shiro基础学习

最新推荐文章于 2023-07-08 10:00:47 发布
最新推荐文章于 2023-07-08 10:00:47 发布
阅读量143 收藏
点赞数
分类专栏: 开发 Shiro 文章标签: shiro

查了一些资料,觉得这篇博客不错转载保存

转自

https://blog.csdn.net/sihai12345/article/details/68948456


1 shiro授权

 

1.1 授权流程

 

1.2 授权方式

Shiro 支持三种方式的授权:

1、编程式:通过写if/else 授权代码块完成:

Subject subject = SecurityUtils.getSubject();

if(subject.hasRole(“admin”)) {

//有权限

} else {

//无权限

}

2、注解式:通过在执行的Java方法上放置相应的注解完成:

@RequiresRoles("admin")

public void hello() {

//有权限

}

3、 JSP/GSP 标签:在JSP/GSP页面通过相应的标签完成:

<shiro:hasRole name="admin">

<!— 有权限—>

</shiro:hasRole>

 

本教程序授权测试使用第一种编程方式,实际与web系统集成使用后两种方式。

 

1.3 授权测试

1.3.1 shiro-permission.ini

创建存放权限的配置文件shiro-permission.ini,如下:

[html]  view plain  copy
  1. [users]  
  2. #用户zhang的密码是123,此用户具有role1和role2两个角色  
  3. zhang=123,role1,role2  
  4. wang=123,role2  
  5.   
  6. [roles]  
  7. #角色role1对资源user拥有create、update权限  
  8. role1=user:create,user:update  
  9. #角色role2对资源user拥有create、delete权限  
  10. role2=user:create,user:delete  
  11. #角色role3对资源user拥有create权限  
  12. role3=user:create  


 

ini文件中用户、角色、权限的配置规则是:“用户名=密码,角色1,角色2...” “角色=权限1,权限2...”,首先根据用户名找角色,再根据角色找权限,角色是权限集合。

 

 

 

1.3.2 权限字符串规则

权限字符串的规则是:“资源标识符:操作:资源实例标识符”,意思是对哪个资源的哪个实例具有什么操作,“:”是资源/操作/实例的分割符,权限字符串也可以使用*通配符。

 

例子:

用户创建权限:user:create,或user:create:*

用户修改实001的权限:user:update:001

用户实例001的所有权限:user*001

 

 

1.3.3 测试代码

 

测试代码同认证代码,注意ini地址改为shiro-permission.ini,主要学习下边授权的方法,注意:在用户认证通过后执行下边的授权代码。

 

[java]  view plain  copy
  1. @Test  
  2.   
  3. public void testPermission() {  
  4.   
  5.    
  6.   
  7. // 从ini文件中创建SecurityManager工厂  
  8.   
  9. Factory<SecurityManager> factory = new IniSecurityManagerFactory(  
  10.   
  11. "classpath:shiro-permission.ini");  
  12.   
  13.    
  14.   
  15. // 创建SecurityManager  
  16.   
  17. SecurityManager securityManager = factory.getInstance();  
  18.   
  19.    
  20.   
  21. // 将securityManager设置到运行环境  
  22.   
  23. SecurityUtils.setSecurityManager(securityManager);  
  24.   
  25.    
  26.   
  27. // 创建主体对象  
  28.   
  29. Subject subject = SecurityUtils.getSubject();  
  30.   
  31.    
  32.   
  33. // 对主体对象进行认证  
  34.   
  35. // 用户登陆  
  36.   
  37. // 设置用户认证的身份(principals)和凭证(credentials)  
  38.   
  39. UsernamePasswordToken token = new UsernamePasswordToken("zhang""123");  
  40.   
  41. try {  
  42.   
  43. subject.login(token);  
  44.   
  45. catch (AuthenticationException e) {  
  46.   
  47. // TODO Auto-generated catch block  
  48.   
  49. e.printStackTrace();  
  50.   
  51. }  
  52.   
  53.    
  54.   
  55. // 用户认证状态  
  56.   
  57. Boolean isAuthenticated = subject.isAuthenticated();  
  58.   
  59.    
  60.   
  61. System.out.println("用户认证状态:" + isAuthenticated);  
  62.   
  63.    
  64.   
  65. // 用户授权检测 基于角色授权  
  66.   
  67. // 是否有某一个角色  
  68.   
  69. System.out.println("用户是否拥有一个角色:" + subject.hasRole("role1"));  
  70.   
  71. // 是否有多个角色  
  72.   
  73. System.out.println("用户是否拥有多个角色:" + subject.hasAllRoles(Arrays.asList("role1""role2")));  
  74.   
  75. //subject.checkRole("role1");  
  76.   
  77. //subject.checkRoles(Arrays.asList("role1", "role2"));  
  78.   
  79.    
  80.   
  81. // 授权检测,失败则抛出异常  
  82.   
  83. // subject.checkRole("role22");  
  84.   
  85.    
  86.   
  87. // 基于资源授权  
  88.   
  89. System.out.println("是否拥有某一个权限:" + subject.isPermitted("user:delete"));  
  90.   
  91. System.out.println("是否拥有多个权限:" + subject.isPermittedAll("user:create:1","user:delete"));  
  92.   
  93. //检查权限  
  94.   
  95. subject.checkPermission("sys:user:delete");  
  96.   
  97. subject.checkPermissions("user:create:1","user:delete");  
  98.   
  99.    
  100.   
  101. }  


