3.shiro授权的配置,使用及其说明。

最新推荐文章于 2024-04-21 23:14:09 发布
最新推荐文章于 2024-04-21 23:14:09 发布
阅读量306 收藏
点赞数
分类专栏: shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/c_royi/article/details/80864553
版权

shiro授权的配置,使用及其说明

1.授权

授权,也叫访问控制,即在应用中控制谁能访问哪些资源(如访问页面/编辑数据/页面操作等)。在授权中需了解的几个关键对象:主体(Subject)、资源(Resource)、权限(Permission)、角色(Role)。
主体
主体,即访问应用的用户,在 Shiro 中使用 Subject 代表该用户。用户只有授权后才允许访问相应的资源。
资源
在应用中用户可以访问的任何东西,比如访问 JSP 页面、查看/编辑某些数据、访问某个业务方法、打印文本等等都是资源。用户只要授权后才能访问。
权限
安全策略中的原子授权单位,通过权限我们可以表示在应用中用户有没有操作某个资源的权力。即权限表示在应用中用户能不能访问某个资源,如: 访问用户列表页面
查看/新增/修改/删除用户数据(即很多时候都是 CRUD(增查改删)式权限控制)

2.授权配置方式

2.1使用shiro.ini直接授权

shiro.ini文件

[users]
#用户名 = 密码,角色1,角色2
admin=123,role1,role2

测试文件

    @Test
    public void test() {
        login("classpath:shiro-role.ini", "admin", "123");
        //判断拥有角色:role1
        Assert.assertTrue(subject().hasRole("role1"));
        //判断拥有角色:role1 and role2
        Assert.assertTrue(subject().hasAllRoles(Arrays.asList("role1", "role2")));
        //判断拥有角色:role1 and role2 and !role3
        boolean[] result = subject().hasRoles(Arrays.asList("role1", "role2", "role3"));
        Assert.assertEquals(true, result[0]);
        Assert.assertEquals(true, result[1]);
        Assert.assertEquals(false, result[2]);
    };

2.2配置shiro.ini文件并对于role授权

shiro.ini文件

[users]
admin=123,role1,role2
[roles]
role1=user:create,user:update
role2=user:delete;

测试方法

 @Test
    public void testIsPermitted() {
        login("classpath:shiro-permission.ini", "zhang", "123");
        //判断拥有权限:user:create
        Assert.assertTrue(subject().isPermitted("user:create"));
        //判断拥有权限:user:update and user:delete
        Assert.assertTrue(subject().isPermittedAll("user:update", "user:delete"));
        //判断没有权限:user:view
        Assert.assertFalse(subject().isPermitted("user:view"));
    };

2.3使用自定义的realm

MyRealm文件

public class MyRealm extends AuthorizingRealm {
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
        authorizationInfo.addRole("role1");
        authorizationInfo.addRole("role2");
        authorizationInfo.addObjectPermission(new BitPermission("+user1+10"));
        authorizationInfo.addObjectPermission(new WildcardPermission("user1:*"));
        authorizationInfo.addStringPermission("+user2+10");
        authorizationInfo.addStringPermission("user2:*");
        return authorizationInfo;
    }
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        //对用户进行认证。
        //如果身份认证验证成功,返回一个AuthenticationInfo实现;
        return new SimpleAuthenticationInfo(username, password, getName());

};

shiro.ini文件配置

myRealm=com.github.shiro.realm.MyRealm
securityManager.realms=$myRealm

3.判断用户使用有权限的三种方式

Shiro 支持三种方式的授权

#编程式:通过写 if/else 授权代码块完成:

Subject subject = SecurityUtils.getSubject();
if(subject.hasRole(“admin”)) {
    //有权限
} else {
    //无权限
};

#注解式:通过在执行的 Java 方法上放置相应的注解完成:
@RequiresRoles("admin")
public void hello() {
    //有权限
};
#没有权限将抛出相应的异常;

#JSP/GSP 标签:在 JSP/GSP 页面通过相应的标签完成:
<shiro:hasRole name="admin">
<!— 有权限 —>
</shiro:hasRole>

