArgsConstructor;
import lombok.Data;
import lombok.NoArgsConstructor;
@Data
@NoArgsConstructor
@AllArgsConstructor
public class User {
    private Integer id;
    private String username;
    private String password;
    private String nickName;//昵称
}

4)创建UserService

package demo01;
import java.util.ArrayList;
import java.util.List;
public class UserService {
    public User findByUsername(String username) {
        if ("admin".equals(username)){
            return new User(1,"admin","12345","超级管理员");
        }else if ("ybn".equals(username)){
            return new User(2,"ybn","12345","我的仆人");
        }else if ("hmq".equals(username)){
            return new User(3,"hmq","12345","霍梦齐");
        }
        return null;
    }
}

5)修改测试类

 2.6使用shiro完成授权---数据源

1)在myRealm中增加权限方法的编写

//完成授权的业务
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
    System.out.println("授权执行该方法+++++++++++++++++");
    //获取当前用户具有的权限---shiro帮你把全线封装起来
    String username = principalCollection.getPrimaryPrincipal().toString();
    //System.out.println(principalCollection.getPrimaryPrincipal()+"-------------");
    //根据用户查询该用户具有的权限
    List<String> permissions = userService.findPermissionByUsername(username);
    if (permissions.size()!=0){
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        info.addStringPermissions(permissions);
        return info;
    }
    return null;
}

2)编辑UserService代码---根据用户查询对应的权限

public List<String> findPermissionByUsername(String username) {
    List<String> list = new ArrayList<String>();
    if ("admin".equals(username)){
        list.add("user:query");
        list.add("user:delete");
        list.add("user:update");
        list.add("user:insert");
    }else if ("ybn".equals(username)){
        list.add("user:query");
        list.add("user:export");
    }else if ("hmq".equals(username)){
        list.add("user:query");
        list.add("user:delete");
        list.add("user:update");
    }
    return list;
}

 3)修改测试类

 

