shiro 权限认证的原理,个人的理解

最新推荐文章于 2024-07-24 17:09:17 发布
最新推荐文章于 2024-07-24 17:09:17 发布
阅读量2.1w 收藏 9
点赞数
分类专栏: shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/baicp3/article/details/45913387
版权

1.对有没有访问权限的理解。  我们这里要对系统中的 角色组、角色、用户、功能 之间的关系要理清楚,http://blog.csdn.net/baicp3/article/details/45028013方便下面用户是否具有某一url的访问。

我们看shiro的配置文件,所以的请求都是需要用户登录的


因而用户 在登录成功时候,shiro已经把该用户是否有访问某一url的权限已经判断好了。

看下面简单的代码

   @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        //获取当前登陆的用户名
        String loginName = 
              (String) principalCollection.fromRealm(getName()).iterator().next();
        //根据用户名查找对象
        User user = userService.findByLoginName(loginName);
        if(user != null) {
            SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
            //添加角色(Set集合<字符串>)
            info.setRoles(user.getGroupNameSet());
            //迭代用户对应的角色集合,为了获取角色对应的权限
            for(UserGroup g : user.getUserGroupList()) {
                //添加permission
                info.addStringPermissions(g.getPermissionStringList());
            }
            return info;
        }
        return null;
    }

   
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(
            AuthenticationToken authenticationToken) throws AuthenticationException {
        UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken;
        //根据用户名去查找对象
        User user = userService.findByLoginName(token.getUsername());
       
        if(user != null) {
          return new SimpleAuthenticationInfo(user.getName(),
              user.getPassword(),getName());
        }
        return null;
    }

    public void setUserService(UserService userService) {
        this.userService = userService;
    }

}

shiro其实已经帮我们写好了方法,我们只要去重写 首先看源码

本人系统这个类RapShiroRealm 去实现(抽象类AuthorizingRealm 重写doGetAuthorizationInfo方法 权限认证

AuthorizingRealm类又继承AuthenticatingRealm抽象类  shiro开发者帮我们写好了。重写doGetAuthenticationInfo方法 认证回调函数 登录时调用)看上面的两个方法帮助我们更好的去理解。

详细一点的步骤:

 首先在访问我们controller的方法上定义好


访问该controller 需要用户携带 demo:simple. 通过重写类AuthorizingRealm的方法doGetAuthorizationInfo 在该方法中,用户在登录的时候执行,  SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
            //添加角色(Set集合<字符串>)
            info.setRoles(user.getGroupNameSet());
            //迭代用户对应的角色集合,为了获取角色对应的权限
            for(UserGroup g : user.getUserGroupList()) {
                //添加permission
                info.addStringPermissions(g.getPermissionStringList());
            }  这段代码 可以把该用户到底拥有哪些permission都存储起来了。


2.由于我们重写了shiro的抽象类AuthorizingRealm 的方法doGetAuthorizationInfo  他在登录的时候就会将登录成功之后改用户是否有哪些地方的url访问权限都存放起来了。要用的时候直接如下图判断:



问题点。

我们写的类RapShiroRealm 加载时机,或者说它是怎么触发的??




