Shiro学习之权限认证

最新推荐文章于 2024-04-22 17:01:34 发布
最新推荐文章于 2024-04-22 17:01:34 发布
阅读量1.3k 收藏
点赞数
分类专栏: java 文章标签: 学习 java servlet 数据库 spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_67401746/article/details/126496316
版权

权限认证也就是访问控制,即在应用中控制谁能访问哪些资源.
在权限认证中,最核心的是三个要素是:权限,角色和用户.
权限,即操作资源的权力,比如访问某个页面,以及对某个模块的数据的添加,修改,删除,查看的权利(CRUD).
角色,是权限的集合,一个角色可以包含多种权限
用户,在shiro中代表访问系统的用户,即subject

授权

  • 编程式授权,基于角色和权限的访问控制
  • 注解授权,jsp标签授权

1.基于角色的访问控制
配置shiro_role.ini文件

[users]
yyt=123,role1,role2
jack=1234,role1

规则即:“用户名=密码,角色1,角色2”,如果需要在应用中判断用户是否有相应角色,就需要在相应的Realm中返回角色信息,也就是说Shiro不负责维护用户-角色信息,需要应用提供,Shiro只是提供相应的接口方便验证,后续会介绍如何动态的获取用户角色。

首先我将重复的代码封装成一个方法,传入配置文件的名字,用户名,密码

package com.kingsky;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.util.Factory;

public class ShiroUtil {
    public static Subject login(String configPath, String userName,
            String passWord) {
        // 读取配置文件,初始化SecurityManager工厂
        Factory<SecurityManager> factory = new IniSecurityManagerFactory(
                "classpath:"+configPath);

        // 获取到SecurityManager实例
        SecurityManager securityManager = factory.getInstance();

        // 把SecurityManager绑定到SecurityUtils中

        SecurityUtils.setSecurityManager(securityManager);
        // 得到当前用户
        Subject subject = SecurityUtils.getSubject();

        // 创建Token令牌,用户名/密码
        UsernamePasswordToken passwordToken = new UsernamePasswordToken(userName,
                passWord);
        // 验证登录 会抛出异常
        try {
            subject.login(passwordToken);
            System.out.println("身份验证成功!!!");
        } catch (AuthenticationException e) {
            e.printStackTrace();
            System.out.println("身份验证失败!!!!");
        }
        return subject;
    }
}

在测试类中进行测试,我没有使用junit进行测试,我是直接使用main方法测试
1.1测试subject.hasRole(String roleName) 返回值是boolean

public class TestRole {
    public static void main(String[] args) {
        Subject subject=ShiroUtil.login("shiro_role.ini", "yyt", "123");
        //Subject subject=ShiroUtil.login("shiro_role.ini", "jack", "1234");
        System.out.println(subject.hasRole("role2")?"有role2这个角色":"没有role2这个角色");
    }
}

控制台的输出是:有role2这个角色,
如果是换成了jack,控制台输出的是:没有role2这个角色

1.2测试subject.hasRoles(List roles) 返回值是boolean[]

Subject subject=ShiroUtil.login("shiro_role.ini", "yyt", "123");
//Subject subject=ShiroUtil.login("shiro_role.ini", "jack", "1234");
boolean[] results=subject.hasRoles(Arrays.asList("role1","role2"));
for (boolean b : results) {
    System.out.println(b);
}

用户是yyt的时候,控制台输出的是:true,true,代表的是yyt拥有role1,role2这个角色
用户是jack的时候,控制台出去的是:true,false,代表的是jack用户role1这个角色,但是没有role2这个角色

1.3测试subject.hasAllRoles(List roles) 返回值是boolean

Subject subject=ShiroUtil.login("shiro_role.ini", "yyt", "123");
//Subject subject=ShiroUtil.login("shiro_role.ini", "jack", "1234");
System.out.println(subject.hasAllRoles(Arrays.asList("role1","role2"))?"有role2,role1这个角色":"role1,role2这个角色不全有");

用户是yyt的时候,控制台输出的是:有role2,role1这个角色
用户是jack的时候,控制台出去的是:role1,role2这个角色不全有

1.4测试subject.checkRole(String roleName) 没有返回值,假如验证失败,则会报错:
org.apache.shiro.authz.UnauthorizedException: Subject does not have role [role2]

//Subject subject=ShiroUtil.login("shiro_role.ini", "yyt", "123");
Subject subject=ShiroUtil.login("shiro_role.ini", "jack", "1234");
subject.checkRole("role2");

