Shiro权限管理框架学习(二) 授权

最新推荐文章于 2023-04-11 14:01:08 发布
最新推荐文章于 2023-04-11 14:01:08 发布
阅读量132 收藏
点赞数
分类专栏: shiro安全框架
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m2606707610/article/details/102403638
版权

一、授权

1、授权:给身份认证通过的人,授予他可以访问某些资源的权限。

2、权限粒度:分为粗粒度和细粒度。

  粗粒度:对user的crud。也就是说通常对表的操作。

  细粒度:是对记录的操作。如:只允许查询id为1的user的工资。

  Shiro一般管理的是粗粒度的权限。比如:菜单,按钮,url。一般细粒度的权限是通过业务来控制的。

3、角色:权限的集合。

4、权限表示规则:资源:操作:实例。可以用通配符表示:

  如:user:add 表示对user有添加的权限,user:* 表示对user具有所有操作的权限。

    user:delete:100,表示对user标识为100的记录有删除的权限。

5、Shiro中的权限流程

6、编码实现

  (1)新建java项目

  (2)编辑shiro.ini配置文件

[users]
zhangsan=1111,role1
lisi=1111,role2

[roles]
role1=user:add,user:update,user:delete
role2=user:*

(3)编码测试

package com.sun123.shiro;

import java.util.Arrays;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.util.Factory;

public class AuthorizationDemo {

    public static void main(String[] args) {
        Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini");
        SecurityManager securityManager = factory.getInstance();
        SecurityUtils.setSecurityManager(securityManager);
        Subject subject = SecurityUtils.getSubject();
        
        UsernamePasswordToken token = new UsernamePasswordToken("zhangsan", "1111");
        
        try {
            //认证
            subject.login(token);
        } catch (AuthenticationException e) {
            e.printStackTrace();
            System.out.println("认证不通过");
        }
        
        //基于角色的授权
        boolean flag = subject.hasRole("role2");
        System.out.println(flag);
        //判断是否具有多个角色
        subject.hasRoles(Arrays.asList("role1","role2"));
        //可以通过checkRole来检测是否具有某个角色,如果不具有该角色,则抛出AuthorizerException
        //subject.checkRole("role2");
        //也就可以同时检测多个角色
        //subject.checkRoles("role1","role2");
        //基于资源的授权
        flag = subject.isPermitted("user:delete");
        System.out.println(flag);
        
        //判断是否具有多个权限
        flag = subject.isPermittedAll("user:add","user:update","user:delete");
        System.out.println(flag);
        //通过checkPermission检测认证用户是否具有某个权限,如果没有,则抛出异常
        subject.checkPermission("user:dd");
        
    }
}

7、Shiro中的权限检查方式有3种

  (1)编程式

if(subject.hasRole("管理员")){
    //操作某个资源    

}

  (2)注解式  

在执行指定的方法时,会检测是否具有该权限

@RequiresRoles("管理员")
public void list(){
    //查询数据

}

  (3)标签

<%@ page language="java" contentType="text/html; charset=ISO-8859-1"
    pageEncoding="ISO-8859-1"%>
<%@taglib prefix="shiro" uri="http://shiro.apache.org/tags"%>
<!DOCTYPE html>
<html>
<head>
<meta charset="ISO-8859-1">
<title>Insert title here</title>
</head>
<body>
    <shiro:hasPermission name="user:update">
        <a href="#">更新</a>
    </shiro:hasPermission>
</body>
</html>

8、授权流程

  (1)获取subject主体

  (2)判断主体是否通过认证

  (3)调用subject.isPermitted*,或者hasRole*来进行权限判断

     ① Subject是由其实现类DelegatingSubject来调用方法的,该类将处理交给了securityManager

     ② securityManager是由其实现类DefaultSecurityManager来进行处理,该类的isPermitted来处理,其本质父类AuthorizingSecurityManager来处理的,该类将调用authorizer(授权器)处理。

