Shiro入门

最新推荐文章于 2021-06-28 16:19:41 发布
最新推荐文章于 2021-06-28 16:19:41 发布
阅读量446 收藏 2
点赞数
分类专栏: 代码笔记 后端技术学习 文章标签: shiro 权限管理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Nerver_77/article/details/81318357
版权

八月加油!

shiro权限管理:
        shiro架构:

          

            securityManager:安全管理器,主体(subject)进行认证和授权。
            authenticator:认证器,主体认证所需要的。
            anthorizer:授权器,主体授权所需要的。
            sessionManager:shiro提供了一套session的管理模式。常规的session都是web容器进行统一管理。
            sessionDao:通过sessionDao来管理个性化session数据。
            cacheManager:缓存管理器,session数据和授权数据进行缓存。 -- 和ehcache整合进行缓存数据管理。
            realm:域,相当于数据源。通过realm存取认证/授权的相关数据。 -- realm中含有认证和授权逻辑。
            cryptography:加密/解密组件管理。

用户认证流程:

             
            1. 通过ini配置文件创建SecurityManager
            2. 调用subject.login方法进行主体提交认证
            3. SecurityManager最终是通过ModularRealmAuthenticator进行认证
            4. ModularRealmAuthenticator调用IniRealm去ini配置文件中查询用户信息
            5. IniRealm根据输入的token(UsernamePasswordToken)从ini中查询用户信息,根据账号查询用户信息
                如果查询到用户信息,就给ModularRealmAuthenticator返回用户信息(账号和密码)
                如果查询不到,就给ModularRealmAuthenticator返回null
            6. ModularRealmAuthenticator接收IniRealm返回Authentication认证信息
               如果返回的认证信息是null,ModularRealmAuthenticator抛出异常(org.apache.shiro.authc.UnknownAccountException)
              如果返回的认证信息不是null(说明inirealm找到了用户),对IniRealm返回用户密码(在ini文件中存在)和token中的密码进行对比, 如果不一致抛出异常(org.apache.shiro.authc.IncorrectCredentialsException)

用户认证Demo:

        1.ini文件构建:采用ini文件可以实现数据分组,存储方式上和properties一致,都是采用键值对方式。

   shiro-simple.ini文件:

#用户信息分组
[users]
zhangsan=123


        2.工程搭建,采用Junit测试,书写测试用例。

//用户登录和退出认证
    @Test
    public void testLoginAndLogout(){

        //1. 通过ini文件构建SecurityManager
        Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro-simple.ini");

        //2. 创建SecurityManager
        SecurityManager securityManager = factory.getInstance();

        //3. 将SecurityManager设置到当前的环境中
        SecurityUtils.setSecurityManager(securityManager);

        //4. 从SecurityManager中创建一个subject
        Subject subject = SecurityUtils.getSubject();

        //5. 在认证提交前准备token -- 令牌
        UsernamePasswordToken token = new UsernamePasswordToken("zhangsan", "123");

        try {
            //6. 执行认证提交
            subject.login(token);
        } catch (AuthenticationException e) {
            e.printStackTrace();
        }

        //7. 是否认证通过
        System.out.println("shiro--登录是否认证通过:" + subject.isAuthenticated());

        //8. 退出操作
        subject.logout();

    }

       3.测试结果:

       认证成功:

       认证失败:

      用户名未通过认证,返回Null,报org.apache.shiro.authc.UnknownAccountException异常

      密码未通过验证,报org.apache.shiro.authc.IncorrectCredentialsException异常

 

用户授权流程:

        

        1.对subject进行授权,调用方法isPermitted("permission串")。
        2.SecurityManager执行授权,通过ModularRealmAuthorizer执行授权。
     3.ModularRealmAuthorizer执行realm(自定义的CustomRealm)从数据库查询权限数据。调用realm的授权方法:doGetAuthorizationInfo。
        4.realm从数据库查询权限数据,返回ModularRealmAuthorizer。
        5.ModularRealmAuthorizer调用PermissionResolver进行权限串比对。
       6.如果比对后,isPermitted中"permission串"在realm查询到权限数据中,说明用户访问permission串有权限,否则 没有权限,抛出异常。

