Shiro步步为营--权限验证

最新推荐文章于 2022-10-21 20:21:31 发布
最新推荐文章于 2022-10-21 20:21:31 发布
阅读量1.6w 收藏 1
点赞数
分类专栏: 安全框架 文章标签: Shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pengjunlee/article/details/94619551
版权

本章将在上一章《Shiro步步为营--Springboot开启身份验证》的基础上,对项目代码进行改造,演示如何开启Shiro权限验证。

开启权限验证

修改Realm 

同时开启身份验证和权限验证,需要对 Realm 进行修改,使其继承 AuthorizingRealm ,从上面的继承关系不难看出 AuthorizingRealm 也继承自 AuthenticatingRealm ,但 AuthorizingRealm 并未实现 AuthenticatingRealm 的 doGetAuthenticationInfo() 方法。所以,新的 Realm 需要同时实现 doGetAuthenticationInfo()和 doGetAuthorizationInfo 两个抽象方法。

import java.util.HashMap;
import java.util.HashSet;
import java.util.Map;
import java.util.Set;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.LockedAccountException;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.util.ByteSource;

import com.pengjunlee.domain.UserEntity;

/**
 * 同时开启身份验证和权限验证,需要继承 AuthorizingRealm 
 * 并实现其  doGetAuthenticationInfo()和 doGetAuthorizationInfo 两个方法
 */
@SuppressWarnings("serial")
public class UserRealm extends AuthorizingRealm {

	private static Map<String, UserEntity> userMap = new HashMap<String, UserEntity>(16);
	private static Map<String, Set<String>> roleMap = new HashMap<String, Set<String>>(16);
	private static Map<String, Set<String>> permMap = new HashMap<String, Set<String>>(16);

	static {
		UserEntity user1 = new UserEntity(1L, "graython", "dd524c4c66076d1fa07e1fa1c94a91233772d132", "灰先生", false);
		UserEntity user2 = new UserEntity(2L, "plum", "cce369436bbb9f0325689a3a6d5d6b9b8a3f39a0", "李先生", false);

		userMap.put("graython", user1);
		userMap.put("plum", user2);

		roleMap.put("graython", new HashSet<String>() {
			{
				add("admin");

			}
		});
		
		roleMap.put("plum", new HashSet<String>() {
			{
				add("guest");
			}
		});
		permMap.put("plum", new HashSet<String>() {
			{
				add("article:read");
			}
		});
	}

	/**
	 * 查询数据库,将获取到的用户安全数据封装返回
	 */
	@Override
	protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
		// 从 AuthenticationToken 中获取当前用户
		String username = (String) token.getPrincipal();
		// 查询数据库获取用户信息,此处使用 Map 来模拟数据库
		UserEntity user = userMap.get(username);

		// 用户不存在
		if (user == null) {
			throw new UnknownAccountException("用户不存在!");
		}

		// 用户被锁定
		if (user.getLocked()) {
			throw new LockedAccountException("该用户已被锁定,暂时无法登录!");
		}

		/**
		 * 将获取到的用户数据封装成 AuthenticationInfo 对象返回,此处封装为 SimpleAuthenticationInfo 对象。 
		 * 参数1. 认证的实体信息,可以是从数据库中获取到的用户实体类对象或者用户名 
		 * 参数2. 查询获取到的登录密码 
		 * 参数3. 当前 Realm 对象的名称,直接调用父类的 getName() 方法即可
		 */
		// SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(user, user.getPassword(), getName());

		// 使用用户名作为盐值
		ByteSource credentialsSalt = ByteSource.Util.bytes(username);

		/**
		 * 将获取到的用户数据封装成 AuthenticationInfo 对象返回,此处封装为 SimpleAuthenticationInfo 对象。
		 *  参数1. 认证的实体信息,可以是从数据库中获取到的用户实体类对象或者用户名 
		 *  参数2. 查询获取到的登录密码 
		 *  参数3. 盐值
		 *  参数4. 当前 Realm 对象的名称,直接调用父类的 getName() 方法即可
		 */
		SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(user, user.getPassword(), credentialsSalt,
				getName());
		return info;
	}

