shiro(四)

最新推荐文章于 2022-04-27 19:46:07 发布
最新推荐文章于 2022-04-27 19:46:07 发布
阅读量211 收藏
点赞数
分类专栏: shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Gaowahaha/article/details/79606442
版权
 授权

一,授权概念

        授权,也叫访问控制,即在应用中控制谁能访问哪些资源(如访问页面/编辑数据/页面操作等)。在授权中需了解的几个关键对象:主体(Subject)、资源(Resource)、权限(Permission)、角色(Role)。

二,授权方式

Shiro支持三种方式的授权:

 编程式:通过写if/else授权代码块完成: 

Java代码   收藏代码
  1. Subject subject = SecurityUtils.getSubject();  
  2. if(subject.hasRole(“admin”)) {  
  3.     //有权限  
  4. else {  
  5.     //无权限  
  6. }   

 

注解式:通过在执行的Java方法上放置相应的注解完成: 

Java代码   收藏代码
  1. @RequiresRoles("admin")  
  2. public void hello() {  
  3.     //有权限  
  4. }   

没有权限将抛出相应的异常;

 

JSP/GSP标签:在JSP/GSP页面通过相应的标签完成: 

Java代码   收藏代码
  1. <shiro:hasRole name="admin">  
  2. <!— 有权限 —>  
  3. </shiro:hasRole>   

三,授权

1、在ini配置文件配置用户拥有的角色和角色对应的权限(shiro-permission.ini) 

#用户
[users]
#用户zhang的密码是111111,此用户具有role1和role2两个角色
zhangsan=123,role1,role2
wang=123,role2
lisi=123,role1,role2

#权限
[roles]
#角色role1对资源user拥有create、update权限
role1=user:create,user:update
#角色role2对资源user拥有create、delete权限
role2=user:create,user:delete
#角色role3对资源user拥有create权限
role3=user:create
  2,测试用例 

	// 角色授权,资源授权
	@Test
	public void TestAuthorization() {

		// 创建securityManager工厂,通过ini配置文件创建securityManager工厂
		Factory<SecurityManager> factory = new IniSecurityManagerFactory(
				"classpath:shiro-permission.ini");

		// 创建SecurityManager
		SecurityManager securityManager = factory.getInstance();

		// 将securityManager设置当前的运行环境中(单例模式)
		SecurityUtils.setSecurityManager(securityManager);

		// 从SecurityUtils里边创建一个subject
		Subject subject = SecurityUtils.getSubject();

		// 在认证提交前准备token(令牌)
		// 这里的账号和密码 将来是由用户输入进去
		UsernamePasswordToken token = new UsernamePasswordToken("lisi","123");

		try {
			// 执行认证提交
			subject.login(token);
		} catch (AuthenticationException e) {
			// TODO Auto-generated catch block
			e.printStackTrace();
		}

		// 是否认证通过
		boolean isAuthenticated = subject.isAuthenticated();

		System.out.println("是否认证通过:" + isAuthenticated);
		//基于角色的授权
		//hasRole传入角色唯一标识
		boolean hasRole=subject.hasRole("role1");
		System.out.println("是否拥有该角色:"+hasRole);
		//基于多个角色的判断
		boolean hasRoles=subject.hasAllRoles(Arrays.asList("role1","role2","role3"));
		System.out.println("是否拥有多个角色:"+hasRoles);
		//使用check进行授权,若不通过抛出异常
		 subject.checkRoles("role4");
		//基于资源的授权
		boolean isPermitted=subject.isPermitted("user:create");
		System.out.println("是否可以操作该资源:"+isPermitted);
		//对多个资源权限进行判断
		boolean isPermittedAll=subject.isPermittedAll("user:create:1","user:update:1");
		System.out.println("对多个资源权限进行判断:"+isPermittedAll);
		//使用check进行授权,若不通过抛出异常
		subject.checkPermission("user:delete");
	}

权限标识符号规则:资源:操作:实例(中间使用半角:分隔)

usercreate:01  表示对用户资源的01实例进行create操作。

user:create:表示对用户资源进行create操作,相当于user:create:*,对所有用户资源实例进行create操作。

 user*01  表示对用户资源实例01进行所有操作。

四,自定义realm进行授权

   1)1、在ini配置文件配置用户拥有的角色和角色对应的权限(shiro-relam.ini) 

#自定义 realm
customRealm=com.example.shiro.realm.CustomRealm
#将realm设置到securityManager,相当 于spring中注入
securityManager.realms=$customRealm

       2)自定义的realm

package com.example.shiro.realm;

import java.util.ArrayList;
import java.util.List;

import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;


public class CustomRealm extends AuthorizingRealm {

	// 设置realm的名称
	@Override
	public void setName(String name) {
		super.setName("customRealm");
	}

	// 用于认证
	@Override
	protected AuthenticationInfo doGetAuthenticationInfo(
			AuthenticationToken token) throws AuthenticationException {

		// token是用户输入的
		// 第一步从token中取出身份信息
		String userCode = (String) token.getPrincipal();
		//String username = (String)token.getPrincipal();  //得到用户名  
	   // String password = new String((char[])token.getCredentials()); //得到密码 

		// 第二步:根据用户输入的userCode从数据库查询
		// ....
	

