Shiro(三)——Shiro授权入门案例

最新推荐文章于 2023-06-06 16:14:50 发布
最新推荐文章于 2023-06-06 16:14:50 发布
阅读量475 收藏 1
点赞数
分类专栏: shiro 文章标签: shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34598667/article/details/84641199
版权

1)Shiro授权过程

在这里插入图片描述

2)授权方式

shiro支持三种方式的授权:

  • 编程式:通过写if/else授权代码块完成:
Subject  subject = SecurityUtils.getSubject();
if(subject.hasRole("admin")){
  //有权限
}else{
   //无权限
}
  • 注解方式:通过在执行的java 方法上放置相应的注解完成:
@RequiresRoles("admin")
public void hello(){
  //有权限
}
  • jsp标签: 在jsp页面通过相应的标签完成
<shiro:hasRole name="admin">
<!-- 有权限 -->
</shiro:hasRole>

3)编写shiro-permission.ini

创建存放权限的配置文件shiro-permission.ini,里面的内容相当于在数据库里面:

[users]
#用户admin的密码是123,此用户具有role1和role2两个角色
admin=123,role1,role2
#zs的密码是123,此用户拥有role2角色
zs=123,role2

[roles]
#角色role1对资源user拥有create、update权限
role1=user:create,user:update
#角色role2对资源user拥有create权限
role2=user:create

在ini文件中用户、角色、权限的配置规则是:“用户名=密码,角色1,角色2…” “角色=权限1,权限2…”,首先根据用户名找角色,再根据角色找权限,角色是权限集合。

权限字符串规则

权限字符串的规则是:“资源标识符:操作:资源实例标识符”,意思是对哪个资源的哪个实例具有什么操作,“:”是资源/操作/实例的分割符,权限字符串也可以使用*通配符。
例子:

  • 用户创建权限:user:create,或user:create:*
  • 用户修改实例001的权限:user:update:001
  • 用户实例001的所有权限:user:*:001

4)测试代码

@Test
public void testPermission(){
	//创建securityManager工厂,通过ini配置文件创建securityManager工厂
	Factory<SecurityManager> factory=new IniSecurityManagerFactory("classpath:shiro-permission.ini");
	
	//创建SecurityManager
	SecurityManager securityManager=factory.getInstance();
	
	//将securityManager设置到当前运行环境中
	SecurityUtils.setSecurityManager(securityManager);
	
	//从SecurityUtils里边创建一个subject
	Subject subject = SecurityUtils.getSubject();
	//对主体对象进行认证
	//用户登录
	//设置用户认证的身份(prinicipals)和凭证(credentials)
	UsernamePasswordToken token = new UsernamePasswordToken("admin", "123");
	
	subject.login(token);
	
	//用户认证状态
	//是否认证通过
	boolean isAuthenticated =subject.isAuthenticated();
	System.out.println("是否认证通过:"+isAuthenticated);
	
	//用户授权检测 基于角色授权
	//是否有某一个角色
	System.out.println("用户是否拥有一个角色:" + subject.hasRole("role1"));
	// 是否有多个角色
	System.out.println("用户是否拥有多个角色:" + subject.hasAllRoles(Arrays.asList("role1", "role2")));  
	//判断角色 没有则直接报异常
    	//subject.checkRole("role2");
	// 基于资源授权
	System.out.println("是否拥有某一个权限:" + subject.isPermitted("user:delete"));
	//检查权限
	//subject.checkPermission("sys:user:delete");
	//subject.checkPermissions("user:create:1","user:delete");
}

5)自定义realm

与上面认证自定义realm一样,大部分情况是要从数据库获取权限数据,这里直接实现基于资源的授权。

编写自定义realm

在认证章节写的自定义realm类中完善doGetAuthorizationInfo方法,此方法需要完成:根据用户身份信息从数据库查询权限字符串,由shiro进行授权。

@Override
protected AuthorizationInfo doGetAuthorizationInfo(
		PrincipalCollection principals) {
	//获取身份信息
	String username=(String) principals.getPrimaryPrincipal();
	//根据身份信息从数据库中查询权限数据
	//...从这里使用静态数据模拟
	List<String> permissions=new ArrayList<String>();
	permissions.add("user:create");
	permissions.add("user:delete");
	
	//将权限信息封闭为AuthorrizationInfo
	SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
	for(String permission:permissions){
		simpleAuthorizationInfo.addStringPermission(permission);
	}
	return simpleAuthorizationInfo;
}
配置realm

ini配置文件还使用认证阶段使用的,不用改变。

修改test中创建securityManager工厂的配置文件
//创建securityManager工厂,通过ini配置文件创建securityManager工厂
Factory<SecurityManager> factory=new IniSecurityManagerFactory("classpath:shiro-realm.ini");

6)授权执行流程

  1. 执行subject.isPermitted(“user:create”)
  2. securityManager通过ModularRealmAuthorizer进行授权
  3. ModularRealmAuthorizer调用realm获取权限信息
  4. ModularRealmAuthorizer再通过permissionResolver解析权限字符串,校验是否匹配

