【Shiro】 二、授权验证

最新推荐文章于 2024-01-08 11:35:13 发布
最新推荐文章于 2024-01-08 11:35:13 发布
阅读量423 收藏
点赞数
分类专栏: SpringBoot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/piano_diano/article/details/109524890
版权

声明

博文的内容学习自B站UP主 编程不良人 (UID:352224540)的教程,感谢能有这么好的教程 

https://www.bilibili.com/video/BV1uz4y197Zm?p=9

 

Shiro

shiro是一个基于java的安全框架,主要提供认证与授权服务。

 

认证——概念

在shiro框架中,系统的访问者被称为 Subject (主体)

  • Subject  的用户名属于 Principal (身份信息)
  • Subject  的密码属于 Credential(凭证信息)
  • Token (令牌) =  Principal  +  Credential  +   ...

每次访问系统时,Subject  都会带着它的令牌给 Shiro 进行 Authentication (身份认证),

Shiro 会派出 SecurityManager(安全管理器) 来处理 Subject 的令牌,

SecurityManager  会到 Realm(数据域)中核实令牌的信息,如果核实通过,意味着认证成功了,则被允许进入系统

 

授权——概念

Subject(主体) 通过了认证,进入到系统之后,在访问资源(比如说增删改查的功能)之前,还需要被 Shiro 验证 Subject 是否对某些资源拥有权限,即是否 Authorization(授权)。
授权的方式有两种:

  • RBAC(Role-Based Access Control  基于角色的访问控制

这个比较好理解,就是说什么样的角色拥有什么样的权限,例如:角色是admin时,拥有增删改查的资源的权限;而角色时user时,只有查的资源的权限。

  • RBAC(Role-Based Access Control  基于资源的访问控制

这个相对于上面的角色访问控制要细分一点(除了角色的概念),就是不仅仅要讨论资源,还有讨论什么样的资源实例。比如说查的资源有多种资源实例(查xx1,查xx2....),当用户user要查xx1时,Shiro会验证他是否拥有查权限中的查xx1的权限。在Shiro,会用 权限字符串 来表达用户与权限的关系。

"user:select:*"    //拥有user的select的所有权限

"user:select:xx1"  //拥有user的select xx1的权限

 

实操

工程沿用上一章做的自定义 MD5 Realm 例子

目录结构:

Shiro
--shiro-java
----src
------main
--------java
----------com
------------xilo
--------------realm
----------------CustomerRealm.java
----------------CustomerMD5Realm.java(MD5Realm)
--------------shiro
----------------TestAuthenticator.java
----------------TestCustomerRealmAuthenticator.java
----------------TestCustomerMD5RealmAuthenticator.java(使用自定义MD5Realm的shiro)
--------resources
----------shiro.ini
----pom.xml
--pom.xml

CustomerMD5Realm.java 

package com.xilo.realm;

import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.util.ByteSource;

public class CustomerMD5Realm extends AuthorizingRealm {
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        return null;
    }

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        String principal = (String)token.getPrincipal();
        System.out.println("doGetAuthenticationInfo---用户名:"+principal);
        if("jack".equals(principal)){
            SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo("jack","923391846b52b2391ba3a3cfca311ab9", ByteSource.Util.bytes("01*1334px"),this.getName());
            return simpleAuthenticationInfo;
        }
        return null;
    }
}

 TestCustomerMD5RealmAuthenticator.java

package com.xilo.shiro;

import com.xilo.realm.CustomerMD5Realm;
import com.xilo.realm.CustomerRealm;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.IncorrectCredentialsException;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.authc.credential.HashedCredentialsMatcher;
import org.apache.shiro.mgt.DefaultSecurityManager;
import org.apache.shiro.subject.Subject;

import java.util.ArrayList;
import java.util.Arrays;

public class TestCustomerMD5RealmAuthenticator {
    public static void main(String[] args) {
        //1、创建安全管理器对象
        DefaultSecurityManager securityManager = new DefaultSecurityManager();
        //2、创建Realm
        CustomerMD5Realm realm = new CustomerMD5Realm();

