Shiro 学习【三】授权

最新推荐文章于 2024-10-16 16:34:42 发布
最新推荐文章于 2024-10-16 16:34:42 发布
阅读量132 收藏
点赞数 1
分类专栏: java 文章标签: java shiro spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/StarLight_LiuXT/article/details/119185084
版权

一、回顾

回顾上文我们了解到Shiro的认证
1.准备好 login 接口
2.在自定义的 Realm 中,重写 doGetAuthenticationInfo 方法进行校验

二、授权

所谓授权,可以理解是 “身份辨别

1.准备一个“未授权”接口,用来 给没有权限的用户进行跳转(避免他尴尬哈哈哈)

    @GetMapping("/unauth")
    @ResponseBody
    public String unauthorized(){
        return "您未被赋予权限!";
    }

2.在 ShiroConfig 中进行配置,设置 接口权限 以及 跳转目标

import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.beans.factory.annotation.Qualifier;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

import java.util.LinkedHashMap;
import java.util.Map;

/**
 * @author LiuXT
 */
@Configuration
public class ShiroConfig {
    //3 ShiroFilterFactoryBean
    @Bean
    public ShiroFilterFactoryBean getShiroFilterFactoryBean(@Qualifier("SecurityManager") DefaultWebSecurityManager defaultWebSecurityManager){
        ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();

        // 设置安全管理器
        bean.setSecurityManager(defaultWebSecurityManager);
        //添加 Shiro内置过滤器
        /*
         * anon: 无需认证即可访问
         * authc: 需要认证才能访问
         * user: 需要拥有 ‘记住我’ 才能用
         * perms: 拥有对某个资源权限才能访问
         * role: 拥有某个角色权限才能访问
         */
        Map<String,String> map = new LinkedHashMap<>();
        //拦截器   ("请求路径",“请求过滤方式 ”)
        //map.put("/testshiro/aaa","authc");
        //map.put("/testshiro/bbb","authc");
        //map.put("/testshiro/*","authc");
        
        //表示:用户的权限 不是 admin 则没有权限访问 /testshiro/aaa
        map.put("/testshiro/aaa","roles[admin]");
        //配置 如果被拦截 则跳转到 XXX请求
        bean.setLoginUrl("/testshiro/tologin");
        //配置 如果未授权 则跳转到 XXX请求
        bean.setUnauthorizedUrl("/testshiro/unauth");
        bean.setFilterChainDefinitionMap(map);
        return bean;
    }

    //2 DefaultWebSecurityManager
    @Bean(name = "SecurityManager")
    public DefaultWebSecurityManager getDefaultWebSecurityManager(@Qualifier("liuRealm") LiuRealm liuRealm){
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        // 关联 LiuRealm
        securityManager.setRealm(liuRealm);
        return securityManager;
    }

    //1 创建 realm对象,自定义 Realm
    @Bean
    public LiuRealm liuRealm(){
        return new LiuRealm();
    }
}

3.自定义 Realm 中的授权部分进行变更,实现权限校验

import com.liu.entity.UserMpdemo;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.subject.Subject;

/**
 * @author LiuXT
 */
public class LiuRealm extends AuthorizingRealm {
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        System.out.println("执行了 -> 授权");
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        
        Subject subject = SecurityUtils.getSubject();
        UserMpdemo user = (UserMpdemo) subject.getPrincipal();

        System.out.println(user.getUsername() + " 的权限是 " + user.getRoles());
        // 给 info 添加授权信息 相当于告诉shiro,爷的权限就是这个!你知道了吧!?
        info.addRole(user.getRoles());
        return info;
    }

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        System.out.println("执行 -> 认证");
        // 1 模拟数据 (实际需要根据token从库中查询出来)
        UserMpdemo user = new UserMpdemo("001", "root", "123123", "admin");
        // 2 将token转为  可以提取内容的 userToken
        UsernamePasswordToken userToken = (UsernamePasswordToken) token;
        if (!userToken.getUsername().equals(user.getUsername())) {
            // 返回null 即抛出异常  UnknownAccountException -> 用户不存在
            return null;
        }
        // 密码校验 完成后 所有校验即完成
        SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(user, user.getPassword(), "");
        return info;
    }
}

