通过shiro认证身份和模拟授权认证

最新推荐文章于 2022-10-04 10:56:38 发布
最新推荐文章于 2022-10-04 10:56:38 发布
阅读量1.3k 收藏
点赞数

身份认证和授权认证是权限管理中的核心模块。本文讲讲通过安全框架shiro进行身份认证和模拟授权认证,并可以看到授权之后的效果。

 

认证

登录模块,在完成用户名和密码的匹配基础上,查询该用户具有的操作权限,缓存到本地。

该权限系统是基于角色的RBAC模型。所以查询该用户具有的操作权限,其实是根据该用户所具有的角色查询的。

而缓存到本地,是为了提高性能。基于AOP的实现,是在Struts和页面端之间做权限验证,用大帅的话是“在它们之间插一杠子”。每次访问Action之前,判断该用户是否具有这个操作权限,只有具有操作权限才能访问Action。当用户登录时,如果把该用户具有的操作权限全部查询出来,缓存到本地,以后只需要根据这个缓存做判断即可,这样远比每次都到数据库中查询的效率要高得多。

 

用例子来说明

使用admin账号登录


登录时需要做的事情:

1、用户名和密码的匹配

2、查询该用户具有的操作权限,缓存到本地

 

根据权限,显示页面

admin用户,具有admin角色。

admin角色,具有对“用户管理”的“添加”、“删除”、“修改”的权限

所以,admin登录后可看到的页面时这样的


 

使用test账号登录


 

根据权限,显示页面

test用户,具有test角色。

test角色,只有对“用户管理”的“添加”的权限

所以,test登录后可看到的页面时这样的(只能看到添加按钮,并且也只能执行查询和添加操作)


 

由图可看出,权限控制粒度到了页面菜单及页面中按钮。

 

看看是如何实现的

java开源的海洋,我们要做什么,几乎都有现成的东西供我们使用,当然基于AOP实现的权限管理也不例外,比如我们可以使用apache shirospring security。我用的是apacheshiro,如果想学习,可参考之前的系列文章。

 

Authentication认证

[java]  view plain copy 在CODE上查看代码片 派生到我的代码片
  1. <span style="font-size:18px;">@Override  
  2. protectedAuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authcToken)  
  3. throwsAuthenticationException {  
  4.    
  5. //验证 验证码  
  6. //........  
  7.    
  8. //验证 用户名和密码  
  9. UsernamePasswordTokentoken = (UsernamePasswordToken)authcToken;  
  10.    
  11. //从数据库中查询用户用信息  
  12. Useruser = userService.get(token.getUsername());  
  13.    
  14. ShiroUsershiroUser = new ShiroUser(user.getUsername(), user.getRealname());  
  15.    
  16. if(user != null) {  
  17. returnnew SimpleAuthenticationInfo(shiroUser,user.getPassword(),  
  18. ByteSource.Util.bytes(user.getPassword()),getName());  
  19. }</span>  

这相当于对 登录用户信息的匹配过程,只是这个匹配过程交给了shiro去完成。

Authentication认证之后,会进行Authorization认证,进而只能进行自己权限范围内的操作。

 

模拟Authorization认证

[java]  view plain copy 在CODE上查看代码片 派生到我的代码片
  1. <span style="font-size:18px;">@Override  
  2. protectedAuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {  
  3. System.out.println("由于加入了缓存, 此处只会load一次:doGetAuthorizationInfo.................");  
  4.    
  5. //得到doGetAuthenticationInfo 方法中传入的凭证  
  6. ShiroUsershiroUser = (ShiroUser) principals.fromRealm(getName()).iterator().next();  
  7.    
  8. StringuserName = shiroUser.getName();  
  9.    
  10. if(StringUtils.equals("admin",userName)) {  
  11.    
  12. SimpleAuthorizationInfoinfo = new SimpleAuthorizationInfo();  
  13.    
  14. //这个就是页面中<shiro:hasRole>标签的name的值  
  15. info.addRole("admin");  
  16.    
  17. //这个就是页面中<shiro:hasPermission> 标签的name的值  
  18. info.addStringPermission("user:view");  
  19. info.addStringPermission("user:add");  
  20. info.addStringPermission("user:edit");  
  21. info.addStringPermission("user:delete");  
  22.    
  23. returninfo;  
  24.    
  25. } elseif(StringUtils.equals("test", userName)) {  
  26. SimpleAuthorizationInfoinfo = new SimpleAuthorizationInfo();  
  27.    
  28. //这个就是页面中<shiro:hasRole>标签的name的值  
  29. info.addRole("test");  
  30.    
  31. //这个就是页面中<shiro:hasPermission> 标签的name的值  
  32. info.addStringPermission("user:view");  
  33. info.addStringPermission("user:add");  
  34.    
  35. returninfo;  
  36. else{  
  37. returnnull;  
  38. }  
  39. }</span>  

