Shiro权限管理

最新推荐文章于 2022-09-01 21:17:35 发布
最新推荐文章于 2022-09-01 21:17:35 发布
阅读量183 收藏 1
点赞数
分类专栏: 中间件 文章标签: shiro java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/TomCat_And_Jerry/article/details/115741099
版权

Shiro权限管理

前言

什么是权限管理?

基本上涉及到用户参与的系统都要进行权限管理,权限管理属于系统安全的范畴,
权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问
而且只能访问自己被授权的资源。权限管理包括用户身份认证和授权两部分,简称认证授权。
对于需要访问控制的资源用户首先经过身份认证,认证通过后用户具有该资源的访问权限方可访问。

什么是身份认证?

身份认证,就是判断一个用户是否为合法用户的处理过程。
最常用的简单身份认证方式是系统通过核对用户输入的用户名和口令,
看其是否与系统中存储的该用户的用户名和口令一致, 来判断用户身份是否正确。
对于采用指纹等系统,则出示指纹;对于硬件Key等刷卡系统,则需要刷卡。

什么是授权?

授权,即访问控制,控制谁能访问哪些资源。主体进行身份认证后需要分配权限方可访问系统的资源,
对于某些资源没有权限是无法访问的

什么是Shiro?

Shiro是一个功能强大且易于使用的Java安全框架,它执行身份验证、授权、加密和会话管理。
使用Shiro易于理解的API,您可以快速轻松地保护任何应用程序
从最小的移动应用程序到最大的web和企业应用程序。

Shiro是apache旗下一个开源框架,它将软件系统的安全认证相关的功能抽取出来,
实现用户身份认证,权限授权、加密、会话管理等功能,组成了一个通用的安全认证框架。

Shiro的核心架构
在这里插入图片描述

Subject
Subject即主体,外部应用与subject进行交互,subject记录了当前操作用户,将用户的概念理解为
当前操作的主体,可能是一个通过浏览器请求的用户,也可能是一个运行的程序。
Subject在shiro中是一 个接口,接口中定义了很多认证授相关的方法,外部程序通过subjec进行认证授,
而subject是通过SecurityManager安全 管理器进行认证授权

Shiro中的认证

Shiro 中认证的关键对象

Subject: 主体
访问系统的用户,主体可以是用户、程序等,进行认证的都称为主体;
Principal: 身份信息
是主体(subject) 进行身份认证的标识,标识必须具有唯一性,如用户名、手机号、邮箱地址等,
一个主体可以有多个身份,但是必须有一个主身份(Primary Principal) .
Credential: 凭证信息
是只有主体自己知道的安全信息,如密码、证书等。

认证流程
在这里插入图片描述

Shiro 入门
<dependencies>
	<dependency>
		<groupId>org.apache.shiro</groupId>
		<artifactId>shiro-core</artifactId>
		<version>1.5.3</version>
	</dependency>
</dependencies>

Shiro.ini

[users]
vivi=123
bingbing=234

public static void main(String[] args) {
	// 创建安全管理器对象
	SessionsSecurityManager manager = new DefaultSecurityManager();
	// 给安全管理器对象设置 Realm
	manager.setRealm(new IniRealm("classpath:shiro.ini"));
	// 给全局安全工具类设置安全管理器
	SecurityUtils.setSecurityManager(manager);
	// 关键对象 Subject 主体
	Subject subject = SecurityUtils.getSubject();
	// 创建令牌
	UsernamePasswordToken token = new UsernamePasswordToken("vivi", "1233");
	try {
		// 用户认证
		subject.login(token);
		// 用户认证状态
		System.out.println(subject.isAuthenticated());
		System.out.println("ok");
	} catch (IncorrectCredentialsException e) {
		System.out.println("密码错误");
	}
}
认证
// 自定义 Realm
public class CustomerRealm extends AuthorizingRealm {

	// 授权
	@Override
	protected AuthorizationInfo doGetAuthorizationInfo
	(PrincipalCollection principals) {
		return null;
	}

