Shiro身份认证和权限管理(授权)

最新推荐文章于 2023-05-06 21:48:08 发布
最新推荐文章于 2023-05-06 21:48:08 发布
阅读量982 收藏 1
点赞数
分类专栏: java 技术点 中间件 文章标签: Shiro 权限授权 认证 登录认证 权限管理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nanZhaiXiaoLang/article/details/101516929
版权
java 同时被 3 个专栏收录
75 篇文章 0 订阅
订阅专栏
技术点
69 篇文章 1 订阅
订阅专栏
中间件
8 篇文章 0 订阅
订阅专栏

1. Shiro的身份认证流程信息:

后台接受凭证信息(密码)和身份信息(用户名)封装到Subject主体中,调用Subject自己的登陆方法,完成校验。底层校验代码是实现AuthenticatingRealm 类重写doGetAuthentica方法,根据传过来的值来 查询数据库完成用户认证。

2. Shiro的用户授权流程信息:

先认证过以后,根据认证信息查询用户的权限级别,如果有权限,就能够查看所对应的信息和可执行对应 的方法。Controller层的代码实现:调用查询用户权限级别的方法,获得对应的级别,根据级别来设置她的访问权限。底层代码实现:实现AuthorticatingRealm类,分别重写认证和授权的方法。完成授权。

/**

  • 授权的realm 包含认证数据和授权数据的获取
    */

public class AuthorRealm extends AuthorizingRealm {
@Autowired private CmfzAdminDao cmfzAdminDao;
@Autowired private CmfzRoleService cmfzRoleService;
/**

  • 获取授权数据
  • @param principals
  • @return 集成SpringBoot 修改认证的集成代码 为最新的Realm
    */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
    // 1.获取用户名
    String username = (String) principals.getPrimaryPrincipal();

// 2.通过用户名查询授权数据
Set permissions = cmfzRoleService.getAllPermissionsByUsername(username);
Set roles = cmfzRoleService.getAllRolesByUsername(username);

// 3.封装info
SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
info.setRoles(roles);
info.setStringPermissions(permissions);
return info;
}
/**

  • 获取认证数据
  • @param token
  • @return
  • @throws AuthenticationException
    */

@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
// 1.获取用户名
UsernamePasswordToken token1 = (UsernamePasswordToken) token;
String username = token1.getUsername();

// 2.查询数据库
CmfzAdmin cmfzAdmin = cmfzAdminDao.selectOne(new QueryWrapper ().eq(“username”, username));

// 3.封装info
if (cmfzAdmin != null) {
return new SimpleAuthenticationInfo(cmfzAdmin.getUsername(), cmfzAdmin.getPassword(), this.getName());
}

    return null;

}
}

集成SpringBoot
配置文件中配置:
@Bean
public AuthorRealm getRealm(){
return new AuthorRealm();
}

其它相关知识点:

Shiro的权限管理会用到最少5张表,分别是:管理员表、角色表(如vip1,vip2)、权限表、用户角色表、角色权限表。 链表查询一般不超过三张表。

上边说的授权方式是代码授权,

其它授权方式还有:

标签授权,

首先引入标签库(<%@taglib prefix=“shiro” uri=“http://shiro.apache.org/tags” %>),通过标签完成授权。代码如下:

<shiro:hasPermission name=“banner:create”>
//该button只有拥有banner:create权限的人可看
</shiro:hasPermission>

<shiro:hasPermission name=“superadmin”>
//该提交按钮只有超级会员才能看
</shiro:hasPermission>

<shiro:hasPermission name=“superadmin”>
//该提交按钮只有会员才能看
</shiro:hasPermission>

注解式授权:

没有对应的权限,不能请求到对应的方法 例如:商品数据 需要有查询商品的权限 如果没有 请求这个地址 会报错
请求注解支持:
/**

  • 开启shiro aop注解支持
  • 使用代理方式;所以需要开启代码支持;否则@RequiresRoles等注解无法生效
  • @param securityManager
  • @return
    */