这玩意真费脑子
关注
基于JavaShiro权限管理系统设计源码
04-18
本项目是基于JavaShiro权限管理系统设计源码,包含1343个文件,其中主要包含462个js脚本,267个html页面,148个java文件,129个css样式表等。系统后端采用jboot框架,前端使用layui进行界面设计,集成了Shiro来...
基于SpringbootShiro的RBAC3权限管理系统设计源码
10-04
该项目是一款基于SpringbootShiro框架的RBAC3权限管理系统源码...系统采用Springboot2.7.9、Shiro、Mysql、LayUI和Freemarker等技术栈,实现用户认证和授权管理,适用于需要RBAC权限控制的企业或机构。欢迎交流学习!
权限管理shiro学习总结
09-19
综上所述,Shiro作为权限管理框架,提供了一套完善的认证和授权机制,适用于企业级Web应用的权限控制。通过理解Shiro的核心概念和实现方式,开发者可以构建出更加安全、可控的系统。在实际项目中,Shiro与其他框架...
JavaScript ArrayBuffer的读写与类型转换
白瑕 的博客
10-01 417
所有视图的基本单位是ArrayBuffer, ArrayBuffer中只存储二进制格式的数据.ArrayBuffer不可直接读写, 必须通过视图(比如DataView)暴露的API.
spring-boot 整合 mybatis
m0_72168501的博客
09-29 527
spring boot 整合 mybatis
Java内存布局
阿呆的专栏
10-01 793
64位 JVM 不启用指针压缩时:Object Header 大小是16字节。64位 JVM 启用指针压缩时(默认):Object Header 大小是12字节。32位 JVM:Object Header 大小是8字节。JVM在默认情况下启用指针压缩,但如果堆内存超过32GB,就会禁用指针压缩。32GB是压缩指针的最大寻址范围。超过32GB的堆内存中,压缩指针带来的性能提升并不显著,而且需要解压指针反而可能增加开销。
【开源免费】基于SpringBoot+Vue.JS校园资料分享平台(JAVA毕业设计)
customer08的博客
09-30 1232
校园资料分享平台是一个B/S模式系统,采用Spring Boot框架作为开发技术,MYSQL数据库设计开发,充分保证系统的稳定性。系统具有界面清晰、操作简单,功能齐全的特点,使得校园资料分享平台管理工作系统化、规范化。
C#基础:掌握控制流语句,构建灵活的程序逻辑
学习和分享
09-28 323
在C#中,控制流语句是用来控制程序执行流程的重要部分。它们允许你根据条件执行不同的代码块,或者重复执行某些代码块直到满足特定条件。
进程管理工具:非daemon进程管理工具supervisor
happy_king_zi的博客
09-29 1108
supervisor是一个 Client/Server模式的系统,允许用户在类unix操作系统上监视和控制多个进程,或者可以说是多个程序。supervisor与launchd,daemontools,runit等程序有着相同的功能,与其中某些程序不同的是,它并不作为“id 为 1的进程”而替代init。相反,它用于控制应用程序,像启动其它程序一样,通俗理解就是,把Supervisor服务管理的进程程序,它们作为supervisor的子进程来运行,而supervisor是父进程。
Java - LeetCode面试经典150题 - 哈希表 (二)
心如冰清,天塌不惊
09-28 910
否则,返回 false。给定一个整数数组 nums 和一个整数目标值 target,请你在该数组中找出 和为目标值 target 的那两个整数,并返回它们的数组下标。遍历字符串数组,将其中的字符串,进行排序,这样就形成一个唯一的字符串了,之后将原字符串追加到这个排序完的字符串映射的String列表中。这里的 遵循 指完全匹配,例如, pattern 里的每个字母和字符串 s 中的每个非空单词之间存在着双向连接的对应规律。将magazine中的每个字符的个数记录下来,用map映射成。
【RocketMQ】RocketMQ应用难点
记录一名在读研究生的学习笔记、感悟、开发产物
09-30 875
本文探讨了RocketMQ中消息重复消费的问题及其解决方案,尤其是在CLUSTERING模式下的扩容影响。文章分析了重复消费的原因,如广播模式、负载均衡模式下的多consumerGroup消费、消费者组内的动态变化及网络延迟等,并提出了利用唯一标识进行去重的方法。此外,还讨论了如何选择合适的存储机制以高效处理大量消息标识,如HashMap、MySQL、Redis以及推荐的布隆过滤器等方案。对于防止消息堆积与确保消息不丢失,也给出了相应的策略和技术措施。
第十三届蓝桥杯真题Java 斐波那契与7(持续更新)
音符犹如代码的博客
09-29 326
这是一道结果填空的题, 你只需要算出结果后提交即可。本题的结果为一 个整数, 在提交答案时只填写这个整数, 填写多余的内容将无法得分。斐波那契数列的递推公式为: Fn=Fn−1+Fn−2Fn​=Fn−1​+Fn−2​, 其中 F1=F2=1F1​=F2​=1。请问, 斐波那契数列的第 1 至 202202011200 项(含)中, 有多少项的个位 是 7。
【IDE】解决 IDEA-Maven Dependencies 中出现红色波浪线的问题
人生苦短,睡觉要紧,睡醒再说。
09-27 716
在 IDEA 中,当项目依赖的库或模块无法找到时,IDE 会在相关代码行下方显示红色波浪线。Maven 配置错误依赖未能正确下载网络连接问题IDEA 缓存问题常见原因一览原因描述Maven 配置错误pom.xml文件中依赖声明不正确本地仓库缺失本地 Maven 仓库中缺少所需的依赖网络连接问题Maven 无法从远程仓库下载依赖IDEA 缓存问题IDEA 的缓存导致依赖解析失败在使用 IDEA 开发 Maven 项目时,红色波浪线通常是依赖解析问题的表现。
JAVA开源项目 旅游管理系统 计算机毕业设计
as230627的博客
10-03 1203
旅游管理系统基于Springboot框架、JAVA编程语言、MYSQL数据库开发完成,“操作简单,功能实用”这是本软件设计的核心理念,本系统力求创造最好的用户体验。
【hot100-java】【合并两个有序链表】
m0_73629042的博客
09-30 383
记忆中,两个指针合并即可。
Java中ResultSet接口的详细介绍
2301_77032029的博客
09-28 456
ResultSet接口是Java JDBC API中的一个核心接口,用于表示从数据库查询返回的结果集。它允许用户遍历查询结果,并从中提取数据。ResultSet接口代表从数据库查询返回的结果集,它提供了以下功能:遍历结果集:允许用户向前或向后移动指针,以便访问结果集中的每一行。
古典舞在线交流:SpringBoot平台实现与优化
最新发布
2401_85341950的博客
10-04 507
在这段时期里,我查找了很多相关的资料,查阅了很多Java的相关文献,结合自己的经验,设计了这个古典舞在线交流平台,虽然每个学期学校都会针对动手练习进行相应的课程设计,但是在古典舞在线交流平台的具体设计中还是遇到了一些小问题,但在不断的学习、研究中都将问题一一解决,在一一克服的过程中,我也得到了成长,知识和经验也得到了丰富,这对我来说是一笔巨大的财富。这次设计也大大提高了我的动手的能力,让我在学习中充分体会到了探索的乐趣,享受成功的创作过程,在本次设计过程中汲取的东西,是一笔宝贵的财富,让我受益匪浅。
[C++][程序退出]详细讲解
SnowK博客
09-30 2937
[C++][程序退出]详细讲解
Shiro权限管理详解:用户认证与授权
无论是在用户认证还是权限授权方面,Shiro都提供了丰富的API和灵活的配置选项,使得开发者可以根据需求轻松定制权限策略。在实际项目中,合理利用Shiro的特性,可以实现既安全又易于维护的权限管理体系。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值