        //3、设置Realm使用hash凭证匹配器
        HashedCredentialsMatcher credentialsMatcher = new HashedCredentialsMatcher();
        credentialsMatcher.setHashAlgorithmName("md5");
        //散列1024次
        credentialsMatcher.setHashIterations(1024);
        realm.setCredentialsMatcher(credentialsMatcher);

        //4、给安全管理器设置【自定义realm】
        securityManager.setRealm(realm);
        //5、给全局安全工具类设置安全管理器
        SecurityUtils.setSecurityManager(securityManager);
        //6、关键对象 Subject 主体
        Subject subject = SecurityUtils.getSubject();
        //7、创建令牌
        UsernamePasswordToken token = new UsernamePasswordToken("jack","001");

        //用户登录(进行验证)
        try{
            subject.login(token);
            System.out.println("认证状态:"+subject.isAuthenticated());
        }catch (UnknownAccountException e){
            System.out.println("用户"+token.getUsername()+"不存在");
        }catch (IncorrectCredentialsException e){
            System.out.println("用户"+token.getUsername()+"密码错误");
        }catch (Exception e){
            e.printStackTrace();
        }

    }
}

当我们在完成 Subject 身份验证之后,就要开始验证用户的授权情况了,首先谈基于角色的访问控制,我们先查一下当前 Subject 拥有那些角色

package com.xilo.shiro;

import com.xilo.realm.CustomerMD5Realm;
import com.xilo.realm.CustomerRealm;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.IncorrectCredentialsException;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.authc.credential.HashedCredentialsMatcher;
import org.apache.shiro.mgt.DefaultSecurityManager;
import org.apache.shiro.subject.Subject;

import java.util.ArrayList;
import java.util.Arrays;

public class TestCustomerMD5RealmAuthenticator {
    public static void main(String[] args) {
        //1、创建安全管理器对象
        DefaultSecurityManager securityManager = new DefaultSecurityManager();
        //2、创建Realm
        CustomerMD5Realm realm = new CustomerMD5Realm();

        //3、设置Realm使用hash凭证匹配器
        HashedCredentialsMatcher credentialsMatcher = new HashedCredentialsMatcher();
        credentialsMatcher.setHashAlgorithmName("md5");
        //散列1024次
        credentialsMatcher.setHashIterations(1024);
        realm.setCredentialsMatcher(credentialsMatcher);

        //4、给安全管理器设置【自定义realm】
        securityManager.setRealm(realm);
        //5、给全局安全工具类设置安全管理器
        SecurityUtils.setSecurityManager(securityManager);
        //6、关键对象 Subject 主体
        Subject subject = SecurityUtils.getSubject();
        //7、创建令牌
        UsernamePasswordToken token = new UsernamePasswordToken("jack","001");

        //用户登录(进行验证)
        try{
            subject.login(token);
            System.out.println("认证状态:"+subject.isAuthenticated());
        }catch (UnknownAccountException e){
            System.out.println("用户"+token.getUsername()+"不存在");
        }catch (IncorrectCredentialsException e){
            System.out.println("用户"+token.getUsername()+"密码错误");
        }catch (Exception e){
            e.printStackTrace();
        }

        //验证授权
        if(subject.isAuthenticated()){
            //查看 subject 是否有 admin 角色
            System.out.println(subject.hasRole("admin"));
            //查看 subject 是否有 user1 和 user2 角色
            System.out.println(subject.hasAllRoles(Arrays.asList("user1","user2")));
            //查看 subject 是否有 admin 或 user1 或 user2 角色
            boolean[] booleans = subject.hasRoles(Arrays.asList("admin","user1","user2"));
            for(boolean bo : booleans){
                System.out.println(bo);
            }