效果:
因为咱们 认证 时使用的是模拟数据,所以进行对模拟数据更改属性 roles 来进行检测

1.当 ShiroConfig 中设置权限为 admin,且咱们数据的权限也是 admin 时,先登录再访问 aaa没问题~ 完美~

在这里插入图片描述

2.当 ShiroCofig 中设置权限为 admin,但模拟数据的权限为 admin123 时,先登录再访问 aaa时权限校验不通过~ 完美~

在这里插入图片描述

想上天的小旭旭呀
关注
专栏目录
Shiro学习
少年有事问春风
10-17 405
shiro学习
Spring Boot 整合 Shiro 实现认证授权
qq_45716120的博客
02-03 450
导入依赖: <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.4.1</version> </dependency> Subject:用户 SecurityManager:管理所有用户 Realm:连接数据 ...
Shiro学习认证和授权
wsb_2526的博客
03-11 417
但是这种方式是有缺陷的,一般我们会从数据库中读取权限,然后进行设置,所以可以对上面的配置方式进行改造,通过工厂方法创建bean。1、继承AuthorizingRealm类,重写doGetAuthorizationInfo方法,在其中实现授权的逻辑;2、在controller中的方法上使用@RequiresPermissions注解表明需要的权限;ShiroFilter中可以通过下面的方式:配置哪些页面需要受保护. ,以及访问这些页面需要的权限。
Shiro入门—授权
微信公众号:一颗向上的草莓
08-03 332
授权流程 授权方式Shiro 支持种方式的授权:编程式:通过写if/else 授权代码块完成:Subject subject = SecurityUtils.getSubject(); if(subject.hasRole(“admin”)) { //有权限 } else { //无权限 }​注解式:通过在执行的Java方法上放置相应的注解完成:@RequiresRoles(
Shiro入门学习
yutao_Struggle的博客
11-24 543
授权简介授权,也叫访问控制,即在应用中控制谁能访问哪些资源(如访问页面/编辑数据/页面操作等)。在授权中需了解的几个关键对象:主体(Subject)、资源(Resource)、权限(Permission)、角色(Role) shiro通过角色赋予主体对资源CRUD(增删改查),角色是一组权限的集合。shiro支持粗粒度权限(基于角色的访问控制)和细粒度权限(基于资源的访问控制)。shiro支持
Shiro学习笔记
SIMBA1949的博客
06-28 470
Shiro学习笔记 前言 版本说明 shiro=1.5.3 相关链接 Shiro 官网:http://shiro.apache.org/ Shiro maven 地址:https://mvnrepository.com/artifact/org.apache.shiro/shiro-core shiro-spring-boot-starter maven 地址:https://mvnrepository.com/artifact/org.apache.shiro/shiro-spring-boot-st
shiro基础知识学习
cccy的博客
07-08 90
授权,即访问控制,控制哪些用户能访问哪些资源。主体进行身份认证后需要分配权限方可访问系统的资源,对于某些没有权限的资源是无法访问的。如果自己完成认证和授权相对来说比较麻烦。可以使用第方框架帮你完成认证和权限的绑定。使用比较多的第方框架---shirospringsecurity安全框架。shiro使用比较简单。而且它可以单独使用也可以和spring框架整合。
shiro学习教程
alankuo的专栏
10-01 406
Apache Shiro是一个强大且易用的Java安全框架,它提供了身份验证、授权、加密和会话管理等功能。Shiro的设计理念是简单易用,同时又能满足复杂的安全需求,可以轻松地集成到各种Java应用程序中,如Web应用、命令行应用、移动应用等。// 用于身份验证@Override// 假设从数据库获取用户信息进行验证// 这里应该查询数据库验证用户信息} else {throw new AuthenticationException("用户名或密码错误");// 用于授权
Shiro学习笔记(四):Shiro中的授权
weixin_47382783的博客
12-12 2588