	/**
	 * 查询数据库,将获取到的用户的角色及权限信息返回
	 */
	@Override
	protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
		// 获取当前用户
		UserEntity currentUser = (UserEntity) SecurityUtils.getSubject().getPrincipal();
		// UserEntity currentUser = (UserEntity)principals.getPrimaryPrincipal();
		// 查询数据库,获取用户的角色信息
		Set<String> roles = roleMap.get(currentUser.getName());
		// 查询数据库,获取用户的权限信息
		Set<String> perms = permMap.get(currentUser.getName());

		SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
		info.setRoles(roles);
		info.setStringPermissions(perms);
		return info;
	}

}

在这个 Realm 中我们定义了两个用户:graython 具有 admin 角色,plum 具有 guest 角色和 article:read 权限。

新建Controller

新建一个 Controller 通过编码方式分别对角色和权限验证进行演示。 

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.subject.Subject;
import org.springframework.ui.ModelMap;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

@RestController
@RequestMapping("/article")
public class ArticleController {

	@GetMapping("/delete")
	public String deleteArticle(ModelMap model) {
		// 获取当前用户
		Subject currentUser = SecurityUtils.getSubject();
		// 检查用户的角色
		if (currentUser.hasRole("admin")) {
			return "文章删除成功!";
		}
		return "尚未开通文章删除权限!";
	}

	@GetMapping("/read")
	public String readArticle(ModelMap model) {
		// 获取当前用户
		Subject currentUser = SecurityUtils.getSubject();
		// 检查用户的权限
		if (currentUser.isPermitted("article:read")) {
			return "请您鉴赏!";
		}
		return "尚未开通文章阅读权限!";
	}

}

授权测试

使用graython账号登录,不具备文章阅读权限,但可以删除文章。

 

使用plum账号登录,不具备文章删除权限,但可以阅读文章。

开启Shiro标签支持

添加依赖

		<dependency>
			<groupId>org.thymeleaf</groupId>
			<artifactId>thymeleaf-spring4</artifactId>
			<version>3.0.11.RELEASE</version>
		</dependency>
		<dependency>
			<groupId>com.github.theborakompanioni</groupId>
			<artifactId>thymeleaf-extras-shiro</artifactId>
			<version>2.0.0</version>
		</dependency>

注入Bean

	/**
	 * ShiroDialect 是为了在thymeleaf里使用shiro标签的bean
	 */
	@Bean
	public ShiroDialect shiroDialect() {
		return new ShiroDialect();
	}

Shiro标签

guest标签
  <shiro:guest>
  </shiro:guest>
  用户没有身份验证时显示相应信息,即游客访问信息。

user标签
  <shiro:user>  
  </shiro:user>
  用户已经身份验证/记住我登录后显示相应的信息。

authenticated标签
  <shiro:authenticated>  
  </shiro:authenticated>
  用户已经身份验证通过,即Subject.login登录成功,不是记住我登录的。

notAuthenticated标签
  <shiro:notAuthenticated>
  </shiro:notAuthenticated>
  用户已经身份验证通过,即没有调用Subject.login进行登录,包括记住我自动登录的也属于未进行身份验证。

principal标签
  <shiro: principal/>
  <shiro:principal property="username"/>
  相当于((User)Subject.getPrincipals()).getUsername()。

lacksPermission标签
  <shiro:lacksPermission name="org:create">
  </shiro:lacksPermission>
  如果当前Subject没有权限将显示body体内容。

hasRole标签
  <shiro:hasRole name="admin">  
  </shiro:hasRole>
  如果当前Subject有角色将显示body体内容。

hasAnyRoles标签
  <shiro:hasAnyRoles name="admin,user">
  </shiro:hasAnyRoles>
  如果当前Subject有任意一个角色(或的关系)将显示body体内容。

lacksRole标签
  <shiro:lacksRole name="abc">  
  </shiro:lacksRole>
  如果当前Subject没有角色将显示body体内容。

hasPermission标签
  <shiro:hasPermission name="user:create">  
  </shiro:hasPermission>
  如果当前Subject有权限将显示body体内容

用法示例

<!DOCTYPE HTML>
<HTML lang="zh_CN" xmlns:th="http://www.thymeleaf.org"
	xmlns:shiro="http://www.pollix.at/thymeleaf/shiro">
<head>
<meta http-equiv="Content-Type" content="text/html;charset=utf-8">
</head>
<body>
	<h3>
		<shiro:principal property="name" />,欢迎您!
	</h3>
	<p>
		<a href="/logout">退出登录</a>
	</p>
</body>
</HTML>