     ③ Authorizer由其实现类ModularRealmAuthorizer来处理该类可以调用对应的Realm来获取数据,在该类有PermissionResolver对权限字符串进行解析,在对应的Realm中也有对应的PermissionResolver交给WildcardPermissionResolver该类调用WildcardPermission来进行权限字符串的解析。

     ④ 返回处理结果。

二、自定义Realm实现授权

1、仅仅通过配置文件来指定权限不够灵活,并且不方便,在实际的应用中大多数情况下都是将用户信息,角色信息,权限信息保存到了数据库中。所以需要从数据库中去获取相关的数据信息。可以使用shiro提供的JdbcRealm来实现,也可以自定义Realm来实现。使用JdbcRealm往往也不够灵活。所以在实际应用中大多数情况下都是自定义realm来实现。

2、自定义Realm需要继承AuthorizingRealm,代码如下:

package com.sun123.realm;

import java.util.ArrayList;
import java.util.List;

import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;

public class UserRealm extends AuthorizingRealm {

    /**
     * 自定义realm的实现    该realm类提供了两个方法
     * doGetAuthorizationInfo    获取认证信息
     * doGetAuthenticationInfo    获取权限信息
     */
    @Override
    public String getName() {
        // 自定义
        return "userRealm";
    }

    // 完成身份认证,并且返回认证信息
    // 如果身份认证失败,返回null
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        // 获取用户输入的用户名
        String username = (String) token.getPrincipal();// 获取身份信息
        System.out.println("username:" + username);
        // 根据用户名到数据库查询密码信息——模拟
        // 假定从数据库获取的密码为1111
        String pwd = "1111";
        // 将从数据库中查询的信息封装到SimpleAuthenticationInfo中
        SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(username, pwd, getName());
        return info;
    }

    // 授权的信息
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principal) {
        String username = principal.getPrimaryPrincipal().toString();
        System.out.println("授权————————————————————————");
        System.out.println("username==========="+username);
        //根据用户名到数据库查询该用户对应的信息——————模拟
        List<String> permission = new ArrayList<String>();
        permission.add("user:add");
        permission.add("user:delete");
        permission.add("user:update");
        permission.add("user:find");
        
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        for (String perms : permission) {
            info.addStringPermission(perms);
        }
        return info;
    }

}

shiro.ini

[main]
userRealm=com.sun123.realm.UserRealm
securityManager.realm=$userRealm
#在realm中给定了用户信息,该用户信息可以不用配置
[users]
zhangsan=1111

测试代码:

package com.sun123.shiro;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.IncorrectCredentialsException;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.util.Factory;
//java.lang中有SecurityManager的包,需要改成Apache的
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.subject.Subject;

public class UserRealmDemo {

    public static void main(String[] args) {
        // 1、创建SecurityManager工厂,读取相应的配置文件
        Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini");
        // 2、通过SecurityManager工厂获取SecurityManager的实例
        SecurityManager securityManager = factory.getInstance();
        // 3、将securityManager对象设置到运行环境中
        SecurityUtils.setSecurityManager(securityManager);
        // 4、通过SecurityUtils获取主体Subject
        Subject subject = SecurityUtils.getSubject();
        // 5、加入登录的用户名zhangsan和1111,这个地方的zhangsan和1111表示用户登录时输入的信息
        // 而shiro.ini文件中的信息相当于数据库中存放的信息
        // UsernamePasswordToken token = new UsernamePasswordToken("zhangsan", "111");
        UsernamePasswordToken token = new UsernamePasswordToken("zhangsan", "1111");
        try {
            // 6、进行用户身份验证
            subject.login(token);
            // 7、通过subject来判断用户是否通过验证
            if (subject.isAuthenticated()) {
                System.out.println("验证通过");
            }
        } catch (UnknownAccountException e) {// AuthenticationException为父异常 Ctrl+T看子异常
            System.out.println("用户名/密码不正确");
        } catch (IncorrectCredentialsException e) {// AuthenticationException为父异常 Ctrl+T看子异常
            System.out.println("用户名或密码不正确");
        }

