3 Apache Shiro 授权

最新推荐文章于 2021-12-07 07:40:24 发布
最新推荐文章于 2021-12-07 07:40:24 发布
阅读量406 收藏 1
点赞数
分类专栏: 后端开发 文章标签: shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Silent_Paladin/article/details/72847906
版权

3.1 概述

授权,又称访问控制,即在应用中控制用户可以使用哪些资源(如访问页面、页面操作、数据操作等),覆盖以下几个概念:
(1) 主体(Subject)
即用户,Shiro 中使用 Subject 代表用户。
(2) 角色(Role)
代表权限的集合,可以将权限集合起来一次性赋予用户。
(3) 权限(Permission)
安全策略中的原子授权单位,权限表示操作某个资源的能力。
(4) 资源(Resource)
应用中可以访问或操作的资源、如页面、数据、业务方法等。

角色又分为:
隐式角色
直接通过角色验证用户是否有某资源的操作权限。如果需要取消该权限,需要将用户对应的角色去除,属于粗粒度的权限控制。
显式角色
通过角色绑定的权限集合验证用户是否有某资源的操作权限。如果需要取消该权限,只需要将该权限从角色绑定的权限集合中去除,不需要去除用户的角色,属于细粒度的权限控制。

3.2 授权方式

Shiro 支持三种授权方式:
(1) 编程式
通过写 if/else 授权代码块实现
(2) 注解式
通过在执行的 Java 方法上放置注解 @RequiresRoles("admin") 实现
(3) JSP/GSP 标签
通过在 JSP/GSP 页面添加标签 <shiro:hasRole> 实现

3.3 授权实现

(1) 基于角色的访问控制(隐式角色)
首先,在 ini 配置文件(shiro-role.ini)中配置用户拥有的角色。

[users]
Steve=001,role1,role2
Tony=002,role1

在 ini 配置文件中配置用户角色规则:
用户名=密码,角色1,角色2,…
如果需要在应用中判断用户是否具有相应角色,需要在相应的 Realm 中返回角色信息,Shiro 不负责维护用户和角色的信息,需要应用自己提供,Shiro 只提供相应接口实现验证。

其次,编写测试用例。

import static org.junit.Assert.assertFalse;
import static org.junit.Assert.assertTrue;

import java.util.Arrays;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.util.Factory;
import org.apache.shiro.util.ThreadContext;
import org.junit.After;
import org.junit.Test;

public class ShiroTest {

    @Test
    public void testHasRole() {
        login("classpath:shiro-role.ini", "Steve", "001");
        assertTrue(subject().hasRole("role1"));
        assertTrue(subject().hasRole("role2"));
        boolean[] result = subject().hasRoles(Arrays.asList("role1", "role2", "role3"));
        assertTrue(result[0]);
        assertTrue(result[1]);
        assertFalse(result[2]);
    }

    private void login(String configFile, String username, String password) {
        // 1.获取SecurityManager工厂,使用ini配置文件初始化SecurityManager
        Factory<SecurityManager> factory = new IniSecurityManagerFactory(configFile);
        // 2.获取SecurityManager实例
        SecurityManager securityManager = factory.getInstance();
        // 3.将SecurityManager实例绑定给SecurityUtils
        SecurityUtils.setSecurityManager(securityManager);
        // 4.通过SecurityUtils获取Subject
        Subject subject = SecurityUtils.getSubject();
        // 5.创建用户名、密码身份验证token
        UsernamePasswordToken token = new UsernamePasswordToken(username, password);
        // 6.使用用户名、密码身份验证token进行身份认证,即登录
        subject.login(token);
    }

    private Subject subject() {
        return SecurityUtils.getSubject();
    }

    @After
    public void tearDown() {
        // 如果需要同时运行多个test方法,在每个方法退出时需要解除绑定到当前线程的Subject实例,否则会影响接下来的test方法的执行。
        ThreadContext.unbindSubject();
    }

