Shiro源码分析(十)——鉴权流程

最新推荐文章于 2024-10-16 18:58:02 发布
最新推荐文章于 2024-10-16 18:58:02 发布
阅读量365 收藏 1
点赞数
分类专栏: Shiro 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/MIKE2333/article/details/122154159
版权

2021SC@SDUSC

一.Demo代码

在shiro源码的quickstart目录下有QuickStart.java文件。其中有对Shiro最简单使用的Demo。

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.*;
import org.apache.shiro.ini.IniSecurityManagerFactory;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.session.Session;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.lang.util.Factory;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;

public class Quickstart {

    private static final transient Logger log = LoggerFactory.getLogger(Quickstart.class);


    public static void main(String[] args) {
        Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini");
        SecurityManager securityManager = factory.getInstance();

        SecurityUtils.setSecurityManager(securityManager);

        Subject currentUser = SecurityUtils.getSubject();

        if (!currentUser.isAuthenticated()) {
            UsernamePasswordToken token = new UsernamePasswordToken("lonestarr", "vespa");
            token.setRememberMe(true);
            try {
                currentUser.login(token);
            } catch (UnknownAccountException uae) {
                log.info("There is no user with username of " + token.getPrincipal());
            } catch (IncorrectCredentialsException ice) {
                log.info("Password for account " + token.getPrincipal() + " was incorrect!");
            } catch (LockedAccountException lae) {
                log.info("The account for username " + token.getPrincipal() + " is locked.  " +
                        "Please contact your administrator to unlock it.");
            }
            catch (AuthenticationException ae) {
            }
        }

        log.info("User [" + currentUser.getPrincipal() + "] logged in successfully.");

		// 测试一个角色:
        if (currentUser.hasRole("schwartz")) {
            log.info("May the Schwartz be with you!");
        } else {
            log.info("Hello, mere mortal.");
        }

        // 测试类型化权限(而不是实例级)
        if (currentUser.isPermitted("lightsaber:wield")) {
            log.info("You may use a lightsaber ring.  Use it wisely.");
        } else {
            log.info("Sorry, lightsaber rings are for schwartz masters only.");
        }

        // 实例级权限:
        if (currentUser.isPermitted("winnebago:drive:eagle5")) {
            log.info("You are permitted to 'drive' the winnebago with license plate (id) 'eagle5'.  " +
                    "Here are the keys - have fun!");
        } else {
            log.info("Sorry, you aren't allowed to drive the 'eagle5' winnebago!");
        }

        currentUser.logout();

        System.exit(0);
    }
}

二.解读ini文件

认证和鉴权是shiro的两大主要功能,在demo中,各个角色的权限在一份ini文件中进行定义,其中包括了每个用户的用户名、密码,该用户的角色以及该角色的权限。

# =============================================================================
# Quickstart 的 INI Realm 配置
#
# 对于那些可能不理解本文件中的引用的人来说,这些定义都是基于Mel Brooks的经典电影《Spaceballs》。
# =============================================================================

# -----------------------------------------------------------------------------
# 用户及其分配的角色
#
# 每一行都符合org.apache.shiro.realm.text中定义的格式。
# -----------------------------------------------------------------------------
[users]
# 用户root的密码是secret,角色是admin
root = secret, admin

# 用户guest的密码是guest,角色是guest
guest = guest, guest

# 用户presidentskroob的密码是12345,角色是president
presidentskroob = 12345, president

# 用户darkhelmet的密码是ludicrousspeed,角色为darklord和schwartz
darkhelmet = ludicrousspeed, darklord, schwartz

# 用户lonestarr的密码是vespa,角色为goodguy和schwartz
lonestarr = vespa, goodguy, schwartz

# -----------------------------------------------------------------------------
# 各个角色的权限
# 
# 每一行都符合org.apache.shiro.realm.text中定义的格式。
# -----------------------------------------------------------------------------
[roles]
# admin角色拥有所有权限,用通配符*表示
admin = *

# schwartz角色可以用任何lightsaber做任何事情
schwartz = lightsaber:*

# goodguy角色被允许驾驶(动作)牌照为eagle5(实例的特定id)的winnebago(类型)
goodguy = winnebago:drive:eagle5

三.源码分析

我们针对鉴权部分的源码进行分析

		// 测试一个角色:
		// 判断当前用户的角色是否为schwartz
        if (currentUser.hasRole("schwartz")) { // 1
            log.info("May the Schwartz be with you!");
        } else {
            log.info("Hello, mere mortal.");
        }