这里的permission字符串就是权限标识,比如useradd”表示对user模块具有add的权限。在shiro标签和shiro注解中,就是通过这个标识来完成验证的。

 

 

shiro标签在页面中的应用

jsp中,通过shiro标签实现对用户管理模块的权限控制

[html]  view plain copy 在CODE上查看代码片 派生到我的代码片
  1. <span style="font-size:18px;"><divclassdivclass="panelBar">  
  2. <ulclassulclass="toolBar">  
  3. <shiro:hasPermission name="user:add">  
  4. <li><aclassaclass="add" href="${contextPath}/user/preAddUser"target="dialog" rel="lookup2organization_add"mask="true" width="530"height="330"><span>添加</span></a></li>  
  5. </shiro:hasPermission>  
  6.    
  7. <shiro:hasPermission name="user:delete">  
  8. <li><atitleatitle="确实要删除这些记录吗?" target="selectedTodo"rel="userIds" href="${contextPath}/user/delManyUser"class="delete"><span>删除</span></a></li>  
  9. </shiro:hasPermission>  
  10.    
  11. <shiro:hasPermission name="user:edit">  
  12. <li><aclassaclass="edit"href="${contextPath}/user/preUpdateUser?userId={sid_user}"rel="lookup2organization_edit" target="dialog"mask="true" warn="请选择一个用户"><span>修改</span></a></li>  
  13. </shiro:hasPermission>  
  14. </ul>  
  15. </div></span>  

 

shiro注解在action中的应用

java代码中,通过shiro注解实现对用户管理模块的权限控制

通过shiro标签,的确可以让用户只看到自己权限范围之内的页面元素,但这并不是很安全,因为页面端的这些输入信息可以别篡改,就像做输入验证一样,在页面通过js验证后,在java代码还需要验证一样。

 

[java]  view plain copy 在CODE上查看代码片 派生到我的代码片
  1. <span style="font-size:18px;">// 添加用户  
  2. @RequiresPermissions("user:add")  
  3. publicvoid  add(){          
  4. Stringmsg;  
  5.    
  6. try {  
  7. userService.save(user);  
  8. msg=AjaxObject.newOk("添加成功").setNavTabId("userListView").toString();  
  9. }catch (ServiceException e) {  
  10. msg =AjaxObject.newError(e.getMessage()).setNavTabId("userListView").setCallbackType("").toString();  
  11. }  
  12. outMsg(msg);  
  13. }</span>  

 

授权认证,这里是使用静态数据来模拟的,如果想得到数据库中的数据,涉及到RoleModulPermissionOrganization模块,而我们项目组正在开发之中。。。后文会有讲解,敬请期待。