@Bean
public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager){
AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();
authorizationAttributeSourceAdvisor.setSecurityManager(securityManager);
return authorizationAttributeSourceAdvisor;
}

对应的方法添加注解:
方法上加@RequiresRoles(value=“superadmin”) //value对应的值是权限 本方法对应的是超级管理员权限

注意:注解式授权 如果没有对应的权限或角色 会抛异常

所以需要异常处理:
1、 页面处理 页面会自动处理 //缺点没办法抛出自己想展示的文字信息 需要手动修改
2、跳转404页面 //缺点 用户不清楚是因为权限问题还是页面真的找不到 易混淆
3、全局异常捕获 相应一个异常的提示信息 例如:相应“没有访问权限”
一般情况下, 不是单个处理 ,会配合着根据需求来选择异常处理。

堵上全村人的未来
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Shiro 身份验证、授权、密码和会话管理
05-07
Apache Shiro 是一个强大且易用的 Java 安全框架,它提供了身份验证、授权、密码管理和会话管理等功能,简化了在 Java 应用程序中处理安全性的问题。Shiro 的设计目标是使开发者能够专注于应用程序的安全逻辑,而...
shiro:hasPermission name=“...“>咋用啊
m0_59834108的博客
07-27 3985
如有错误欢迎指正 shiro:haspermission这个标签,对应的是官网给出的一个类,可以判断是否有操作权限,name属性呢,可以理解为名为sys:menu:add的一个操作,传入标签以后,标签来判断一下这个sys:menu:add操作有没有权限运行 如有错误欢迎指正 ...
shiro角色配置
web15286201346的博客
08-24 401
为防止转化成json时出现循环,ManyToMany配置是只在依赖方配置,即只在user端进行配置。此例子比较简单,没有涉及到权限permission。如果涉及到权限则需要建立权限表及对应的POJO。- permission:权限表。
身份认证权限控制
骑着蜗牛向前跑的博客
09-13 1027
这次在读《kubernetes权威指南》时,看到第六章对身份认证权限控制这部分的内容。自己平时虽然一直都在使用这两个功能,但理解的最觉得很片段。这里将原理整体介绍了(自己感觉的),在此做以摘抄。 我们都知道,Kubernetes 集群中所有的资源访问和变更都是通过 Kubernetes API Server 的 REST API 来实现的,所以集群安全的关键点就在于如何识别并认证(Authentication)客户端身份,以及随后的访问权限授权(Authorization)这两个关键的问题,本节对认证
(精华)2020年9月25日 微服务 身份验证、授权(Ocelot+IdentityServer4)
热门推荐
时光隧道
09-06 45万+
if (!(Test-Path -Path $PROFILE)) { New-Item -ItemType File -Path $PROFILE -Force }
统一身份认证授权--微服务架构
xishilife的专栏
08-30 2559
一、预备知识 本文讨论基于微服务架构下的身份认证和用户授权的技术方案,在阅读之前,最好先熟悉并理解以下几个知识点: 微服务架构相关概念:服务注册、服务发现、API 网关 身份认证和用户授权:SSO、CAS、OAuth2、JWT 文章在涉及到上述知识内容时,会附上参考链接。 二、背景 当企业的应用系统逐渐增多后,每个系统单独管理各自的用户数据容易行成信息孤岛,分散的用户管理模式阻碍了企业应用向平台化演进。当企业的互联网业务发展到一定规模,构建统一的标准化账户管理体系将是必不可少的,因为它是企业互联网
shiro权限认证授权
02-26
Apache Shiro是一个强大且易用的Java安全框架,它提供了认证授权、加密和会话管理功能,可以非常轻松地开发出足够安全的应用程序。在本文中,我们将深入探讨Shiro的核心概念,包括权限认证授权,以及如何在实际...
shiro身份验证、授权
04-22
