shiro授权

最新推荐文章于 2022-12-24 09:27:36 发布
最新推荐文章于 2022-12-24 09:27:36 发布
阅读量197 收藏
点赞数
分类专栏: shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35325795/article/details/80329171
版权
一、Shiro授权

1.授权,也叫访问控制,即在应用中控制谁访问那些资源(如访问页面/编辑数据/页面操作等)。在授权中需要了解的几个关键对象:主体(Subject),资源(Resource),权限(Permission),角色(Role)。
2.主体(Subject):访问应用的用户,在Shiro中使用Subject代表该用户。用户只有授权后才允许访问相应的资源。
3.资源(Resource):在应用中用户可以访问的url,比如访问jsp页面,查看/编辑某些数据,访问某个业务方法,打印文本等等都是资源。用户只有授权后才能访问。
4.权限(Permission):安全策略中的原子授权单位,通过权限我们可以表示用户在应用中用户有没有操作这个资源的权利。即权限表示在应用中能不能访问某个资源,如:访问用户列表页面查看/新增/修改/删除用户数据(很多时候都是CRUD式权限控制等)。权限代表了用户有没有操作某个资源的权利,即反映在某个资源上的操作允不允许。
5.shiro支持粗粒度权限(如用户模块的所有权限)和细粒度权限(操作某个用户的权限,即实例级别的)

6.角色(Role):权限的集合,一般情况下会赋予用户角色而不是权限,即这样的用户可以拥有一组权限,赋予权限时比较方便。典型的如:项目经理,技术总监,CTO,开发工程师等都是角色,不同的角色拥有一组不同的权限。

二、Shiro支持三种授权方式
    - 编程式:通过写if/else授权代码块完成
    - 注解式:通过在执行的java方法上放置相应的注解完成,没有权限将抛出相应的异常

    - jsp/GSP标签:在JSP/GSP页面通过相应的标签完成

三、Shiro授权的Realm编写
1).需要继承自AuthorizingRealm类,并实现doGetAuthorizationInfo方法
2).AuthorizingRealm 类继承自 AuthenticatingRealm ,但没有实现 AuthenticatingRealm 的 doGetAuthenticationInfo 方法。所以认证和授权只需要继承 AuthorizingRealm 就可以了,同时实现他的两个抽象方法。

实例代码:

package cn.com.shiro.realm;

import java.util.HashSet;
import java.util.Set;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.LockedAccountException;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.crypto.hash.SimpleHash;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.util.ByteSource;

public class ShiroRealm extends AuthorizingRealm {
     
    //用于认证的方法
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        
        System.out.println("info--> : FirstRealm is lodding");
        
        //1.把 token 转化为 UsernamePasswordToken 对象
        UsernamePasswordToken upToken = (UsernamePasswordToken)token;
        
        //2.从 UsernamePasswordToken 中获取用户名 username 
        String username = upToken.getUsername();
        
        //3.从数据库中查询 username 对应的记录
        System.out.println("从数据库中获得username: " + username + " 所对应的用户信息.");
        
        //4.若用户不存在,则可以抛出 UnknownAccountException 异常
        if("unknown".equals(username)){
            throw new UnknownAccountException("用户不存在!");
        }
        
        //5.根据用户情况 ,决定是否抛出其他 AuthenticationException 异常
        if("monster".equals(username)){
            throw new LockedAccountException("用户被锁定!");
        }
        
        //6.根据用户的情况,构建 AuthenticationInfo 对象并返回,通常使用的实现类是 SimpleAuthenticationInfo
        //一下信息是从数据库中获取的
        
        //1).principal:认证的实体信息,可以是username,也可以是实体类的对象
        Object principal = username;
        //2).credentials:数据库中获取的密码
        Object credentials = null;//"fc1709d0a95a6be30bc5926fdb7f22f4";
        if(username.equals("admin")){
            credentials = "038bdaf98f2037b31f1e75b5b4c9b26e";
        }else if(username.equals("user")){
            credentials = "038bdaf98f2037b31f1e75b5b4c9b26e";
        }
        //3).realmName:当前realm对象的name, 调用父类对象的 getName()方法即可
        String realmName = getName();
        //4).盐值
        ByteSource credentialsSalt = ByteSource.Util.bytes(username);
        SimpleAuthenticationInfo info = null;//new SimpleAuthenticationInfo(principal, credentials, realmName);
        info = new SimpleAuthenticationInfo(principal, credentials, credentialsSalt, realmName);
        return info;
    }
    
    public static void main(String[] args) {
        String algorithmName = "MD5";
        Object credentials = "123456";
        Object salt = ByteSource.Util.bytes("user");
        int hashIterations = 1024;
        Object result = new SimpleHash(algorithmName, credentials, salt, hashIterations);
        System.out.println(result);
    }
    
    //用于授权的方法
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        System.out.println("授权 --> doGetAuthorizationInfo...");
        
        //1.从PrincipalCollection中来获取登录用户的信息
        Object principal = principals.getPrimaryPrincipal();
        