注意点
1.checkRole/checkRoles 判断为假的情况下会抛出 UnauthorizedException 异常。
hasRole/hasAllRoles 不会抛出异常。
2.checkPermission/checkPermissions 判断为假的情况下会抛出 UnauthorizedException 异常。
isPermitted/isPermittedAll 不会抛出异常。
3.shiro没有提供判断是否有某个role和permission的方法。

plumblum
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro-core-1.5.3.jar
05-31
shiro是一款java权限管理框架,与原系统分离,在开发过程中可以不需要考虑权限问题,使用该框架即可为你的系统加入权限管理功能。
Shiro授权配置 -3
haoyun的博客
09-21 206
Shiro请求授权 主要流程 ShiroConfig中的getShiroFilterFactoryBean,给请求设置权限,给入setFilterChainDefinitionMap中,就设定好了授权规则 未授权的请求跳到自己制作的非授权提示界面 当用户每次访问设定的请求页面就会进入UserRealm的doGetAuthorizationInfo方法中查看是否有授权 创建subject获取当前用户,读取用户的权限 先给数据库用户表加权限存放权限的列 没有权限的应该设置为其他
Shiro安全框架】核心概念、基本配置、整合Web项目
最新发布
m0_74187147的博客
04-21 1157
问题1:什么是shiro?它有什么用?​ 答:shiro是apache公司推出的一款安全框架,主要在项目中进行权限控制。 shiro中的几个核心概念: 1、SecurityManager:安全管理器 作用:用于执行认证(登录)、授权(获得用户的访问权限) 2、Subject:主体 作用:它代表当前用户 3、Realm:领域对象 作用:它用于封装认证、授权的方法
shiro有哪些组件?
yangAugust的博客
11-27 120
a、Authentication:身份认证/登录,验证用户是不是拥有相应的身份; b、Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验 证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具有某个权限; c、Session Manager:会话管理,即用户登录后就是一次会话,在没有退出之前,它的所有信息都在会话中;会话可以是普通JavaSE环境的,也可以是如Web环境的; d、Cryptography:加密,
shiro框架的三种授权方式
java初级学习
03-28 606
Shiro 支持三种方式的授权: 编程式:通过写if/else 授权代码块完成: Subject subject = SecurityUtils.getSubject(); if(subject.hasRole(“admin”)) { //有权限 } else { //无权限 } 注解式:通过在执行的Java方法上放置相应的注解完成:...
shiro安全框架
qq_52324490的博客
11-14 222
shiro安全框架 1.shiro可以完成哪些工作? shiro可以帮助我们完成:认证、授权、加密、会话管理、与Web集成、缓存等 2.Apache Shiro 的三大核心组件 a、Subject :当前用户的操作 b、SecurityManager:用于管理所有的Subject c、Realms:用于进行权限信息的验证 3.shiro有哪些组件? a、Authentication:身份认证/登录,验证用户是不是拥有相应的身份; b、Authorization:授权,即权限验证,验证某个已认证的用户是否拥有
shiro使用方法.ppt
07-19
Subject:即“当前操作用户” SecurityManager:它是Shiro框架的核心,典型的Facade模式,Shiro通过...也就是说,当对用户执行认证(登录)和授权(访问控制)验证时,Shiro会从应用配置的Realm中查找用户及其权限信息
Shiro入门.rar
06-12
3. **SecurityManager**:是Shiro的中心,管理Subject及其相关组件,配置 Realm 实现认证和授权。 4. **SessionManager**:负责会话的创建、更新、删除等操作,可集成到现有应用程序的会话管理中。 5. **...
springboot-shiro.zip
08-21
创建一个名为`ShiroConfig`的配置类,配置Realm(认证和授权的载体)、过滤器链等。 ```java @Configuration public class ShiroConfig { // 配置Realm @Bean public MyRealm myRealm() { return new MyRealm()...
ssm+vue+shiro.zip
11-04
MyBatis可以使用简单的XML或注解进行配置和原始映射,将接口和Java的POJOs(Plain Old Java Objects,普通的Java对象)映射成数据库中的记录。 **Vue.js** Vue.js是一个用于构建用户界面的渐进式JavaScript框架。Vue...