用户授权Demo:

        1.ini文件构建:采用ini文件可以实现数据分组,存储方式上和properties一致,都是采用键值对方式。

        shiro-permission.ini文件:

# 用户
[users]
# 用户zhangsan的密码是132,此用户具有role1和role2两个角色
zhangsan=123,role1,role2

# 权限
[roles]
# 角色role1对资源user具有create、update权限
role1=user:create,user:update
# 角色role2对资源user具有create、delete权限
role2=user:create,user:delete


        2.工程搭建,采用Junit测试,书写测试用例。

 //角色授权,资源授权测试
    @Test
    public void testAuthorization(){

        //1. 通过ini文件构建SecurityManager
        Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro-permission.ini");

        //2. 创建SecurityManager
        SecurityManager securityManager = factory.getInstance();

        //3. 将SecurityManager设置到当前的环境中
        SecurityUtils.setSecurityManager(securityManager);

        //4. 从SecurityManager中创建一个subject
        Subject subject = SecurityUtils.getSubject();

        //5. 在认证提交前准备token -- 令牌
        UsernamePasswordToken token = new UsernamePasswordToken("zhangsan", "123");

        try {
            //6. 执行认证提交
            subject.login(token);
        } catch (AuthenticationException e) {
            e.printStackTrace();
        }

        //7. 是否认证通过
        System.out.println("shiro--登录是否认证通过:" + subject.isAuthenticated());

        //基于角色的授权
        //hasRole传入单个角色标识
        boolean isHasRole = subject.hasRole("role1");
        //hasRole传入多个角色标识
        boolean isHasRoles = subject.hasAllRoles(Arrays.asList("role1", "role2"));
        System.out.println("单个角色判断:" + isHasRole + "\n" + "多个角色判断:" + isHasRoles);

        //使用check方法进行授权,授权不通过会抛出异常
//        subject.checkRole("role3");

        //基于资源的授权
        //isPermitted传入单个权限标识符
        boolean isPermitted = subject.isPermitted("user:create:1");
        //isPermitted传入多个权限标识符
        boolean isPermittedAll = subject.isPermittedAll("user:create", "user:delete");
        System.out.println("单个权限判断:" + isPermitted + "\n" + "多个权限判断:" + isPermittedAll);

        //使用check方法进行授权,授权不通过会抛出异常
//        subject.checkPermission("items:add");
    }

        3.测试结果:

        授权成功:

        授权失败:

自定义Realm:

       基于框架的权限管理实质上就是对数据库进行的安全管理,权限管理的操作对象均是通过Realm进行的,针对不同的需求和场景,可以自定义Realm进行权限管理。即通过Realm从数据库中获取权限数据

  CustomRealm 类:

/*
* 自定义realm -- 模拟数据库操作
* */
public class CustomRealm extends AuthorizingRealm {


    //复写命名方法
    @Override
    public void setName(String name) {
        super.setName("CustomRealm");
    }

    //用于认证
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {

        // 从token中取出身份信息
        String userCode = (String) authenticationToken.getPrincipal();

        // 根据用户输入的userCode从数据库中查询密码 -- 这里模拟数据库查询结果
        String passWord = "123";

        //查询不到返回Null

        //查询到返回认证信息AuthenticationInfo
        SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo(userCode, passWord, this.getName());
        return simpleAuthenticationInfo;
    }

    //用于授权
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {

        //从principle中获取主体身份信息
        String userCode  = (String) principalCollection.getPrimaryPrincipal();

        //根据身份信息,获取权限信息 -- 模拟数据库连接
        List<String> permissions = new ArrayList<String>();
        permissions.add("user:create"); //用户创建权限
        permissions.add("items:add");   //商品添加权限

        //查询到权限数据,返回授权信息
        SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();