        //2.利用登录的用户信息来获取当前用户的角色或权限(可能需要查询数据库)
        Set<String> roles = new HashSet<>();
        roles.add("user");
        if(principal.equals("admin")){
            roles.add("admin");
        }
        
        //3.创建SimpleAuthorizationInfo , 并设置其roles属性
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo(roles);
        
        //4.返回 SimpleAuthorizationInfo 对象
        
        return info;
    }

}

宋温暖z
关注
专栏目录
Shiro授权
m0_67864917的博客
08-26 262
1) 获取验证身份(用户名)2) 根据身份(用户名)获取角色和权限信息3) 将角色和权限信息设置到SimpleAuthorizationInfo。
shiro授权设计的两种思路
05-03
Shiro授权设计中,主要存在两种思路,分别是基于角色的访问控制(Role-Based Access Control, RBAC)和基于权限的访问控制(Permission-Based Access Control)。这两种思路各有特点,适用于不同的应用场景。 **1...
Shiro学习笔记(四):Shiro中的授权
weixin_47382783的博客
12-12 2579
一、授权介绍 1、授权 授权:即访问控制,控制谁能够访问哪些资源。主体进行身份认证后需要分配权限方可访问系统的资源,对于没有授权的资源则是无法访问的。 对于授权可以理解为谁对哪些资源进行什么操作,授权中的关键对象如下: 主体:主体需要访问系统中的资源 资源:如系统菜单、页面、按钮、类方法、系统商品信息等。资源包括资源类型和资源实例,比如商品信息为资源类型,类型为g01的商品则称为资源实例,订单编号为o01的订单也为资源实例。 权限/许可:规定了主体...
shiro 授权
dream_heheda的博客
09-27 492
授权的三要素: 用户,角色,权限把权限 赋给角色, 把角色和一个多个用户相关联授权: 匹配过程Shiro的三种授权方式 编写代码—— 在java代码中 使用ifelse块 执行授权检查 JDK 的注解—— 添加授权注解给java方法 JSP/GSP 标签库 —— 控制基于角色和权限的jsp页面输出
shiro授权的实现原理
08-29
Shiro 授权的实现原理 Shiro 授权的实现原理是指在应用中控制谁能访问哪些资源的机制。这个机制主要涉及到四个关键对象:主体(Subject)、资源(Resource)、权限(Permission)、角色(Role)。 1. 主体...
shiro授权类图关系简化版
04-13
shiro授权类图关系简化版
SimpleAuthenticationInfo的参数
dxyzhbb的博客
01-09 2730
SimpleAuthenticationInfo的参数 仅供个人参考,以及学习记录。 SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo( userInfo, //用户名–此处传的是用户对象 userInfo.getPassword(), //密码—从数据库中获取的密码 salt, getName()...
shiro 授权和注解开发
LIN_17970的博客
10-15 404
shiro 授权和注解开发shiro授权shiro注解式开发 数据库的表设计: shiro授权ShiroUserMapper.xml中新增内容 <!-- 这是根据用户id获取到所拥有的角色集合--> <select id="getRolesByUserId" resultType="java.lang.String" parameterType="java.lang....
Shiro授权
最新发布
qq_57907966的博客
12-24 1247
在controller层创建接口使用shiro中的注解@RequiresRoles指定能访问的角色名称在自定义的MyRealm自定义授权方法其中的service层dao层数据库表role角色表角色用户关系表。
shiro授权
weixin_50020236的博客
07-11 718
shiro 授权
Shiro授权(Authorization)
qq_45136677的博客
09-19 197
授权 授权,也叫访问控制,既在应用中控制谁能访问哪些资源(如访问页面/编辑数据/页面操作等).在授权中需了解几个关键对象:主体(Subject),资源(Resource),权限(Permission).角色(Role). 主体 主体,既访问应用的用户,在Shiro中使用Subject代表该用户.用户只有授权后才允许访问相应的资源. 资源 在应用中用户可以访问的任何东西,比如访问JSP页面,查看/编辑某些数据,访问某个业务方法,打印文本等等都是资源.有货只有授权以后才能访问. 权限 安全策略中的原子授权单位,
Shiro中的授权
萝卜_7
08-09 147
Shiro授权 1. 授权授权,即访问控制。主体通过身份认证之后,需要分配权限。 2. 关键对象 Who 主体,即主体需要访问系统中的资源 What 即资源,如系统菜单、页面、按钮、类方法、系统商品信息等。资源包括资源类型和资源实例,比如商品信息为资源类型,类型为t01的商品为资源实例,编号为001的商品信息也属于资源实例。 How 权限/许可,规定主体对资源的操作访问,权限离开资源乜有意义,如用户查询权限,用户添加权限。通过权限可以知道主体对哪些资源有哪些操作许可。 3. 授
Shiro授权详解:编程式、注解式与JSP标签授权
"Shiro授权.pdf 是一份关于Apache Shiro授权机制的技术文档,涵盖了授权流程、授权方式以及如何进行授权测试等内容。文档分享了如何利用Shiro实现编程式、注解式和JSP标签的方式来控制权限访问,并提供了ini配置文件...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值