baicp3
关注
  • 0
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
Springboot + shiro权限管理
11-17
**SpringBoot + Shiro 权限管理详解** 在现代企业级应用开发中,权限管理是不可或缺的一部分,它确保用户只能访问他们被...通过深入理解 Shiro 的工作原理,并合理配置与优化,开发者可以打造出高效、安全的应用程序。
shiro权限控制原理权限分隔符使用
h363659487的博客
06-27 1238
shiro鉴权的原理权限code的使用和测试DEMO
shiro原理解析
m0_67403188的博客
08-24 2063
(它的主要目的是与数据库打交道,查询数据库中的认证的信息(比如用户名和密码),查询授权的信息(比如权限的code等,所以这里可以理解为调用数据库查询一系列的信息,一般情况下在项目中采用自定义realm,因为不同的业务需求不一样))这里的md5是原始的md5的加密了一次的密码+随机盐,然后对这个新的密码password=(md5+salt),进行散列:如何进行散列呢:就是多次md5加密md5(md5(md5(md5(password)))),这是4次散列,每次密码的破解的难度都加大。
解决 Shiro 重复调用 doGetAuthenticationInfo 导致异常处理错误的问题
最新发布
ATFWUS的博客
07-24 1082
遇到一个 Shiro 中反复调用 doGetAuthenticationInfo 导致异常没有被成功处理的问题,经过一些源码调试,发现了问题的所在,只需在继承 BasicHttpAuthenticationFilter 的类中重写 onAccessDenied 方法即可。
Shiro的鉴权方式
热门推荐
不忘初心,方能始终。
02-25 1万+
一、 怎么用 Shiro 支持三种方式的授权 编程式:通过写 if/else 授权代码块完成: Subject subject = SecurityUtils.getSubject(); if(subject.hasRole(“admin”)) { //有权限 } else { //无权限 } 注解式:通过在执行的 Java 方法上放置相应的注解完成: @Require...
shiro认证、授权和鉴权
qq_37697436的博客
08-09 324
SecurityManager是Shiro的核心组件,负责管理所有的Subject,以及执行认证和授权的操作。在上面的示例中,我们首先创建了一个SecurityManager,并设置了一个Realm用于认证。在Shiro中,可以使用不同的方式进行鉴权,例如基于URL的鉴权、基于方法的鉴权等。在Shiro中,可以使用不同的方式进行授权,例如基于角色的授权、基于权限的授权等。在Shiro中,可以使用不同的方式进行认证,例如基于用户名和密码的认证、基于证书的认证等。首先,让我们来了解一下Shiro的基本概念。
shiro的授权
weixin_44939526的博客
11-02 154
授权的自定义Realm(数据源) /** * 授权方法 * @param principalCollection * @return */ @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) { /*获取登陆进来的对象的所有信息, 这个对象是在认证的时候传递进来的*/
Shiro安全权限
07-05
1 权限管理原理知识 1.1什么是权限管理 只要有用户参与的系统一般都要权限管理,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。 权限管理包括用户...
springboot-shiro权限管理系统.zip
07-05
本篇文章将深入探讨"springboot-shiro权限管理系统",包括其核心组件、实现原理以及前端UI设计。 1. **SpringBoot基础** SpringBoot简化了Spring应用的初始搭建以及开发过程,它默认配置了许多常见的功能,如自动...
shiro登陆身份认证权限管理 密码加密
01-23
Apache Shiro 是一个强大且易用的 Java 安全框架,提供身份认证、授权、会话管理和加密等安全服务。...通过学习和实践这个 demo,你可以更深入地理解 Shiro 的工作原理,并将其应用于自己的项目中。
shiro权限框架Demo
09-24
在这个"shiro权限框架Demo"中,我们主要探讨如何使用Shiro来实现一个简单的权限管理模型。以下是对这个Demo的详细解读: 1. **身份验证**(Authentication):Shiro提供了用户登录验证的机制。在Demo中,可能包含了...
Shiro原理讲解
qq_42814833的博客
12-30 5197
从请求的开始,到Subject的创建、认证、授权、会话。本文讲述shiro对web请求的安全处理、SecurityManager的工作流程、shiro如何制作一个带有会话的角色。大致说明shiro的工作流程和讲解部分源码。
Spring 整合Shiro鉴权授权
weixin_52633911的博客
01-17 1052
主要讲述了在java中如何整合shiro
Shiro框架:Shiro用户访问控制鉴权流程-内置过滤器方式源码解析
博客园
01-18 1579
Shiro作为一款比较流行的登录认证、访问控制安全框架,被广泛应用在程序员社区;Shiro登录验证、访问控制、Session管理等流程内部都是委托给SecurityManager安全管理器来完成的,SecurityManager安全管理器前面文章已经进行了详细解析;在此基础上,上篇文章已对Shiro用户登录认证流程进行了源码跟踪,本篇文章继续对下一个核心流程---用户访问控制鉴权流程进行源码解析;
Shiro整合JWT实现认证权限鉴定(执行流程清晰详细)
qq_25046827的博客
04-23 8796
文章目录一、前情提要二、整合Shiro与JWT1、编写JWT工具类2、编写JWTToken3、编写JWTFilter4、编写JWTRealm5、编写Shiro配置类三、编写异常处理类四、编写Controller 一、前情提要 JWT:服务端根据规范生成一个令牌(token),并且发放给客户端(保存在客户端)。此时客户端请求服务端的时候就可以携带者令牌,以令牌来证明自己的身份信息。 Shiro:Java的一个安全(权限)框架,用户登录时把身份信息(用户名/手机号/邮箱地址等)和凭证信息(密码/证书等)封装成
【应用】SpringBoot -- Shiro 实现认证与鉴权
情绪瓜皮皮丶的学习之路
09-24 1224
SpringBoot 中使用 Shiro 框架实现账号认证权限鉴别
shiro的授权过程
ITWANGBOIT的博客
10-14 891
1:通过继承shiroAuthorizingRealm类,并实现它的doGetAuthorizationInfo方法来进行授权。 2:doGetAuthorizationInfo方法的参数是认证通过的principal的集合(因为可多个realm,且有不同的认证策略) 3:doGetAuthorizationInfo方法的作用就是:登录认证成功之后,根据认证通过的principal,...
Shiro认证和鉴权的流程
web13985085406的博客
08-24 1347
Realm: 域,shiroRealm获取安全数据(如用户、角色、权限),就是说SecurityManager要验证用户身份,那么它需要从Realm获取相应的用户进行比较以确定用户身份是否合法;8.认证器Authenticator会拿到传入token中的password和返回认证信息对象SimpleAuthenticationInfo中的password进行比对,如果不一致则抛出异常.4.然后判断用户的角色/权限集合中是否包含当前判断的权限,如果包含返回true,否则返回false.
springboot整合shiro入门,实现认证和授权功能(非常详细)
沐雨橙风ιε的博客
07-02 6362
自定义过滤器AuthorizationFilter实现鉴权功能。/*** 鉴权过滤器*/@WebFilter@Override= null &&!// 构建返回对象JsonResult jsonResult= JsonResult.error(ResponseCode.UNAUTHORIZED, "正在访问未授权的资源");return;
Java私塾:系统掌握Shiro权限认证开发
《深入浅出学Shiro》是一套针对Java开发者设计的系统且全面的教程,旨在帮助学员深入理解并掌握Apache Shiro这一体现轻量级身份与权限管理的框架。课程内容丰富,分九个章节进行教学: 1. **权限管理基础**:首先...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值