        // 测试类型化权限(而不是实例级)
        // 判断当前用户是否被允许使用lightsaber执行wield动作
        if (currentUser.isPermitted("lightsaber:wield")) { // 2
            log.info("You may use a lightsaber ring.  Use it wisely.");
        } else {
            log.info("Sorry, lightsaber rings are for schwartz masters only.");
        }

        // 实例级权限:
        // 判断当前用户是否被允许驾驶牌照为eagle5的winnebago
        if (currentUser.isPermitted("winnebago:drive:eagle5")) { // 3
            log.info("You are permitted to 'drive' the winnebago with license plate (id) 'eagle5'.  " +
                    "Here are the keys - have fun!");
        } else {
            log.info("Sorry, you aren't allowed to drive the 'eagle5' winnebago!");
        }

本文先就用户和角色的各项权限的定义做简要的解释,以及简要解释demo源码执行了什么,1、2、3部分的源代码由接下来两篇文章进行分析。
(完)

MIKE2333
关注
专栏目录
详解比springSecurity和shiro更简单优雅的轻量级Sa-Token框架,比如登录认证,权限认证,单点登录,OAuth2.0,分布式Session会话,微服务网关鉴权
念兮为美
08-30 4157
详解比springSecurity和shiro更简单优雅的轻量级Sa-Token框架,比如登录认证,权限认证,单点登录,OAuth2.0,分布式Session会话,微服务网关鉴权。演示SpringBoot集成Sa-Token和Spring WebFlux集成Sa-Token这两个常用的开发框架。......
ApachShiro 一个系统 两套验证方法-(后台管理员登录、前台App用户登录)同一接口实现、源码分析...
Marc1999的博客
09-28 1050
需求: 在公司新的系统里面博主我使用的是ApachShiro 作为安全框架、作为后端的鉴权以及登录、分配权限等操作 管理员的信息都是存储在管理员表 前台App 用户也需要校验用户名和密码进行登录、但是用户的信息却是存在另一张表里面、如何给这两个不同的数据表进行登录?鉴权呢? 当然 按照Shiro的强大,我们完全可以用一个接口作为登录的验证、不同的Realm 来执行不同的逻辑即...
Shiro 的认证流程鉴权流程
qq_35987642的博客
09-01 702
1> 将需要登陆的账号和密码封装成UsernamePasswordToken 2> 从SecurityUtils中获取Subject对象,然后调用login方法,然后把token作为参数传入 3> 调用subject.login()之后,会交给SecurityManager进行请求的处理 4> 安全管理器SecurityManager会把请求转发给认证器Authenticator 5> 认证器 Authenticator 会调用Realm中的方法并把token...
Shiro认证和鉴权流程
cwwlzm的博客
09-04 2877
1.Shiro的作用 Shiro是一个权限管理框架.提供了身份认证、授权、密码加密和回话管理. 2.Shiro中Subject、SecurityManager、Realm的作用. Subject:主体,代表了当前“用户”,表示要和应用交互的东西. SecurityManager: 安全管理器. Shiro中所有的操作都是通过安全管理器操作的. 内部会把Subject发出的请求转发到对应的内部组件中完成具体功能 Realm: 域,shir...
Shiro框架——shiro的认证
最新发布
2301_79438104的博客
10-16 1036
通过分析源码可得:自定义Realm的作用:放弃使用.ini文件,使用数据库查询上边的程序使用的是Shiro自带的IniRealm,IniRealm从ini配置文件中读取用户的信息,大部分情况下需要从系统的数据库中读取用户信息,所以需要自定义realm。1.shiro提供的Realm2.根据认证源码认证使用的是SimpleAccountRealmSimpleAccountRealm的部分源码中有两个方法一个是认证一个是授权//.......省略= null) {
Shiro框架:Shiro用户访问控制鉴权流程-内置过滤器方式源码解析
博客园
01-18 1733
Shiro作为一款比较流行的登录认证、访问控制安全框架,被广泛应用在程序员社区;Shiro登录验证、访问控制、Session管理等流程内部都是委托给SecurityManager安全管理器来完成的,SecurityManager安全管理器前面文章已经进行了详细解析;在此基础上,上篇文章已对Shiro用户登录认证流程进行了源码跟踪,本篇文章继续对下一个核心流程---用户访问控制鉴权流程进行源码解析;
Shiro源码分析一)——鉴权流程
MIKE2333的博客
12-26 392
2021SC@SDUSC
认证授权示例——JWT及Shiro
qqxhb 资源共享
08-12 2957
