安全框架shiro(二):shiro进阶

最新推荐文章于 2023-05-09 15:43:22 发布
最新推荐文章于 2023-05-09 15:43:22 发布
阅读量375 收藏
点赞数
分类专栏: shiro 文章标签: shiro shiro授权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Sirius_hly/article/details/82354627
版权

 

一.shiro授权

1.1.概念

1.2.角色访问控制

控制那些角色可以进行访问,.ini文件配置如下:

[users]
hly = 123,role1,role2
abc = 123,role1

用户hly拥有角色role1,role2,所验证的代码如下

@Test
    public  void testHasRole(){
        iniConfig("classpath:shiro/authorization/shiro-role.ini","hly","123");
        Assert.assertTrue(subject().hasRole("role1"));
        Assert.assertTrue(subject().hasAllRoles(Arrays.asList("role1", "role2")));
        boolean [] result = subject().hasRoles(Arrays.asList("role1","role2","role3"));
        Assert.assertEquals(true,result[0]);
        Assert.assertEquals(true,result[1]);
        Assert.assertEquals(false,result[2]);

    }

根据hasRole,hasAllRoles等方法可以判断用户是否拥有相关的权限。

1.3.资源访问控制

控制用户可以进行的相关操作,如CRUD等.

.ini文件配置主体和角色所拥有的权限,如下,具体配置方法如思维导图所示.

[users]
hly = 123,role1,role2
abc = 123,role1

[roles]
role1 = user:create,user:update
role2 = user:create,user:delete

接下来,我们可以用isPermitted,isPermittedAll等方法对主体所拥有的权限进行测试,如下:

@Test
    public void testPermission(){

        iniConfig("classpath:shiro/authorization/shiro-permission.ini","hly","123");
        Assert.assertTrue(subject().isPermitted("user:create"));
        Assert.assertTrue(subject().isPermittedAll("user:create","user:delete"));
        Assert.assertFalse(subject().isPermitted("user:view"));

    }

1.4.自定义授权规则

 

自定义授权.ini文件配置

[main]
#自定义authorizer
authorizer=org.apache.shiro.authz.ModularRealmAuthorizer
#自定义permissionResolver
#permissionResolver=org.apache.shiro.authz.permission.WildcardPermissionResolver
permissionResolver=com.hly.shiro.authorization.BitAndWildPermissionResolver
#解析权限字符串到 Permission 实例
authorizer.permissionResolver=$permissionResolver
#自定义rolePermissionResolver
rolePermissionResolver=com.hly.shiro.authorization.MyRolePermissionResolver
#根据角色解析相应的权限集合
authorizer.rolePermissionResolver=$rolePermissionResolver
#进行授权控制
securityManager.authorizer=$authorizer

#自定义realm 一定要放在securityManager.authorizer赋值之后(因为调用setRealms会将realms设置给authorizer,并给各个Realm设置permissionResolver和rolePermissionResolver)
realm=com.hly.shiro.realm.MyRealm
securityManager.realms=$realm

1.解析权限字符串到 Permission 实例,得到相应配置规则的字符串。

permissionResolver=com.hly.shiro.authorization.BitAndWildPermissionResolver
#解析权限字符串到 Permission 实例
authorizer.permissionResolver=$permissionResolver

如配置中的BitAndWildPermissionResolver,BitPermission为自定义匹配方法,WildcardPermission为默认通配符匹配。

public class BitAndWildPermissionResolver implements PermissionResolver {
    @Override
    //“+” 开头来解析权限字符串为 BitPermission 或 WildcardPermission。
    public Permission resolvePermission(String permissionString) {
        if(permissionString.startsWith("+")){
            return new BitPermission(permissionString);
        }

        return new WildcardPermission(permissionString);
    }
}

2.根据角色解析相应的权限集合,判断角色是否拥有相应的权限,在自定义realm中,如果添加了role1角色,则可匹配memu:*。

#自定义rolePermissionResolver
rolePermissionResolver=com.hly.shiro.authorization.MyRolePermissionResolver
#根据角色解析相应的权限集合
authorizer.rolePermissionResolver=$rolePermissionResolver

