自学-Shiro 的授权-14

最新推荐文章于 2020-07-24 03:31:16 发布
置顶 最新推荐文章于 2020-07-24 03:31:16 发布
阅读量350 收藏
点赞数
分类专栏: Shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_31080089/article/details/53907959
版权

我们先来探讨下授权需要继承那个类吧。

先来看Realm的继承关系:


Realm是他们的父类,继承AuthorizingRealm其也间接继承了 CachingRealm(带有缓存实现)。

通过源码分析,可以查看认证只是调doGetAuthorizationInfo

 

所用直接继承AuthorizingRealm即可:


那接下里我们就来写个例子吧:

项目路径:

 

myReal.java

package com.yiyi.realm;

import java.util.HashSet;
import java.util.Set;

import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.LockedAccountException;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.crypto.hash.SimpleHash;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.util.ByteSource;
/**
 * 
 * @author kf0101
 *
 */
public class MyRealm extends AuthorizingRealm {
	/**
	 * 认证方法
	 */
	@Override
	protected AuthenticationInfo doGetAuthenticationInfo(
			AuthenticationToken token) throws AuthenticationException {
		System.out.println("1----------->"+token);
		// 将AuthenticationToken对象转换成UsernamePasswordToken对象
		UsernamePasswordToken upToken = (UsernamePasswordToken) token;
		// 获取UsernamePasswordToken中的用户名
		String username = upToken.getUsername();
		// 从数据库中查询 username 对应的用户记录
		System.out.println("从数据库中查找" + username + "的信息");
		// 若用户的信息不存在,则抛出UnknownAccountException异常。
		if ("unknown".equals(username)) {
			throw new UnknownAccountException("用户不存在");
		}
		// 根据用户的信息进行反馈,则抛出LockedAccountException异常。
		if ("han".equals(username)) {
			throw new LockedAccountException("用户被锁定");
		}
		// 根据用户的信息来封装SimpleAuthenticationInfo对象。
		
		// 当前 realm 对象的 name
		String realmName = getName();
		// 认证的实体信息。
		Object principal = username;
		// 密码
		Object hashedCredentials = null;
		if("admin".equals(username)){
			 hashedCredentials = "2abec21dc41c75c88cb87e7306c5e75f";
		}else if("zhao".equals(username)){
			hashedCredentials = "399503120959cd94972d6d5f3a9d4c61";
		}
		//盐值
		ByteSource credentialsSalt = ByteSource.Util.bytes(username);
		SimpleAuthenticationInfo info=new SimpleAuthenticationInfo(principal, hashedCredentials, credentialsSalt, realmName);
		return info;
	}
	/**
	 * 授权方法:
	 */
	@Override
	protected AuthorizationInfo doGetAuthorizationInfo(
			PrincipalCollection principals) {
		//1. 从 PrincipalCollection 中来获取登录用户的信息
		Object principal = principals.getPrimaryPrincipal();
		//2. 利用登录的用户的信息来判定当前用户的角色或权限
		Set<String> roles=new HashSet<String>();
		roles.add("user");//不管是什么用户都添加user角色
		if("admin".equals(principal)){
			roles.add("admin");
		}
		//3. 创建 SimpleAuthorizationInfo, 并设置其 roles 属性.
		SimpleAuthorizationInfo info = new SimpleAuthorizationInfo(roles);
		//4. 返回 SimpleAuthorizationInfo 对象. 
		return info;
	}
	
	/**
	 * 明文进行谜面进行加密
	 * @param args
	 */
	public static void main(String[] args) {
		int hashIterations = 10000;//加密的次数
		Object salt = "zhao";//盐值
		Object credentials = "123456";//密码
		String hashAlgorithmName = "MD5";//加密方式
		Object simpleHash = new SimpleHash(hashAlgorithmName, credentials,
				salt, hashIterations);
		System.out.println("加密后的值----->" + simpleHash);
	}