	// 认证
	@Override
	protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token)
	 throws AuthenticationException {
		// 获取用户名
		String username = (String) token.getPrincipal();
		if ("vivi".equals(username)) {
			return new SimpleAuthenticationInfo(username, 
			"3416387f60900122a999d4e05c104450", this.getName());
		}
		return null;
	}

}


public class TestCustomerRealm {

	public static void main(String[] args) {
		// 创建安全管理器
		DefaultSecurityManager manager = new DefaultSecurityManager();
		// 设置自定义 Realm
		manager.setRealm(new CustomerRealm());
		// 设置安全管理器
		SecurityUtils.setSecurityManager(manager);
		// 获得主体对象
		Subject subject = SecurityUtils.getSubject();
		// 创建 token
		String password = new Md5Hash("123", "%^&(*(()", 1024).toHex();
		UsernamePasswordToken token = new UsernamePasswordToken("vivi", password);
		try {
			// 认证
			subject.login(token);
			System.out.println("ok");
		} catch (IncorrectCredentialsException e) {
			System.out.println("密码错误");
			e.printStackTrace();
		} catch (Exception e) {
			e.printStackTrace();
		}

	}

}
授权
授权,即访问控制,控制谁能访问哪些资源。主体进行身份认证后需要分配权限方可访问系统的资源,
对于某些资源没有权限是无法访问的。

关键对象
	授权可简单理解为who对what(which)进行How操作:
	Who,即主体(Subject) .主体需要访问系统中的资源。
	
	What,即资源(Resource), 如系统菜单、页面、按钮、类方法、系统商品信息等。
	资源包括资源类型和资源实例,比如商品信息为资源类型,类型为t01的商品为资源实例,
	编号为001的商品信息也属于资源实例。
	
	How,权限/许可(Permission) ,规定了主体对资源的操作许可,权限离开资源没有意义,
	如用户查询权限、用户添加权限、某个类方法的调用权限、编号为001用户的修改权限等,
	通过权限可知主体对哪些资源都有哪些操作许可。

授权流程
在这里插入图片描述
授权方式

基于角色的访问控制
	RBAC基于角色的访问控制(Role-Based Access Control)是以角色为中心进行访问控制
	
基于资源的访问控制
	RBAC基于资源的访问控制(Resource-Based Access Control)是以资源为中心进行访问控制

权限字符串

权限字符串的规则是:资源标识符:操作:资源实例标识符,意思是对哪个资源的哪个实例具有什么操作,
“.”是资源/操作/实例的分割符,权限字符串也可以使用*通配符。
例子:
	用户创建权限: user:create, 或user:create:*
	用户修改实例001的权限: user:update:001
	用户实例001的所有权限: user:*: 001

// 授权
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals)
{
	String username = (String) principals.getPrimaryPrincipal();
	// 查询角色信息
	SimpleAuthorizationInfo autho = new SimpleAuthorizationInfo();
	// 配置查询的角色信息
	autho.addRole("admin");
	
	// 配置查询权限字符串
	autho.addStringPermission("user:*:*");
	return autho;
}

// 基于角色
System.out.println(subject.hasRole("admin"));
// 基于权限字符串
System.out.println(subject.isPermitted("user:*:create"));

Shiro整合SpringBoot

<parent>
	<groupId>org.springframework.boot</groupId>
	<artifactId>spring-boot-starter-parent</artifactId>
	<version>2.3.1.RELEASE</version>
	<relativePath />
</parent>

