深入浅出学Shiro(二)--授权认证

最新推荐文章于 2024-05-09 18:29:03 发布
最新推荐文章于 2024-05-09 18:29:03 发布
阅读量3.5k 收藏 5
点赞数 3
分类专栏: 权限框架 JAVA
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hejingyuan6/article/details/45507535
版权

    授权即访问控制,它将判断用户在应用程序中对资源是否拥有相应的访问权限。如,判断一个用户有查看页面的权限,编辑数据的权限,拥有某一按钮的权限,以及是否拥有打印的权限等等。

    认证通过后接受 Shiro授权检查,授权验证时,需要判断当前角色是否拥有该权限。只有授权通过,才可以访问受保护 URL 对应的资源,否则跳转到“未经授权页面”。

 

首先来结合一个实例来说明:

 

上篇博客(深入浅出学Shiro(一)--登录认证)已经讲解了配置,下面我们直接来看代码实现

 

shiro认证成功后,跳转到main.jsp页面


                

Main.jsp页面内容:

<body>
		<ul>
			<li>
				<h2>
					<a target="_self" href="user.do?myjsp">访问myjsp页面</a>
				</h2>
			</li>
			<li>
				<h2>
					<a target="_self" href="user.do?notmyjsp">访问notmyjsp页面(无权访问)</a>
				</h2>
			</li>
			<li>
				<h2>
					<a target="_self" href="user.do?visitAdminPage">访问admin页面</a>
				</h2>
			</li>
			
			<li>
				<h2>
					<a target="_self" href="user.do?visitByAnnotation">通过注解访问页面(无权访问)</a>
				</h2>
			</li>
		</ul>
	</body>

当点击页面某个链接时,跳转到相应的controller

@Controller
@RequestMapping(value="user")
public class UserController {
	/**
	 * 访问myjsp页面,有权限
	 * @return
	 */
	@RequestMapping(params = "myjsp")
	public String home() {
		/*通过SecurityUtils工具类,获取当前的用户*/
		Subject currentUser = SecurityUtils.getSubject();
		
		// 回调 doGetAuthorizationInfo,进行授权验证
		if(currentUser.isPermitted("user.do?myjsp")){
			return "my";
		}else{
			return "error/noperms";
		}
	}

当程序执行到currentUser.isPermitted方法时,调用到publicclass DelegatingSubject implements Subject类的isPermitted方法。

 

附源码:

public boolean isPermitted(String permission) {
        return hasPrincipals() && securityManager.isPermitted(getPrincipals(), permission);
    }


通过上篇博客我们知道,这时SecurityManager会委托给Realm,故接下来执行我们自定义的Realm

@Service("monitorRealm")
public class MonitorRealm extends AuthorizingRealm {

	//获取授权信息 
	@Override
	protected AuthorizationInfo doGetAuthorizationInfo(
			PrincipalCollection principals) {
		/* 这里编写授权代码 */
		Set<String> roleNames = new HashSet<String>();
	    Set<String> permissions = new HashSet<String>();
	    roleNames.add("admin");
	    permissions.add("user.do?myjsp");
	    permissions.add("login.do?main");
	    permissions.add("login.do?logout");
	    //对比的过程
		SimpleAuthorizationInfo info = new SimpleAuthorizationInfo(roleNames);
	    info.setStringPermissions(permissions);
		return info;
	}
}

对比的过程中如果存在则正确返回,否则返回error

 

补充:

 

结合上篇博客的配置还想要多说两句

 

其一:SpringMVC拦截

 

这部分配置,是配置SpringMVC的拦截页面,看了这个配置相信大家也就明白了为什么我们访问的页面要加上.do(user.do?notmyjsp)吧!

<servlet-mapping>
		<servlet-name>springMvc</servlet-name>
		<!-- 只拦截带do后缀的 -->
		<!-- <url-pattern>*.do</url-pattern> -->
		<!-- 将springmvc的匹配表达式修改为所有的页面均拦截 -->
		<url-pattern>/</url-pattern> 

</servlet-mapping>


其二:ShiroFilter拦截

 

这部分配置是配置的ShiroFilter,也就是shiro拦截哪些页面。

<!-- Shiro主过滤器本身功能十分强大,其强大之处就在于它支持任何基于URL路径表达式的、自定义的过滤器的执行-->  
	<!-- Shiro Filter -->  
	<filter>
		<filter-name>shiroFilter</filter-name>
		<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
		<init-param>
			<param-name>targetFilterLifecycle</param-name>
			<param-value>true</param-value>
		</init-param>
	</filter>
	<!-- shiro只拦截如下的后缀 -->
	<filter-mapping>
		<filter-name>shiroFilter</filter-name>
		<url-pattern>*.action</url-pattern>
	</filter-mapping>
	<filter-mapping>
		<filter-name>shiroFilter</filter-name>
		<url-pattern>*.do</url-pattern>
	</filter-mapping>
	<filter-mapping>
		<filter-name>shiroFilter</filter-name>
		<url-pattern>*.jsp</url-pattern>
	</filter-mapping>


