Shiro初级应用--小试牛刀体验shiro

于 2020-05-17 23:44:01 发布
阅读量148 收藏
点赞数
分类专栏: Shiro 文章标签: shiro 安全 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33693776/article/details/106182879
版权

最近在看Shiro安全框架,了解到了一些初级的应用,先记录一波shiro的认证和授权的简单应用,后续继续深入学习,再捋一捋shiro框架的架构和高级应用。

Apache Shiro是Java的一个安全框架。功能强大,使用简单的Java安全框架,它为开发人员提供一个直观而全面的认证,授权,加密及会话管理的解决方案。

Shrio是一款比较简单的安全框架,虽然Spring Security会简易很多,但是在我们一般的开发中已经足够保证安全了。

Shiro最简单的应用也是最重要的应用就是认证(Authentication)和授权(Authorization)。这两个单词很像,经常把他们看错了。认证就是验证用户登录信息是否正确,授权就是给予用户相应的权限。
这里还有一个概念,Realm,安全数据源,Shiro通过Realm获取用户的信息进行比较以确认身份,也可以通过Realm获取用户的权限。

下面写一个测试来验证认证和授权功能

项目结构
导入shiro依赖

<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-core</artifactId>
    <version>1.3.2</version>
</dependency>

1、测试登录认证
创建shiro-auth.ini配置文件

[users]
#模拟数据库中的用户
#数据格式  用户名=密码
admin=123456
hzm=111111

编写测试方法

public void testLogin() throws Exception{
    //加载ini配置文件并创建SecurityManager
    IniSecurityManagerFactory factory = new IniSecurityManagerFactory("classpath:shiro-auth.ini");
    //获取securityManager实例
    SecurityManager securityManager = factory.getInstance();
    //将securityManager绑定到当前运行环境
    SecurityUtils.setSecurityManager(securityManager);
    //创建主体(此时的主体还未经过认证)
    Subject subject = SecurityUtils.getSubject();
    /**
    * 模拟登录,和传统等不同的是需要使用主体进行登录
    */
    //构造主体登录的凭证(即用户名/密码,这里要跟配置文件里的用户密码比较)
    UsernamePasswordToken upToken = new UsernamePasswordToken("admin","123456");
    //登录
    subject.login(upToken);
    //验证是否登录成功
    System.out.println("用户登录成功="+subject.isAuthenticated());
    //登录成功获取数据
    //getPrincipal 获取登录成功的安全数据
    System.out.println(subject.getPrincipal());
}

测试结果
测试成功
如果我们的用户名密码不正确,会报错

org.apache.shiro.authc.IncorrectCredentialsException: Submitted credentials for token [org.apache.shiro.authc.UsernamePasswordToken - admin, rememberMe=false] did not match the expected credentials.