<dependencies>
	<dependency>
		<groupId>org.springframework.boot</groupId>
		<artifactId>spring-boot-starter-web</artifactId>
	</dependency>
	<dependency>
		<groupId>org.springframework.boot</groupId>
		<artifactId>spring-boot-starter-test</artifactId>
	</dependency>
	<dependency>
		<groupId>org.springframework.boot</groupId>
		<artifactId>spring-boot-starter-thymeleaf</artifactId>
	</dependency>
	<dependency>
		<groupId>mysql</groupId>
		<artifactId>mysql-connector-java</artifactId>
		<version>5.1.47</version><!--$NO-MVN-MAN-VER$ -->
	</dependency>
	<dependency>
		<groupId>org.springframework.boot</groupId>
		<artifactId>spring-boot-starter-data-jpa</artifactId>
	</dependency>
	<dependency>
		<groupId>org.springframework.boot</groupId>
		<artifactId>spring-boot-devtools</artifactId>
	</dependency>
	<dependency>
		<groupId>com.alibaba</groupId>
		<artifactId>druid</artifactId>
		<version>1.1.22</version>
	</dependency>
	<dependency>
		<groupId>org.apache.shiro</groupId>
		<artifactId>shiro-spring-boot-starter</artifactId>
		<version>1.5.3</version>
	</dependency>
</dependencies>

server.port=80
server.servlet.context-path=/dev
spring.datasource.driver-class-name=com.mysql.jdbc.Driver
spring.datasource.url=jdbc:mysql:///data?characterEncoding=utf8
spring.datasource.username=root
spring.datasource.password=123
spring.datasource.type=com.alibaba.druid.pool.DruidDataSource
// jpa的正向工程
spring.jpa.hibernate.ddl-auto=update
// 显示sq1
spring.jpa.show-sql=true
// 开启SQL格式化
spring.jpa.properties.hibernate.format_sql=true
// 指定数据库类型
spring.jpa.database=mysql
// 数据库方言:支持的特有语法
spring.jpa.database-platform=org.hibernate.dialect.MySQL55Dialect
// 开启懒加载,不开启在实体类中使用 FetchType.LAZY 会报错
spring.jpa.properties.hibernate.enable_lazy_load_no_trans=true

ShiroConfig.java

@Configuration
public class ShiroConfig {
	
	// 自定义ShiroFilter
	@Bean
	public ShiroFilterFactoryBean getFilterFactoryBean(DefaultWebSecurityManager manager) {
		ShiroFilterFactoryBean factoryBean = new ShiroFilterFactoryBean();
		factoryBean.setSecurityManager(manager);
		Map<String,String> map = new HashMap<>();
		// authc 表示认证 anon 不需要认证授权
		map.put("/users/**", "anon");
		map.put("/ui/**", "anon");
		map.put("/**", "authc");
		factoryBean.setFilterChainDefinitionMap(map);
		// 修改用户认证的路径
		factoryBean.setLoginUrl("/ui/login");
		return factoryBean;
	}
	
	@Bean
	public DefaultWebSecurityManager getsSecurityManager(@Qualifier("viRealm") Realm realm) {
		DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
		SecurityUtils.setSecurityManager(securityManager);
		securityManager.setRealm(realm);
		return securityManager;
	}
	
	@Bean("viRealm")
	public Realm getRealm() {
		CustomerRealm realm = new CustomerRealm();
		HashedCredentialsMatcher matcher = new HashedCredentialsMatcher();
		matcher.setHashAlgorithmName("MD5");
		matcher.setHashIterations(1024);
		realm.setCredentialsMatcher(matcher);
		return realm;
	}

}

CustomerRealm.java

public class CustomerRealm extends AuthorizingRealm {

	@Autowired
	private UserService userService;

	@Override
	protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals)
	 {
		String username = (String) principals.getPrimaryPrincipal();
		if (Objects.isNull(username)) {
			return null;
		}
		SimpleAuthorizationInfo autho = new SimpleAuthorizationInfo();
		autho.addRole("admin");
		autho.addStringPermission("user:*:*");
		return autho;
	}

	@Override
	protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token)
	 throws AuthenticationException {
		String username = (String) token.getPrincipal();
		User user = userService.findByUsername(username);
		if (!Objects.isNull(user)) {
			return new SimpleAuthenticationInfo( //
					user.getUsername(), //
					user.getPassword(), //
					ByteSource.Util.bytes(user.getSalt()), //
					this.getName());
		}
		return null;
	}