1.5测试subject.checkRoles(String… roleIdentifiers) 可以传入多个角色名称,假如验证失败,则会报错:
org.apache.shiro.authz.UnauthorizedException: Subject does not have role [role2]

Subject subject=ShiroUtil.login("shiro_role.ini", "yyt", "123");
//Subject subject=ShiroUtil.login("shiro_role.ini", "jack", "1234");
subject.checkRoles("role2","role1");

1.6测试subject.checkRoles(String… roleIdentifiers) 可以传入多个角色名称,假如验证失败,则会报错:
org.apache.shiro.authz.UnauthorizedException: Subject does not have role [role2]

Subject subject=ShiroUtil.login("shiro_role.ini", "yyt", "123");
//Subject subject=ShiroUtil.login("shiro_role.ini", "jack", "1234");
subject.checkRoles(Arrays.asList("role1","role2"));

2.基于权限的控制
配置文件内容如下:shiro-permission.ini

[users]
yyt=123,role1,role2
jack=1234,role1
[roles]
role1=user:create,user:update  
role2=user:create,user:delete

2.1测试subject.isPermitted(String name) 返回boolean

package com.kingsky;

import org.apache.shiro.subject.Subject;

public class TestPermission {
    public static void main(String[] args) {
        // Subject subject=ShiroUtil.login("shiro_role.ini", "yyt", "123");
        Subject subject = ShiroUtil.login("shiro-permission.ini", "jack","1234");
        boolean result= subject.isPermitted("user:create");
        System.out.println(result?"有user:create这个权限":"没有user:create这个权限");
    }
}

控制台输出:有user:create这个权限,假如权限名称改为:user:delete则输出的没有这个权限

2.2测试subject.isPermittedAll(String… names) 返回boolean,代表是全有或者不全有这些权限

// Subject subject=ShiroUtil.login("shiro_role.ini", "yyt", "123");
Subject subject = ShiroUtil.login("shiro-permission.ini", "jack","1234");
boolean result=subject.isPermittedAll("user:create","user:delete");
System.out.println(result?"有user:create,update这些权限":"这些user:create,update权限不全有");

控制台输出:有user:create,update这些权限
假如修改权限:user:delete,则会返回fase

2.3测试subject.isPermitted(String… names) 返回boolean[],对应的权限是不是有

// Subject subject=ShiroUtil.login("shiro_role.ini", "yyt", "123");
Subject subject = ShiroUtil.login("shiro-permission.ini", "jack","1234");
boolean results[]=subject.isPermitted("user:create","user:delete");
for (boolean b : results) {
    System.out.println(b);
}

控制台输出:true(代表user:create有权限),false(代表user:delete没有权限)

2.4测试subject.checkPermission(String name);没有返回值,但是验证不成功则会报错:
org.apache.shiro.authz.UnauthorizedException: Subject does not have permission [user:delete]

// Subject subject=ShiroUtil.login("shiro_role.ini", "yyt", "123");
Subject subject = ShiroUtil.login("shiro-permission.ini", "jack","1234");
subject.checkPermission("user:delete");

2.5测试subject.checkPermissions(Stirng… names);没有返回值,但是验证不成功则会报错:
org.apache.shiro.authz.UnauthorizedException: Subject does not have permission [user:delete]

// Subject subject=ShiroUtil.login("shiro_role.ini", "yyt", "123");
Subject subject = ShiroUtil.login("shiro-permission.ini", "jack","1234");
subject.checkPermissions("user:create","user:update");

3.注解授权,jsp标签授权
在JSP页面通过相应的标签完成:

<shiro:hasRole name="admin">  
<!— 有权限 —>  
</shiro:hasRole>

4、Shiro对权限字符串缺失部分的处理
如“user:view”等价于“user:view:”;而“organization”等价于“organization:”或者“organization::”。可以这么理解,这种方式实现了前缀匹配。
另外如“user:”可以匹配如“user:delete”、“user:delete”可以匹配如“user:delete:1”、“user::1”可以匹配如“user:view:1”、“user”可以匹配“user:view”或“user:view:1”等。即_可以匹配所有,不加_可以进行前缀匹配;但是如“:view”不能匹配“system:user:view”,需要使用“:_:view”,即后缀匹配必须指定前缀(多个冒号就需要多个_来匹配)。

