【Shiro】 二、授权验证

最新推荐文章于 2024-01-08 11:35:13 发布
最新推荐文章于 2024-01-08 11:35:13 发布
阅读量429 收藏
点赞数
分类专栏: SpringBoot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/piano_diano/article/details/109524890
版权

声明

博文的内容学习自B站UP主 编程不良人 (UID:352224540)的教程,感谢能有这么好的教程 

https://www.bilibili.com/video/BV1uz4y197Zm?p=9

 

Shiro

shiro是一个基于java的安全框架,主要提供认证与授权服务。

 

认证——概念

在shiro框架中,系统的访问者被称为 Subject (主体)

  • Subject  的用户名属于 Principal (身份信息)
  • Subject  的密码属于 Credential(凭证信息)
  • Token (令牌) =  Principal  +  Credential  +   ...

每次访问系统时,Subject  都会带着它的令牌给 Shiro 进行 Authentication (身份认证),

Shiro 会派出 SecurityManager(安全管理器) 来处理 Subject 的令牌,

SecurityManager  会到 Realm(数据域)中核实令牌的信息,如果核实通过,意味着认证成功了,则被允许进入系统

 

授权——概念

Subject(主体) 通过了认证,进入到系统之后,在访问资源(比如说增删改查的功能)之前,还需要被 Shiro 验证 Subject 是否对某些资源拥有权限,即是否 Authorization(授权)。
授权的方式有两种:

  • RBAC(Role-Based Access Control  基于角色的访问控制

这个比较好理解,就是说什么样的角色拥有什么样的权限,例如:角色是admin时,拥有增删改查的资源的权限;而角色时user时,只有查的资源的权限。

  • RBAC(Role-Based Access Control  基于资源的访问控制

这个相对于上面的角色访问控制要细分一点(除了角色的概念),就是不仅仅要讨论资源,还有讨论什么样的资源实例。比如说查的资源有多种资源实例(查xx1,查xx2....),当用户user要查xx1时,Shiro会验证他是否拥有查权限中的查xx1的权限。在Shiro,会用 权限字符串 来表达用户与权限的关系。

"user:select:*"    //拥有user的select的所有权限

"user:select:xx1"  //拥有user的select xx1的权限

 

实操

工程沿用上一章做的自定义 MD5 Realm 例子

目录结构:

Shiro
--shiro-java
----src
------main
--------java
----------com
------------xilo
--------------realm
----------------CustomerRealm.java
----------------CustomerMD5Realm.java(MD5Realm)
--------------shiro
----------------TestAuthenticator.java
----------------TestCustomerRealmAuthenticator.java
----------------TestCustomerMD5RealmAuthenticator.java(使用自定义MD5Realm的shiro)
--------resources
----------shiro.ini
----pom.xml
--pom.xml

CustomerMD5Realm.java 

package com.xilo.realm;

import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.util.ByteSource;

public class CustomerMD5Realm extends AuthorizingRealm {
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        return null;
    }

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        String principal = (String)token.getPrincipal();
        System.out.println("doGetAuthenticationInfo---用户名:"+principal);
        if("jack".equals(principal)){
            SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo("jack","923391846b52b2391ba3a3cfca311ab9", ByteSource.Util.bytes("01*1334px"),this.getName());
            return simpleAuthenticationInfo;
        }
        return null;
    }
}

 TestCustomerMD5RealmAuthenticator.java

package com.xilo.shiro;

import com.xilo.realm.CustomerMD5Realm;
import com.xilo.realm.CustomerRealm;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.IncorrectCredentialsException;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.authc.credential.HashedCredentialsMatcher;
import org.apache.shiro.mgt.DefaultSecurityManager;
import org.apache.shiro.subject.Subject;

import java.util.ArrayList;
import java.util.Arrays;

public class TestCustomerMD5RealmAuthenticator {
    public static void main(String[] args) {
        //1、创建安全管理器对象
        DefaultSecurityManager securityManager = new DefaultSecurityManager();
        //2、创建Realm
        CustomerMD5Realm realm = new CustomerMD5Realm();