        System.out.println(subject.isPermittedAll("user:add","user:delete"));
    }
}

 

席剑啊~
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Shiro (三)之授权加注解式权限
cao_2000的博客
01-04 855
重点: 1.添加角色和权限的授权方法   //根据username查询该用户的所有角色,用于角色验证   Set&lt;String&gt; findRoles(String username); 代码分享: select r.roleid from t_shiro_user u,t_shiro_role r , t_shiro_user_role ur where u.userid=...
shiro权限管理框架学习
我是太阳
11-08 1万+
shiro权限管理框架学习 一、权限框架简介: 基本上涉及到用户参与的系统都要进行权限管理权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。权限管理包括用户身份认证和授权两部分,简称认证授权。对于需要访问控制的资源用户首先经过身份认证,认证通过后用户具有该资源的访问权限方可访问。 ...
shiro:hasPermission 标签 :验证当前用户是否拥有指定权限
热门推荐
dxyzhbb的博客
10-11 2万+
1、这些值是存在数据库里的,在哪里找呢?sys_menu 中的permission列。 <shiro:hasPermission name=“cms:article:edit”> 他是怎么入库的呢?非菜单项的权限是怎么加入,怎么取出来使用的? 取出来的sql: SELECT a.id , a.parent_id AS "parent.id" , a.paren...
laravel 7 报错 file_put_contents() failed to open stream: Permission denied for Session folder
梦启未来
11-29 575
这个问题是因为权限导致的,laravel因为本身太重了,导致需要搞文件缓存,这时候写入缓存的file_put_contents函数发现在storage文件夹下没有权限,那给他权限,并清除缓存 chmod -R gu+w storage chmod -R guo+w storage php artisan cache:clear g是组权限,u是当前用户权限,o是其他用户权限,+w是增加写权限 ...
Shiro 学习
爱码士 的博客
12-25 132
Shiro 学习: 本次学习需要的依赖jar 包: &lt;dependency&gt; &lt;groupId&gt;junit&lt;/groupId&gt; &lt;artifactId&gt;junit&lt;/artifactId&gt; &lt;version&gt;3.8.1&lt;/version&gt; &lt;scope&gt;test&l
Shiro权限管理框架详解
m0_67394230的博客
04-22 2990
1权限管理1.1什么是权限管理 基本上涉及到用户参与的系统都要进行权限管理权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。 权限管理包括用户身份认证和授权两部分,简称认证授权。对于需要访问控制的资源用户首先经过身份认证,认证通过后用户具有该资源的访问权限方可访问。 1.2用户身份认证1.2.1概念 身份认证,就是判断一个用户是否为合法用户的处理过程。最常用的简单身份认证方式是系统通过核对用户输入的用户名和口令,看其是否与系
Shiro权限管理框架
king220022的博客
04-11 1156
对于细颗粒度的权限管理不建议做成系统架构级别的功能,因为对数据级别的控制是系统的业务需求,随着业务需求的变更业务功能变化的可能性很大,建议对数据级别的权限控制在业务层个性化开发,比如:用户只允许修改自己创建的商品信息可以在service接口添加校验实现,service接口需要传入当前操作人的标识,与商品信息创建人标识对比,不一致则不允许修改商品信息。对资源类型的管理称为粗颗粒度权限管理,即只控制到菜单、按钮、方法,粗粒度的例子比如:用户具有用户管理的权限,具有导出订单明细的权限。