shiro所有jar包
02-28
在项目构建过程中,通常会使用Maven或Gradle等构建工具,通过指定Shiro及其依赖的版本号,自动下载并管理所需的jar包,避免手动收集和管理jar文件。例如,在Maven的pom.xml文件中,你可以找到类似下面的依赖配置: ...
Shiro学习历程02】认识Shiro,了解搭建框架中配置文件中每个配置的意义
gcheng.Liu的博客
04-29 257
既然学Shiro,首先要知道几个概念,首先是shiro框架中的组成部分 ShiroShiro 开发团队称为“应用程序的四大基石”——身份验证,授权,会话管理和加密作为其目标。 Authentication:身份认证/登录,验证用户是不是拥有相应的身份; Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户...
shiro 中 权限的配置
qq_39162772的博客
07-15 676
Permission 字符串通配符权限 规则:“资源标识符:操作:对象实例 ID” 即对哪个资源的哪个实例可以进行什么操作。其默认支持通配符权限字符串,“:”表示资源/操作/实例的分割;“,”表示操作的分割;“*”表示任意资源/操作/实例。 1、单个资源单个权限 subject().checkPermissions("system:user:update"); 用户拥有资源“system...
shiro权限 的基本配置
weixin_45341195的博客
04-28 584
1.编写一个自定义权限类(继承AuthorizingRealm ) package com.zking.test.shiro; import com.zking.test.biz.IUserBiz; import com.zking.test.model.User; import org.apache.shiro.authc.*; import org.apache.shiro.authc.cr...
springBoot2.0 配置shiro实现权限管理
andwey的博客
03-01 364
博客来自:https://www.cnblogs.com/qq1272850043/p/10401337.html 一、shiro介绍 1.1 功能特点 Shiro 包含 10 个内容,如下图: 1) Authentication:身份认证/登录,验证用户是不是拥有相应的身份。 2) Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否...
十二、Shiro使用数据库表配置权限
qixiang_chen的博客
01-03 4447
Shiro作为权限控制框架,权限信息需要开发人员维护到数据库中,系统管理员根据需要将这些权限分配使用者,系统需要提供功能方便开发人员添加模块权限,系统管理员将权限分配给角色,再将角色分配给用户,用户登录系统时就可以使用自己分配的权限了。 Shiro硬编码测试权限过滤 GfShiroRealm中的权限过滤方法 //角色权限和对应权限添加 @Override protected Authoriz...
Apache Shiro授权、访问控制(四)
山不转的博客
11-23 624
总的参考文档:http://shiro.apache.org/reference.html 本文参考文档:http://shiro.apache.org/authorization.html 1、概念 Shiro授权机制包含三个核心概念:Permissions、Roles、Users。 1.1.Permissions Permissions代表权限,关涉及用户。它一般是一种语句,表示对...
SpringMVC+Shiro整合配置文件详解
chengyi6484的博客
09-12 73
在项目中xml文件的配置是必不可少的,特别是SpringMVC框架。但是几乎所有项目的配置都是大同小异,很多人都是直接复制黏贴了事,不少人对其具体含义及用途都不甚全知。本片文章将正对项目中常用的框架SpringMVC+Shiro进行整合,并对其中关键和部分常识性问题进行注释讲解,方便在以后的项...
第八讲 shiro位操作算法实现权限匹配(金庭波 QQ:14280784)
jintingbo的专栏
03-15 432
     《跟我学shiro》的第28页到30页,写得是使用位操作算法实现权限匹配,但是在验验过程中初学者会做得不太顺利,原因是教材中的代码不全。为了通俗易懂,我把这个实验过程全部笔录一遍,并说明原理。先来认识几个单词:authorizer        【奥得ruai热】  [经] 核准人,授权人,       在shiro中它是授权API的入口。permission       【拍米生】  ...
org.apache.shiro.cache.ehcache.EhCache
06-01
使用Shiro框架时,可以通过在shiro.ini或shiro-config.xml等配置文件中配置EhCache缓存实现类,例如: ```ini [main] # 使用EhCache缓存实现类 cacheManager = org.apache.shiro.cache.ehcache.EhCacheManager ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值