        //3、设置Realm使用hash凭证匹配器
        HashedCredentialsMatcher credentialsMatcher = new HashedCredentialsMatcher();
        credentialsMatcher.setHashAlgorithmName("md5");
        //散列1024次
        credentialsMatcher.setHashIterations(1024);
        realm.setCredentialsMatcher(credentialsMatcher);

        //4、给安全管理器设置【自定义realm】
        securityManager.setRealm(realm);
        //5、给全局安全工具类设置安全管理器
        SecurityUtils.setSecurityManager(securityManager);
        //6、关键对象 Subject 主体
        Subject subject = SecurityUtils.getSubject();
        //7、创建令牌
        UsernamePasswordToken token = new UsernamePasswordToken("jack","001");

        //用户登录(进行验证)
        try{
            subject.login(token);
            System.out.println("认证状态:"+subject.isAuthenticated());
        }catch (UnknownAccountException e){
            System.out.println("用户"+token.getUsername()+"不存在");
        }catch (IncorrectCredentialsException e){
            System.out.println("用户"+token.getUsername()+"密码错误");
        }catch (Exception e){
            e.printStackTrace();
        }

    }
}

当我们在完成 Subject 身份验证之后,就要开始验证用户的授权情况了,首先谈基于角色的访问控制,我们先查一下当前 Subject 拥有那些角色

package com.xilo.shiro;

import com.xilo.realm.CustomerMD5Realm;
import com.xilo.realm.CustomerRealm;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.IncorrectCredentialsException;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.authc.credential.HashedCredentialsMatcher;
import org.apache.shiro.mgt.DefaultSecurityManager;
import org.apache.shiro.subject.Subject;

import java.util.ArrayList;
import java.util.Arrays;

public class TestCustomerMD5RealmAuthenticator {
    public static void main(String[] args) {
        //1、创建安全管理器对象
        DefaultSecurityManager securityManager = new DefaultSecurityManager();
        //2、创建Realm
        CustomerMD5Realm realm = new CustomerMD5Realm();

        //3、设置Realm使用hash凭证匹配器
        HashedCredentialsMatcher credentialsMatcher = new HashedCredentialsMatcher();
        credentialsMatcher.setHashAlgorithmName("md5");
        //散列1024次
        credentialsMatcher.setHashIterations(1024);
        realm.setCredentialsMatcher(credentialsMatcher);

        //4、给安全管理器设置【自定义realm】
        securityManager.setRealm(realm);
        //5、给全局安全工具类设置安全管理器
        SecurityUtils.setSecurityManager(securityManager);
        //6、关键对象 Subject 主体
        Subject subject = SecurityUtils.getSubject();
        //7、创建令牌
        UsernamePasswordToken token = new UsernamePasswordToken("jack","001");

        //用户登录(进行验证)
        try{
            subject.login(token);
            System.out.println("认证状态:"+subject.isAuthenticated());
        }catch (UnknownAccountException e){
            System.out.println("用户"+token.getUsername()+"不存在");
        }catch (IncorrectCredentialsException e){
            System.out.println("用户"+token.getUsername()+"密码错误");
        }catch (Exception e){
            e.printStackTrace();
        }

        //验证授权
        if(subject.isAuthenticated()){
            //查看 subject 是否有 admin 角色
            System.out.println(subject.hasRole("admin"));
            //查看 subject 是否有 user1 和 user2 角色
            System.out.println(subject.hasAllRoles(Arrays.asList("user1","user2")));
            //查看 subject 是否有 admin 或 user1 或 user2 角色
            boolean[] booleans = subject.hasRoles(Arrays.asList("admin","user1","user2"));
            for(boolean bo : booleans){
                System.out.println(bo);
            }