public class MyRolePermissionResolver implements RolePermissionResolver {
    @Override
    public Collection<Permission> resolvePermissionsInRole(String roleString) {
      if("role1".equals(roleString)){
          return Arrays.asList((Permission) new WildcardPermission("menu:*"));
      }

        return null;
    }
}

3.自定义realm,AuthorizationInfo进行授权和添加角色,AuthenticationInfo进行身份验证.

package com.hly.shiro.realm;

import com.hly.shiro.authorization.BitPermission;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.authz.permission.WildcardPermission;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;

/**
 * @author :hly
 * @github :github.com/SiriusHly
 * @blog :blog.csdn.net/Sirius_hly
 * @date :2018/9/3
 */
/**
 * 自定义Realm
 */
public class MyRealm extends AuthorizingRealm {
    @Override
    //表示根据用户身份获取授权信息
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {

        SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
        //添加角色
        authorizationInfo.addRole("role1");
        authorizationInfo.addRole("role2");
        //添加权限
        authorizationInfo.addObjectPermission(new BitPermission("+user1+10+1+1"));
        authorizationInfo.addObjectPermission(new BitPermission("+user1+4"));
        authorizationInfo.addObjectPermission(new BitPermission("+user1+2"));
        authorizationInfo.addObjectPermission(new BitPermission("+user1+8"));
        authorizationInfo.addObjectPermission(new WildcardPermission("user1:*"));
        authorizationInfo.addStringPermission("+user2+10");
        authorizationInfo.addStringPermission("user2:*");

        return authorizationInfo;
    }

    @Override
    //表示获取身份验证信息
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {

        String username = (String)authenticationToken.getPrincipal();//用户名
        String password = new String((char[])authenticationToken.getCredentials());//密码
        if(!"hly".equals(username)) {
            throw new UnknownAccountException(); //如果用户名错误
        }
        if(!"123".equals(password)) {
            throw new IncorrectCredentialsException(); //如果密码错误
        }
        //如果身份认证验证成功,返回一个AuthenticationInfo实现;
        return new SimpleAuthenticationInfo(username, password, getName());
        
    }
}

4.进行权限测试

@Test
    public void testAuthorizerTest(){
        iniConfig("classpath:shiro/authorization/shiro-authorizer.ini","hly","123");
        //判断拥有权限
        Assert.assertTrue(subject().hasRole("role1"));
        Assert.assertTrue(subject().hasRole("role2"));
        Assert.assertTrue(subject().isPermitted("user1:delete"));
        Assert.assertTrue(subject().isPermitted("user2:view"));
        Assert.assertTrue(subject().isPermitted("+user1+2"));
        Assert.assertTrue(subject().isPermitted("+user1+8"));
        Assert.assertTrue(subject().isPermitted("+user2+10"));
        Assert.assertTrue(subject().isPermitted("+user1+10+1+1"));
        Assert.assertTrue(subject().isPermitted("+user1+4"));
        Assert.assertTrue(subject().isPermitted("menu:view"));

