shiro_03_权限认证(授权)

最新推荐文章于 2024-04-09 20:29:29 发布
最新推荐文章于 2024-04-09 20:29:29 发布
阅读量317 收藏
点赞数 1
分类专栏: shiro 文章标签: 权限认证(授权) shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_27163329/article/details/81812901
版权

权限认证核心要素

权限认证,也就是访问控制,即在应用中控制谁能访问哪些资源。

在权限认证中,最核心的三个要素是:权限,角色和用户;

权限,即操作资源的权利,比如访问某个页面,以及对某个模块的数据的添加,修改,删除,查看的权利;

角色,是权限的集合,一中角色可以包含多种权限;

用户,在 Shiro 中,代表访问系统的用户,即 Subject;

授权

3种授权的方式:

编程性授权,注解式授权,jsp标签授权,下面通过实例一一介绍: 

也可以查看:官方文档

 编程性授权

1 基于角色的访问控制

2 基于权限的访问控制 

基于角色的访问控制 

为了便于进行身份验证,我们把上一篇说的整个的身份认证的过程封装成一个静态方法,3个参数:shiro.ini配置文件,userName,password,返回一个Subject(当前用户) :

public class ShiroUtil {

	public static Subject login(String shiro_config,String userName,String password) {
		//读取配置文件,初始化SecurityManager工厂
		Factory<SecurityManager> factory = new IniSecurityManagerFactory(shiro_config);
		//获取SecurityManager实例
		SecurityManager securityManager = factory.getInstance();
		//把securityManager实例绑定到SecurityUtils
		SecurityUtils.setSecurityManager(securityManager);
		//创建Token令牌,用户/密码
		UsernamePasswordToken token = new UsernamePasswordToken(userName,password);
		//得到当前执行的用户
		Subject currentUser = SecurityUtils.getSubject();
		try {
			//身份认证
			currentUser.login(token);
			System.out.println("身份认证成功!");
		}catch(AuthenticationException e) {
			e.printStackTrace();
			System.out.println("身份认证失败!");
		}
		return currentUser;
	}
}

先进行基于角色的权限认证:

新建shiro_role.ini:

#定义两个用户,分别有不同的角色
#java用户有role1,role2两个角色
#12用户只有role1一个角色
[users]
java=1234,role1,role2
12=12.role1

shiro提供方法:

hasRole方法:参数是String roleName,用户有该角色返回true,没有返回false.

	@Test
	public void hasRole() {
		//Subject currentUser = ShiroUtil.login("classpath:shiro_role.ini", "java", "1234");
		Subject currentUser = ShiroUtil.login("classpath:shiro_role.ini", "12", "12");
		System.out.println(currentUser.hasRole("role2")?"用户有role2角色":"用户没有role2角色");
		currentUser.logout();
	}

hasRoles(List<String>):将要判断的角色放到数组里,判断结果返回布尔型数组:

	@Test
	public void hasRoles() {
		//Subject currentUser = ShiroUtil.login("classpath:shiro_role.ini", "java", "1234");
		Subject currentUser = ShiroUtil.login("classpath:shiro_role.ini", "12", "12");
		boolean result[] = currentUser.hasRoles(Arrays.asList("role1","role2"));
		System.out.println(result[0]?"用户有role1角色":"用户没有role1角色");
		System.out.println(result[1]?"用户有role2角色":"用户没有role2角色");
		currentUser.logout();
	}

hasAllRoles:参数为String数组,只有这些角色用户都有,返回true,不全有返回false 

	@Test
	public void hasAllRoles() {
		Subject currentUser = ShiroUtil.login("classpath:shiro_role.ini", "java", "1234");
		//Subject currentUser = ShiroUtil.login("classpath:shiro_role.ini", "12", "12");
		System.out.println(currentUser.hasAllRoles(Arrays.asList("role1","role2"))?"用户有角色1和角色2":"用户不全有角色1和角色2");
		currentUser.logout();
	}

shiro还提供了一类方法:

不满足,直接抛出异常。没有返回值。

	@Test
	public void checkRole() {
		//Subject currentUser = ShiroUtil.login("classpath:shiro_role.ini", "java", "1234");
		Subject currentUser = ShiroUtil.login("classpath:shiro_role.ini", "12", "12");
		currentUser.checkRole("role2");
		currentUser.logout();
	}

	@Test
	public void checkRoles1() {
		//Subject currentUser = ShiroUtil.login("classpath:shiro_role.ini", "java", "1234");
		Subject currentUser = ShiroUtil.login("classpath:shiro_role.ini", "12", "12");
		currentUser.checkRoles(Arrays.asList("role1","role2"));
		currentUser.logout();
	}
	@Test
	public void checkRoles2() {
		//Subject currentUser = ShiroUtil.login("classpath:shiro_role.ini", "java", "1234");
		Subject currentUser = ShiroUtil.login("classpath:shiro_role.ini", "12", "12");
		currentUser.checkRoles("role1","role2");
		currentUser.logout();
	}

基于权限的访问控制

新建shiro配置文件:shiro_permission.ini:

[users]
java=1234,role1,role2
12=12,role1
[roles]
role1=user:select
role2=user:user:add,user:delete,user:update

shiro提供的判断方法:

isPermitted两个重载的方法:

一个参数为Perminssion,但一般还是采用String作为参数,

一个参数为字符串数组,返回布尔类型字符串数组

	@Test
	public void isPermittedTest() {
		//Subject currentUser = ShiroUtil.login("classpath:shiro_role.ini", "java", "1234");
		Subject currentUser = ShiroUtil.login("classpath:shiro_role.ini", "12", "12");
		System.out.println(currentUser.isPermitted("user:update")?"用户有user:update权限":"用户没有user:update权限");
		currentUser.logout();
	}

	@Test
	public void isPermittedTest2() {
		//Subject currentUser = ShiroUtil.login("classpath:shiro_role.ini", "java", "1234");
		Subject currentUser = ShiroUtil.login("classpath:shiro_permission.ini", "12", "12");
		boolean []result = currentUser.isPermitted("user:select","user:add","user:delete","user:update");
		System.out.println(result[0]?"用户有user:select权限":"用户没有user:select权限");
		System.out.println(result[1]?"用户有user:add权限":"用户没有user:add权限");
		System.out.println(result[2]?"用户有user:delete权限":"用户没有user:delete权限");
		System.out.println(result[3]?"用户有user:update权限":"用户没有user:update权限");
		currentUser.logout();
	}

isPermittedAll:方法参数是一串字符,如果权限都具备,才返回true,否则返回false.

	@Test
	public void isPermittedAllTest() {
		//Subject currentUser = ShiroUtil.login("classpath:shiro_role.ini", "java", "1234");
		Subject currentUser = ShiroUtil.login("classpath:shiro_permission.ini", "12", "12");
		boolean result = currentUser.isPermittedAll("user:select","user:add","user:delete","user:update");
		System.out.println(result?"用户有user:select,add,delete,update权限":"用户不全有user:select,add,delete,update权限");
		currentUser.logout();
	}

还有:

checkPermission(权限),如果没有,直接抛出异常

checkPermissions("权限1","权限2","权限3"),只有当权限都具备,不满足抛出异常。

总结:

这一篇主要介绍:编程性授权方式;

一个是基于角色的,一个是基于权限的。

基于角色的,判断用户是否具备某种角色,判断方法有两类:

hasRole("某角色")        hasRoles(字符串数组) 返回boolean型数组,     hasAllRoles(字符串数组),只有都具备角色时,返回true.

checkRole("某角色")     checkRoles(字符串数组)与checkRoles("","","")一个意思,就是参数类型不同。

基于权限的,判断用户是否拥有权限:判断方法有两类:

isPermitted("权限1")     isPermitted("","","")返回数组   isPermittedAll("","")只有权限都具备才返回true.