        }
    }
}

运行:

doGetAuthenticationInfo---用户名:jack
认证状态:true
false
false
false
false
false

什么角色都没有,因为当前 Subject 没有被授权任何角色,在上一章中我们知道当 Subject 进行认证时会进入到 Realm 中去调用 doGetAuthenticationInfo 进行身份认证相关的操作,类似的, Subject 要进行授权时,也要进入到 Realm 的 doGetAuthorizationInfo 中去进行授权认证的相关操作。下面我们可以验证一下

package com.xilo.realm;

import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.util.ByteSource;

public class CustomerMD5Realm extends AuthorizingRealm {
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        System.out.println("doGetAuthorizationInfo---"+"进行认证:"+principalCollection.getPrimaryPrincipal());
        return null;
    }

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        String principal = (String)token.getPrincipal();
        System.out.println("doGetAuthenticationInfo---用户名:"+principal);
        if("jack".equals(principal)){
            SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo("jack","923391846b52b2391ba3a3cfca311ab9", ByteSource.Util.bytes("01*1334px"),this.getName());
            return simpleAuthenticationInfo;
        }
        return null;
    }
}

运行之后,可以看到,每次进行角色验证时,都会调用到 Realm 中的 doGetAuthorizationInfo

doGetAuthenticationInfo---用户名:jack
认证状态:true
doGetAuthorizationInfo---进行认证:jack
false
doGetAuthorizationInfo---进行认证:jack
false
doGetAuthorizationInfo---进行认证:jack
doGetAuthorizationInfo---进行认证:jack
doGetAuthorizationInfo---进行认证:jack
false
false
false

接下来,我们就模拟给 Subject 赋予角色

package com.xilo.realm;

import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.util.ByteSource;

public class CustomerMD5Realm extends AuthorizingRealm {
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        System.out.println("doGetAuthorizationInfo---"+"进行认证:"+principalCollection.getPrimaryPrincipal());

        //添加角色
        SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
        simpleAuthorizationInfo.addRole("admin");
        simpleAuthorizationInfo.addRole("user1");

        return simpleAuthorizationInfo;
    }

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        String principal = (String)token.getPrincipal();
        System.out.println("doGetAuthenticationInfo---用户名:"+principal);
        if("jack".equals(principal)){
            SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo("jack","923391846b52b2391ba3a3cfca311ab9", ByteSource.Util.bytes("01*1334px"),this.getName());
            return simpleAuthenticationInfo;
        }
        return null;
    }
}

运行之后,可以查到当前 Subject 拥有 admin 和 user1的角色

doGetAuthenticationInfo---用户名:jack
认证状态:true
doGetAuthorizationInfo---进行认证:jack
true
doGetAuthorizationInfo---进行认证:jack
doGetAuthorizationInfo---进行认证:jack
false
doGetAuthorizationInfo---进行认证:jack
doGetAuthorizationInfo---进行认证:jack
doGetAuthorizationInfo---进行认证:jack
true
true
false

讲完了 基于角色的访问控制 的设置,下面来说 基于角色的访问控制 的设置,也就是以 权限字符串(资源标识符:操作:资源类型) 的形式描述权限信息

我们先在 Realm doGetAuthorizationInfo Subject 赋值权限信息

        //添加角色
        SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
        simpleAuthorizationInfo.addRole("admin");
        simpleAuthorizationInfo.addRole("user1");

        //将数据库中的查询权限信息赋值给权限对象
        simpleAuthorizationInfo.addStringPermission("user1:select:xx1");
        simpleAuthorizationInfo.addStringPermission("user1:create:xx2");
        simpleAuthorizationInfo.addStringPermission("user1:delete:*");

然后我们在 TestCustomerMD5RealmAuthenticator 查询 Subject 是否拥有该资源权限

       //基于权限字符串的访问控制(资源标识符:操作:资源类型)
       System.out.println("权限:"+subject.isPermitted("user1:select:xx1"));
       System.out.println("权限:"+subject.isPermittedAll("user1:select:xx1","user1:create:xx1"));
       booleans = subject.isPermitted("user1:select:xx1","user1:create:xx1","user1:delete:*");
       for(boolean bo : booleans){
           System.out.println(bo);
       }