一、授权介绍 1、授权 授权:即访问控制,控制谁能够访问哪些资源。主体进行身份认证后需要分配权限方可访问系统的资源,对于没有授权的资源则是无法访问的。 对于授权可以理解为谁对哪些资源进行什么操作,授权中的关键对象如下: 主体:主体需要访问系统中的资源 资源:如系统菜单、页面、按钮、类方法、系统商品信息等。资源包括资源类型和资源实例,比如商品信息为资源类型,类型为g01的商品则称为资源实例,订单编号为o01的订单也为资源实例。 权限/许可:规定了主体...
shiro学习笔记
04-03
这份"Shiro学习笔记"可能包含了以下主题: - Shiro的安装与配置 - Shiro基本概念详解 - Realm的创建与使用 - 登录与登出流程 - 权限控制机制 - 缓存管理和会话管理 - ShiroSpring的整合 - Shiro的Filter链配置 - ...
shiro 学习资料
12-27
Apache Shiro 是一个强大且易用的 Java 安全框架,提供身份认证、授权、加密和会话管理功能,简化了开发人员在构建安全应用程序时的复杂性。它被广泛应用于Java Web 开发中,为应用程序提供了一种简单的方式来处理...
shiro学习示例
02-07
在"shiro学习示例"中,我们可以深入理解Shiro的核心概念和实际应用。 1. **Shiro基本概念** - **认证**:确认用户身份的过程,即用户输入用户名和密码,系统通过验证来确认用户的身份。 - **授权**:确定用户是否...
shiro学习资料
08-29
Apache Shiro是一个强大的Java安全框架,它为应用程序提供了身份验证、授权、会话管理和加密服务。这个压缩包包含了几个关键的学习资源,可以帮助你全面理解并掌握Shiro的使用。 首先,"Apache_Shiro_reference...
【C++刷题】力扣-#121-买卖股票的最佳时机
会写代码的饭桶
10-16 267
给定一个数组 prices,其中 prices[i] 表示第 i 天的股票价格。假设你可以在第 i 天买入并在第 j 天卖出股票(i ≤ j),设计一个算法来计算你所能获取的最大利润。注意你只能持有一股股票,并且你不能同时参与多笔交易(即在再次买入前必须卖出股票)。
基于SSM班级事务管理系统的设计
2401_87849773的博客
10-15 320
管理员账户功能包括:系统首页,个人中心,学生管理,班委管理,班会组织管理,健康档案管理,党员发展管理,党员培训管理,学生成绩管理。主要技术:Java,Spring,mybatis,mysql,jquery,html。班委账号功能包括:系统首页,学生管理,学生成绩管理,活动信息管理,班费通知管理。服务器:SpringBoot自带 apache tomcat。JDK版本:Java JDK1.8。数据库可视化工具: navicat。数据库版本: mysql5.7。开发系统:Windows。
2024.10月12日--- SpringMVC异常处理
whisper_Java 的博客
10-12 929
*** 用户【】 IP[]* 在【时间】* 操作【Controller.find】 发生如下异常*/@OverrideSystem.out.println("---------执行了自定义异常处理器------------");// 根据不同的异常类型,设置不同的响应状态码// 可以添加更多的自定义处理逻辑//}else {// 记录日志或其他处理逻辑// 可以将异常信息放入模型中供视图展示。
spring task的使用场景
qq_40603125的博客
10-13 297
spring任务调度框架约定的时间。
Backend - Java 基础
是萝卜干呀的博客
10-11 840
知识量决定了未来能走多远
JavaWeb Servlet--09深入:注册系统04--修改页面
最新发布
weixin_62189092的博客
10-16 307
这里就会获取要修改的用户的id,返回用户,再把这个用户重定向跳转到update.jsp页面。在再UserServlet里书写修改的代码。分析:点击修改超链接,就跳转到一个修改界面,要显示原本的数据,且密码显示出来,在该页面将对用户的数据的进行修改,最后提交。findUserByID()----显示原本的内容,update()---修改数据库内容的方法。注意:修改信息是要展示密码的文本内容,所以在password处type="text";写法和register没有太大的区别,主要是对文本框获得值。
Apache Shiro 安全框架学习指南
授权 授权Shiro 框架的另一个核心功能,Shiro 框架提供了多种授权机制,包括基于角色的访问控制(RBAC)、基于权限的访问控制(PBAC)等。Shiro 框架的授权机制是基于 Permission 的,Permission 是 Shiro ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值