checkPermission("")     checkPermissions("","","")只有当用户所有权限都满足,否则抛出异常。

一夏洛克一
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro架构&认证 -Shiro
qq_43409973的博客
03-22 780
shiro架构&认证 -Shiro
shiro_attack_2.2.zip
07-18
Apache Shiro 是一个强大且易用的Java安全框架,提供了认证授权、加密和会话管理功能,可以非常轻松地开发出足够安全的应用。在"shiro_attack_2.2.zip"这个压缩包中,我们可以推测它可能包含了关于Apache Shiro的...
权限验证框架之Shiro
小明同学的博客
08-21 701
总结起来,Realm、AuthenticationFilter和AuthorizationFilter需要进行定义或配置,并由SecurityManager进行管理,以确保Shiro能够正确地进行身份验证和授权操作。将数据转换为不可读的形式,以保护数据的安全性。会话是指用户在与应用程序交互期间的一段时间。是整个Shiro安全体系的核心。因为它没有依赖于特定的框架。配置相应的加密算法和密钥。代表当前执行操作的用户。是所有安全操作的入口点。基于Cookie的会话。用于管理用户的会话信息。基于URL重写的会话。
shiro认证授权
xiaopang2020的博客
08-16 519
shiro
Shiro 权限管理入门之认证授权,java面试手册pdf
最新发布
2301_78399550的博客
04-09 716
自定义 Realm,编写一个 CustomerRealm:/**自定义realm实现 将认证|授权数据的来源转为数据库的实现*/// 授权方法@Override// 认证方法@Override// 在token中获取用户名// 根据身份信息连接数据库查询相关数据库// 参数1:返回数据库中正确的用户名// 参数2:返回数据库中正确密码// 参数3:提供当前realm的名字 this.getName();使用自定义 Realm 进行认证:/**使用自定义realm*/
Shiro学习之权限认证
m0_67401746的博客
08-24 1397
1”可以匹配如“user:view:1”、“user”可以匹配“user:view”或“user:view:1”等。即_可以匹配所有,不加_可以进行前缀匹配;用户是jack的时候,控制台出去的是:true,false,代表的是jack用户role1这个角色,但是没有role2这个角色。权限,即操作资源的权力,比如访问某个页面,以及对某个模块的数据的添加,修改,删除,查看的权利(CRUD).用户是yyt的时候,控制台输出的是:true,true,代表的是yyt拥有role1,role2这个角色。
springboot整合shiro入门,实现认证授权功能(非常详细)
沐雨橙风ιε的博客
07-02 5383
自定义过滤器AuthorizationFilter实现鉴权功能。/*** 鉴权过滤器*/@WebFilter@Override= null &&!// 构建返回对象JsonResult<Void> jsonResult= JsonResult.error(ResponseCode.UNAUTHORIZED, "正在访问未授权的资源");return;
shiro_tool.zip
11-18
Apache Shiro 是一个强大且易用的Java安全框架,提供了认证授权、加密和会话管理功能,可以非常轻松地开发出足够安全的应用。在"shiro_tool.zip"这个压缩包中,我们可以推测可能包含了一些关于Shiro使用的工具类、...
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen
11-05
Apache Shiro 是一个强大且易用的 Java 安全框架,提供身份认证授权、加密以及会话管理功能,简化了应用安全的实现。在提到的 "shiro_attack_by J1anfen" 工具中,重点是针对 Apache Shiro 的一个特定安全问题:...
spring-shiro-training-master.zip_guide8go_shiro_spring_spring 权限
09-19
我们可以自定义 Realm 类,对接数据库或其他数据存储,以实现用户认证和角色权限的查询。 接下来,我们需要在Spring的AOP配置中定义安全拦截器,利用Shiro的FilterChainResolver来决定哪些请求需要进行权限检查。这...
shiro_shiro_
10-03
Apache Shiro 是一个强大且易用的Java安全框架,提供了认证授权、加密和会话管理功能,可以非常方便地开发出足够安全的应用。Shiro 不仅可以用于Java Web 应用,也可以用于独立的Java应用,如Android应用或者桌面...
jfina_shiro_jfinal+shiro_fromjh1_shiro_
10-04
1. **Shiro 概述**:Apache Shiro 是一个强大且易用的 Java 安全框架,处理认证授权、加密和会话管理。它可以被轻松地嵌入到任何应用中,提供了一种声明式的安全控制。 2. **Shiro 认证**:Shiro 提供了用户身份...
springboot_shiro_thymeleaf权限控制
12-21
同时,会定义Realm(域),它是Shiro与应用程序数据源交互的接口,处理认证授权请求。此外,你可能会看到过滤器链的配置,例如`shiroFilter`,它决定了用户访问资源时的控制流程。 总的来说,“springboot_shiro_...
shiro_springboot
10-04
在 "SaaS-HRM 的认证授权" 的上下文中,Shiro 可以帮助实现多租户环境下的安全控制: 1. **租户隔离**:每个租户的数据和权限应独立管理。通过 Realm 可以实现针对不同租户的认证授权逻辑。 2. **多环境适配**:...
Shiro_lib.zip
01-08
Apache Shiro是一个强大且易用的Java安全框架,它提供了认证授权、加密和会话管理功能,可以非常轻松地开发出足够安全的应用程序。在"Shiro_lib.zip"这个压缩包中,我们很显然看到它包含了一系列与Apache Shiro...
febs_shiro_jwt-master_java_;shiro;jwt_
10-04
Apache Shiro是一个轻量级的安全框架,用于处理认证授权、会话管理和加密等安全问题。JWT则是一种用于身份验证的开放标准,可以生成和验证用户身份令牌,使得在分布式系统中实现无状态的认证。 **SpringBoot知识...
基于springboot注解的shiro 授权及角色认证
一个菜鸡的博客
05-29 1970
验证用户是否被记忆: 登录认证成功subject.isAuthenticated()为true 登录后被记忆subject.isRemembered()为true。通过给接口服务方法添加注解可以实现权限校验,可以加在控制器方法上,也可以加 在业务方法上,一般加在控制器方法上。验证subject是否有相应角色,有角色访问方法,没有则会抛出异常 AuthorizationException。验证subject是否有相应权限,有权限访问方法,没有则会抛出异常 AuthorizationException。
Shiro整合JWT实现认证权限鉴定(执行流程清晰详细)
qq_25046827的博客
04-23 8435
文章目录一、前情提要二、整合Shiro与JWT1、编写JWT工具类2、编写JWTToken3、编写JWTFilter4、编写JWTRealm5、编写Shiro配置类三、编写异常处理类四、编写Controller 一、前情提要 JWT:服务端根据规范生成一个令牌(token),并且发放给客户端(保存在客户端)。此时客户端请求服务端的时候就可以携带者令牌,以令牌来证明自己的身份信息。 Shiro:Java的一个安全(权限)框架,用户登录时把身份信息(用户名/手机号/邮箱地址等)和凭证信息(密码/证书等)封装成
shiro_tool
08-09
shiro_tool是一个基于Java的安全框架,用于实现身份认证授权功能。它提供了一套简单易用的API,可以帮助开发人员快速集成安全功能到他们的应用程序中。 shiro_tool的主要特点包括: 1. 身份认证shiro_tool可以...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值