Shiro学习笔记(四):Shiro中的授权

最新推荐文章于 2024-05-06 09:35:02 发布
最新推荐文章于 2024-05-06 09:35:02 发布
阅读量238 收藏 1
点赞数
分类专栏: java 文章标签: 学习 java 前端 sql tomcat
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_67402731/article/details/126496323
版权

一、授权介绍

1、授权

授权:即访问控制,控制谁能够访问哪些资源。主体进行身份认证后需要分配权限方可访问系统的资源,对于没有授权的资源则是无法访问的。

对于授权可以理解为谁对哪些资源进行什么操作,授权中的关键对象如下:

  • 主体:主体需要访问系统中的资源
  • 资源:如系统菜单、页面、按钮、类方法、系统商品信息等。资源包括资源类型和资源实例,比如商品信息为资源类型,类型为g01的商品则称为资源实例,订单编号为o01的订单也为资源实例。
  • 权限/许可:规定了主体对资源的操作许可,如:用户查询权限、用户添加权限、某个类方法的调用权限、对编号为g01的商品的修改权限等,通过权限可知道主体对哪些资源具有哪些操作权限。

2、授权流程

3、授权方式

  • 基于角色的访问控制RBAC(Role-Based Access Control)是以角色为中心进行访问控制
  • 基于资源的访问控制RBAC(Resource-Based Access Control)是以资源为中心进行访问控制

示例如下:

//基于角色的访问控制
if(subject.hasRole("admin")){
    //操作资源
}
//基于资源的角色控制
if(subject.isPermission("user:update:01")){
    //拥有对01用户的修改权限
}
if(subject.isPermission("user:update:*")){
    //拥有对所有用户的修改权限
}

4、权限字符串

权限字符串是以字符串的方式实现对授权规则的表示,其规则是:资源标识符:操作:资源实例标识符,意思是对哪个资源的哪个实例具有什么操作,:是资源/操作1/实例的分隔符,权限字符串也可以使用*作为通配符。示例如下:

用户创建权限:user:create,或user::create:*
用户修改实例为001的权限:user:update:001
用户拥有实例001的所有权限:user:*:001

5、shiro中授权编程实现方式

(1)编程式

Subject subject = SecurityUtils.getSubject();
if(subject.hasRole("admin")){
    //有权限
}else{
    //无权限
}

(2)注解式

@RequiresRoles("admin")
public void hello(){
    //有权限
}

(3)标签式

<shiro:hasRole name="admin">
</shiro:hasRole>

二、Shiro实现授权示例

1、角色验证

方法说明如下:

方法名

说明

hasRole

是否具有某个角色

hasAllRole

是否具有所有角色

hasRoles

分别具有哪些角色

代码:

package org.example.shiro;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.IncorrectCredentialsException;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.authc.credential.HashedCredentialsMatcher;
import org.apache.shiro.crypto.hash.Md5Hash;
import org.apache.shiro.mgt.DefaultSecurityManager;
import org.apache.shiro.subject.Subject;

import java.util.Arrays;