		// 如果查询不到返回null
		//数据库中用户账号是zhangsansan
		/*if(!userCode.equals("zhangsansan")){//
			return null;
		}*/
		
		
		// 模拟从数据库查询到密码
		String password = "111111";

		// 如果查询到返回认证信息AuthenticationInfo

		SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo(
				userCode, password, this.getName());

		return simpleAuthenticationInfo;
	}

	// 用于授权
	@Override
	protected AuthorizationInfo doGetAuthorizationInfo(
			PrincipalCollection principals) {
		String usercode=(String) principals.getPrimaryPrincipal();
		//模拟从数据库中获取了数据
		List<String> permission=new ArrayList<String>();
		permission.add("user:add");//用户的创建
		permission.add("user:update");//用户的修改
		SimpleAuthorizationInfo simpleAuthorizationInfo=new SimpleAuthorizationInfo();
		//将从数据库中查到的信息放入simpleAuthorizationInfo中
		simpleAuthorizationInfo.addStringPermissions(permission);
		return simpleAuthorizationInfo;
	}

}

3)测试用例

// 自定义realm,资源授权测试
	@Test
	public void testCustomRealm() {

		// 创建securityManager工厂,通过ini配置文件创建securityManager工厂
		Factory<SecurityManager> factory = new IniSecurityManagerFactory(
				"classpath:shiro-realm.ini");

		// 创建SecurityManager
		SecurityManager securityManager = factory.getInstance();

		// 将securityManager设置当前的运行环境中
		SecurityUtils.setSecurityManager(securityManager);

		// 从SecurityUtils里边创建一个subject
		Subject subject = SecurityUtils.getSubject();

		// 在认证提交前准备token(令牌)
		// 这里的账号和密码 将来是由用户输入进去
		UsernamePasswordToken token = new UsernamePasswordToken("zhangsan",
				"111111");

		try {
			// 执行认证提交
			subject.login(token);
		} catch (AuthenticationException e) {
			// TODO Auto-generated catch block
			e.printStackTrace();
		}

		// 是否认证通过
		boolean isAuthenticated = subject.isAuthenticated();

		System.out.println("是否认证通过:" + isAuthenticated);
		//基于角色的授权
				//hasRole传入角色唯一标识
				/*boolean hasRole=subject.hasRole("role1");
				System.out.println("是否拥有该角色:"+hasRole);*/
				//基于多个角色的判断
				/*boolean hasRoles=subject.hasAllRoles(Arrays.asList("role1","role2","role3"));
				System.out.println("是否拥有多个角色:"+hasRoles);*/
				//使用check进行授权,若不通过抛出异常
				// subject.checkRoles("role4");
				//基于资源的授权
				boolean isPermitted=subject.isPermitted("user:add");
				System.out.println("是否可以操作该资源:"+isPermitted);
				//对多个资源权限进行判断
				boolean isPermittedAll=subject.isPermittedAll("user:create:1","user:update:1");
				System.out.println("对多个资源权限进行判断:"+isPermittedAll);
				//使用check进行授权,若不通过抛出异常
				subject.checkPermission("user:delete");
	}