使用Shiro注解

注入Bean

	/**
	 * 为 Spring-Bean 开启对 Shiro 注解的支持
	 */
	@Bean
	public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager) {
		AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();
		authorizationAttributeSourceAdvisor.setSecurityManager(securityManager);
		return authorizationAttributeSourceAdvisor;
	}

	@Bean
	public DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator() {
		DefaultAdvisorAutoProxyCreator app = new DefaultAdvisorAutoProxyCreator();
		app.setProxyTargetClass(true);
		return app;

	}

Shiro注解

@RequiresAuthenthentication
表示当前Subject已经通过login进行身份验证;即 Subjec.isAuthenticated()返回 true
 
@RequiresUser
表示当前Subject已经身份验证或者通过记住我登录的,
 
@RequiresGuest
表示当前Subject没有身份验证或者通过记住我登录过,即是游客身份
 
@RequiresRoles(value = {"admin","user"},logical = Logical.AND)
表示当前Subject需要角色admin和user
 
@RequiresPermissions(value = {"user:delete","user:b"},logical = Logical.OR)
表示当前Subject需要权限user:delete或者user:b

用法示例

@RestController
@RequestMapping("/article")
public class ArticleController {

	@GetMapping("/delete")
	@RequiresRoles(value = { "admin" })
	public String deleteArticle(ModelMap model) {
		return "文章删除成功!";
	}

	@GetMapping("/read")
	@RequiresPermissions(value = { "article:read" })
	public String readArticle(ModelMap model) {
		return "请您鉴赏!";
	}