1、常见的认证机制 1.1 HTTP Basic Auth HTTP Basic Auth简单点说明就是每次请求API时都提供用户的usernamepassword,简言之,Basic Auth是配合RESTful API 使用的最简单的认证方式,只需提供用户名密码即可,但由于有把用户名密码暴露给第三方客户端的风险,在生产环境下被使用的越来越少。因此,在开发对外开放的RESTful API时,尽量...
SpringSecurity 实战项目(三)——动态管理Restful风格权限+JWT
weixin_38927257的博客
12-04 1726
文章目录源码地址:security认证过程:security授权过程:重要一、分析配置拦截器JWTAuthenticationFilterJWTAuthorizationFilter配置SpringSecurityJWT工具类二、 修改1. 修改permission表2. 实现 GrantedAuthority 接口3.修改 MyAccessDecisionManager 的decide 方法4....
Java零基础——SpringSecurity篇
m0_47946173的博客
12-04 2166
Spring Security是一个能够为基于Spring的企业应用系统提供声明式(注解)的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。
shiro认证授权的过程
05-01
NULL 博文链接:https://yuhuiblog695685688425687986842568269.iteye.com/blog/2405483
SpringBoot搭建的shiro鉴权的最简单的登录demo(绝对可用)
09-04
直接把项目导入idea就能打开使用,该项目在简单实现shiro登录鉴权的基础上,还实现了接收数据的统一加工处理模块,在接收post或者get请求后,能返回固定模板格式的json数据给前端,对于初期的学习与应用很有帮助。对了数据库需要自己布置一下,有问题的话可以给我留言
Shiro的认证和授权过程
weixin_44736853的博客
07-30 2321
认证:是一个身份验证的过程,要证明他们的身份,需要提供principals(身份)和credentials(凭证)。身份有多种,包括邮箱,账号等能表示subject身份的信息,凭证有密码,指纹,数字证书等。一般就是登录,获取账号和密码。 认证过程主要分为三步: step1:收集subject的principals(身份)和credentials(凭证) 1.首先拿到当前currentUser, Subject currentUser = SecurityUtils.getSubject(); 1.1利用c
shiro 鉴权代码流程
weixin_44545652的博客
03-18 406
shiro 鉴权代码流程 前提条件 AuthorizingRealm的自定义子类的实现,主要重写鉴权方法代码 /** *可以重写该方法,将特定用户跳过鉴权认证,返回true即可 */ @Override public boolean isPermitted(PrincipalCollection principals, String permission) { return super.isPermitted(principals, permission); } /** * (验证权
Shiro源码分析④ :鉴权流程
猫吻鱼的博客
02-04 2195
一、前言 由于之前没有使用过 Shiro,最近开始使用,故对其部分流程源码进行了阅读,大体总结了一些内容记录下来。本系列并不会完完全全分析 Shiro 的全部代码,仅把主(我)要(用)流(到)程(的) 简单分析一下。由于本系列大部分为个人内容理解 并且 个人学艺实属不精,故难免出现 “冤假错乱”。如有发现,感谢指正,不胜感激。 二、FormAuthenticationFilter 三、流程 org.apache.shiro.web.filter.AccessControlFilter#onPreHand
Shiro源码分析二)——鉴权流程
MIKE2333的博客
12-27 243
pp
Shiro框架:Shiro用户访问控制鉴权流程-Aop注解方式源码解析
博客园
01-20 1063
Shiro作为一款比较流行的登录认证、访问控制安全框架,被广泛应用在程序员社区;Shiro登录验证、访问控制、Session管理等流程内部都是委托给SecurityManager安全管理器来完成的,SecurityManager安全管理器前面文章已经进行了详细解析;在此基础上,前面文章已对Shiro用户登录认证流程进行了源码跟踪,对Shiro用户访问控制鉴权流程-内置过滤器方式进行了详细解析;本篇文章继续对用户访问控制鉴权流程-Aop注解方式进行源码解析,了解不同的使用方式以便更好的应用到实际项目中。
简单又灵活的安全框架--Shiro构架和身份认证流程
Karka_的博客
12-27 1104
Apache Shiro是一款强大易用的安全框架,它可以在任何应用环境中使用,能够跟第三方框架良好的耦合,它的设计目标就是简化应用程序的安全工作管理。那Shiro究竟是如何工作的?我们先来看看架构总览:值得一提的是Shiro不提供用户权限的维护,而是从一个或多个配置好的Realms(相当于DAO)中寻找相关数据,来完成用户的授权管理和身份验证(登录)。
Shiro认证与鉴权实践教程示例
接下来,我们通过一个简单的例子来解释Shiro的登录认证和鉴权流程。 ### 登录认证例子 1. 用户提交用户名和密码给应用程序。 2. 应用程序将这些凭据发送给Shiro的Subject进行认证。 3. Subject将认证请求委托给...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值