}

Shiro 提供 boolean hasRole(String roleIdentifier)boolean[] hasRoles(List<String> roleIdentifiers) 方法用于判断用户是否拥有某个角色。
Shiro 还提供了 void checkRole(String roleIdentifier) throws AuthorizationExceptionvoid checkRoles(Collection<String> roleIdentifiers) throws AuthorizationException 方法检查用户是否拥有某个角色,与 hasRolehasRoles 方法的不同之处在于:如果检查出用户不具有某种角色,hasRolehasRoles 方法会返回 false,而 checkRolecheckRoles 方法会抛出 UnauthorizedException 异常。
测试用例(上个测试用例中其它方法不变,只需要将 testHasRole 方法替换为 testCheckRole 方法):

@Test(expected = UnauthorizedException.class)
public void testCheckRole() {
    login("classpath:shiro-role.ini", "Steve", "001");
    subject().checkRole("role1");
    subject().checkRoles(Arrays.asList("role1", "role3"));
}

(2) 基于资源的访问控制(显式角色)
首先,在 ini 配置文件(shiro-permission.ini)中配置用户拥有的角色及角色、权限关系。

[users]
Steve=001,role1,role2
Tony=002,role1
[roles]
#对资源user拥有createupdate权限
role1=user:create,user:update
#对资源user拥有createdelete权限
role2=user:create,user:delete

在 ini 配置文件中配置角色、权限关系的规则:
角色=权限1,权限2,…
配合之前介绍的配置用户角色规则:
用户名=密码,角色1,角色2,…
可知,先根据用户名和密码进行身份认证,通过后根据用户名找到角色,再根据角色找到对应的权限集合。

其次,编写测试用例。

@Test
public void testIsPermitted() {
    login("classpath:shiro-permission.ini", "Steve", "001");
    assertTrue(subject().isPermitted("user:create"));
    assertTrue(subject().isPermittedAll("user:update", "user:delete"));
    assertFalse(subject().isPermitted("user:view"));
}

Shiro 提供了 boolean isPermitted(String permission)boolean isPermittedAll(String... permissions) 方法用于判断用户是否拥有某权限。
Shiro 还提供了 void checkPermission(String permission) throws AuthorizationExceptionvoid checkPermissions(String... permissions) throws AuthorizationException 方法检查用户是否拥有某权限,如果检查出用户不拥有目标权限,会抛出 UnauthorizedException 异常。
测试用例:

@Test(expected = UnauthorizedException.class)
public void testCheckPermission() {
    login("classpath:shiro-permission.ini", "Steve", "001");
    subject().checkPermission("user:create");
    subject().checkPermissions("user:update", "user:delete");
    subject().checkPermission("user:view");
}

3.4 字符串通配符权限

规则:资源标识符:操作:对象实例ID,即对哪个资源的哪个实例执行何种操作。其中:

  • “:”用于分隔资源/操作/实例
  • “,”用于分隔多个操作
  • “*”用于表示任意资源、操作或实例

(1) 单个资源的单个权限
java:subject().checkPermissions("system:user:create");
资源 system:usercreate 权限。
(2) 单个资源的多个权限
ini:role41=system:user:update,system:user:delete
java:subject().checkPermissions("system:user:update", "system:user:delete");
资源 system:userupdatedelete 权限。
可以简写为:
ini:role42="system:user:update,delete"
java:subject().checkPermissions("system:user:update,delete");
注意:通过 "system:user:update,delete" 验证 "system:user:update", "system:user:delete" 是没问题的,但是反过来规则不成立。
(3) 单个资源的全部权限