}

UserController.java

@RestController
@RequestMapping("users")
public class UserController {
	
	@Autowired
	private UserService userService;

	@PostMapping("login")
	public String login(String username, String password) {
		UsernamePasswordToken token = new UsernamePasswordToken(username, password);
		Subject subject = SecurityUtils.getSubject();
		try {
			subject.login(token);
		} catch (UnknownAccountException e) {
			System.out.println(e.getMessage());
			return "login err username is error";
		} catch (IncorrectCredentialsException e) {
			System.out.println(e.getMessage());
			return "login err password is error";
		}
		return "login ok";
	}
	
	@PostMapping("register")
	public String register(String username, String password) {
		User user = new User();
		user.setUsername(username);
		user.setPassword(password);
		userService.save(user);
		return "ok";
	}
	
	@GetMapping("logout")
	public String logout() {
		Subject subject = SecurityUtils.getSubject();
		subject.logout();
		return "logout ok..";
	}
	
	@DeleteMapping
	// TODO
	@RequiresRoles({"user", "admin"})
	@RequiresPermissions("user:*:*")
	public String deleteUser() {
		return "delete ok";
	}
	
}
@Vivi@
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro权限框架详解05-shiro授权
在路上
02-07 6316
介绍shiro授权的流程、自定义realm实现授权
java shiro做登陆权限控制
m0_67392409的博客
08-17 230
开发工具 eclipseMars.1 Release (4.5.1)3.spring-shiro.xml配置。
权限管理框架Shiro简介
weixin_38526781的博客
09-01 2197
权限管理框架shiro
shiro权限管理案例加文档
01-12
在这个“shiro权限管理案例加文档”中,我们很可能会找到关于如何在实际项目中应用Shiro进行权限控制的详细教程和实例。 **一、Shiro基础** Shiro的核心组件包括:Subject(主体)、Realms(域)、Cryptography...
Springboot + shiro权限管理
11-17
**SpringBoot + Shiro 权限管理详解** 在现代企业级应用开发中,权限管理是不可或缺的一部分,它确保用户只能访问他们被授权的资源。SpringBoot 和 Apache Shiro 是两个非常流行的 Java 开发框架,它们结合可以构建...
SpringMVC+shiro权限管理
04-02
**SpringMVC+Shiro权限管理** 在现代Web应用程序开发中,权限管理和用户认证是至关重要的组成部分。SpringMVC和Apache Shiro都是Java领域中广泛使用的框架,它们各自在不同的层面上提供了强大的功能。SpringMVC是...
Shiro权限管理】12.Shiro认证策略
程序猿之洞
11-26 2702
注:该系列所有测试均在之前创建的Shiro3的Web工程的基础上。 上一篇我们讲到了Shiro的多Realm验证,并且编写实例进行了测试。对于多Realm校验,我们还需要知道,两个Realm时,怎么才能知道认证通过了?是一个Realm通过了就通过,还是全部Realm通过了才通过,还是其它?这就牵扯到了认证策略。 认证策略实际上是AuthenticationStrategy这个接口,它有三个
springboot+shior 完整代码
11-27
自己在闲暇之余,简单的写了一个springboot+shior的完整代码,有需要的直接下载就可以使用
shiro数据库设计 五张表
11-07
shiro权限框架数据库设计,附少量数据,仅供测试,非实际项目
shiro权限所需5表
04-08
shiro权限所需5表,只是简单的权限控制,不复杂,适合新手!
shiro入门
trasewell的博客
09-25 845