m0_67401746
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
权限管理shiro学习总结
09-19
1. 了解基于资源的权限管理方式 2. 权限数据模型 3. 基于url的权限管理(不适应shiro实现权限管理) 4. Shiro实现用户认证 5. Shiro实现用户授权 6. Shiro与企业web整合开发方法
权限认证
weixin_30895603的博客
03-19 133
在前后端分离的常见应用中,后端主要作为model层为前端提供数据访问API,为保证数据安全为保证数据安全可靠地在用户与服务端之间传输命令,由此服务端的认证尤为重要 常见的服务端验证方法: 1、session认证,基于Cookie认证 2、JWT(JSON web token): token令牌认证(主流) 1、cookie + session Auth理解 该方式特点分析 coo...
ShiroShiro从小白到大神(三)-权限认证(授权)
weixin_34311757的博客
09-22 561
本节讲权限认证,也就是授权 基于角色的访问控制和基于权限的访问控制的小实例 以及注解式授权和JSP标签授权详解 权限认证 权限认证核心要素 权限认证,也就是访问控制,即在应用中控制谁能访问哪些资源 在权限认证中,最核心的三个要素是:权限,角色和用户 (资源也算一个要素,但不是最核心的) 权限,即操作资源的 ...
权限认证实现(责任链模式)
m0_54213686的博客
10-12 1279
笔者在刚开始工作时,接到的一个任务就是实现权限认证流程,我们采用SpringBoot框架外加责任链模式,大致实现思路如下.
java springboot 项目关于org.apache.shiro.authz.UnauthorizedException: Subject does not have permission
YHLSunshine的博客
06-07 1896
java springboot 项目关于org.apache.shiro.authz.UnauthorizedException: Subject does not have permission
权限验证框架之Shiro
小明同学的博客
08-21 519
总结起来,Realm、AuthenticationFilter和AuthorizationFilter需要进行定义或配置,并由SecurityManager进行管理,以确保Shiro能够正确地进行身份验证和授权操作。将数据转换为不可读的形式,以保护数据的安全性。会话是指用户在与应用程序交互期间的一段时间。是整个Shiro安全体系的核心。因为它没有依赖于特定的框架。配置相应的加密算法和密钥。代表当前执行操作的用户。是所有安全操作的入口点。基于Cookie的会话。用于管理用户的会话信息。基于URL重写的会话。
shiro 配置注解后无权访问不进行页面跳转异常:org.apache.shiro.authz.UnauthorizedException: Subject does not have permiss...
weixin_30908707的博客
12-25 2443
该问题需要使用异常管理: <!-- 无权访问跳转的页面 --> <bean class="org.springframework.web.servlet.handler.SimpleMappingExceptionResolver">   <property name="exceptionMappings"> ...
springboot + shiro , 无权限操作org.apache.shiro.authz.UnauthorizedException: Subject does not have permis
RanGe的博客
03-04 1万+
使用springboot+shiro框架对controller中方法进行鉴权时, 在shiro配置文件中设置如下内容不起作用 // 鉴权页面,认证不通过跳转 shiroFilterFactoryBean.setUnauthorizedUrl("/error403"); 这里配置了当用户没有权限访问时, 跳转到error403界面, 但是我现在就是想要的是, 当用户没有权限访问时, 跳转到一个我自...
由浅入深掌握Shiro权限框架资料.zip
07-31
2、shiro权限框架的核心组件;3、springboot下shiro的使用; 4、shiro认证鉴权的缓存机制;5、分布式下使用shrio处理统一会话;6、密码重试次数,并发登录控制;7、前后端分离的鉴权方式;8、建立分布式统一鉴权系统...
springboot与shiro整合—登录认证权限管理实例项目
04-16
亲测可用的,springboot与shiro整合—登录认证权限管理实例项目,对于学习理论之后需要实战实现功能的初级程序员很有用!
shiro入门学习.ppt
07-19
Apache Shiro是一个强大而灵活的开源安全框架,它能够干净利落地处理身份认证,授权,企业会话管理和加密。 以下是你可以用 Apache Shiro所做的事情:  验证用户  对用户执行访问控制,如:  判断用户...
shiro+后台权限系统项目.zip
01-02
通过学习本课程掌握权限管理的设计思想及方法,使用Shiro框架完成权限管理功能开发 理解基于资源的权限管理 掌握权限管理的数据模型 掌握 Shiro 进行认证的常用方法 掌握 Shiro 进行授权的常用方法 Shiro 整合企业...