(4) 所有资源的全部权限

(5) 实例级别的权限

又言又语
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
springmvc集成shiro注解权限:UnauthorizedException 异常解决方案
dange_h的专栏
12-10 9813
springMVC 整合 shiro 时,配置了当访问某个URL没有权限时的配置处理: &lt;!-- 通过unauthorizedUrl指定没有权限操作时跳转页面 --&gt; &lt;property name="unauthorizedUrl" value="/refuse"/&gt; 但是,上面的配置没有效果,就是当用户没有权限的时候不会运行"/refuse"这个URL路径,而是直接在...
Apache Shiro 使用手册(三) Shiro授权
09-15
Apache Shiro 是一款强大的安全管理框架,它提供了身份验证(Authentication)、授权(Authorization)和会话管理(Session Management)等功能。本篇文章将详细讲解 Shiro授权机制,即如何控制用户在应用程序...
三.Apache Shiro 安全框架
weixin_57619565的博客
08-03 123
Shiro安全框架简介 Shiro概述 Shiroapache旗下一个开源安全框架,它对软件系统的安全认证相关功能进行了抽封装,实现了用户身份认证,权限授权、加密、会话管理等功能,组成了一个通用的安全认证框架。使用shiro就可以非常快速的完成认证、授权等功能的开发,降低系统...
Apache Shiro 使用手册(一)Shiro架构介绍
chengxu6346的博客
05-04 195
一、什么是Shiro Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能: 认证 - 用户身份识别,常被称为用户“登录”; 授权 - 访问控制; 密码加密 - 保护或隐藏数据防止被偷窥; 会话管理 - 每用户相关的时间敏感的...
Apache Shiro(三)——Spring Boot 与 Shiro的 整合
传臣、的博客
10-24 2501
在了解了Apache Shiro的架构、认证、授权之后,我们来看一下Shiro与Web的整合。下面以Spring Boot为例,介绍一下Spring Boot 与 Shiro的 整合。
shiro权限框架详解03-shiro介绍
在路上
02-06 3928
1、介绍shiro的一个整体架构 2、介绍shiro的主要类的作用。 3、shiro lib包的maven坐标和作用
什么是 Apache Shiro
热门推荐
崔二旦
03-30 1万+
Apache Shiro 学习记录
1.Apache Shiro(认证,授权)基本介绍
相互学习 共同进步
06-15 2276
Apache Shiro(认证,授权)基本介绍 什么是Apache ShiroApache Shiro是一个功能强大且灵活的开源安全框架,可以干净地处理身份验证、授权、企业会话管理和加密,提供了一种直观,全面的身份验证、授权、加密和会话管理解决方案 Apache Shiro的首要目标是易于使用、理解。安全有时可能非常复杂,甚至会很痛苦,但这不是必须的。框架应尽可能掩盖复杂性,并公开简洁直观的API,以简化开发人员确保其应用程序安全的工作 官网:http://shiro.apache.org/ 同类的比
3.Apache Shiro认证授权流程
相互学习 共同进步
06-17 819
Apache Shiro认证授权流程 继承AuthorizingRealm类然后重写doGetAuthorizationInfo()和doGetAuthenticationInfo()方法 (1)身份认证流程:doGetAuthenticationInfo() 在用户登录的时候调用的也就是执行SecurityUtils.getSubject().login()的时候调用(登录验证) 如果用户未登录,将跳转到loginUrl进行登录,登录表单,包含了两个主要参数:用户名username、密码passwo
Apache Shiro简介
MIKE2333的博客
09-30 857
一. Apache Shiro是什么 Apache Shiro是一个强大、易用的Java安全框架。Apache Shiro的应用场景很广泛,从简单的命令行应用程序、移动App乃至企业级的网站或者应用程序都可以使用。 Shiro从以下四个方面提供API,这四个方面可以被认为是应用程序安全性的四大基石: 验证(Authentication):提供用户验证,也就是所谓的登录 鉴权(Authorization):访问控制 加密(Cryptography):保护数据的安全 会话管理(Session Manageme
Apache shiro入门
aishizhiyuzhe
12-07 387