        }
    }
}

运行:

doGetAuthenticationInfo---用户名:jack
认证状态:true
false
false
false
false
false

什么角色都没有,因为当前 Subject 没有被授权任何角色,在上一章中我们知道当 Subject 进行认证时会进入到 Realm 中去调用 doGetAuthenticationInfo 进行身份认证相关的操作,类似的, Subject 要进行授权时,也要进入到 Realm 的 doGetAuthorizationInfo 中去进行授权认证的相关操作。下面我们可以验证一下

package com.xilo.realm;

import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.util.ByteSource;

public class CustomerMD5Realm extends AuthorizingRealm {
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        System.out.println("doGetAuthorizationInfo---"+"进行认证:"+principalCollection.getPrimaryPrincipal());
        return null;
    }

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        String principal = (String)token.getPrincipal();
        System.out.println("doGetAuthenticationInfo---用户名:"+principal);
        if("jack".equals(principal)){
            SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo("jack","923391846b52b2391ba3a3cfca311ab9", ByteSource.Util.bytes("01*1334px"),this.getName());
            return simpleAuthenticationInfo;
        }
        return null;
    }
}

运行之后,可以看到,每次进行角色验证时,都会调用到 Realm 中的 doGetAuthorizationInfo

doGetAuthenticationInfo---用户名:jack
认证状态:true
doGetAuthorizationInfo---进行认证:jack
false
doGetAuthorizationInfo---进行认证:jack
false
doGetAuthorizationInfo---进行认证:jack
doGetAuthorizationInfo---进行认证:jack
doGetAuthorizationInfo---进行认证:jack
false
false
false

接下来,我们就模拟给 Subject 赋予角色

package com.xilo.realm;

import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.util.ByteSource;

public class CustomerMD5Realm extends AuthorizingRealm {
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        System.out.println("doGetAuthorizationInfo---"+"进行认证:"+principalCollection.getPrimaryPrincipal());

        //添加角色
        SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
        simpleAuthorizationInfo.addRole("admin");
        simpleAuthorizationInfo.addRole("user1");

        return simpleAuthorizationInfo;
    }

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        String principal = (String)token.getPrincipal();
        System.out.println("doGetAuthenticationInfo---用户名:"+principal);
        if("jack".equals(principal)){
            SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo("jack","923391846b52b2391ba3a3cfca311ab9", ByteSource.Util.bytes("01*1334px"),this.getName());
            return simpleAuthenticationInfo;
        }
        return null;
    }
}

运行之后,可以查到当前 Subject 拥有 admin 和 user1的角色

doGetAuthenticationInfo---用户名:jack
认证状态:true
doGetAuthorizationInfo---进行认证:jack
true
doGetAuthorizationInfo---进行认证:jack
doGetAuthorizationInfo---进行认证:jack
false
doGetAuthorizationInfo---进行认证:jack
doGetAuthorizationInfo---进行认证:jack
doGetAuthorizationInfo---进行认证:jack
true
true
false

讲完了 基于角色的访问控制 的设置,下面来说 基于角色的访问控制 的设置,也就是以 权限字符串(资源标识符:操作:资源类型) 的形式描述权限信息

我们先在 Realm doGetAuthorizationInfo Subject 赋值权限信息

        //添加角色
        SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
        simpleAuthorizationInfo.addRole("admin");
        simpleAuthorizationInfo.addRole("user1");

        //将数据库中的查询权限信息赋值给权限对象
        simpleAuthorizationInfo.addStringPermission("user1:select:xx1");
        simpleAuthorizationInfo.addStringPermission("user1:create:xx2");
        simpleAuthorizationInfo.addStringPermission("user1:delete:*");

然后我们在 TestCustomerMD5RealmAuthenticator 查询 Subject 是否拥有该资源权限

       //基于权限字符串的访问控制(资源标识符:操作:资源类型)
       System.out.println("权限:"+subject.isPermitted("user1:select:xx1"));
       System.out.println("权限:"+subject.isPermittedAll("user1:select:xx1","user1:create:xx1"));
       booleans = subject.isPermitted("user1:select:xx1","user1:create:xx1","user1:delete:*");
       for(boolean bo : booleans){
           System.out.println(bo);
       }