其三:Shiro过滤链的定义(是否需要登录认证)

 

以下这部分配置,是配置访问的页面是否需要验证,即登录后才可以访问。举例说明:访问后缀名为.action的页面,我可以直接访问到,那么如果我访问.do的页面,则会自动跳转到登录页,需要我们首先登录后才可以访问,这些就与我们配置的过滤链相关。

<property name="filterChainDefinitions">
			<value>
			 <!-- Shiro 过滤链的定义-->   
        <!--此处可配合这篇文章来理解各个过滤连的作用http://blog.csdn.net/jadyer/article/details/12172839-->
				<!-- 
					Anon:不指定过滤器 
					Authc:验证,这些页面必须验证后才能访问,也就是我们说的登录后才能访问。
					-->
					 <!--下面value值的第一个'/'代表的路径是相对于HttpServletRequest.getContextPath()的值来的 -->   
					<!--anon:它对应的过滤器里面是空的,什么都没做,这里.do和.jsp后面的*表示参数,比方说login.jsp?main这种 -->   
        <!--authc:该过滤器下的页面必须验证后才能访问,它是Shiro内置的一个拦截器org.apache.shiro.web.filter.authc.FormAuthenticationFilter-->   
				
				/login.jsp* = anon
				/login.do* = anon
				/index.jsp*= anon
				/error/noperms.jsp*= anon
				/*.jsp* = authc
				/*.do* = authc
			</value>
		</property>

这些过滤器分为两组,一组是认证过滤器,一组是授权过滤器。其中anon,authcBasic,auchc,user是第一组,

perms,roles,ssl,rest,port是第二组

可参考:http://blog.csdn.net/hxpjava1/article/details/7035724


扩展:

 

Shiro支持三种方式实现授权过程:

 

编码实现

注解实现

JSPTaglig实现

 

编程式:通过写if/else授权代码块完成(以上实例即使用编程式完成): 

Subject subject = SecurityUtils.getSubject();  
if(subject.hasRole(“admin”)) {  
    //有权限  
} else {  
    //无权限  
}


注解式:通过在执行的Java方法上放置相应的注解完成:

@RequiresRoles("admin")  
public void hello() {  
    //有权限  
}   

没有权限将抛出相应的异常;

JSP标签:在JSP/GSP页面通过相应的标签完成: 

<shiro:hasPermission name="user:create">  
	<a href="createUser.jsp">Create a new User</a>  
</shiro:hasPermission>


总结:


    无论是Shiro的登录认证还是授权,其实都是结合Subject,SecurityManager和Realms这三者的关系来实现的,理解了三者的关系Shiro也就学会了。Subject,当前用户;SecurityManager,外观的作用,其内部为我们封装了实现好的功能;Realms,Shiro和真实Dao操作的桥梁,以下这张图很形象的展示了三者的关系。

                   