	at org.apache.shiro.realm.AuthenticatingRealm.assertCredentialsMatch(AuthenticatingRealm.java:600)
	at org.apache.shiro.realm.AuthenticatingRealm.getAuthenticationInfo(AuthenticatingRealm.java:578)
	at org.apache.shiro.authc.pam.ModularRealmAuthenticator.doSingleRealmAuthentication(ModularRealmAuthenticator.java:180)
	at org.apache.shiro.authc.pam.ModularRealmAuthenticator.doAuthenticate(ModularRealmAuthenticator.java:267)
	at org.apache.shiro.authc.AbstractAuthenticator.authenticate(AbstractAuthenticator.java:198)
	at org.apache.shiro.mgt.AuthenticatingSecurityManager.authenticate(AuthenticatingSecurityManager.java:106)
	at org.apache.shiro.mgt.DefaultSecurityManager.login(DefaultSecurityManager.java:270)
	at org.apache.shiro.subject.support.DelegatingSubject.login(DelegatingSubject.java:256)
	at Test.testLogin(Test.java:24)
	at sun.reflect.NativeMethodAccessorImpl.invoke0(Native Method)
	at sun.reflect.NativeMethodAccessorImpl.invoke(NativeMethodAccessorImpl.java:62)
	at sun.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:43)
	at java.lang.reflect.Method.invoke(Method.java:498)
	at org.junit.runners.model.FrameworkMethod$1.runReflectiveCall(FrameworkMethod.java:50)
	at org.junit.internal.runners.model.ReflectiveCallable.run(ReflectiveCallable.java:12)
	at org.junit.runners.model.FrameworkMethod.invokeExplosively(FrameworkMethod.java:47)
	at org.junit.internal.runners.statements.InvokeMethod.evaluate(InvokeMethod.java:17)
	at org.junit.runners.ParentRunner.runLeaf(ParentRunner.java:325)
	at org.junit.runners.BlockJUnit4ClassRunner.runChild(BlockJUnit4ClassRunner.java:78)
	at org.junit.runners.BlockJUnit4ClassRunner.runChild(BlockJUnit4ClassRunner.java:57)
	at org.junit.runners.ParentRunner$3.run(ParentRunner.java:290)
	at org.junit.runners.ParentRunner$1.schedule(ParentRunner.java:71)
	at org.junit.runners.ParentRunner.runChildren(ParentRunner.java:288)
	at org.junit.runners.ParentRunner.access$000(ParentRunner.java:58)
	at org.junit.runners.ParentRunner$2.evaluate(ParentRunner.java:268)
	at org.junit.runners.ParentRunner.run(ParentRunner.java:363)
	at org.junit.runner.JUnitCore.run(JUnitCore.java:137)
	at com.intellij.junit4.JUnit4IdeaTestRunner.startRunnerWithArgs(JUnit4IdeaTestRunner.java:68)
	at com.intellij.rt.execution.junit.IdeaTestRunner$Repeater.startRunnerWithArgs(IdeaTestRunner.java:47)
	at com.intellij.rt.execution.junit.JUnitStarter.prepareStreamsAndStart(JUnitStarter.java:242)
	at com.intellij.rt.execution.junit.JUnitStarter.main(JUnitStarter.java:70)

2、测试授权
同样,我们通过配置的方法模拟数据库的权限,创建配置文件shiro-perm.ini

[users]
#模拟从数据库查询的用户
#数据格式  用户名=密码,角色1,角色2..
admin=123456,role1,role2
hzm=111111,role2
[roles]
#模拟从数据库查询的角色和权限列表
#数据格式  角色名=权限1,权限2
role1=user:save,user:update
role2=user:update,user.delete

测试方法

public void testPerm() throws Exception {
        //加载ini配置文件创建SecurityManager
        IniSecurityManagerFactory factory = new
                IniSecurityManagerFactory("classpath:shiro-perm.ini");
        //获取securityManager
        SecurityManager securityManager = factory.getInstance();
        //将securityManager绑定到当前运行环境
        SecurityUtils.setSecurityManager(securityManager);
        //创建主体(此时的主体还为经过认证)
        Subject subject = SecurityUtils.getSubject();
        /**
         * 模拟登录,和传统不同的是需要使用主体进行登录
         */
        //构造主体登录的凭证(即用户名/密码,这里要跟配置文件里的用户密码比较)
        //第一个参数:用户名,第二个参数:密码
        UsernamePasswordToken upToken = new UsernamePasswordToken("hzm", "111111");
        //主体登录
        subject.login(upToken);
        //用户认证成功之后才可以完成授权工作
        boolean hasRole = subject.hasRole("role1");
        boolean hasPerm = subject.isPermitted("user:update");
        System.out.println("用户是否具有role1角色"+hasRole+",用户是否具有update权限=" + hasPerm);
    }