public class TestMD5 {
//    21232f297a57a5a743894a0e4a801fc3
//    a5599b5184c1aadc0877cd76cb93a969
//    578422679b493529e22c5495c8b3db3c
    public static void main(String[] args) {
        DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager();
        //注入realm
        UserMD5Realm realm = new UserMD5Realm();
        //设置realm使用hash凭证匹配器
        HashedCredentialsMatcher credentialsMatcher = new HashedCredentialsMatcher();
        credentialsMatcher.setHashAlgorithmName("md5");
        //设置散列次数
        credentialsMatcher.setHashIterations(1024);
        realm.setCredentialsMatcher(credentialsMatcher);
        //设置Realm
        defaultSecurityManager.setRealm(realm);
        //将安装工具类中设置默认安全管理器
        SecurityUtils.setSecurityManager(defaultSecurityManager);
        //获取主体对象
        Subject subject = SecurityUtils.getSubject();
        //创建token令牌
        UsernamePasswordToken token = new UsernamePasswordToken("admin", "admin");
        try{
            //用户登录
            subject.login(token);
            System.out.println("登陆成功");
        }catch (UnknownAccountException e){
            e.printStackTrace();
            System.out.println("用户名错误");
        }catch (IncorrectCredentialsException e){
            e.printStackTrace();
            System.out.println("密码错误");
        }
        //认证成功
        if(subject.isAuthenticated()){
            System.out.println(subject.hasRole("拥有的角色"));
            //hasRole判断是否具有某种角色
            System.out.println("hasRole方法");
            if(subject.hasRole("admin")){
                System.out.println("admin拥有管理员角色");
            }else{
                System.out.println("admin没有管理员角色");
            }
            //hasAllRoles判断是否同时具有这些角色
            System.out.println("hasAllRoles方法");
            if(subject.hasAllRoles(Arrays.asList("admin", "super", "users"))){
                System.out.println("admin拥有管理员、超级管理员和用户角色");
            }else{
                System.out.println("admin不同时具有这些角色");
            }
            //hasRoles是否具有其中一个角色
            System.out.println("hasRoles方法");
            boolean[] roles = subject.hasRoles(Arrays.asList("admin", "super", "users"));
            for(boolean b : roles){
                System.out.println(b);
            }
        }
    }
}


package org.example.shiro;

import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.util.ByteSource;

public class UserMD5Realm extends AuthorizingRealm {
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        String primaryPrincipal = (String) principalCollection.getPrimaryPrincipal();
        //根据身份信息 用户名获取当前用户的角色信息和权限信息,这一块从数据库中读取。
        //本案例中,我们假设admin用户具有管理员权限和普通用户的角色
        SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
        simpleAuthorizationInfo.addRole("admin");
        simpleAuthorizationInfo.addRole("users");
        return simpleAuthorizationInfo;
    }

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        //获取身份信息
        String principal = (String) authenticationToken.getPrincipal();
        if("admin".equals(principal)){
            //这里的密码模拟是从数据库中读到的
            String password = "578422679b493529e22c5495c8b3db3c";
            return new SimpleAuthenticationInfo(principal, password, ByteSource.Util.bytes("vasdg"), this.getName());
        }
        return null;
    }
}

2、基于权限字符串的访问控制

方法说明如下:

方法名

说明

isPermitted

是否具有某个权限

isPermitted

是否具有其中部分角色,前一个方法的重载

isPermittedAll

是否具有所有角色

代码:

基于上述代码加入以下逻辑:

TestMD5的主方法

//具有某种权限
            System.out.println("是否具有对01用户的修改权限 : " + subject.isPermitted("user:update:01"));
            //分别具有哪些权限
            boolean[] permitted01 = subject.isPermitted("user:*:01", "order:update:01");
            for(boolean b : permitted01){
                System.out.println(b);
            }
            //同时具有哪些权限
            boolean permitted02 = subject.isPermittedAll("user:*:01", "order:update:01");
            System.out.println(permitted02);

UserMD5Realm的doGetAuthorizationInfo()方法:

        //基于权限字符串的访问控制
        simpleAuthorizationInfo.addStringPermission("user:*:01");
        simpleAuthorizationInfo.addStringPermission("product:create:01");
m0_67402731
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Shrio 微服务权限控制方案,完美实现!
架构文摘
03-10 1000
来自:blog.csdn.net/to10086/article/details/109573948一、微服务权限设计先说下为什么写这篇文章,因为实际项目需要,需要对我们现在项目页面小到每个部件都要做权限控制,然后查了下网上常用的权限框架,一个是shrio,一个是spring security,看了下对比,都说shrio比较轻量,比较好用。本文我们也选择了shrio来做整个项目的权限框架,同时结合...
shiro实现身份验证_微服务的身份验证和授权如何实现
weixin_26711867的博客
10-13 1439
shiro实现身份验证When moving to microservices, you will come to the conclusion that securing the microservices needs to be tackled in a different way compared to a monolithic application.转向微服务时,您将得出结论,与单片应用...
Apache Shiro Realm实战及认证授权源码解读_field loginservice in com(1)
最新发布
2401_84160087的博客
05-06 599
1)步骤:创建一个类 ,继承AuthorizingRealm,AuthorizingRealm继承关系如下图:由上图可见继承关系为:AuthorizingRealm->AuthenticatingRealm->CachingRealm->Realm重写授权方法 doGetAuthorizationInfo重写认证方法 doGetAuthenticationInfo方法:当用户登陆的时候会调用 doGetAuthenticationInfo,获取认证信息进行用户身份认证。
Shiro学习笔记(3)——授权(Authorization)
热门推荐
君君的专栏
05-28 1万+
什么是授权 授权三要素 Shiro的三种授权方式 1 编码方式授权 2 基于注解的授权 3 JSP标签授权1.什么是授权授权,就是访问控制,控制某个用户在应用程序是否有权限做某件事2.授权三要素 权限 请看Shiro学习笔记(1)——shiro入门权限部分内容角色 通常代表一组行为或职责.这些行为演化为你在一个软件应用能或者不能做的事情。角色通常是分配给用户帐户的,因此,通过分配,用户
【万字长文】微服务整合Shiro+Jwt,源码分析鉴权实战
qq_47027235的博客
08-02 442
Shiro是什么,我这里就不多介绍了,全网也有好多是介绍ShiroJwt整合的教程,我想要写这篇文章,是因为有好多的内容,基本上都是类似的,自己想要的效果,我并没有找到合适的解决方案。支持RBAC通过JWT生成token,做到无状态能够动态的根据用户角色对当前请求路径进行鉴权,而不是使用Shiro提供的注解,把角色,权限等信息写死对Shiro的异常进行统一捕获和处理Subject(主题):当前“用户”是谁,这个“用户”并不是我们现实世界的人类,你可以这样理解,向Shiro发起操作的就是一个。
前后端分离shiro集成未登录未授权option预检解决
m0_37928046的博客
07-05 877
最近小编在做新项目的时候采用了前后端分离,使用shiro做权限控制,其遇到了一些问题。 一 :OPTION请求预检问题 二:未登录未授权跳转问题 解决方案: 一:放行OPTIONS请求 二:继承FormAuthenticationFilter类重写其onAccessDenied方法解决未登录 三:未授权设置全局异常捕获为AuthorizationException 话不多多说直接...
shiro学习笔记
04-03
shiro学习笔记以及代码,包括权限基础、shiro入门、shiro实例等
shiro学习笔记.rar
10-06
这是shiro学习笔记,包括学习时候自己写的代码,主要内容就是使用springboot整合shiro,实现对用户的认证和授权,以及图片验证码的实现
shiro学习笔记次课,从入门到案例)
06-15
Shiro01-概念、入门、认证的基本使用; Shiro02-认证加密,授权Shiro03-SpringBoot集成、注册、登录; Shiro04-SpringBoot授权Shiro注解、Shiro标签
learning-shiro:Shiro学习笔记
04-27
Learning-Shiro Shiro Learning Notes 学习用书
【SaaS - Export项目】24 - Shiro授权shiro授权校验,查看用户是否拥有访问权限,无权限拦截请求
m0_67391870的博客
04-11 894