下一章我们详细Spring整合shiro的使用

robona
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
shiro入门
trasewell的博客
09-25 833
目录: 1.pom.xml 2.applicationContext.xml 3.applicationContext-mybatis.xml 4.SpringBaseTest 5.优化分页 1.pom.xml <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4...
shiro详解-shiro史上最全学习笔记
m0_55613022的博客
04-08 1576
1.shiro简介 1.1.基本功能点 Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在 JavaSE 环境,也可以用在 JavaEE 环境。Shiro 可以帮助我们完成:认证授权、加密、会话管理、与 Web 集成、缓存等。其基本功能点如下图所示: Authentication:身份认证 / 登录,验证用户是不是拥有相应的身份; Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角色。或者细粒度的验
Shiro安全框架入门篇(登录验证实例详解与源码)
weixin_30838873的博客
02-03 3986
一、Shiro框架简单介绍 Apache Shiro是Java的一个安全框架,旨在简化身份验证和授权Shiro在JavaSE和JavaEE项目中都可以使用。它主要用来处理身份认证授权,企业会话管理和加密等。Shiro的具体功能点如下: (1)身份认证/登录,验证用户是不是拥有相应的身份; (2)授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做...
shiro使用的入门例子
Senssic
06-27 765
一般做权限的验证使用数据库来描述然后在chengx
快速入门Shiro
JunDong的博客
06-01 1916
讲解结合案例Shiro入门,看这篇就够了。
springboot+shiro入门案例
12-21
shiro入门案例
Apache Shiro 使用手册() Shiro授权
09-15
授权涉及到个关键元素:权限(Permission)、角色(Role)和用户(User)。 权限是 Shiro 安全机制的基础,它明确声明了用户在应用中允许进行的行为。权限声明通常以资源和操作为基础,比如 "User:view" 表示用户...
Shiro安全框架【快速入门
03-01
照例又去官网扒了扒介绍:ApacheShiroisapowerfulandeasy-to-useJavasecurityframeworkthatperformsauthentication,authorization,cryptography,andsessionmanagement.WithShiro’seasy-to-understandAPI,...
shiro授权的实现原理
08-29
Shiro 授权方式有种:编程式、注解式和 JSP/GSP 标签式。编程式是通过写 if/else 授权代码块完成的,而注解式是通过在执行的 Java 方法上放置相应的注解完成的,JSP/GSP 标签式是在 JSP/GSP 页面通过相应的标签...
shiro授权类图关系简化版
04-13
shiro授权类图关系简化版
Shiro应用实例-数据库
02-02
Java安全框架Shiro的使用实例-数据库
Shiro最全基础教程
思月行云
10-18 2366
以下引自百度百科shiro(java安全框架)_百度百科Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。(一)主要功能个核心组件:Subject,SecurityManager 和 Realms。
shiro
ZhaFi人
04-28 782
*** 自定义的realm/*** 授权方法* 操作的时候,判断用户是否具有响应的权限* 先认证 -- 安全数据* 再授权 -- 根据安全数据获取用户具有的所有操作权限//1.获取已认证的用户数据 User user =(User) principalCollection . getPrimaryPrincipal();
Shiro学习
m0_64393446的博客
06-06 293
1.shiro是apache的一个开源框架,是一个权限管理的框架,实现用户认证,用户授权2.spring中有spring security(原名acegi),是一个权限框架,他和spring依赖过于紧密,没有shiro使用简单3.shiro不依赖于spring,shiro不仅可以实现web应用的权限管理,还可以实现c/s系统,分布式系统权限管理,shiro属于轻量框架,越来越多企业项目开始使用shiro
Shiro使用
qq_43460315的博客
08-15 1801
关于shiro的使用方法
权限管理框架Shiro简介
weixin_38526781的博客
09-01 2188
权限管理框架shiro
Spring整合Shiro做权限控制模块详细案例分析
a1101282836的博客
02-18 533
1.引入Shiro的Maven依赖 dependency> groupId>org.apache.shirogroupId> artifactId>shiro-coreartifactId> version>1.2.1version> dependency> dependency> groupId>org.apache.shirogroupId>
shiroshiro实战——Spring 集成 Shiro(案例)
牧小农
11-24 5294
**步骤 加入 jar 包 配置 web.xml 文件 在 Spring 的配置文件中配置 Shiro**配置 web.xml 文件配置启动 Spring IOC 容器的 Filter 配置 WEB 应用中的 Shiro Filter 在 Spring 的配置文件中配置 Shiro配置自定义 Realm:实现自定义认证授权 配置 Shiro 实体类使用的缓存策略 配置 SecurityM
ShiroShiro从小白到大神()-权限认证(授权)
weixin_34311757的博客
09-22 568
本节讲权限认证,也就是授权 基于角色的访问控制和基于权限的访问控制的小实例 以及注解式授权和JSP标签授权详解 权限认证 权限认证核心要素 权限认证,也就是访问控制,即在应用中控制谁能访问哪些资源 在权限认证中,最核心的个要素是:权限,角色和用户 (资源也算一个要素,但不是最核心的) 权限,即操作资源的 ...
shiro入门学习.ppt
最新发布
07-19
Apache Shiro是一个强大的开源安全框架,专为简化身份认证授权、企业会话管理和数据加密而设计。它支持的功能包括但不限于: ...通过学习Shiro入门,开发者可以快速搭建安全防护层,保护应用免受未经授权的访问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

robona

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值