测试结果
在这里插入图片描述
对照配置文件,我们可以发现hzm用户不具有role1角色,但是具有user:update权限,测试结果正确。

3、通过自定义的Realm来认证和授权
shiro中自定义的Realm都要继承AuthorizingRealm,并且要重写doGetAuthorizationInfo(授权)和doGetAuthenticationInfo(认证)才能实现自定义的功能。
首先我们写一个PermissionRealm类

public class PermissionRealm extends AuthorizingRealm {
    @Override
    public void setName(String name) {
        super.setName("permissionRealm");
    }
    /**
   * 授权:授权的主要目的就是查询数据库获取用户的所有角色和权限信息
   */
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        // 从principals获取已认证用户的信息
        String username = (String) principalCollection.getPrimaryPrincipal();
        /**
        * 正式系统:应该从数据库中根据用户名或者id查询
        *   这里为了方便演示,手动构造
        */
        // 模拟从数据库中查询的用户所有权限
        List<String> permissions = new ArrayList<String>();
        permissions.add("user:save");// 用户的创建
        permissions.add("user:update");// 商品添加权限
        // 模拟从数据库中查询的用户所有角色
        List<String> roles = new ArrayList<String>();
        roles.add("role1");
        roles.add("role2");
        // 构造权限数据
        SimpleAuthorizationInfo simpleAuthorizationInfo = new
                    SimpleAuthorizationInfo();
        // 将查询的权限数据保存到simpleAuthorizationInfo
        simpleAuthorizationInfo.addStringPermissions(permissions);
        // 将查询的角色数据保存到simpleAuthorizationInfo
        simpleAuthorizationInfo.addRoles(roles);
        return simpleAuthorizationInfo;
    }
    /**
   * 认证:认证的主要目的,比较用户输入的用户名密码是否和数据库中的一致
   */
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        //获取登录的upToken
        UsernamePasswordToken upToken = (UsernamePasswordToken)authenticationToken;
        //获取输入的用户名密码
        String username = upToken.getUsername();
        String password = new String(upToken.getPassword());
        /**
        * 验证用户名密码是否正确
        * 正式系统:应该从数据库中查询用户并比较密码是否一致
        *   为了测试以及区分前两个配置,只要输入的密码为88888则登录成功
        */
        if(!password.equals("88888")) {
            throw new RuntimeException("用户名或密码错误");//抛出异常表示认证失败
        }else{
        //通过验证,构造安全数据 
            SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(username,password,this.getName());
            return info;
        }
    }
}

同样通过配置模拟Realm的使用过程
创建shiro-realm.ini文件

[main]
#声明realm
permReam=shiro.PermissionRealm
#注册realm到securityManager中
securityManager.realms=$permReam

测试方法

@Before
public void init() throws Exception{
    //加载ini配置文件创建SecurityManager
    IniSecurityManagerFactory factory = new IniSecurityManagerFactory("classpath:shiro-realm.ini");
    //获取securityManager
    SecurityManager securityManager = factory.getInstance();
    //将securityManager绑定到当前运行环境
    SecurityUtils.setSecurityManager(securityManager);
}
@Test
public void testRealm() throws Exception{
    //创建主体(此时的主体还未经过认证)
    Subject subject = SecurityUtils.getSubject();
    //构造主体登录的凭证(即用户名/密码)
    UsernamePasswordToken upToken = new UsernamePasswordToken("hzm","88888");
    //主体登录,这里会调用realm的认证,认证通过后会调用授权方法
    subject.login(upToken);
    //登录成功验证是否具有role1角色
    System.out.println("当前用户具有role1="+subject.hasRole("role1"));
    //登录成功验证是否具有某些权限
    System.out.println("当前用户具有user:save权限="+subject.isPermitted("user:save"));
}

