Shiro安全框架(Shiro与SpringBoot整合开发)授权部分(一)编码

最新推荐文章于 2023-06-27 17:30:28 发布
最新推荐文章于 2023-06-27 17:30:28 发布
阅读量294 收藏
点赞数
分类专栏: shiro 文章标签: shiro java spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/JavaJieRui/article/details/111089305
版权

对于shiro框架我们之前已经分别叙述了shiro在.ini文件中的认证,shiro代码中硬编码的认证实现,以及我们将shiro与springboot整合的认证实现,还有我们将shiro与springboot整合之后,连接数据库的认证实现,接下来我们继续为大家展开来研究一下shiro与springboot整合之后连接数据库的授权方面的实现,其实与之前shiro连接数据库做认证的实现思路相似,我们也首先来理一下思路。

一、关于shiro与springboot整合的授权实现思路

首先,shiro这个安全框架为我们提供了三种授权方式:

第一:我们可以基于编码的方式授权:

//编程式
Subject subject = SeurityUtils.getSubject();
if(subject.hasRole("admin")){
    //有权限
} else {
    //无权限
}

第二:我们可以基于标签的方式授权(即:在页面中使用shiro的标签进行授权):

JSP/GSP 标签:在JSP/GSP 页面通过相应的标签完成:
<shiro:hasRole name="admin">
 <!-有权限->
</shiro:hasRole>
tip:Thymeleaf 中使用shiro需要额外集成

第三:我们可以基于shiro在代码中为我们提供的相应的注解进行授权。

//注解式
@RequiresRole("admin")
public void hello(){
//有权限
}

未做权限控制

我们先来看一下我们没有做权限控制的首页内容:

目前来看我们首页有四个大的菜单模块,相对应的在大模块下面又分别有几个小模块,现在不论我们以哪个用户登录进来所看到的内容都是一样的,这样明显是有问题的,在一个完整的系统中,我们以不同的身份登录看到的内容应该是不一样的,比如我是卖家,我就应该能看到物流管理,订单,商品三个模块,再比如我是物流公司我就应该只能看到物流管理模块,或者我是平台的管理者,我就应该能看到所有的模块来进行操作,所有,有了这样的需求我们就要对菜单对不同的用户登录进来做不同的权限的限制或者是不同角色的限制,由此我们就需要对用户进行授权。

那么在授权时呢我们就需要拿着用户的身份信息,去数据库查询用户的角色信息以及对应的权限信息。

在我们的程序中,在拿权限信息时,我们实际上走的是自定义Realm中的doGetAuthorizationInfo这个方法获取权限信息,如果没有权限则直接返回null。如果有相应的角色或者权限,那么我们在页面中就可以根据相应的角色以及权限来实现对资源的控制。

 

二、将权限信息首先写在代码中

接下来编写我们的自定义Realm,首先上一段编写之前的自定义Realm的代码:

编写前:


/**
 * 自定义Realm
 */
public class MyRealm extends AuthorizingRealm {
    /**
     * 授权
     * @param principalCollection
     * @return
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        return null;
    }

    /**
     * 认证
     * @param authenticationToken
     * @return
     * @throws AuthenticationException
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        //拿到用户名
        String principal = (String) authenticationToken.getPrincipal();
        //用获取容器中对象的工具类拿到userService对象
        UserService userService = (UserService) ApplicationContextUtils.getBean("userService");
        //调用方法拿到user对象
        User user = userService.findByUsername(principal);
        //如果user对象不为空
        if (!StringUtils.isEmpty(user)){
            SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo(user.getUsername(),user.getPassword(), ByteSource.Util.bytes(user.getSalt()),this.getName());
            return simpleAuthenticationInfo;
        }
        return null;
    }
}

可以看到的是,我们之前只是对用的认证做了处理,并没有对权限进行处理,那么接下来我们就要进行权限的处理

添加权限认证

首先我们先对数据库中的admin用户进行授权:

/**
 * 自定义Realm
 */
public class MyRealm extends AuthorizingRealm {
    /**
     * 授权
     * @param principalCollection
     * @return
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        //首先拿到用户的主身份信息
        String primaryPrincipal = (String) principalCollection.getPrimaryPrincipal();
        //如果是admin登录
        if ("admin".equals(primaryPrincipal)){
            SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
            //给admin权限(最高权限)
            simpleAuthorizationInfo.addRole("admin");
            //返回权限信息
            return simpleAuthorizationInfo;
        }

        return null;
    }

    /**
     * 认证
     * @param authenticationToken
     * @return
     * @throws AuthenticationException
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        //拿到用户名
        String principal = (String) authenticationToken.getPrincipal();
        //用获取容器中对象的工具类拿到userService对象
        UserService userService = (UserService) ApplicationContextUtils.getBean("userService");
        //调用方法拿到user对象
        User user = userService.findByUsername(principal
最低0.47元/天 解锁文章
JavaJieRui
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springbootshiro安全框架整合
08-05
Springboot+shiro springbootshiro安全框架整合,适合初学者。
shiro安全框架整合Mybatis
04-24
Apache Shiro是一个功能强大且易于使用的Java安全框架,可执行身份验证、授权、加密和会话管理。目前,使用 Apache Shiro 的人越来越多,因为它相当简单,对比 Spring Security,可能没有 Spring Security 做的功能...
Shiro实战教程之shiro中的授权04
helloworld工程师的博客
03-19 185
Shiro实战教程之shiro中的授权04 5.1 授权 授权,即访问控制,控制谁能访问哪些资源。主体进行身份认证后需要分配权限方可访问系统的资源,对于某些资源没有权限是无法访问的。 5.2 关键对象 授权可简单理解为who对what(which)进行How操作: Who,即主体(Subject),主体需要访问系统中的资源。 What,即资源(Resource),如系统菜单、页面、按钮、类方法、系统商品信息等。资源包括资源类型和资源实例,比如商品信息为资源类型,类型为t01的商品为资源实例,编号
shiro 授权
快乐的小三菊的博客
05-14 1738
shiro 授权源码探究
shiro支持的编码/解码和散列算法
zy1992As的博客
03-15 233
散列算法一般用于生成数据的摘要信息,是一种不可逆的算法,一般适合存储密码之类的数据,常见的散列算法如MD5、SHA等。一般进行散列时最好提供一个salt(盐),比如加密密码“admin”,产生的散列值是“21232f297a57a5a743894a0e4a801fc3”,可以到一些md5解密网站很容易的通过散列值得到密码“admin”,即如果直接对密码进行散列相对来说破解更容易,此时我们可以加一些只有系统知道的干扰数据,如salt(即盐);【1.4】新建ClientTest。·(HEX)16进制字符串。
shiro550代码审计(巨详细)--加密部分
zyer
03-16 5716
找了一下大佬的文章借鉴了一下shiro550的利用流程 (Shiro 550 反序列化漏洞 详细分析+poc编写) 简单介绍利用: 通过在cookie的rememberMe字段中插入恶意payload, 触发shiro框架的rememberMe的反序列化功能,导致任意代码执行。 shiro 1.2.24中,提供了硬编码的AES密钥:kPH+bIxk5D2deZiIxcaaaA== 由于开发人员未修改AES密钥而直接使用Shiro框架,导致了该问题 于是我们......
Shiro(授权Authorization)
weixin_34406796的博客
08-14 158
什么是授权? 即该用户是否有权限访问某个资源.(即校验权限) Shiro权限的实现方式 1. 硬编码方式:实现授权访问校验. 在自定义中的realm中的授权方法中进行编写代码. 根据传进来的PrincipalCollection获取用户对象. 该授权方法的返回值是AuthorizationInfo,该对象是一个接口,因此我们需要创建它的实现类,SimpleAuthorizationInfo....
spring boot整合shiro安全框架过程解析
08-25
主要介绍了spring boot整合shiro安全框架过程解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
搭建Springboot整合shiro安全框架+Redis+Swagger+Filter超详细
最新发布
07-08
包含Springboot整合shiro安全框架+Redis+Swagger+Filter超详细 ssm整合shiro安全框架+Redis+Swagger+Filter超详细