运行结果:

doGetAuthenticationInfo---用户名:jack
认证状态:true
doGetAuthorizationInfo---进行认证:jack
true
doGetAuthorizationInfo---进行认证:jack
doGetAuthorizationInfo---进行认证:jack
false
doGetAuthorizationInfo---进行认证:jack
doGetAuthorizationInfo---进行认证:jack
doGetAuthorizationInfo---进行认证:jack
true
true
false
doGetAuthorizationInfo---进行认证:jack
权限:true
doGetAuthorizationInfo---进行认证:jack
doGetAuthorizationInfo---进行认证:jack
权限:false
doGetAuthorizationInfo---进行认证:jack
doGetAuthorizationInfo---进行认证:jack
doGetAuthorizationInfo---进行认证:jack
true
false
true

Process finished with exit code 0

到此为止,基于javaSE使用Shiro的流程已经结束了,虽然还没用到数据库,只是模拟的数据,但是对于Shiro的运行基本流程有了个整体清晰的认识,后面将会整合到SpringBoot去做实操。

_Peko_
关注
专栏目录
授权验证验证码工作方式
goodxgd的博客
11-10 878
/* 函    数:授权验证验证码工作方式 输出参数:0-合法,1-期限已过,2-帐号无效 算    法:1、Demo帐号只有时间限制  2、Real帐号则有双重限制 */ int lxVerifyCode()   {    if(!IsConnected()) return(0);    string  gv_PassWord=gvName+"password";    if
Asp.Net MVC验证用户登录授权
u011511086的专栏
10-17 820
/// <summary> /// 验证用户登录授权 /// </summary> public sealed class IsLoginAttribute : FilterAttribute, IAuthorizationFilter { /// <summary> /// 是否验证登录,true需要验证,false不用验证 /// </summ...
Django2.0-验证授权(4)-权限
abc666666_6的博客
11-18 753
权限 Django中内置了权限的功能。 都是针对表(模型级别)的。比如对某个模型上的数据是否可以进行增删改查操作。 不能针对数据级别的,比如对某个表中的某条数据能否进行增删改查操作(如果要实现数据级别的,考虑使用django-guardian)。 创建完一个模型后,针对这个模型默认就有三种权限,分别是增/删/改。 在执行完migrate命令后,查看数据库中的auth_permission表中的...
网络安全的基础:身份验证授权
最新发布
Hacker_gangg的博客
01-08 1528
网络安全的基础:身份验证授权
授权认证 什么是令牌_授权和认证实际上是什么意思?
weixin_26722031的博客
08-30 2310
授权认证 什么是令牌Perhaps you are not comfortable or don’t know much about either of these two terms other than they start with the same four letters “auth”. Well, were you aware that the prefix “auth” is act...
shiro实现授权登陆验证
12-18
Apache Shiro是一个强大的Java安全框架,它为应用程序提供了身份验证Authentication)、授权(Authorization)以及会话管理(Session Management)等功能。在这个项目中,我们将会深入理解如何利用Shiro来实现登录...
Shiro 身份验证授权、密码和会话管理
05-07
Apache Shiro 是一个强大且易用的 Java 安全框架,它提供了身份验证授权、密码管理和会话管理等功能,简化了在 Java 应用程序中处理安全性的问题。Shiro 的设计目标是使开发者能够专注于应用程序的安全逻辑,而...
shiro授权的实现原理
08-29
Shiro 授权基于角色的访问控制,可以通过 ini 配置文件配置用户拥有的角色,然后通过 Realm 中返回角色信息来验证用户是否有相应的角色。Shiro 提供了相应的接口来方便验证,但不负责维护用户-角色信息,需要应用...
Shiro登录授权认证功能
09-26
Apache Shiro 是一个强大且易用的 Java 安全框架,它提供了身份验证Authentication)、授权(Authorization)和会话管理(Session Management)等功能,简化了应用安全的开发。在这个项目中,我们主要关注的是...
shiro身份验证授权
04-22