    }

以上完整代码可在笔者github中找到,参考shiro授权

星尘Pro
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Shiro权限管理框架详解
WGH100817的博客
01-25 1527
1 权限管理1.1 什么是权限管理 基本上涉及到用户参与的系统都要进行权限管理,权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。 权限管理包括用户身份认证和授权两部分,简称认证授权。对于需要访问控制的资源用户首先经过身份认证,认证通过后用户具有该资源的访问权限方可访问。 1.2 用户身份认证1.2...
JavaWeb后台开发框架-其他
06-12
高级进阶: 分布式、负载均衡、集群、Redis、分库分表。命令行: 命令行功能,一键管理应用扩展。基于SpringBoot 简化了大量项目配置和maven依赖,让您更专注于业务开发,独特的分包方式,代码多而不乱。利用...
用url作为shiro的permission的范例
03-29
是用菜单URL作为shiro的permission来管理,每一个用户分配其角色(可以有多个角色),这个系统要求必须登录才能使用,如果是对外的公开项目就不合适,shiro一般也是用在需要控制权限的项目. 每个角色分配其可以访问的url,所以当一个用户登录的时候,他会有可以访问的url的清单,这样我们就可以利用动态生成菜单和在页面上配置的方式让其只能看见自己可以访问的菜单,用户登录的时候只能看到他有权限的菜单,只要能看到的菜单或功能,都是有权限访问的. 项目用到spring-boot和mybatis。需要在test数据库里运行代码里的sql脚本,默认登录用户hao或yiqian,密码都是12345
权限解决方案:Shiro自定义Permission、AOP + Shiro
qq_45716444的博客
06-01 2574
权限解决方案 Shiro自定义Permission Shiro授权扩展 Shiro AuthorizerRealm重写isPermitted AOP + Shiro AOP 加 Shiro
深入理解Apache Shiro中的“Permissions”概念
Lvlht的博客
07-12 790
Shiro将Permission定义为定义显式行为或操作的语句。它是应用程序中原始功能的声明,仅此而已。权限是安全策略中最低级别的构造,它们只显式定义应用程序可以执行的操作。 他们根本没有描述“谁”能够执行行动((而不是描述who对what(which)进行how操作))。 一些权限示例: 打开一个文件 查看“/ user / list”网页 打印文件 删除’jsmith’用户 定义“谁”(用户...
Shiro之@RequiresPermissions注解原理详解
热门推荐
敲代码的小小酥的博客
02-28 4万+
前言 shiro为我们提供了几个权限注解,如下图: 这几个注解原理都类似,这里我们讲解@RequiresPermissions的原理。 铺垫 第一 首先要清楚@RequiresPermissions的基本用法。就是在Controller的方法里,加上@RequiresPermissions注解,并写上权限标识。那么,有该权限标识的用户,才能访问到请求。如下图: 第 先剧透一下,@RequiresPermissions注解的原理是使用了Spring的AOP进行了增强。来判断当前用户是否有该权限标识。我们
基于SSM的CRM系统,Shiro作为安全框架+源代码+文档说明
11-11
2、本项目适合计算机相关专业(如计科、人工智能、通信工程、自动化、电子信息等)的在校学生、老师或者企业员工下载学习,也适合小白学习进阶,当然也可作为毕设项目、课程设计、作业、项目初期立项演示等。...
基于SpringBoot+Layui搭建的学生管理系统源码,融合shiro安全框架和Ehcache缓存框架.zip
08-30
基于SpringBoot+Layui搭建的学生管理系统源码,融合shiro安全框架和Ehcache缓存框架.zip基于SpringBoot+Layui搭建的学生管理系统源码,融合shiro安全框架和Ehcache缓存框架.zip 【备注】 该项目是个人毕设项目,...
基于springboot,mybatis,shiro,redis的后台管理框架+源代码+文档说明
11-28
2、本项目适合计算机相关专业(如计科、人工智能、通信工程、自动化、电子信息等)的在校学生、老师或者企业员工下载学习,也适合小白学习进阶,当然也可作为毕设项目、课程设计、作业、项目初期立项演示等。...
shiro与web项目整合 技术架构基于SSM.zip
12-29
SSM框架学习宝典:入门、进阶、精通,全方位代码项目资 一、探索SSM的无限可能 SSM(Spring + Spring MVC + MyBatis)框架作为Java开发中的黄金组合,为开发者提供了强大的技术支持和丰富的功能。本系列资料将带您...