概念:简单的安全框架。支持用户赋权,身份验证,授权,加密和会话。 基础使用 整合SpringBoot 1.导入pom包 org.apache.shiro shiro-spring 1.8.0 2.配置三个类 ○ Realm:自定义类` public class UserRealm extends AuthorizingRealm { //授权 @Override protected AuthorizationInfo doGetAuthorizationInfo(Princi
Apache shiro 1.13.0源码
01-17
Apache Shiro 是一个强大且易用的Java安全框架,提供了认证、授权、加密和会话管理功能,简化了企业级应用的安全实现。Shiro 1.13.0 是其一个重要的版本,包含了多项更新和改进。在这个版本,开发者可以深入理解其...
Apache Shiro教程
12-30
Apache Shiro是一个强大的Java安全框架,它为应用程序提供了身份验证、授权、会话管理和加密等功能。这个教程将帮助你深入理解和有效地使用Shiro框架。在本文,我们将详细探讨Shiro的核心概念、主要功能和常见用法...
Apache shiro 标签授权
01-21
Apache shiro 标签授权,介绍Apache shiro 标签授权的多种形式。
Apache shiro1.10.0依赖
10-25
Apache Shiro 是一个强大且易用的Java安全框架,提供了认证、授权、加密和会话管理功能,可以非常轻松地开发出足够安全的应用。Shiro 1.10.0 版本是该框架的一个稳定版本,包含了自上个版本以来的一些改进和新特性。...
b051银行客户管理系统-springboot+vue+elementui.zip(可运行源码+sql文件+文档)
07-23
系统根据B/S,即所谓的电脑浏览器/网络服务器方式,运用Java技术性,挑选MySQL作为后台系统。系统主要包含对客服聊天管理、字典表管理、公告信息管理、金融工具管理、金融工具收藏管理、金融工具银行卡管理、借款管理、理财产品管理、理财产品收藏管理、理财产品银行卡管理、理财银行卡信息管理、银行卡管理、存款管理、银行卡记录管理、取款管理、转账管理、用户管理、员工管理等功能模块。 文重点介绍了银行管理的专业技术发展背景和发展状况,随后遵照软件传统式研发流程,最先挑选适用思维和语言软件开发平台,依据需求分析报告模块和设计数据库结构,再根据系统功能模块的设计制作系统功能模块图、流程表和E-R图。随后设计架构以及编写代码,并实现系统能模块。最终基本完成系统检测和功能测试。结果显示,该系统能够实现所需要的作用,工作状态没有明显缺陷。 系统登录功能是程序必不可少的功能,在登录页面必填的数据有两项,一项就是账号,另一项数据就是密码,当管理员正确填写并提交这二者数据之后,管理员就可以进入系统后台功能操作区。进入银行卡列表,管理员可以进行查看列表、模糊搜索以及相关维护等操作。用户进入系统可以查看公告和模糊搜索公告信息、也可以进行公告维护操作。理财产品管理页面,管理员可以进行查看列表、模糊搜索以及相关维护等操作。产品类型管理页面,此页面提供给管理员的功能有:新增产品类型,修改产品类型,删除产品类型。
测反应,简易测反应速度的小工具
07-23
测反应速度 点击开始 观察到显示框颜色发生改变 迅速点击结束 测出显示框颜色发生改变到结束按钮被触发所用时间 对于视觉刺激,成年人的平均反应时间大约在0.2-0.25秒之间
sdxl-vae.safetensors
最新发布
07-23
sdxl的vae,可放在comfyui\models\vae下。
自动化输入脚本:破解禁用粘贴限制方案
07-23
在IT领域,自动化工具的使用越来越普遍,尤其是在处理重复性工作时。本文将详细探讨如何使用Python编写自动输入脚本来解决一些网站禁止用户通过粘贴方式输入数据的问题。Python作为一种强大的编程语言,提供了多种库和模块来实现这种功能,如`pyautogui`和`pynput`。 我们需要理解为什么有些网站会禁止用户粘贴内容。这通常是为了防止恶意行为,如批量注册、刷数据等。然而,对于合法用户来说,这可能会带来不便。为了解决这个问题,我们可以编写一个Python脚本模拟键盘输入,这样即使网站禁止了粘贴,我们仍然可以自动化地输入大量数据。 `pyautogui`库是Python用于屏幕操作的一个强大工具,它可以模拟鼠标和键盘的行为。例如,我们可以使用`pyautogui.write()`函数来模拟键盘输入。这个函数接受一个字符串作为参数,然后逐字符地在焦点窗口输入这些字符。 ```python import pyautogui text_to_input = "你要输入的文本" pyautogui.write(text_to_input) ``` 然而,`pyautogui.
Apache Shiro授权机制详解
"Apache Shiro是一个强大的Java安全框架,用于实现身份验证、授权、会话管理和缓存等功能。本文将深入探讨Shiro授权机制,包括其核心组件、权限分配和授权流程。" Apache Shiro授权机制是其功能的重要组成部分...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

又言又语

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值