}

项目代码下载地址:https://github.com/pengjunlee/shiro-authorize.git

pengjunlee
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro授权以及注解式开发
dyt0319_的博客
03-09 596
1、shiro授权 重新自定义realm中的授权方法 @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { System.out.println("用户授权..."); String username = princ...
Shiro的快速开始
sjgllllll的博客
02-17 134
官网地址:https://shiro.apache.org/ 第一步导入依赖: <dependencies> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <version>1.4.1</version>
ShiroConfig开启Shiro的注解
滕青山博客
01-12 2836
ShiroConfig开启Shiro的注解 /** * 开启Shiro的注解, * (如@RequiresRoles,@RequiresPermissions),需借助SpringAOP扫描使用Shiro注解的类, * 并在必要时进行安全逻辑验证 * 配置以下两个bean(DefaultAdvisorAutoProxyCreator(可选) * 和AuthorizationAttributeSourceAdvisor)即可实现此功能 * * @return */ @Bean public De
Shiro的配置及使用
qq_45733154的博客
10-21 2830
Shiro,Springboot整合Shiro,Shiro实现登录拦截,Shiro实现用户认证,用户授权,Shiro整合Thymeleaf
SpringBoot(36) —— Shiro快速开始
Jzandth的博客
10-04 780
目录1.什么是Shiro2.Shiro的作用3.Shiro架构(外部)4.Shiro架构(内部)5.Hello World6.小结 1.什么是Shiro Apache Shiro 是 Java 的一个安全(权限)框架 Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在 JavaSE 环境,也可以用在 JavaEE 环境 Shiro 可以完成:认证、授权、加密、会话管理、与Web 集成、缓存等 下载地址 官网 github 直接取GitHub上下载压缩包即可 2.Shiro的作用
shiro-core-1.7.1 jar
07-12
shiro shiro-core-1.7.1 jar shiro漏洞
shiro-core-1.6.0.jar
08-20
该资源是目前最新的shiro-core核心包,暂时魏安全性较高的版本,没有发现漏洞版本。提供登录安全性的校验,该资源来自官网,仅供学习参考,请前往官网下载
shiro-core 低版本漏洞检测
01-31
shiro-core 低版本漏洞检测工具
shiro-jwt-oauth权限认证
11-11
在"shiro-jwt-oauth权限认证"项目中,两个模块分别展示了不同的认证方式: 1. **基于JWT的Token认证方式**:在这种模式下,用户登录成功后,服务器会返回一个JWT,包含了用户的身份信息以及过期时间等。客户端每次...
shiro-attack-4.7.0-SNAPSHOT-all.zip
最新发布
10-24
为了有效地利用"shiro-attack-4.7.0-SNAPSHOT-all.zip",开发者需要了解Shiro的基本工作原理,包括身份验证流程、授权策略以及会话管理机制。同时,他们应该熟悉Java序列化的安全风险,比如CVE-2015-4852等著名漏洞...
Shiro学习(1)简介
04-06 1144
1.1 简介 Apache Shiro是Java的一个安全框架。目前,使用Apache Shiro的人越来越多,因为它相当简单,对比Spring Security,可能没有Spring Security做的功能强大,但是在实际工作时可能并不需要那么复杂的东西,所以使用小而简单的Shiro就足够了。对于它俩到底哪个好,这个不必纠结,能更简单的解决项目问题就好了。 本教程只介绍基本的Shiro使用
Shiro步步为营--如何优雅地与JWT集成
pengjunlee的博客
07-12 3万+
目录 鉴权流程 项目搭建 pom.xml 配置Shiro 用户登录 LoginController.java ShiroRealm.java BaseResponse.java UserEntity.java 签发Token 再次请求 ArticleController.java JwtFilter.java JwtToken.java JwtRealm.java ...
Shiro步步为营--Springboot开启身份验证
pengjunlee的博客
07-03 1万+
项目的完整目录层次如下图所示。 项目地址:https://github.com/pengjunlee/shiro-authenticate.git 添加依赖与配置 在本工程中,Shiro使用了Ehchache作缓存,因此需要在工程POM文件中引入它们的Maven依赖。 <parent> <groupId>org.springframework.boot...
Shiro+SpringMVC 实现更安全的登录(加密匹配&登录失败超次数锁定帐号)
热门推荐
小灯光环
09-17 4万+
关于shiro实现登录中的安全加密匹配与登录失败超次数锁定账户的功能。
shiro常见的异常以及处理方法
p15097962069的博客
01-27 311
shiro常见的异常以及处理方法
shiro进行权限控制的四种方式
力挽狂澜的POWER
08-19 4万+
我们使用shiro进行权限控制 有以下几种方式 1.  URL拦截权限控制:基于filter过滤器实现 我们在spring配置文件中配置shiroFilter时配置 &lt;!--指定URL级别拦截策略  --&gt; &lt;property name="filterChainDefinitions"&gt;  &lt;value&gt; /css/ = anon /js/ = anon /im...
shiro菜鸟见解
CodeTom的博客
05-13 89
Shiro的理解 谨慎参考,出bug概不负责(本人菜鸟小白) 三部分 subject :主体(类似与对象),security Manager:安全管理器 Realm:域 shiro可以进行授权,认证和安全验证(一般用JWT),类似的东西有spring security。 主要用途就是拦截前端过来的请求(login register等除外),然后进行授权,认证等 package com.zyf.springcloud.config; import java.util.ArrayList; import ja
第二节 自定义Realm之继承AuthorizingRealm
大宇的博客,欢迎访问
05-06 1万+
一、Realm基本架构 为了快速上手,我们需要知道的是,Shiro将数据库中的数据,存放到Realm这种对象中。而Shiro提供的Realm体系较为复杂,一般我们为了使用Shiro的基本目的就是:认证、授权。 所以,一般在真实的项目中,我们不会直接实现Realm接口,也不会直接继承最底层的功能贼复杂的IniRealm。我们一般的情况就是直接继......
一起来学SpringBoot(十六)优雅的整合Shiro
fulinlin的博客
10-14 3966
Apache Shiro是一个功能强大且易于使用的Java安全框架,可执行身份验证,授权,加密和会话管理。借助Shiro易于理解的API,您可以快速轻松地保护任何应用程序 - 从最小的移动应用程序到最大的Web和企业应用程序。网上找到大部分文章都是以前SpringMVC下的整合方式,很多人都不知道shiro提供了官方的starter可以方便地跟SpringBoot整合。 请看shiro官网关于sp...
Java私塾《深入浅出学Shiro》- 权限管理实战教程
教程内容丰富,覆盖了Shiro的基础到高级应用,包括权限管理基础、Shiro入门、配置、身份认证、授权、Realms、Session管理、Shiro与Spring的集成、Web应用以及缓存等多个方面。" Apache Shiro是一个强大且易用的Java...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值