运行结果:

doGetAuthenticationInfo---用户名:jack
认证状态:true
doGetAuthorizationInfo---进行认证:jack
true
doGetAuthorizationInfo---进行认证:jack
doGetAuthorizationInfo---进行认证:jack
false
doGetAuthorizationInfo---进行认证:jack
doGetAuthorizationInfo---进行认证:jack
doGetAuthorizationInfo---进行认证:jack
true
true
false
doGetAuthorizationInfo---进行认证:jack
权限:true
doGetAuthorizationInfo---进行认证:jack
doGetAuthorizationInfo---进行认证:jack
权限:false
doGetAuthorizationInfo---进行认证:jack
doGetAuthorizationInfo---进行认证:jack
doGetAuthorizationInfo---进行认证:jack
true
false
true

Process finished with exit code 0

到此为止,基于javaSE使用Shiro的流程已经结束了,虽然还没用到数据库,只是模拟的数据,但是对于Shiro的运行基本流程有了个整体清晰的认识,后面将会整合到SpringBoot去做实操。

_Peko_
关注
专栏目录
shiro实现授权登陆验证
12-18
Apache Shiro是一个强大的Java安全框架,它为应用程序提供了身份验证Authentication)、授权(Authorization)以及会话管理(Session Management)等功能。在这个项目中,我们将会深入理解如何利用Shiro来实现登录...
org.apache.shiro.authc.SimpleAuthenticationInfo cannot be cast to org.apache.shiro.authz.Authorizati
weixin_44967580的博客
05-13 1438
项目场景: SpringBoot集成shiro-redis遇到的报错: org.apache.shiro.authc.SimpleAuthenticationInfo cannot be cast to org.apache.shiro.authz.AuthorizationInfo 类型转换异常 原因分析: 字面意思已经很明白了,就是认证的类和授权的类发生了相互转换,所以报错,那为什么会发生认证和授权发生相互转换呢? 解决方案: 提示:这里填写该问题的具体解决方案: 例如:新建一个 Message 对象,
Shiro整合Redis出现异常 org.apache.shiro.authc.SimpleAuthenticationInfo cannot be cast to org.apache.shiro
qq_45593903的博客
03-20 5483
这个问题也是折磨了我半天:// 注意本文中绿色字体和红色字体的区别 分析情况:在Shiro底层进行调用的过程中,身份验证授权验证 都会尝试从缓存中取出数据。 使用debug进行调试:发现身份验证授权验证 都会调用自定义Cache的get和put方法,并且两种验证过程传给自定义Cache的get和put方法的参数key是相同的。 底层第一步: 登陆: 登陆时首先会调用 getAuthenticationCacheKey(AuthenticationT...
Shiro中认证的关键对象
qq_38056518的博客
07-14 308
Shiro中认证的关键对象 Subject:主体 访问系统用户,主体可以是用户、程序,进行认证的都称为主体 Principal:身份信息 是主体(Subject)进行身份认证的标识,标识必须具有唯一性,如用户名、手机号、邮箱地址等,一个主体可以有多个身份,但必须有一个主身份(Primary PrinciPal) credential:凭证信息 是只有主体自己知道的安全信息,如密码、证书等。 SimpleAuthorizationInfo -> AuthorizationInfo ->
java用户的授权验证_Java环境下shiro的测试-认证与授权
weixin_31081677的博客
02-27 539
Java环境下shiro的测试1.导入依赖的核心jar包org.apache.shiroshiro-core1.3.22.认证程序2.1 构建users配置文件 xxx.ini doGetAuthenticationInfo方法从该配置文件中获取数据与token中比对[users]test=123456lisi=123456测试程序public class TestShiro {public st...
Apache Shiro ⒊ (Subject) 的认证和授权流程详述
O_o
07-05 436
详述 Apache Shiro 认证和授权流程, 以及 Subject 的管理.