静静~嗯嗯
关注
  • 3
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 16
    评论
专栏目录
十三、shiro安全框架详解(一)
kejizhentan的博客
01-02 1334
shiro权限框架详解第一部分
shiro:hasPermission name=“...“>咋用啊
m0_59834108的博客
07-27 3971
如有错误欢迎指正 shiro:haspermission这个标签,对应的是官网给出的一个类,可以判断是否有操作权限,name属性呢,可以理解为名为sys:menu:add的一个操作,传入标签以后,标签来判断一下这个sys:menu:add操作有没有权限运行 如有错误欢迎指正 ...
网络安全最全【Shiro安全框架 一】 十分钟带你熟悉Shiro认证机制,详细的网络安全习指南
最新发布
2401_84297455的博客
05-09 336
本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从习路线到习资料,甚至是工具有着不小的需求。最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有类目条理清晰,知识点层层递进,需要的小伙伴可以点击下方小卡片领取哦!
Shiro实现Basic认证
weixin_45032957的博客
12-18 589
王子已经有了一套集成好Shiro的Spring Boot框架,这套框架详细代码就不做展示了,我们只来看一下测试用例。 要测试的接口代码如下: 复制代码 /** @author liumeng / @RestController @RequestMapping("/test") @CrossOrigin public class TestAppController extends BaseController { /* 数据汇总 */ @GetMapping("/list") public AjaxRes
深入Shiro
weixin_46011971的博客
09-26 253
概述: Shiro是一款Java安全框架,不依赖任何容器,可以运行在JavaSE和JavaEE项目中,它的主要作用是用来做身份认证授权、会话管理和加密操作。 什么意思?大白话就是判断用户是否登录、是否用来某些操作的权限等。 其实不用shiro,我们使用原生的api就可以完成安全管理,很简单,使用过滤器去拦截用户的各种请求,然后判断是否登录、是否拥有某些权限即可。 我们完全可以完成这些操作,但是对于一个大型的系统,分散去管理编写这些过滤器的逻辑会比较麻烦,不成体系,所以需要使用解构化,工程化、系统化的解决方
C#session共享+redis_Shiro权限管理框架():Shiro结合Redis实现分布式环境下的Session共享...
weixin_39909366的博客
11-21 182
精品推荐国内稀缺优秀Java全栈课程-Vue+SpringBoot通讯录系统全新发布!Docker快速手上视频教程(无废话版)【免费】作者:夜月归途转载自:https://www.cnblogs.com/guitu18/p/11262106.html本篇是Shiro系列第篇,使用Shiro基于Redis实现分布式环境下的Session共享。在讲Session共享之前先说一下为什么要做S...
深入浅出Shiro
10-29
Apache Shiro 角色权限 文档 api
shiro教程文档-张开涛
03-17
张开涛是一位知名的 Java 技术专家,他的 Shiro 教程深入浅出地介绍了 Shiro 的各个方面,适合初者和有经验的开发者参考习。 1. **Shiro 简介** Apache Shiro 不仅是一个安全框架,它还是一个轻量级的解决方案...
apache-shiro教程完整版.7z
06-04
张开涛的《跟我Shiro》是一本深入浅出的教程,旨在帮助读者快速掌握Shiro的核心概念与实践技巧。 Shiro 的核心组件包括: 1. **认证**:Shiro 提供了用户身份验证的机制,确保用户身份的真实性。这通常涉及到...
跟我shiro文档及源码
07-17
在《跟我Shiro》这本书中,作者深入浅出地讲解了 Shiro 的核心概念与实际应用场景,配合源码分析,有助于读者更好地理解和掌握 Shiro 的工作原理。 1. **Shiro 概述** - Shiro 的设计目标是简化应用安全开发,它...
跟我Shiro教程.zip
05-09
《跟我Shiro教程》这本书显然深入浅出地讲解了Shiro的核心概念和实践应用,适合Java开发者进一步理解并掌握安全性相关的知识。 Shiro框架的亮点在于其简单易用的API,使得开发人员可以快速集成安全控制到项目中。...
shiro基于表单的拦截器身份验证、基于 Basic 的拦截器身份验证,普通身份验证的区别
马不腾的博客
10-19 1527
目录   普通身份验证与基于表单的拦截器、基于basic的拦截器身份验证的区别? 基于表单的拦截器身份验证和基于 Basic 的拦截器身份验证的区别 普通身份验证与基于表单的拦截器、基于basic的拦截器身份验证的区别?   普通身份验证的一个缺点就是,永远返回到同一个成功页面(比如首页),在实际项目中比如支付时如果没有登录将跳转到登录页面,登录成功后再跳回到支付页面;对于这种功能大...
非常详尽的 Shiro 架构解析!
weixin_34097242的博客
11-13 344
Shiro是什么? Apache Shiro是一个强大而灵活的开源安全框架,它干净利落地处理身份认证授权,企业会话管理和加密。 Apache Shiro的首要目标是易于使用和理解。安全有时候是很复杂的,甚至是痛苦的,但它没有必要这样。框架应该尽可能掩盖复杂的地方,露出一个干净而直观的API,来简化开发人员在使他们的应用程序安全上的努力。 官网:ht...
Shiro介绍(三):授权及验证的简单之美
热门推荐
SHARE & TOP
12-06 1万+
昨天我们发现,一旦我们完成Spring的必要配置之后,Shiro认证方面的代码量是非常少的。今天我们来看看关于授权(Authorization)
KUBERNETES_云原生目录
所得皆惊喜
12-07 1180
主要围绕以下细节进行展开:kubernates的概述、Pod核心、Deployment详解、工作负载及网络、ingress网络、存储与配置、动态供应&调度原理、调度原理、安全性、高可用集群、servicemesh等
shiro 用法
比你优秀的人比你还要努力
06-21 2476
最近在做项目的时候需要用到shiro认证授权来管理资源 在网上看了很多文章,发现大多数都是把官方文档的简介摘抄一段,然后就开始贴代码,告诉你怎么怎么做,怎么怎么做 相信很多小伙伴即使是跟着那些示例代码做完配完,并且成功搭建,估计也是一头雾水,可能会不理解,为什么要这么做 本人也是在看了大量文章之后,然后又自己动手搭了一便,得出如下使用的感悟,特此分享给大家 依照程序,我要在这里对...
HTTP基本认证(Basic Authentication)的JAVA示例
顾传龙
06-05 2433
本文转自:http://blog.csdn.net/kkdelta/article/details/28419625
ini文件模拟shiro完成授权,及其报错样式
a1106103430的博客
04-07 1035
资源准备 所需jar包 shiro-permission.ini [users] #\u7528\u6237zhang\u7684\u5bc6\u7801\u662f123\uff0c\u6b64\u7528\u6237\u5177\u6709role1\u548crole2\u4e24\u4e2a\u89d2\u8272 xiaoming=123456,role1,role2 xiaohua=...
shiro-spring-boot-starter
08-26
Shiro-Spring-Boot-Starter 是一个用于集成 Shiro 框架到 Spring Boot 应用中的起步依赖。Shiro 是一个 Java 安全框架,可以为应用程序提供身份认证授权、加密和会话管理等功能。通过使用 Shiro-Spring-Boot-...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 16
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值