权限认证与授权
weixin_62587914的博客
09-10 349
权限管理,一般指根据系统设置的安全策略或者安全规则,用户可以访问而且只能访问自己被授权的资源,不多不少。权限管理几乎出现在任何系统里面,只要有用户和密码的系统访问权限一般表示你能做什么样的操作,或者能够访问那些资源。例如:给张三赋予“店铺主管”角色,“店铺主管”具有“查询员工”、“添加员工”、“修改员工”和“删除员工”权限。此时张三能够进入统,则可以进行这些操作数据权限一般表示某些数据你是否属于你,或者属于你可以操作范围。
猿创征文|Java中的权限认证如何理解
浅羽技术
08-27 698
认证: 就是对系统访问者的身份进行确认。用户名密码登录、 二维码登录、手机短信登录、指纹、刷脸。。。授权:就是对系统访问者的行为进行控制。授权通常是在认证之后,对系统内的用户隐私数据进行保护。后台接口访问权限、前台控件的访问权限。RBAC模型: 主体 -》 角色 -》 资源 -》访问系统的行为。认证和授权也是对一个权限认证框架进行扩展的两个主要的方面。CSRF: Cross Site Requst Forgery 跨站请求伪造。...
shiro错误:Subject does not have permission [user:select]
weixin_34274029的博客
12-30 1万+
使用的是jdbcRealm,在数据库中有相应的权限 错误日志: org.apache.shiro.authz.UnauthorizedException: Subject does not have permission [user:select] at org.apache.shiro.authz.ModularRealmAuthorizer.checkPermission(ModularR...
Shiro之UnauthorizedException
m0_67391120的博客
08-24 1036
今天增加表格中的行按钮时报的bug,权限配置问题,自定义权限没有得到认证。很明显,我在keywordPending 后加了一个delete,这个让系统以为这是一个新权限,而且没有找到授权的地方,所以直接报错,没有此权限。一开始我以为只要二者达成一致就可以完成授权和认证,但是很明显,这样不行。根本原因还是我在往数据库执行插入语句的时候添加的权限没有和现在自定义的权限一致。这个是权限认证代码,如果有括号中的权限,才会显示,但很明显,我现在没有这个权限,所以这个权限是在哪里赋予的呢?我在控制层中使用的是。
shiro认证授权
xiaopang2020的博客
08-16 504
shiro
Spring Security(新版本)实现权限认证与授权
热门推荐
weixin_46073538的博客
02-02 2万+
Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。正如你可能知道的关于安全方面的两个核心功能是认证和授权,一般来说,Web 应用的安全性包括**用户认证(Authentication)和用户授权(Authorization)**两个部分,这两点也是 SpringSecurity 重要核心功能。
Vitis HLS 学习笔记--优化指令-ARRAY_PARTITION
最新发布
hi94的博客
04-22 1295
ARRAY_PARTITION 指令中非常重要,它用于优化数组的存储和访问。该指令可以将一个大数组分割成多个小数组,以提高并行处理能力和减少访问延迟。
shiro框架如何学习
07-15
学习Shiro框架可以按照以下步骤进行: 1. 了解基础概念:首先,你需要了解Shiro的基本概念和术语,例如主体(Subject)、认证(Authentication)、授权(Authorization)、Realm等。可以阅读Shiro的官方文档或者相关的教程来获得这些知识。 2. 安装和配置:安装Shiro框架并进行基本的配置。你可以在Shiro的官方网站上找到安装指南和配置示例。 3. 认证功能:学习如何使用Shiro进行用户认证,包括用户名密码认证、Remember Me功能、多Realm认证等。可以尝试编写简单的认证示例来理解这些功能。 4. 授权功能:学习如何使用Shiro进行用户授权,包括角色授权和权限授权。了解如何定义角色和权限,并且如何在代码中进行授权判断。 5. Session管理:了解Shiro如何管理用户的会话信息,包括会话超时、会话验证等。学习如何使用Shiro提供的Session API来管理会话。 6. 整合框架:如果你使用其他的Java框架,例如Spring或者Spring Boot,学习如何将Shiro与这些框架进行整合,以便更好地利用Shiro的功能。 7. 安全性优化:深入了解Shiro的安全性能优化技巧,例如密码加密、安全配置、防止常见安全漏洞等。 8. 实战练习:通过编写实际的应用程序来巩固所学的知识。可以尝试开发一个简单的Web应用程序,使用Shiro进行用户认证和授权。 除了官方文档和教程,还可以参考一些优秀的书籍或在线教程,例如《Apache Shiro官方指南》、《深入浅出Shiro安全框架》等。此外,加入Shiro的社区或者论坛,与其他开发者交流经验也是一个很好的学习方式。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值