键盘哥
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
imooc-shiro:郎泉
05-19
imooc-shiro 学习郎哈哈!
Shiro介绍及其功能
hongye301的博客
12-08 2032
1、什么是Shiro Apache Shiro是一个Java的安全管理框架,可以用在JavaEE环境下,也可以用在JavaSE环境下。 2、Shiro功能 Shiro可以完成的功能主要有登录验证、权限验证、加密、会话管理、缓存等。如图: Shiro主要的功能模块有两部分:   (1)登录验证:不是登录用户不能访问敏感资源,只有登录了才可以访问敏感资源; 用户登录成功,就可以访问敏感资源,之后的所...
Shiro核心功能
sciense的博客
04-27 251
登录认证:主要是做登录,验证用户身份。 权限验证:可以理解为授权,例如后台管理员、与普通用户所看到的页面、所操作的功能不一样。 会话管理:用户登录后就是一次会话,在退出前,用户的所有信息都在会话中 数据加密:就是登陆的时候密码会有一个MD5加密。 缓存:shiro将用户信息、拥有的权限数据缓存,提高程序执行效率。 shiro大核心、六大支持: shiro三大重要角色: Subject:代表当前用户,提供了很多方法,例如 login() 和 logout(),Subject只是一个
权限管理框架Shiro的基本使用一
F道人
05-01 227
目录 组成:大组件,功能支持 Shiro验证流程 配置与实例 一:组成 Shiro大核心功能 也称为“Shiro应用程序的大基石”: 身份验证,授权,会话管理和加密算法。 1.Authentication:有时也简称为“登录”(身份验证) 这是一个证明用户是他们所说的他们是谁的行为。 2.Authorization:访问控制的过程,也就是绝对“谁”去...
Shiro笔记(一)----Shiro安全框架简介
热门推荐
fendo
02-14 5万+
一、Shiro简介 Apache Shiro是Java的一个安全框架。功能强大,使用简单的Java安全框架,它为开发人员提供一个直观而全面的认证,授权,加密及会话管理的解决方案。 实际上,Shiro的主要功能是管理应用程序中与安全相关的全部,同时尽可能支持多种实现方法。Shiro是建立在完善的接口驱动设计和面向对象原则之上的,支持各种自定义行为。Shiro提供的默认实现,使其能完成
shiro添加多用户角色判断
Zemo 学习笔记
11-22 7388
首先简单介绍一下shiro shiro是Apache开源项目的一个安全开源框架。提供了认证、授权、加密和会话管理功能,可为任何应用提供安全保障 - 从命令行应用、移动应用到大型网络及企业应用。 这篇文章介绍一下在对roles进行判断,一般验证一个角色,想添加多个角色时,会报一些重定向循环之类的错误。 首先要重写一个RolesAuthorizationFilter我们命名为An
Shiro种权限控制方式
sinat_19594515的博客
10-21 654
@Configuration public class ShiroConfig { @Bean public ShiroFilterFactoryBean shirFilter(DefaultWebSecurityManager securityManager) { ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean(); shiroFilterFactoryB.
shiro学习笔记(次课,从入门到案例)
06-15
Shiro01-概念、入门、认证的基本使用; Shiro02-认证加密,授权; Shiro03-SpringBoot集成、注册、登录; Shiro04-SpringBoot授权,Shiro注解、Shiro标签
spring+shiro+ehcache例子
06-23
: 登录名为2:可以进行权限的验证,以及shiro的缓存。 登录名为任意用户:可以验证mycache的缓存。 缓存的验证都是观察控制台的输出信息 此项目有shiro验证码的实现,更改用户userState状态可以实现用户锁定...
Apache Shiro 使用手册() Realm 实现
09-15
在认证、授权内部实现机制中都有提到,最终处理都将交给Real进行处理。因为在Shiro中,最终是通过Realm来获取应用程序中的用户、角色及权限信息的
bootshiro:springboot +郎+ jwt
04-12
此项目正在由sureness替换apache shiro重构进行中,若您需使用apache shiro版本,请见 推荐一个全新面向restful api的高性能认证鉴权框架 - sureness 欢迎使用star :closed_mailbox_with_raised_flag: 背景 在主流的...
Shiro的主要功能和构成
u012737182的博客
10-30 5436
shiro的主要作用就是结合spring框架继续用户权限的验证处理。
安全认证框架Shiro (一)- ini配置文件
陈袁的博客
04-22 1万+
我不是语言的开发者,我只是它的搬运工。每进步一点,5年之后你也是个人物 为什么看网上的例子都喜欢用ini格式文件,为什么不用.propertes或xml。 我们来看看一个ini格式文件text.ini: [main] activeDirectoryRealm = org.apache.shiro.realm.activedirectory.ActiveDirectoryRealm activ
shiro(三)
键盘哥的博客
03-18 210
一,shiro架构     1)subject            Subject即主体,外部应用与subject进行交互,subject记录了当前操作用户,将用户的概念理解为当前操作的主体,可能是一个通过浏览器请求的用户,也可能是一个运行的程序。 Subject在shiro中是一个接口,接口中定义了很多认证授相关的方法,外部程序通过subject进行认证授,而subject是通过Securit...
android手机应用源码Imsdroid语音视频通话源码.rar
05-20
android手机应用源码Imsdroid语音视频通话源码.rar
营销计划汇报PPT,市场品牌 推广渠道 产品 营销策略tbb.pptx
05-20
营销计划汇报PPT,市场品牌 推广渠道 产品 营销策略tbb.pptx
JavaScript_超过100种语言的纯Javascript OCR.zip
05-20
JavaScript
JavaScript_跨平台React UI包.zip
05-20
JavaScript
node-v16.17.0-headers.tar.xz
最新发布
05-20
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
dubbo shiro
12-17
Dubbo Shiro是一种基于Dubbo和Shiro框架的权限管理解决方案。它可以帮助开发人员快速实现基于角色的访问控制和权限管理。下面是一个简单的演示: 1.在Dubbo服务提供者中配置Shiro过滤器链 ```java @Bean public ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值