测试结果
在这里插入图片描述
本文只是对shiro的部分功能的小demo,后续会继续学习shiro更高级的东西并总结分享。

菠萝冰飞冰
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro使用
聪明的布里茨
07-01 282
文章目录为什么要使用shiro?1.基础1.1 名词解析1.2 执行流程1.3 内部架构1.4 boot环境依赖2.身份验证2.1 名词解析2.2 认证流程2.3 简单应用3.Realm3.1 介绍3.2 jdbcRealm3.3 自定义Realm4. 整合项目4.1 自定义Realm4.2 自定义shiro过滤器4.3 自定义角色过滤器4.4 开启shiro缓存4.5 spring配置文件4....
SpringBoot 使用Shiro自定义权限拦截器实现多个perm权限的配置
wangzai_a的博客
07-31 2308
本文结合了两位大佬的文章,自己实现了多个perm权限的配置 主要参考:SpringBoot-Shiro自定义过滤器实现配置多个权限 辅助参考:SpringBoot 使用Shiro权限框架自定义拦截器检查token失效 一.为什么要自定义过滤器 在项目开发过程中,安全对于后台管理很重要。shiro是一个比较常流行的安全框架,在项目中的权限配置会有各种不同的需求,例如有的url需要用户拥有多个权限中的一个权限就能够访问,这个就要自己编写拦截器(过滤器)的规则。 二.Shiro中的权限控制 shiro权限控制是在
使用Shiro实现权限验证
热门推荐
YanMonarch博客
01-17 10万+
《使用Shiro实现权限验证》 1. Shiro入门 ApacheShiro是一个功能强大且易于使用的Java安全框架,提供了认证,授权,加密,和会话管理。 Shiro有三大核心组件: Subject:即当前用户,在权限管理的应用程序里往往需要知道谁能够操作什么,谁拥有操作该程序的权利,shiro中则需要通过Subject来提供基础的当前用户信息,Subject 不仅仅代表某个用户,与当前
Shiro基础知识03----shiro授权(编程式授权),Permission详解,授权流程
ChangWen的博客
10-01 1万+
授权,也叫访问控制,即在应用中控制谁能访问哪些资源(如访问页面/编辑数据/页面操作等)。   在权限认证中,最核心的是:主体/用户(Subject)、权限(Permission)、角色(Role)、资源(Resource)。     1、权限,即操作资源的权利,通过权限我们可以表示在应用中用户有没有操作某个资源的权力。即权限表示在应用中用户能不能访问某个资源,比如访问某个页面,以及对某个模块的
shiro权限框架
yfy的博客
01-23 156
1.入门案例 导入maven依赖 shiro-core:核心包 shiro-web:主要用于整合web项目 shiro-pring:主要用于整合spring框架 shiro-quartz:主要用于整合任务调度quartz shiro-ehcache:主要用于整合ehcache缓存 pom.xml        &lt;dependency&gt;            &lt;gr...
shiro-attack-4.7.0-SNAPSHOT-all.zip
最新发布
10-24
标题提到的"shiro-attack-4.7.0-SNAPSHOT-all.zip"很可能是针对Apache Shiro的安全测试工具或者漏洞利用工具包,其主要目的是帮助开发者检测和防范Shiro框架相关的安全问题。 描述中的"序列化验证工具"可能是指该...
shiro-core-1.7.1 jar
07-12
shiro shiro-core-1.7.1 jar shiro漏洞
shiroshiro-all-1.8.0.jar)
03-21
shiroshiro-all-1.8.0.jar)
shiro-all-1.4.2.jar下载
08-21
shiro是java安全框架工具,而使用shiro jar包可以执行身份验证,授权,密码学和会话管理功能,想使用shiro这款安全框架的朋友们,欢迎前来下载shiro jar包进行使用。
shiro-core-1.6.0.jar
08-20
该资源是目前最新的shiro-core核心包,暂时魏安全性较高的版本,没有发现漏洞版本。提供登录安全性的校验,该资源来自官网,仅供学习参考,请前往官网下载
springmvc整个shiro实现Perms的权限认证(细粒度)(三)
xcc_2269861428的博客
07-14 9463