SpringBoot_Shiro_JWT_Redis:SpringBoot整合Shiro、JWT和Redis实现token登录授权验证以及token刷新
05-14
SpringBoot整合Shiro、JWT和Redis实现token登录授权验证以及token刷新 前端代码为一个博客页面,使用了Semantic UI框架结合thymeleaf模板 SpringBoot结合JWT+Shiro+Redis实现token无状态登录授权 [TOC] 一、引言 ​ ...
shiro 学习(一)
qq_44128703的博客
06-12 675
title: shiro学习(一) date: 2020-11-13 tags:基本上涉及到用户参与的系统都要进行权限管理,权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。权限管理包括用户身份认证和授权部分,简称认证授权。对于需要访问控制的资源用户首先经过身份认证,认证通过后用户具有该资源的访问权限方可访问。身份认证,就是判断一个用户是否为合法用户的处理过程。最常用的简单身份认证方式是系统通过核对用户输入的用户名和口令,看
shiro反序列化漏洞
qq_41696518的博客
06-27 1432
在请求包的Cookie中为 rememberMe字段赋任意值,收到返回包的 Set-Cookie 中存在 rememberMe=deleteMe 字段,说明目标有使用Shiro框架,可以进一步测试。,然后将其作为cookie的rememberMe字段发送,Shiro将rememberMe进行解密并且反序列化,最终造成反序列化漏洞。硬编码要求程序的源代码在输入数据或所需格式发生变化时进行更改,以便最终用户可以通过程序外的某种方式更改细节。在攻击机:192.168.43.131 中生成rememberMe。
Shiro中@RequiresRoles使用
程序新视界
01-27 5016
Shiro中通过@RequiresRoles注解可检验权限,在检验权限之前先要设置权限授权方法中给用户添加角色 在自定义的Realm中(继承实现AuthorizingRealm)的doGetAuthorizationInfo方法中授权方法中给用户添加角色。 @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) { String userName =
第六章 Realm及相关对象——《跟我学Shiro
jinnianshilongnian的专栏
02-26 970
  目录贴: 跟我学Shiro目录贴     6.1 Realm 【2.5 Realm】及【3.5 Authorizer】部分都已经详细介绍过Realm了,接下来再来看一下一般真实环境下的Realm如何实现。    1、定义实体及关系 即用户-角色之间是多对多关系,角色-权限之间是多对多关系;且用户和权限之间通过角色建立关系;在系统中验证时通过权限验证,角色只是权限集合,即...
使用Shiro实现权限验证
热门推荐
YanMonarch博客
01-17 10万+
《使用Shiro实现权限验证》 1. Shiro入门 ApacheShiro是一个功能强大且易于使用的Java安全框架,提供了认证,授权,加密,和会话管理。 Shiro有三大核心组件: Subject:即当前用户,在权限管理的应用程序里往往需要知道谁能够操作什么,谁拥有操作该程序的权利,shiro中则需要通过Subject来提供基础的当前用户信息,Subject 不仅仅代表某个用户,与当前
Shiro安全(一):Shiro-550反序列化
weixin_43263451的博客
08-01 1718
Shiro550(CVE-2016-4437),其在护网期间担任重要的角色,也有很多的利用工具。本文将详细介绍Shiro550漏洞原理其实可以将AbstractRememberMeManager#getRememberedPrincipals当做主函数,其中getRememberedSerializedIdentity方法负责base64解码,convertBytesToPrincipals负责AES解密并反序列化。......
如何快速的入门shiro(三)自定义一个Realm
zonghengxueba的博客
04-05 222
shiro内置的IniRealm和JdbcRealm都不满足我们的要求时,怎么办呢?别担心,shiro还为我们考虑到了这个情况,我们可以继承AuthorizingRealm,然后重写doGetAuthorizationInfo和doGetAuthenticationInfo这两个方法就可以了。doGetAuthorizationInfo方法重写我们需要授权的代码,doGetAuthenticat...
shiro篇】 三. shiro登录认证与授权案例 下
TheNew_One的博客
01-30 957
shiro篇】 二. shiro登录认证与授权案例 上 篇幅较长可以通过右侧目录查看文章目录 shiro登录认证与授权案例 项目准备 本项目基于【shiro篇】 二. shiro登录认证与授权案例 上 4. 添加权限 4.1 在spring容器中配置权限过滤器 4.2 在UserRealm的授权方法AuthorizationInfo添加功能 protected AuthorizationI...
Shiro:登陆成功并未执行doGetAuthorizationInfo
Sunny
10-09 2万+
package com.hk3t.core.security; import java.util.Set; import org.apache.shiro.authc.AuthenticationException; import org.apache.shiro.authc.AuthenticationInfo; import org.apache.shiro.authc.Authentic
springboot整合shiro框架
03-16
Spring Boot 整合 Shiro 框架是指在 Spring Boot 应用中使用 Apache Shiro 来管理身份验证和授权。主要步骤如下: 1. 引入 Shiro 依赖; 2. 配置 Shiro; 3. 编写自定义 Realm; 4. 安全配置过滤器; 5. 使用 Shiro ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值