}


这时我们就可以来验证下这个授权代码,我们先以admin这个用户登录,测试发现,admin.jsp user.jsp页面都可以进行访问。但是呢?我们以 zhao这个用户登录的话,发现admin.jsp这个页面是不可以进行访问的。因为在代码中设置了任何一个用户登录的话都是授权于user角色,如果是admin用户则赋予admin角色。也就是在以后中我们写项目,好比OA项目,管理员可以看所用员工的信息,但是员工的话只是可以看自己的信息。


only_yiyi_han
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
自学-Shiro 标签-15
女神的高冷范
12-29 392
这节呢我们来学习Shiro标签,在学习之前我们必须知道授权的方式有几种: Shiro 支持三种方式的授权: – 编程式:通过写if/else 授权代码块完成; – 注解式:通过在执行的Java方法上放置相应的注解完成,没有权限将抛出相应的异常; – JSP/GSP 标签:在JSP/GSP 页面通过相应的标签完成。 之前我们在项目中已经用过编程式的授权,那么现在我们就来学习下标签吧!
自学-Shiro授权流程-13
女神的高冷范
12-28 378
首先先来看下授权的流程图在来详细解释: 流程如下及断点: • 1、首先调用 Subject.isPermitted*/hasRole* 接口,其会委托给SecurityManager,而 SecurityManager 接着会委托给 Authorizer; hasRole:     isPermitted:         • 2、Authorizer是真正的授权
自学-shiro注解-16
女神的高冷范
01-16 1405
前几节我们学习了ShIro 的标签和编程式,那现在就来学习下注解的授权吧! 大致有这几个注解: @RequiresRoles(value={“admin”, “user”}, logical= Logical.AND):表示当前 Subject 需要角色 admin 和user @RequiresPermissions (value={“user:a”, “user:b”}, logical
自学-Shiro的权限管理-12
女神的高冷范
12-27 326
Shiro的权限管理: 接下来几节是详细对授权来进行说明。 首先我们先来写一个简单的例子,看下这个例子能不能从中受到一点启发好来学习Shiro授权。 现在我们在来创建一个页面。 即:admin.jsp <% String path = request.getContextPath(); String basePath = request.getScheme()+"://"+reque
自学-Shiro简介及helloWorld-01
女神的高冷范
12-05 472
1.Shiro是什么?       是一个安全权限框架。       eg:我们要给一个用户进行分配角色,然后在给某个角色分配权限,如果不使用框架的话,相对来说写java代码会相对复杂一点,就是为了解决这种复杂的问题,进而来使用框架来实现这些功能。通过Shiro的Quickstart 来学习。 2.Shiro能干什么?       认证、授权、加密、会话管理、与Web 集成、缓存等。
志宇-shiro-web
fenkanghong9779的博客
04-27 280
这里写目录标题shiro-webShiro的一系列的拦截器shiro注解注解使用shiro缓存使用类图如下CachingRealmCacheManagerAuthenticatingRealmAuthorizingRelam会话管理SessionManager持久层管理 Dao shiro-web Shiro的一系列的拦截器 public enum DefaultFilter { anon...
小白认识java安全框架----shiro
Vam__的博客
06-09 246
shiro的基本认识和使用 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdown编辑器, 可以仔细阅读这篇文章,了解一下Markdown的基本语法知识。 新的改变 我们对Markdown编辑器进行了一些功能拓展与语法支持,除了标准的Markdown编辑器功能,我们增加了如下几点新功能,帮助你用它写博客: 全新的界面设计 ,将会带来全新的写作体验; 在创作中心设置你喜爱的代码高亮样式,Markdown 将代码片显示选择的高亮样
springboot-shiro中的问题
一只仰望天空的菜鸟
05-23 1421
assertCredentialsMatch
Shiro 自学笔记三】Shiro授权机制
Koorye今天自学了吗
07-24 384