Dereck01
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
shiro免密(模拟登陆功能)
qq_27809785的博客
05-08 2470
前天接到了老大的一个任务,就是超级管理员这个角色才有权限模拟登陆功能,但是我们的密码都是在前端添加的时候用shiro的SHA-256加了密的,所以从数据库看是看不出密码是什么?接到这个功能的时候我也一脸懵逼,一度怀疑是不是当时数据库设计错了,为什么不加上明文密码。直到后来问了老大,说是为了安全起见。 对于shiro,这还是我第一次接触shiro框架,所以一头雾水,在百度、google到处模糊查询(...
基于AOP实现权限管理:通过shiro认证身份模拟授权认证
时光在路上
01-21 6411
有记录和总结的学习,才是完整的学习。不能总是低头忙于平台项目的开发,更重要的是在学习过程中思考和总结,颗粒归仓,一年之计在于秋。   身份认证授权认证是权限管理中的核心模块。本文讲讲通过安全框架shiro进行身份认证模拟授权认证,并可以看到授权之后的效果。   认证 登录模块,在完成用户名和密码的匹配基础上,查询该用户具有的操作权限,缓存到本地。 该权限系统是基于角色的RBAC模型
spring 整合shiro框架 模拟登录控制器。
weixin_30852419的博客
08-12 91
一、导入shiro jar包。 我在maven项目中,将常用的jar包都放在里面。 <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-in...
Shiro的第一个例子(模拟登陆)及其详细流程(一)
qq_37431224的博客
01-09 681
项目结构: 1)引入需要的jar包 <dependency> <groupId>junit</groupId> <artifactId>junit</artifactId> <version>4.11</version> <scope>t...
关于 项目中用到shiro如何通过token鉴权登录模拟登录,代码直接登录的问题!
m0_67390379的博客
08-28 1123
由于自己的项目中登录时还要判断用户角色所以,用了UsernamePasswordUsertypeToken.java,代码如下。1.今天遇到了一个棘手的问题,在此写下博客记录下来,用于提醒自己,以及帮助以后会遇到这样的问题的人。这里controller层里的代码差不多了,接下来要修改shiro里的配置以及Realm。这下可终于解决了用户直接通过token鉴权登录的问题了。shiro框架中如何通过用户名密码在代码中直接登录?...
Shiro 身份验证、授权、密码和会话管理
05-07
Shiro 为单元测试和集成测试提供了便捷的 API,可以在测试环境中模拟用户认证授权,简化测试流程。 总的来说,Apache Shiro 是一个功能丰富的安全框架,它提供了一套完整的工具集,可以帮助开发者快速、有效地...
Shiro的应用案例
10-25
通过学习这个“Shiro的应用案例”,你不仅能理解Shiro的基本用法,还能掌握如何将其应用到实际项目中,解决用户认证授权问题,提升系统的安全性。同时,案例中的代码示例和配置细节将帮助你更好地理解和实践Shiro...
shirodemo(spring3+shiro)(认证授权)
12-18
本项目“shirodemo”将结合Spring3框架,展示如何有效地进行用户认证和权限控制。 **1. Shiro 概述** Apache Shiro 是一个轻量级的安全框架,它的设计思想是将安全控制逻辑从业务代码中分离出来,使开发者能够更...
注释最全,一步步详解 shiro-ssm登录认证权限授予验证案例.zip
09-04
通过这个案例,你可以全面了解如何在实际项目中应用 Shiro 进行用户认证授权,为你的系统提供安全基础。案例中包含的详细步骤和代码示例将帮助你更好地理解每个知识点,并能快速应用于你的项目中。
shiro框架学习视频以及文档和源码
03-13
Apache Shiro是一个强大且易用的Java安全框架,它提供了认证授权、加密和会话管理功能,可以非常轻松地开发出足够安全的应用。在这个压缩包中,包含的"尚硅谷Shiro视频"很可能是系列教程,可以帮助你深入理解Shiro...
Shiro(一)通过shiro实现登录
weixin_30662539的博客
06-27 145
第一步 publicclassShiroTest @Test publicvoidtest1(){// 1.获取用户输入的账号密码 假数据 模拟用户网页输入 String username = "xiaohei"; String password = "123456"; // 2.获取数据库的数据(i...
模拟第三方授权登录
weixin_37802210的博客
09-13 788
1 oauth2.0简单demo 项目代码https://gitee.com/damonJunetail/oauth2.0demo   2 登录豆瓣,但是是通过第三方qq授权登录 1 豆瓣端口7001 qq端口7000 1首先:7001/login 然后qq登录授权请求:7000/leadToAuthorize 2上面一步会请求到7000/leadToAuthorize (这里需要传c...
Shiro环境搭建及登录认证
最新发布
Massimo__JAVA的博客
10-04 279
Shiro环境搭建及登录认证
shiro登录验证
热门推荐
天才战士的博客
05-12 1万+
前言:因为开始我是使用spring mvc完成登录验证,所以对二者之间的一些运行流程进行了一些比较。spring mvc是继承HandlerInterceptor这个处理拦截器,对所有的url进行拦截下来,如果url含有login字段就表明是登录验证对它放行,否则的话验证是否已登录登录的话也放行,未登录应该跳到登录页面。同理:shiro的大致流程也可以理解成这个,只是它比我们封装的更好,安全性更...
关于权限的测试方法整理
rital的专栏
02-28 9261
关于权限的测试方法整理
shiro角色配置
web15286201346的博客
08-24 399
为防止转化成json时出现循环,ManyToMany配置是只在依赖方配置,即只在user端进行配置。此例子比较简单,没有涉及到权限permission。如果涉及到权限则需要建立权限表及对应的POJO。- permission:权限表。
shiro认证
Angela_L的博客
04-25 207
一.什么是Shiro Apache Shiro是Java的一个安全框架。功能强大,使用简单的Java安全框架,它为开发人员提供一个直观而全面的认证授权,加密及会话管理的解决方案。 加密机制。 二.与Spring Security比较 Apache Shiro相当简单,对比Spring Security,可能没有Spring Security做的功能强大,但是在实际工作时可能并不需要那么复杂的东西...
一些小问题总结
pmt1982的专栏
09-12 351
1.出现userRoleID类不存在问题,userRole.hbm.xml中pack路径错误。 2.出现JSONObject不能new的问题,缺少ezmorph.jar包
Shiro会话管理器与验证码实现(十四)
qq_35222843的博客
05-14 220
shiro整合后,使用shiro的session管理,shiro提供sessionDao操作 会话数据。 配置sessionManager 注入到securityManager ----------------------------------------验证码(自定义验证器)--------------------------------- 思路 shiro使用FormAuthenticationFilter进行表单认证,验证校验的功能应该加在FormAuthenticatio.
理解Shiro认证: Realm与授权详解
"Shiro是一个强大的Java安全框架,主要用于实现身份认证授权和会话管理。本文主要关注Shiro认证过程以及权限分配与授权Shiro的核心组件包括Subject、SecurityManager和Realm,它们共同协作完成用户的登录验证...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值