shiro的授权及自定义Realm实现授权

最新推荐文章于 2023-05-19 00:57:05 发布
最新推荐文章于 2023-05-19 00:57:05 发布
阅读量711 收藏 2
点赞数
分类专栏: java基础 java shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_25432245/article/details/85242007
版权
java 同时被 3 个专栏收录
49 篇文章 0 订阅
订阅专栏
java基础
41 篇文章 0 订阅
订阅专栏
shiro
5 篇文章 0 订阅
订阅专栏
  1. 授权:给身份认证通过的人,授予他可以访问某些资源的权限。

  2. 权限粒度:分为粗粒度和细粒度。粗粒度:对user的crud。也就是对表的操作。细粒度:是对记录的操作。如:只允许查询id为1的user的工资。Shiro一般管理的时粗粒度的权限。比如:菜单、按钮、url。一般细粒度的权限是通过业务来控制的。

     3. 权限表示规则:资源:操作:实例。可以用通配符表示。

                   如: user:add 表示对user有添加的权限,user:* 表示对user具有所有操作的权限

                         User:delete:100,表示对user标识100的记录有删除的权限。

    4,shiro中的权限流程:

                     

      5,测试:

                        shiro.ini 配置:        

[users]
reyco=123456,role1
sihaihou=123456,role2

[roles]
role1=user:add,user:update
role2=user:*

                    test:

public static void main(String[] args) {
		Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini");
		SecurityManager securityManager = factory.getInstance();
		SecurityUtils.setSecurityManager(securityManager);
		Subject subject = SecurityUtils.getSubject();
		UsernamePasswordToken token = new UsernamePasswordToken("reyco", "123456");
		try {
			subject.login(token);
			if (subject.isAuthenticated())
				System.out.println("验证成功");
		} catch (UnknownAccountException e) {
			e.printStackTrace();
			System.out.println("用户或密码错误");
		}catch (IncorrectCredentialsException e) {
			e.printStackTrace();
			System.out.println("用户或密码错误");
		}
		//判断拥有角色:role1
		boolean flag = subject.hasRole("role1");
		System.out.println(flag);
		//可以通过checkRole来检测是否具有某个角色,如果不具有则抛出异常UnauthorizedException
		//subject.checkRole("role2");
		//也可以同时检测多个角色
		//subject.checkRoles("role1","role2");
		//基于授权的资源
		flag = subject.isPermitted("user:add");
		System.out.println("isPermitted="+flag);
		flag = subject.isPermittedAll("user:add","user:delete");
		System.out.println("isPermitted="+flag);
		//通过checkPermission监测认证用户是否具有某个权限,如果没有则抛出异常UnauthorizedException
		subject.checkPermission("user:add");
	}

6,shiro中的权限检查方式有3种:

                   1),编程式:

                             

If(subject.hasRole("管理员")){
    //操作某个资源
}

                   2),注解式:在执行指定的方法时 会检测是否具有该权限

                     

@RequiresRoles("管理员")
public void list(){
    //查询数据
}

                   3),标签式:

<shiro:hasPermission name=”user:add”>
    <a>添加</a>
</shiro:hasPermission>

7,授权流程:

         

a),获取Subject实例

b),判断主体是否通过认证

c),调用subject.isPermitted*/hasRole*来进行权限的判断

   I,Subject是由其实现类DelegatingSubject来调用方法的,该类将处理交给了SecurityManager

  II,SecurityManager是接口提供DefaultSecurityManager来完成相关的功能,该类的isPermitted来处理,其本质父类AuthorizingSecurityManager来处理的。该类将处理交给了authorizer(授权器)

  III,Authorizer由其实现类ModularRealmAuthorizer来处理类可以调用对应的Realm来获取数据,在该类PermissionRessolver对权限字符串进行解析,在对应的Realm中也有对应的PermissionReaolver交给WildcaredPermissionResolver,该类调用WildcaredPermission来进行权限字符串的解析。

iV:返回处理结果。

 

8,自定义Realm实现授权

          1),仅仅通过配置文件来指定权限不过灵活,而且不方便。在实际应用中大多数情况下都是讲用户信息,角色信息,授权信息保存到数据库中。所以需要从数据库中获取相关的数据信息。可以使用shiro提供的jdbcRealm来实现,也可以自定义realm来实现。使用jdbcRealm往往也不够灵活。所以在实际应用大多数情况下都是自定义realm来实现。

          2),自定义Realm需要继承AuthorizingRealm:

             代码:UserRealm.java                  

/**
 * 自定义realm
 * @author reyco
 */
public class UserRealm extends AuthorizingRealm{
	@Override
	public String getName() {
		return "UserRrealm";
	}
	/**
	 * 完成身份认证(从数据库取数据),并且返回认证信息
	 * 如果身份认证失败返回null
	 */
	@Override
	protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
		//获取用户输入的用户名
		String username = (String)token.getPrincipal();
		System.out.println("username111111="+username);
		//获取密码
		String password = "123456";//假如从数据库中获取密码为123456
		//返回认证信息   
		SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo(username,password,this.getName());
		return simpleAuthenticationInfo;
	}
	/**
	 * 授权的信息
	 */
	@Override
	protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection token) {
		Object username = token.getPrimaryPrincipal();
		System.out.println("授权------username="+username);
		//根据用户信息到数据库查询该用户对应的权限信息  ---- 模拟
		List<String> permission = new ArrayList<String>();
		permission.add("user:add");
		permission.add("user:delete");
		permission.add("user:update");
		permission.add("user:find");
		SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
		for (String string : permission) {
			simpleAuthorizationInfo.addStringPermission(string);
		}
		return simpleAuthorizationInfo;
	}
}

           shiro.ini配置信息                     

[main]
userRealm=com.shiro.reyco.core.realm.UserRealm
securityManager.realm=$userRealm

[users]
reyco=123456
sihaihou=123456

       测试:

public static void main(String[] args) {
		Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini");
		SecurityManager securityManager = factory.getInstance();
		SecurityUtils.setSecurityManager(securityManager);
		Subject subject = SecurityUtils.getSubject();
		UsernamePasswordToken token = new UsernamePasswordToken("reyco", "123456");
		try {
			subject.login(token);
			if (subject.isAuthenticated())
				System.out.println("验证成功");
		} catch (UnknownAccountException e) {
			e.printStackTrace();
			System.out.println("用户或密码错误");
		}catch (IncorrectCredentialsException e) {
			e.printStackTrace();
			System.out.println("用户或密码错误");
		}
		boolean flag = subject.isPermittedAll("user:add","user:update","user:delete");
		System.out.println("isPermittedAll="+flag);
	}

 

 

 