        //将授权信息添加到SimpleAuthorizationInfo中
        simpleAuthorizationInfo.addStringPermissions(permissions);
        return simpleAuthorizationInfo;
    }
}

ini配置文件:

[main]
# 自定义realm
customRealm= com.shiro.realm.CustomRealm
# 将realm设置到SecurityManager,类比spring中的注入
securityManager.realms=$customRealm

通过自定义的Reaml可以对数据库进行权限数据获取,返回认证信息AuthenticationInfo、授权信息SimpleAuthorizationInfo。

接着就是认证/授权了,测试用例只需要在ini文件加载处进行更改。测试用例的本质就是模拟用户的操作。

//1. 通过ini文件构建SecurityManager
Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro-realm.ini");

 

编程小透明
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
shiro入门demo
04-18
shiro学习入门程序
Shiro入门到精通
06-26
尚硅谷shiro入门到精通源码讲解,与spring security对比
Apache Shiro入门
Switch的博客
01-07 3809
Apache Shiro入门@(Shiro)[shiro,安全框架]Apache Shiro入门 Apache Shiro基本概述 Apache Shiro基本概念 使用Shiro能做什么 Shiro的特性 Shiro框架的调用流程 Shiro框架 快速入门案例 引入Maven依赖 在webxml中配置spring框架提供的过滤器用于整合shiro框架 在Spring配置文件中配置bean 配置安全
shiro框架简单入门
weixin_44616545的博客
07-11 2014
自己搭建的SpringBoot项目集成Shiro框架 Shiro框架的核心组件是Subject,SecurityManager,Realms。 subject: Subject一词是一个安全术语,其基本意思是“当前的操作用户”。称之为“用户”并不准确,因为“用户”一词通常跟人相关。在安全领域,术语“Subject”可以是人,也可以是第三方进程、后台帐户(Daemon Account)、定时作业(Corn Job)或其他类似事物。它仅仅意味着“当前跟软件交互的东西”。但考虑到大多数目的和用途,你可以把它认为是
Apache Shiro 编程方式授权
王浩的技术博客
11-09 5131
最简单和最常见的方式来执行授权是直接以编程方式与当前Subject 实例交互。 基于角色授权 Role checks(角色检查) 如果你只是简单的想检查当前的Subject 是否拥有一个角色,你可以在Subject 实例上调用hasRole方法。例如: Subject currentUser = SecurityUtils.getSubject(); if(current
shiro框架中的shiro编程式授权
宏然依依的博客
04-01 134
shiro官网: Apache Shiro | Simple. Java. Security. http://shiro.apache.org/ 了解权限的实现方式: 1.通过表来实现; 2.shiro框架; 3.Spring Security框架; shiro的功能: 依赖包: <dependencies> <!--引入shiro所需的jar包--> ...
Shiro入门项目
08-31
Apache Shiro是一个功能强大且易于使用的Java安全框架,提供了认证,授权,加密,和会话管理,如同 spring security 一样都是是一个权限安全框架,但是与Spring Security相比,在于他使用了和比较简洁易懂的认证和...
Shiro入门实例
03-28
Shiro入门实例
Shiro入门教程
08-08
Shiro入门实例 Shiro入门教程 Shiro框架学习demo http://www.xttblog.com/?p=669 权限管理教程。Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能。 Shiro可以在任何环境下运行,小到最...
shiro学习自己建的数据库
02-01
这里是shiro学习,自己建的mysql数据库
Shiro学习第一天
编程小白
06-11 167