shiro权限框架
欢迎来到编程小栈
04-20 2341
文章目录Shiro架构与功能介绍1.认证与授权相关基本概念2.Shiro四大核心功能3.Shiro三个核心组件spring security和shiro的区别相同点:不同点:第一章 权限概述1、什么是权限2、认证概念【1】什么是认证【2】认证流程【3】关键对象3、授权概念【1】什么是授权【2】授权流程【3】关键对象第Shiro概述1、Shiro简介【1】什么是Shiro?【2】Shiro 的特点2、核心组件第三章 Shiro入门1.1什么是shiro1.2shiro功能简介2.1外部来看Shiro2
shiro安全权限框架学习-简介
weixin_41865602的博客
05-16 320
Shiro 简介 简介 Apache Shiro 是 Java 的一个安全框架。目前,使用 Apache Shiro 的人越来越多,因为它相当简单,对比 Spring Security,可能没有 Spring Security 做的功能强大,但是在实际工作时可能并不需要那么复杂的东西,所以使用小而简单的 Shiro 就足够了。对于它俩到底哪个好,这个不必纠结,能更简单的解决项目问题就好了。只介绍基...
Apache Shiro权限框架实战+项目案例视频课程
06-09
Apache Shiro是一个强大的Java安全框架,它为应用程序提供了身份验证(Authentication)、授权(Authorization)以及会话管理(Session Management)等功能。本课程旨在通过实战演练和项目案例,帮助学习者深入理解...
Shiro权限框架由浅入深讲解教程课件
01-07
Apache Shiro 是一个轻量级的 Java 安全框架,主要负责身份验证、授权、加密以及会话管理。它的设计目标是简化应用安全的实现,让开发者能够快速地为各种类型的程序添加安全特性,从简单的命令行应用到复杂的 web ...
ssm-shiro权限管理
01-14
在“ssm-shiro权限管理)”中,我们将深入探讨如何在Shiro的基础上进一步优化登录流程、实现缓存管理和动态权限分配。Shiro是一个强大且易用的Java安全框架,提供了认证、授权、会话管理和加密等功能,为应用...
ant-design-vue-1.1.10.zip
08-26
基于 Ant Design 和 Vue 的企业级 UI 组件库
嵌入式系统HTML5大作业-基于jQuery与Flask前后端框架,AJAX的人工智能井字棋小游戏+实验报告+演示视频+功能截图
08-26
<项目介绍> 嵌入式系统HTML5大作业-基于jQuery与Flask前后端框架,借助AJAX跨域通信技术的人工智能井字棋小游戏 - 不懂运行,下载完可以私聊问,可远程教学 该资源内项目源码是个人的大作业,代码都测试ok,都是运行成功后才上传资源,答辩评审平均分达到96分,放心下载使用! 1、该资源内项目代码都经过测试运行成功,功能ok的情况下才上传的,请放心下载使用! 2、本项目适合计算机相关专业(如计科、人工智能、通信工程、自动化、电子信息等)的在校学生、老师或者企业员工下载学习,也适合小白学习进阶,当然也可作为毕设项目、课程设计、作业、项目初期立项演示等。 3、如果基础还行,也可在此代码基础上进行修改,以实现其他功能,也可用于毕设、课设、作业等。 下载后请首先打开README.md文件(如有),仅供学习参考, 切勿用于商业用途。 --------
小程序-蜗牛生活服务(源码).zip
最新发布
08-26
小程序-蜗牛生活服务(源码).zip
scrapy爬取马蜂窝网站并通过Django框架展示出来.zip
08-26
scrapy爬取马蜂窝网站并通过Django框架展示出来.zip
小程序-gank(源码).zip
08-26
小程序-gank(源码).zip
ant-design-vue-3.2.20.zip
08-26
基于 Ant Design 和 Vue 的企业级 UI 组件库
Shiro权限管理详解:用户认证与授权
无论是在用户认证还是权限授权方面,Shiro都提供了丰富的API和灵活的配置选项,使得开发者可以根据需求轻松定制权限策略。在实际项目中,合理利用Shiro的特性,可以实现既安全又易于维护的权限管理体系。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值