文章目录授权的概念主体资源权限角色授权的类型基于角色的访问控制基于资源的访问控制判断是否授权编程式注解式标签式实现授权和判断 这一期来了解一下 Shiro授权授权的概念 主体 主体,即访问应用的用户,在 Shiro 中使用 Subject 代表用户。用户只有授权后才允许访问相应的资源。 资源 在应用中用户可以访问的任何东西都称为资源。用户只有授权后才能访问。 权限 安全策略中的原子授权单位,通过权限我们可以表示在应用中用户有没有操作某个资源的权利。即权限表示在应用中用户能不能访问某个资源。 Shi
Shiro自学笔记
02-09
Apache Shiro是一个全面的Java安全框架,主要用于处理身份认证、授权、加密以及会话管理等核心安全性问题。它提供了一套简洁且易于理解的API,使得开发者能够在各种类型的项目中快速实现安全功能,无论是小型的桌面...
JavaEE求职简历-姓名-JAVA开发工程师.doc
06-03
8. **安全认证**:了解Shiro进行权限认证和授权管理,以及CAS实现SSO单点登录。 9. **全文检索**:了解Solr搜索引擎的使用,提高数据查询效率。 10. **消息队列**:懂得使用ActiveMQ进行消息发送和接收,优化系统...
java毕业设计&课设-企业OA系统小程序.zip
最新发布
06-13
- 用户认证与授权:如Spring Security或Apache Shiro的实现。 - 小程序开发:可能采用了微信小程序或其他类似框架,涉及前后端交互、API设计等。 3. **资料**: 提供的资料可能包括需求文档、设计文档、数据库...
Java 开源项目集合 Java 开发必备!.rar
08-04
自学练手:从书本和博客的理论学习,过渡到实践练手 吸收项目经验,找工作写简历时能参考:毕竟有时候确实没有实际项目经验可写,那研究开源项目的经验就非常宝贵了 毕业设计:想找点参考、找点选题、找点灵感 甚至...
进销存,学习JAVA WEB的好例子
11-16
8. **安全框架**:Spring Security或Apache Shiro,处理认证和授权问题,保护系统安全。 在学习过程中,你将了解到如何设计数据库表结构,编写DAO(数据访问对象)层来与数据库交互,通过Service层封装业务逻辑,...
自学-Shiro的MD5加密及更加严格的盐值加密-08
热门推荐
女神的高冷范
12-17 1万+
上一节我们看到了是通过credentialsMatcher 属性来进行的密码的比对的,那我们 怎么才能把客户输入的密码进行MD5加密呢? 首先我们先来看下credentialsMatcher的继承类都有哪些? 所以我们可以通过org.apache.shiro.authc.credential.HashedCredentialsMatcher 来进行MD5加密,但是我们该怎么进行处理呢
自学-filterChainDefinitions的源码及和数据库进行交互-17
女神的高冷范
01-16 3267
前几节我们应该对这个filterChainDefinitions 有了解了吧!我们所有的权限设置都配置在了这个org.apache.shiro.spring.web.ShiroFilterFactoryBean这个属性中,我们可以想下,现在是有这几个权限,那加入有很多呢,如果还配置在这里是不是不太方便了,开发就是能多简便我们就怎么写对吧,根据观察我们可以发现这个属性中的值是键值对的形式而且还是有序
自学-Shiro中多Realm的配置-09
女神的高冷范
12-21 2884
项目结构: 学习了前几节,只是知道了验证的一个流程和一些其他的原理等。 那么Realm我们该怎么去理解呢? 首先得知道Realm是什么?怎么操作?为什么要使用Realm? ①:Realm:域, Shiro 从 Realm 获取安全数据 (如用户、 角色、 权限) , 就是说 SecurityManager要验证用户身份, 那么它需要从 Realm 获取相应的用户进行比较
自学-为什么自定义的Realm认证中 直接继承AuthenticatingRealm呢?-06
女神的高冷范
12-17 2339
先我们先来对上一节中的遗留的问题进行简单的解答下: Realm 的继承关系: Realm是他们的父类,继承AuthenticatingRealm其也间接继承了 CachingRealm(带有缓存实现)。 通过源码分析,可以查看认证只是调用了doGetAuthenticationInfo 接下里的一节将探讨加密算法及怎么实现。
thymeleaf-extras-shiro
04-11
'b'thymeleaf-extras-shiro'是一个Thymeleaf模板引擎的扩展,用于和Apache Shiro安全框架集成,方便在Thymeleaf模板中显示和控制用户的身份验证和授权信息。'
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值