Shiro学习第一天 目前在做一个后台管理的项目时,再做权限验证这一块的时候,了解到Apache开发的Shiro这个框架, 它是Java的一个安全框架。目前,使用Apache Shiro的人越来越多,因为它相当简单,下面是我学习过程中的 一些记录,方便再次遇到遗忘时可以进行简单复习。 基本认识 在我使用过程中关于它几个重要基本功如下: Authentication:身份认证/登录,验证用户是不...
4.Shiro基本表设计
相互学习 共同进步
06-28 2031
Shiro五张表 在Web应用中,对安全的控制主要有角色、资源、权限(什么角色能访问什么资源)几个概念,一个用户可以有多个角色,一个角色也可以访问多个资源,也就是角色可以对应多个权限 数据库设计,至少需要建5张表:用户表、用户-角色表、角色表、角色-资源表、资源表 ①一个用户对应一个或者多个角色。 ②一个角色对应一个或者多个权限。 ③一个权限对应能够访问对应的API或URL资源。 (1)用户表 用户表中至少包含以上的字段,主键id、用户名username、密码password、盐值salt(因为密码
shiro框架---关于shiro框架的简单介绍及用户表的建立维护
热门推荐
凌大大的博客
02-13 1万+
本篇主要写shiro框架用于维护用户、角色、功能,在数据库中表的建立。   针对于shiro的应用,我们仅仅应用到用户登录和权限验证这两部分的功能,我后边的关于shiro的应用,也仅仅在这一层面上写。   shiro不会自己维护关于用户、角色、功能等的东西,在我理解,它保存的是一个叫subject的东西,而每一个登录系统的用户,都独属于一个subject,所有的这些subject统一被shir...
30分钟学会如何使用Shiro
weixin_30426879的博客
07-22 1102
本篇内容大多总结自张开涛的《跟我学Shiro》原文地址:http://jinnianshilongnian.iteye.com/blog/2018936 我并没有全部看完,只是选择了一部分对我来说急需在项目中使用的知识加以学习。并且对于大多数第一次接触Shiro的同学来说,掌握这些也应该足够了。 一、架构 要学习如何使用Shiro必须先从它的架构谈起,作为一款安全框架Shiro的设计相当精妙...
shiro权限框架简单入门demo
allen的博客
12-11 6232
shiro和spring security都是开源的权限框架,shiro相对于spring security来说更简单学习成本更低,并且提供的API也明了,下面是shiro官方的一个图: 其中把上面的东西抽象出来主要分为几个块(网上找的文档抠出来的): 1.SubjectSubject即主体,外部应用与subject进行交互,subject记录了当前操作用户,将用户的概念理解为当前操作的主体,可能是
Shiro入门实战【附源码】
永远年轻
06-25 945
文章目录1. Shiro简介2. Shiro 的认证流程3. 编码实战3.1 创建 SpringBoot 项目,pom.xml 依赖如下:3.2 application.yml 配置如下:3.3 实体类创建3.4 创建 mapper 接口3.5 在主启动类上加 @MapperScan 注解扫描 mapper 的位置3.6 创建 mapper.xml 文件,代码如下:3.7 创建数据库 test,sql 语句如下:3.8 创建 AuthRealm,实现 Shiro 框架的 AuthorizingRealm,代
十三、改造Shiro权限数据库设计
qixiang_chen的博客
01-05 542
Shiro可以对URL授权,也可以对页面上的输入域或按钮等元素授权,故对URL授权的代码,我们设定以URL开头,例如 对这些权限,需要开发人员在部署系统时作为初始化数据输入到系统,系统管理员可以授权这些权限给角色,存放这些权限的数据库表以功能模块表组织, 与功能模块表构成多对一的关系。 权限与角色授权是多对多的关系 SQL create table gf_permission(id varc...
shiro数据库初始化
莫弹弹的博客
10-16 384
DROP DATABASE IF EXISTS `shiro`; CREATE DATABASE `shiro`; USE `shiro`; CREATE TABLE `shiro`.`users` ( `id` BIGINT AUTO_INCREMENT, `username` NVARCHAR(128), `password` CHA...
shiro 入门案例
最新发布
09-06
关于 Shiro入门案例,你可以尝试以下步骤来理解 Shiro 的基本用法: 1. 导入 Shiro 依赖:在你的项目中添加 Shiro 的相关依赖,可以使用 Maven、Gradle 或直接下载 jar 包引入。 2. 创建 Shiro 配置文件:在你...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

编程小透明

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值