它涵盖了身份验证Authentication)、授权(Authorization)、密码策略(Cryptography)以及会话管理(Session Management)等多个核心安全领域,使得开发者可以轻松地在Java应用中实现安全控制。 **身份验证...
shiro使用方法
04-04
shiro使用方法shiro使用方法shiro使用方法shiro使用方法
org.apache.shiro.authc.SimpleAuthenticationInfo cannot be cast to org.apache.shiro.authz.Authorizati
weixin_44967580的博客
05-13 1424
项目场景: SpringBoot集成shiro-redis遇到的报错: org.apache.shiro.authc.SimpleAuthenticationInfo cannot be cast to org.apache.shiro.authz.AuthorizationInfo 类型转换异常 原因分析: 字面意思已经很明白了,就是认证的类和授权的类发生了相互转换,所以报错,那为什么会发生认证和授权发生相互转换呢? 解决方案: 提示:这里填写该问题的具体解决方案: 例如:新建一个 Message 对象,
Shiro中认证的关键对象
qq_38056518的博客
07-14 299
Shiro中认证的关键对象 Subject:主体 访问系统用户,主体可以是用户、程序,进行认证的都称为主体 Principal:身份信息 是主体(Subject)进行身份认证的标识,标识必须具有唯一性,如用户名、手机号、邮箱地址等,一个主体可以有多个身份,但必须有一个主身份(Primary PrinciPal) credential:凭证信息 是只有主体自己知道的安全信息,如密码、证书等。 SimpleAuthorizationInfo -> AuthorizationInfo ->
Shiro整合Redis出现异常 org.apache.shiro.authc.SimpleAuthenticationInfo cannot be cast to org.apache.shiro
qq_45593903的博客
03-20 5457
这个问题也是折磨了我半天:// 注意本文中绿色字体和红色字体的区别 分析情况:在Shiro底层进行调用的过程中,身份验证授权验证 都会尝试从缓存中取出数据。 使用debug进行调试:发现身份验证授权验证 都会调用自定义Cache的get和put方法,并且两种验证过程传给自定义Cache的get和put方法的参数key是相同的。 底层第一步: 登陆: 登陆时首先会调用 getAuthenticationCacheKey(AuthenticationT...
ShiroSimpleAuthenticationInfo使用(*)
weixin_42408447的博客
12-21 5251
SimpleAuthenticationInfo这里原理很简单,又有一些值得挖掘的东西。 //此处使用的是user对象,不是username SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo( user, user.getPassword(), getName() )
我的手摸着你的手来搞懂什么是授权与认证
qq_44005305的博客
02-14 1482
用户认证,就是验证此用户的身份。解决的是‘我是谁’的问题。就是从用户请求信息中获取用户信息的过程,认证是一个过程。举个栗子🌰:当你在登录时,输入用户名密码,系统判断你的用户名与密码是否在已有的用户内并给出结果反馈,这个过程就是用户认证。用户名+密码登录,手机、邮箱验证码,第三方登录等都属于用户认证的一种。凭证实现认证和授权的前提是需要一种**媒介(证书)**来标记访问者的身份,这个媒介(证书)就是凭证。
浅谈关于shiro——SimpleAuthenticationInfo中的参数
热门推荐
李公子的博客
09-20 1万+
/** * 执行认证逻辑 */ @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken arg0) throws AuthenticationException { System.out.println("执行认证逻辑"); ...
Shiro安全框架入门篇(登录验证实例详解与源码)
weixin_30838873的博客
02-03 4001
一、Shiro框架简单介绍 Apache ShiroJava的一个安全框架,旨在简化身份验证授权ShiroJavaSE和JavaEE项目中都可以使用。它主要用来处理身份认证,授权,企业会话管理和加密等。Shiro的具体功能点如下: (1)身份认证/登录,验证用户是不是拥有相应的身份; (2)授权,即权限验证验证某个已认证的用户是否拥有某个权限;即判断用户是否能做...
Shiro教程详解:身份验证授权与Web集成
Shiro教程PDF版是一份详尽的指南,旨在帮助读者深入了解Apache Shiro,一个强大的安全框架,用于实现Web应用中的身份验证授权和会话管理等功能。该教程分为多个章节,内容涵盖以下几个关键部分: 1. **第一章:...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值