Shiro】Permission字符串及认证授权的相关内容
kevin的博客
05-09 1079
粗颗粒:对资源类型的管理称为粗颗粒度权限控制,即只控制到菜单、按钮、方法。细颗粒:对资源实例的控制称为细颗粒度权限管理,即控制到数据级别的权限。
shiro授权) Permission(*)
weixin_42408447的博客
11-17 488
字符串通配符权限 规则:“资源标识符:操作:对象实例ID” 即对哪个资源的哪个实例可以进行什么操作。 其默认支持通配符权限字符串,“:”表示资源/操作/实例的分割;“,”表示操作的分割;“*”表示任意资源/操作/实例。 1. 单个资源单个权限 subject().checkPermissions("system:user:update"); 用户拥有资源"system:user"的"update"权限 2. 单个资源多个权限 ini配置文件 [users] zhang=123,role1,role2,ro
Shiro基础知识03----shiro授权(编程式授权),Permission详解,授权流程
ChangWen的博客
10-01 1万+
授权,也叫访问控制,即在应用中控制谁能访问哪些资源(如访问页面/编辑数据/页面操作等)。   在权限认证中,最核心的是:主体/用户(Subject)、权限(Permission)、角色(Role)、资源(Resource)。     1、权限,即操作资源的权利,通过权限我们可以表示在应用中用户有没有操作某个资源的权力。即权限表示在应用中用户能不能访问某个资源,比如访问某个页面,以及对某个模块的
SSH整合shiro
desert568的博客
12-19 1735
和大家分享一下 ssh整合shiro 关于ssh的整合就不啰嗦了,我上篇文章有详细的说明,关于整合shiro,首先在ssh整合的基础上进行组合 1.首先,要导入几个依赖(整合ssh与shiro的依赖):         1.3.2   //整合shiro的版本     //上面的一些有关于整合ssh的依赖就不详细说了    org.apache.sh
Shiro的permission管理,用户的认证和授权
超人的博客
08-16 3551
以下是步骤: 1.web.xml中配置:<display-name>shirodemo</display-name> <welcome-file-list> <welcome-file>index.jsp</welcome-file> </welcome-file-list> <context-param> <param-name>contex
Shiro进阶(三)Shiro之缓存和会话管理
jwang的博客
05-13 1494
前言 本章讲解shiro中缓存和会话的管理 方法 1.概念 在之前的例子中我们发现,我们每一次访问需要一定权限的url是,程序将自动的去数据库中查询所需要的角色权限信息,一旦我们的菜单和按钮上写入的控制太多,那么将对应查询很多次数据库。 上面显示,我们每次访问需要权限的页面都需要去数据库查询相应的角色和权限。 为了避免上面的问题,我们可以配置shiro的缓存。 2.s...
Shiro进阶(四)Shiro之RememberMe
jwang的博客
05-13 6249
前言 本章讲解一下Shiro的记住我的功能 方法 1.概念 首先要澄清一点的是,这里的记住我并不是记住用户名和密码。 shiro的记住我是一种基于cookie实现的方式,特定的页面在关掉浏览器后(session消失)也可以进行访问的功能! 2.实现步骤 1)前台登录页面修改 如果需要记住我的功能,那么前台页面需要一个checkbox多选框来让用户进行勾选。 这里我就不...
第三章 授权——《跟我学Shiro
jinnianshilongnian的专栏
02-21 704
  目录贴: 跟我学Shiro目录贴   授权,也叫访问控制,即在应用中控制谁能访问哪些资源(如访问页面/编辑数据/页面操作等)。在授权中需了解的几个关键对象:主体(Subject)、资源(Resource)、权限(Permission)、角色(Role)。 主体 主体,即访问应用的用户,在Shiro中使用Subject代表该用户。用户只有授权后才允许访问相应的资源。 资源 在应...
java安全框架shiro的优点
最新发布
04-13
Shiro是一个强大且灵活的Java安全框架,它提供了身份验证、授权、加密和会话管理等功能。以下是Shiro框架的几个优点: 1. 简单易用:Shiro的设计目标之一是简化安全操作,提供了简单易用的API和配置方式,使得开发...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

星尘Pro

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值