文章目录 Shiro授权功能介绍 通过邮箱查询用户的权限 在给用户授权 授权校验的几种实现方式 1. 硬编码方式(拦截方法) 2. 配置xml过滤器方式【***推荐使用】 配置用户没有权限访问时的跳转页面 3. 注解方式 4. 使用shiro提供的标签(拦截页面元素:按钮,表格等) Shiro授权功能介绍 1)什么是授权 授权,也叫做授权访问校验,比如在登陆认证后,系统校验用户是否有权限访问资源,就叫授权。 2)实现授权步骤 登陆认证成功后,获取用户的权限 (
CVE-2020-1957--Shiro授权访问
qq_44880255的博客
08-12 1397
参考链接:https://www.cnblogs.com/backlion/p/14055274.html 1、影响版本 Apache Shiro < 1.5.2 2、漏洞原因 Shiro框架通过拦截器功能来对用户访问权限进行控制,如anon, authc等拦截器。anon为匿名拦截器,不需要登录即可访问;authc为登录拦截器,需要登录才可以访问。 Shiro的URL路径表达式为Ant格式,路径通配符*表示匹配零个或多个字符串,/*可以匹配/hello,但是匹配不到/hello/,因为*通配符无法
Shiro授权
m0_67864917的博客
08-26 252
1) 获取验证身份(用户名)2) 根据身份(用户名)获取角色和权限信息3) 将角色和权限信息设置到SimpleAuthorizationInfo。
Apache Shiro Realm实战及认证授权源码解读_field loginservice in com(3)
2401_84184729的博客
05-03 664
1)步骤:创建一个类 ,继承AuthorizingRealm,AuthorizingRealm继承关系如下图:由上图可见继承关系为:AuthorizingRealm->AuthenticatingRealm->CachingRealm->Realm重写授权方法 doGetAuthorizationInfo重写认证方法 doGetAuthenticationInfo方法:当用户登陆的时候会调用 doGetAuthenticationInfo,获取认证信息进行用户身份认证。
shiro学习笔记(3)】shiro授权
weixin_45921478的博客
02-04 162
**1.授权的概念** 授权是指对用户进行访问控制,即用户是否有权限访问某个资源。 例如:用户登录后,只有具有“管理员”角色的用户才能访问“后台管理”模块。 **2.授权的实现方式** ==基于角色的访问控制== 通过角色来控制用户的访问权限,即用户是否有权限访问某个资源。 例如:用户登录后,只有具有“管理员”角色的用户才能访问“后台管理”模块。 ==基于资源的访问控制==
ShiroShiro从小白到大神(三)-权限认证(授权)
weixin_34311757的博客
09-22 568
本节讲权限认证,也就是授权 基于角色的访问控制和基于权限的访问控制的小实例 以及注解式授权和JSP标签授权详解 权限认证 权限认证核心要素 权限认证,也就是访问控制,即在应用控制谁能访问哪些资源 在权限认证,最核心的三个要素是:权限,角色和用户 (资源也算一个要素,但不是最核心的) 权限,即操作资源的 ...
shiro权限比对的一些坑
逝水流年染轻尘的博客
04-04 2386
  最近在做shiro权限控制的时候,搭建完了环境给同事使用,同事使用的时候发现了一个bug,让我看看,bug是这样的,       在freemarke使用shiro标签,&lt;@shiro.hasPermission name="sys:user:1111"&gt;&lt;/@shiro.hasPermission&gt;发现标签不起作用,而这个权限在数据库是没有配置,查询出来的授权管理的...
shiro权限标示符
流连是谁的博客
11-30 2108
1.shiro权限管理在实现shiro权限时,一般是继承AuthorizingRealm时,认证方法: doGetAuthenticationInfo(AuthenticationToken token) 与授权方法: doGetAuthorizationInfo(PrincipalCollection principals) 其授权方法可以在AuthorizationInfo添加权限标识符
SSM + Shiro 整合 (5)- 自定义过滤器及权限解析器、介绍权限匹配流程
李威威的博客
09-25 1万+
关于 Shiro 的权限匹配器和过滤器上一节,我们实现了自定义的 Realm,方式是继承 AuthorizingRealm 这个抽象类,分别实现认证的方法和授权的方法。这一节实现的代码的执行顺序 1、过滤器,在过滤器执行 Subject 对象的判断是否具有某项权限的方法 isPermitted() 传入某一个跟当前登录对象相关的特征值(这里是登录对象正在访问的 url 连接) 2、程序到自定义
Springboot学习笔记之springboot+shiro+cas
05-21
2. 配置 Shiro: ```java @Configuration public class ShiroConfig { @Bean public CasRealm casRealm() { CasRealm realm = new CasRealm(); realm.setCasServerUrlPrefix("https://cas.example.com/cas"); ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值