java的艺术
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
浅谈关于shiro——SimpleAuthenticationInfo中的参数
李公子的博客
09-20 1万+
/** * 执行认证逻辑 */ @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken arg0) throws AuthenticationException { System.out.println("执行认证逻辑"); ...
springboot整合shiro入门,实现认证和授权功能(非常详细)
最新发布
沐雨橙风ιε的博客
07-02 5530
定义过滤器AuthorizationFilter实现鉴权功能。/*** 鉴权过滤器*/@WebFilter@Override= null &&!// 构建返回对象JsonResult<Void> jsonResult= JsonResult.error(ResponseCode.UNAUTHORIZED, "正在访问未授权的资源");return;
Shiro】用户名密码或手机号短信登录(多realm认证)
张育嘉的博客
09-13 1万+
在登录认证中,经常需要实现用户名密码和手机号验证码这两种登录方式。 最近学了Shiro,所以在这里记录下。 用户名密码使用的令牌自然是UsernamePasswordToken,我们可以继承UsernamePasswordToken,再添加上手机号属性,在不同的控制器中传入Token,然后由Realm判断当前的Token属于UsernamePasswordToken还是UsernamePa...
Spring Boot(十二):Shiro登录认证和权限管理
qq_25432245的博客
10-30 1201
前言 这篇文章来学习如何使用 Spring Boot 集成 Apache Shiro 。安全应该是互联网公司的一道生命线,几乎任何的公司都会涉及到这方面的需求。在 Java 领域一般有 Spring Security、 Apache Shiro 等安全框架,但是由于 Spring Security 过于庞大和复杂,并且依赖spring环境;而Apache Shiro就相对独立,最主要是因为shi...
shiro框架多realm登录认证配置
秋雨 De Blog
11-03 1320
我们做shiro框架经常会遇到这种情况,用户数量很多,又不在同一个表里,比如管理员一个表,用户一个表,商家一个表。这时我们就需要用到多realm来配置让他们用不同得realm来进行登录
shiro权限
天地无名
09-30 665
一、权限框架介绍 1.什么说权限框架? 权限说简单点就是我们字面理解的意思,项目中,例如普通用户和超级管理园 权限管理包括用户身份认证和授权两部分,简称认证授权。对于需要访问控制的资源用户首先经过身份认证,认证通过后用户具有该资源的访问权限方可访问。 1.1 用户身份认证 身份认证,就是判断一个用户是否为合法用户的处理过程。最常用的简单身份认证方式是系统通过核对用户输入的用户名和口令,看其是否与系统中存储的该用户的用户名和口令一致,来判断用户身份是否正确。对于采用指纹等系统,则出示指纹;对于硬件K
Spring配置shiro时自定义Realm中属性无法使用注解注入的解决办法
08-26
在Spring集成Shiro进行安全控制时,我们常常需要自定义Realm实现权限验证与授权功能。然而,在实际操作中,可能会遇到一个问题:当我们在自定义Realm类中使用注解(@Autowired)尝试注入Spring管理的Bean时,这些...
shiro权限框架自定义Realm示例
09-10
在默认情况下,Shiro提供了一些预定义Realm实现,如JDBCRealm、AuthorizingRealm等,但这些可能无法满足所有应用场景,因此我们需要自定义Realm来适配特定的数据存储结构和验证逻辑。 1. ** Realm的基本结构**:...
shiro web中自定义Realm
02-01
定义Realm需要继承Shiro的`AuthorizingRealm`类,因为我们需要实现认证和授权功能。`AuthorizingRealm`已经为我们提供了一些基本的骨架方法,如`doGetAuthenticationInfo`用于认证,`doGetAuthorizationInfo`用于...
Springboot shiro认证授权实现原理及实例
08-19
Springboot shiro 认证授权实现原理及实例 作为一款流行的 Java 框架,Spring Boot 提供了许多插件来支持开发过程,而 Shiro 则是一个功能强大的身份验证和授权框架。下面,我们将详细介绍 Spring Boot 中如何使用 ...
用于测试shiro中自定义Realm的测试代码
04-05
2. 自定义Realm类:扩展了Shiro的`AuthenticatingRealm`或`AuthorizingRealm`,实现认证和授权逻辑。 3. 测试类:使用JUnit或其他测试框架编写,用来验证自定义Realm的正确性,包括模拟用户登录、角色和权限的检查等...
Shiro入门(五)Shiro定义Realm和加密算法
jwang的博客
05-11 2142
前言 本章讲解shiro定义realm和它的加密算法 方法 1.概念 通过前面的讲解,我已经带入了自定义Realm的相关概念。那么为什么要自定义realm呢?显而易见,我们在数据库中创建的users表和它的字段受限于shiro自己的jdbcRealm,所以通常情况下我们需要使用自己的表,跟着必须使用自定义realm。 再者,在用户表中,密码字段的值是一个敏感的存在。我们需...
shiroConfig和UserRealm的写法
wuyiCguanxi的博客
10-07 385
shiroConfig的写法
Shiro权限管理之自定义Realm
你今天真好看呀
04-04 1555
文章目录1. SpringBoot集成shiro快速入门1. shiro 用户认证2. shiro用户授权2. SpringBoot 使用IniRealm进行认证授权3. Spring Boot 使用 JdbcRealm 进行认证授权1. 数据库驱动2. 数据库表结构3. 创建 testJdbcRealm方法4. 更改数据库表名4. Spring Boot 使用自定义 Realm 进行认证授权5. SpringBoot整合shiro之盐值加密认证详解 1. SpringBoot集成shiro快速入门 导入s
Shiro学习笔记(2)——身份验证之Realm
热门推荐
君君的专栏
05-27 1万+
环境准备 什么是Realm 为什么要用Realm定义Realm 多个Realm 配置Authenticator和AuthenticationStrategy 自定义AuthenticationStrategy验证策略 多个Realm验证顺序环境准备 创建java工程 需要的jar包大家也可以使用maven,参考官网 什么是Realm 在我所看的学习资料中,关于Realm定义,写了整整一长串,但
Shiro(三)——Shiro定义Realm
泽辉的技术博客
12-28 422
Realm: 域。Shiro 从从 Realm 获取安全数据(如用户、角色、权限),就是说 SecurityManager 要验证用户身份,那么它需要从 Realm 获取相应的用户进行比较以确定用户身份是否合法;也需要从 Realm 得到用户相应的角色 / 权限进行验证用户是否能进行操作;可以把 Realm 看成 DataSource,即安全数据源。 一、内置Realm 内置Realm分为两种...
Shiro实现授权
Healerjy的博客
05-19 187
修改实体类 mapper、service、controller接口同上。测试:根据用户的权限进行判断能否进行访问。编写shiro配置类。
Shiroshiro定义Realm
来日浅谈的博客
05-27 1088
Shiroshiro定义Realm1. 创建数据库表2. Dao层和Service层3. 自定义Realm4. 配置Realm shirorealm的是进行认证和授权的组件,自带了几种实现,比如jdbcRealm和iniRealm,实际项目中肯定都是自己实现realm。 1. 创建数据库表 创建⽤户表,⻆⾊表,权限表,以及对应的中间表。 create table t_user( id int primary key auto_increment, username varchar(
Shiro多个Realm认证及授权
严阵以待的专栏
08-04 1万+
关于Shiro多个Realm这个问题,也算是被烦的焦头烂额,万幸在疯狂百度后也算是得出了一个解决方案 解决方案如下:  首先自定义一个DefaultUsernamepasswordToken.java,继承Shiro自带的UsernamePasswordToken,在DefaultUsernamepasswordToken中新加一个属性  private String loginType
springboot项目使用 shiro 实现接口授权具体实现
06-07
3. 自定义Realm实现授权逻辑: ```java public class MyRealm extends AuthorizingRealm { @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { // 获取当前...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

java的艺术

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值