shiro授权的实现原理
08-29
Shiro 授权基于角色的访问控制,可以通过 ini 配置文件配置用户拥有的角色,然后通过 Realm 中返回角色信息来验证用户是否有相应的角色。Shiro 提供了相应的接口来方便验证,但不负责维护用户-角色信息,需要应用...
shiro身份验证授权
04-22
它涵盖了身份验证Authentication)、授权(Authorization)、密码策略(Cryptography)以及会话管理(Session Management)等多个核心安全领域,使得开发者可以轻松地在Java应用中实现安全控制。 **身份验证...
Shiro登录授权认证功能
09-26
Apache Shiro 是一个强大且易用的 Java 安全框架,它提供了身份验证Authentication)、授权(Authorization)和会话管理(Session Management)等功能,简化了应用安全的开发。在这个项目中,我们主要关注的是...
shiro使用方法
04-04
shiro使用方法shiro使用方法shiro使用方法shiro使用方法
shiro realm何时调用
weixin_43703769的博客
08-11 831
shiro realm何时调用 1.shiro 中的AuthorizingRealm有2个方法doGetAuthorizationInfo()和doGetAuthenticationInfo() 2.都继承AuthorizingRealm类然后重写doGetAuthorizationInfo和doGetAuthenticationInfo。 3.doGetAuthenticationInfo这个方法是在用户登录的时候调用的也就是执行SecurityUtils.getSubject().login()的时候调
ShiroSimpleAuthenticationInfo使用(*)
weixin_42408447的博客
12-21 5282
SimpleAuthenticationInfo这里原理很简单,又有一些值得挖掘的东西。 //此处使用的是user对象,不是username SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo( user, user.getPassword(), getName() )
Java-SpringBoot:用户认证(Authentication)和用户授权(Authorization)
AL ZN的博客
05-07 8937
Java安全框架Spring Security、shiro,完成的工作是用户认证(Authentication)和用户授权(Authorization)。用户验证验证用户是否为系统的合法主体;用户授权验证某个用户是否有权限执行某个操作
SimpleAuthenticationInfo的参数
热门推荐
weixin_42195162的博客
04-18 2万+
SimpleAuthenticationInfo的参数 仅供个人参考,以及学习记录。 SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo( userInfo, //用户名–此处传的是用户对象 userInfo.getPassword(), //密码—从数据库中获取的密码 salt, getName()...
OAuth授权验证说明
weixin_34368949的博客
01-09 214
OAuth授权验证说明 1.1. OAuth介绍 OAuth (开放授权) 是一个开放标准,允许用户授权第三方网站访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方网站或分享他们数据的所有内容。为了保护凡客用户的数据,所有第三方应用都需要通过OAuth认证机制来获得用户的授权。本文档提供了凡客开放平台OAuth认证的相关信息。 凡客开放平台AP...
我的手摸着你的手来搞懂什么是授权与认证
qq_44005305的博客
02-14 1503
用户认证,就是验证此用户的身份。解决的是‘我是谁’的问题。就是从用户请求信息中获取用户信息的过程,认证是一个过程。举个栗子🌰:当你在登录时,输入用户名密码,系统判断你的用户名与密码是否在已有的用户内并给出结果反馈,这个过程就是用户认证。用户名+密码登录,手机、邮箱验证码,第三方登录等都属于用户认证的一种。凭证实现认证和授权的前提是需要一种**媒介(证书)**来标记访问者的身份,这个媒介(证书)就是凭证。
网络安全的基础:身份验证授权
最新发布
Hacker_gangg的博客
01-08 1630
网络安全的基础:身份验证授权
Shiro教程详解:身份验证授权与Web集成
Shiro教程PDF版是一份详尽的指南,旨在帮助读者深入了解Apache Shiro,一个强大的安全框架,用于实现Web应用中的身份验证授权和会话管理等功能。该教程分为多个章节,内容涵盖以下几个关键部分: 1. **第一章:...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值