它涵盖了身份验证(Authentication)、授权(Authorization)、密码策略(Cryptography)以及会话管理(Session Management)等多个核心安全领域,使得开发者可以轻松地在Java应用中实现安全控制。 **身份验证...
Shiro身份认证授权的基本应用
最新发布
06-26
Shiro身份认证授权的基本应用
shiro登陆身份认证权限管理 密码加密
01-23
Apache Shiro 是一个强大且易用的 Java 安全框架,提供身份认证授权、会话管理和加密等安全服务。在“shiro登陆身份认证权限管理 密码加密”这个主题中,我们将深入理解 Shiro 如何处理用户登录、验证用户身份...
基于springboot实现整合shiro实现登录认证以及授权过程解析
08-25
Shiro是Apache软件基金会下的一个基于Java的开源安全框架,提供了身份验证、授权、加密和会话管理等功能。在Spring Boot应用程序中整合Shiro,可以为我们的应用程序提供更加安全和可靠的身份验证和授权机制。 首先...
shiro认证授权demo
10-28
Apache Shiro是一个强大的Java安全框架,它提供了身份验证(Authentication)、授权(Authorization)以及会话管理(Session Management)等功能,简化了开发人员在构建安全应用时的复杂性。本Demo旨在展示如何使用...
springboot与shiro整合—登录认证权限管理实例项目
04-16
而Apache Shiro是一个轻量级的安全框架,它提供了身份验证、授权、会话管理和加密等核心安全功能。 **一、Shiro的基本概念** 1. **身份验证(Authentication)**:验证用户的身份,通常通过用户名和密码来确认用户...
Shiro安全登录认证权限授权封装模块代码
01-23
在这个项目中,你得到了一个基于 Shiro 的安全登录认证权限授权的封装模块代码。这个模块可能已经被集成到 SpringBoot 和 MyBatis 框架中,使得在 SpringBoot 应用中轻松实现用户的身份验证和权限控制。 1. **...
Springboot shiro认证授权实现原理及实例
08-19
Shiro认证机制主要通过 Realm 来实现,Realm 是一个身份验证和授权的接口。Spring Boot 中,我们可以使用 Shiro 的 Realm 来实现自定义的认证逻辑。在上面的示例代码中,我们定义了一个 LoginRealm 类,继承自 ...
Shiro 权限处理(自我学习版)
m0_56532446的博客
05-06 1200
Shiro初步学习了解基础理论以及和SpringBoot整合
Shiro 权限管理
心猿意码
06-24 3990
一共5个表 用户表 角色表 权限表 用户角色中间表 角色权限中间表 权限验证 通过角色来判断有没有权限。 比如 if 用户有在用户角色中间表中有经理的角色, 就可以查看工资。这中判断比较笼统。适合比如实现不同的角色登录以后看到不同的菜单。 通过权限标识来判断, 这个就需要查出用户拥有的具体权限。 这个权限控制比较细致。 适合细致的,比如部门公司的管理员,只能修改该部门下的员工资料。 Shi...
Shiro权限控制+整合shiro
Armymans的博客
03-02 1万+
Shiro权限控制 0.1传统的权限认证方式 特点:为每个人单独的分配权限模块,能够实现权限控制,但是当公司人员庞大之后,非常难管理 上述权限控制如何设计表? 关系:员工和菜单权限的关系:多对多 员工id 菜单名称 1 取派管理 2 快递员管理 2 运单管理 好处:可以方便的 实现权限控制 缺陷:比如当修改权限的时候,公司统一的给组长级别的人 加一个“计算工资”权限,...
Shiro权限管理框架详解
WGH100817的博客
01-25 1588
1 权限管理1.1 什么是权限管理 基本上涉及到用户参与的系统都要进行权限管理权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。 权限管理包括用户身份认证授权两部分,简称认证授权。对于需要访问控制的资源用户首先经过身份认证认证通过后用户具有该资源的访问权限方可访问。 1.2 用户身份认证1.2...
Shiro权限管理深度解析:身份认证授权流程
权限管理主要由两个核心组件构成:用户身份认证授权。 1. 用户身份认证:这是验证用户身份的过程,通常包括简单的用户名和密码验证。系统会核对用户输入的信息与系统存储的记录匹配,以确定用户合法性。除此之外...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值