目录: 1.pom.xml 2.applicationContext.xml 3.applicationContext-mybatis.xml 4.SpringBaseTest 5.优化分页 1.pom.xml <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4...
2021-11-25最适合入门的Shiro框架教程(三)(springboot整合Shiro,自定义Realm,MyRealm)
weixin_48400115的博客
11-25 622
一、Shiro认证流程回顾 subject调用login方法,将包含用户和密码token传递给SecurityManager SecurityManager就会调用认证器(Authenticator)进行认证 Authenticator认证器将token传入绑定的Realm,在Realm中进行认证检查;如果认证通过正常执行,认证失败不通过抛出异常。 自定义MyRealm 1.1表设计 用户表 tb_users 角色表 tb_roles 权限表 tb_permission
Shiro动态权限(整合Spring Boot)
qq_53432338的博客
06-27 2065
1、说明 2、数据库 3、代码 4、测试 5、小结动态权限是程序运行期间,对用户的权限进行更改而不需要修改源码。在shiro中,实现动态权限只需要实现一个自定义的过滤器即可,这里使用的方法是继承。需要注意的是,任何的动态权限都会损耗服务器的资源,因为所谓的动态权限就是根据数据库的变化,实时的将情况反应到客户端,即每次请求都需要对数据库发送请求,因为需要的是实时的数据,所以没办法使用Redis解决这个问题,因为即使存储到Redis中,Redis也需要去向数据库发送请求来更新数据,甚至因为请求经过了Redis,
Day41项目saas-export项目-shiro认证***
翁老师的教学团队
11-09 587
Shiro过滤器&标签简介 判断 sesion中是否有 user 判断账户密码是否正确 (1)分析 需要过滤器控制 没有权限下访问链接 需要标签控制 没有权限下 界面元素的隐藏 》anon代表不认证也可以访问,通常对静态资源进行放行 》authc代表必须通过认证才可以访问,通常对动态资源(controller,jsp页面)进行拦截,如果用户没有认证,Shiro会自动跳转到login.jsp页面 Shiro登陆认证-判断session中的user (1)过滤器 在项目中使用认证过滤器拦截资源(该
shiro的鉴权myrealm操作鉴定操作
java技术专家全栈成长之路
06-11 510
此时我们继承 AuthorizingRealm 而不是实现 Realm 接口;推荐使用 AuthorizingRealm,因 为: AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token):表示获取身份验证信 息; AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals):表示根据用户身份 获取授权信息。 这种方式的好
Shiro权限框架(一)
小郑要做干饭人的博客
03-25 3092
简介 :   Apache Shiro是Java的一个安全框架。目前,使用Apache Shiro的人越来越多,因为它相当简单,对比Spring Security,可能没有Spring Security做的功能强大,但是在实际工作时可能并不需要那么复杂的东西,所以使用小而简单的Shiro就足够了。对于它俩到底哪个好,这个不必纠结,能更简单的解决项目问题就好了。  Shiro可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以用在JavaEE环境。Shiro可以帮助我们完成:认证、授权、加
gateway+shiro权限管理
最新发布
12-21
Gateway Shiro 权限管理是一种基于 Apache Shiro 框架的网关权限管理系统。它提供了一种简单而灵活的方式来实现对网关服务的权限控制。通过 Gateway Shiro 权限管理,我们可以轻松地定义和管理用户角色、权限以及资源的访问控制规则。 在 Gateway Shiro 权限管理中,我们可以使用 Shiro 的注解或配置文件来定义用户角色和权限。这些角色和权限可以与特定的资源相关联,从而实现对这些资源的访问控制。同时,Gateway Shiro 也提供了一套简洁而强大的 API,可以方便地在代码中实现对权限的检查和管理。 另外,Gateway Shiro 也支持对用户身份的认证和会话管理。它可以集成常见的认证方式,如用户名密码认证、OAuth 认证等。通过 Gateway Shiro,我们可以对用户进行认证,并管理他们的登录会话,确保他们只能访问他们被授权的资源。 总之,Gateway Shiro 权限管理是一个功能强大而灵活的权限控制系统,可以帮助我们轻松地实现对网关服务的权限管理。它可以帮助我们定义用户角色和权限管理用户认证和会话,从而确保我们的系统能够对用户进行细粒度的权限控制。同时,Gateway Shiro 也为开发人员提供了便捷的 API 和工具,帮助他们更好地实现对权限管理。因此,Gateway Shiro 是一个非常值得推荐的网关权限管理系统。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值