前言:上一篇文章讲述了如何使用角色url进行粗粒度验证。地址:https://blog.csdn.net/xcc_2269861428/article/details/95768417 这篇说下如何使用perms进行细粒度验证,已经我写代码过程中碰见的坑。 看下角色界面 我在数据库中分别为2个就是设置了perms权限 用户界面 图中可以看出,xcc是没有角色管理权限的,所以不...
shiro授权过程
jasnet_u的博客
03-25 1376
一、授权的核心概念 授权,也就是权限认证或访问控制,即在应用中控制谁能访问哪些资源 授权中的核心要素: 1 用户,在shiro中代表访问系统的任何客户端,即subject 2 角色,是权限的集合,或字符串值表示的一种能力。 3 权限,即操作资源的权利。比如访问某个页面,以及对某功能模块的添加、修改、删除、查看的权利 (http://shiro.apache.org/authorization.ht...
Shiro介绍(三):授权及验证的简单之美
SHARE & TOP
12-06 1万+
昨天我们发现,一旦我们完成Spring的必要配置之后,Shiro在认证方面的代码量是非常少的。今天我们来看看关于授权(Authorization)
Shiro的permission管理,用户的认证和授权
超人的博客
08-16 3572
以下是步骤: 1.web.xml中配置:<display-name>shirodemo</display-name> <welcome-file-list> <welcome-file>index.jsp</welcome-file> </welcome-file-list> <context-param> <param-name>contex
spring 集成shiro 之 自定义过滤器
学习笔记
09-03 6万+
转:http://blog.csdn.net/shuishouhcd/article/details/9077379 最近一段时间,我一直在将shiro集成到我的一个项目中,用作认证和授权处理。             shiro对我来说是个新东西,以下是我学习过的内容:             http://shiro.apache.org/authoriz
shiro权限框架实战
在奋斗的路上
08-27 1万+
shiro框架作为一种开源的权限框架,通过将身份认证和授权从具体的业务逻辑中分离出来极大地提高了我们的开发速度,它的易用性使得它越来越受到人们的青睐。与之前的ACL权限框架相比,shiro能更容易的实现权限控制,而且作为基于RBAC的权限管理框架通过与shiro标签结合使用,能够让开发人员在更加细粒度的层面上进行控制。举个例子来讲,之前我们使用基于ACL的权限控制大多是控制到连接(这里的连接大家可以简单的认为是页面,下同)层面,也就是通过给用户授权让这个用户对某些连接拥有权限,这种情况显然不太适合具体的项目
spring mvc整合shiro登录 权限验证
Abel.lin的专栏
05-07 3万+
SpringMVC整合shiro登录和注销,并且实现权限管理,内含实例源码和数据库下载
Shiro动态修改权限部分
zzhao114的博客
02-20 5586
简介 通过修改shiroFilter的class来实现。通过继承org.apache.shiro.spring.web.ShiroFilterFactoryBean类,并把继承类配置到shiro的配置文件中既可。 FilterChainDefinitionsService.java package com.shiro; import java.util.Map; import
ShiroShiro从小白到大神(三)-权限认证(授权)
weixin_34311757的博客
09-22 573
本节讲权限认证,也就是授权 基于角色的访问控制和基于权限的访问控制的小实例 以及注解式授权和JSP标签授权详解 权限认证 权限认证核心要素 权限认证,也就是访问控制,即在应用中控制谁能访问哪些资源 在权限认证中,最核心的三个要素是:权限,角色和用户 (资源也算一个要素,但不是最核心的) 权限,即操作资源的 ...
shiro-spring-boot-starter
08-26
Shiro-Spring-Boot-Starter 是一个用于集成 Shiro 框架到 Spring Boot 应用中的起步依赖。Shiro 是一个 Java 安全框架,可以为应用程序提供身份认证、授权、加密和会话管理等功能。通过使用 Shiro-Spring-Boot-...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值