 

 

1.3.4 基于角色的授权

[java]  view plain  copy
  1. // 用户授权检测 基于角色授权  
  2.   
  3. // 是否有某一个角色  
  4.   
  5. System.out.println("用户是否拥有一个角色:" + subject.hasRole("role1"));  
  6.   
  7. // 是否有多个角色  
  8.   
  9. System.out.println("用户是否拥有多个角色:" + subject.hasAllRoles(Arrays.asList("role1""role2")));  


 

对应的check方法:


subject.checkRole("role1");

subject.checkRoles(Arrays.asList("role1","role2"));

 

上边check方法如果授权失败则抛出异常:

[java]  view plain  copy
  1. org.apache.shiro.authz.UnauthorizedException: Subject does not have role [.....]  


 

 

1.3.5 基于资源授权

 

[java]  view plain  copy
  1. // 基于资源授权  
  2.   
  3. System.out.println("是否拥有某一个权限:" + subject.isPermitted("user:delete"));  
  4.   
  5. System.out.println("是否拥有多个权限:" + subject.isPermittedAll("user:create:1","user:delete"));  
  6.   
  7. 对应的check方法:  
  8.   
  9. subject.checkPermission("sys:user:delete");  
  10.   
  11. subject.checkPermissions("user:create:1","user:delete");  


 

 

上边check方法如果授权失败则抛出异常:

[java]  view plain  copy
  1. org.apache.shiro.authz.UnauthorizedException: Subject does not have permission [....]  


 

 

1.4 自定义realm

与上边认证自定义realm一样,大部分情况是要从数据库获取权限数据,这里直接实现基于资源的授权。

1.4.1 realm代码

 

在认证章节写的自定义realm类中完善doGetAuthorizationInfo方法,此方法需要完成:根据用户身份信息从数据库查询权限字符串,由shiro进行授权。

 

[java]  view plain  copy
  1. // 授权  
  2.   
  3. @Override  
  4.   
  5. protected AuthorizationInfo doGetAuthorizationInfo(  
  6.   
  7. PrincipalCollection principals) {  
  8.   
  9. // 获取身份信息  
  10.   
  11. String username = (String) principals.getPrimaryPrincipal();  
  12.   
  13. // 根据身份信息从数据库中查询权限数据  
  14.   
  15. //....这里使用静态数据模拟  
  16.   
  17. List<String> permissions = new ArrayList<String>();  
  18.   
  19. permissions.add("user:create");  
  20.   
  21. permissions.add("user.delete");  
  22.   
  23. //将权限信息封闭为AuthorizationInfo  
  24.   
  25. SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();  
  26.   
  27. for(String permission:permissions){  
  28.   
  29. simpleAuthorizationInfo.addStringPermission(permission);  
  30.   
  31. }  
  32.   
  33. return simpleAuthorizationInfo;  
  34.   
  35. }  


 

 

1.4.2 shiro-realm.ini

ini配置文件还使用认证阶段使用的,不用改变。


 

1.4.3 测试代码

同上边的授权测试代码,注意修改ini地址为shiro-realm.ini

 

 

1.4.4 授权执行流程

1、 执行subject.isPermitted("user:create")

2、 securityManager通过ModularRealmAuthorizer进行授权

3、 ModularRealmAuthorizer调用realm获取权限信息

4、ModularRealmAuthorizer再通过permissionResolver解析权限字符串,校验是否匹配



持之以恒-zx
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro权限框架详解05-shiro授权
在路上
02-07 6316
介绍shiro授权的流程、自定义realm实现授权
shiro 配置注解后无权访问不进行页面跳转异常:org.apache.shiro.authz.UnauthorizedException: Subject does not have permiss...
weixin_30908707的博客
12-25 2523
该问题需要使用异常管理: <!-- 无权访问跳转的页面 --> <bean class="org.springframework.web.servlet.handler.SimpleMappingExceptionResolver">   <property name="exceptionMappings"> ...
Shiro学习之权限认证
奋斗的年轻人
11-12 6571
权限认证也就是访问控制,即在应用中控制谁能访问哪些资源. 在权限认证中,最核心的是三个要素是:权限,角色和用户. 权限,即操作资源的权力,比如访问某个页面,以及对某个模块的数据的添加,修改,删除,查看的权利(CRUD). 角色,是权限的集合,一个角色可以包含多种权限 用户,在shiro中代表访问系统的用户,即subject授权 编程式授权,基于角色和权限的访问控制 注解授权,jsp标签授权
shiro教程(3)-shiro授权
weixin_34319999的博客
04-06 62
1shiro授权1.1授权流程1.2授权方式Shiro 支持三种方式的授权:1、编程式:通过写if/else 授权代码块完成:Subject subject = SecurityUtils.getSubject();if(subject.hasRole(“admin”)) {//有权限} else {//无权限}2、注解式:通过在执行的Java方法上放置相应的注解完...
使用JdbcRealm时,UnauthorizedException: Subject does not have permission
优质后端技术知识记录
01-07 1万+
JdbcRealm默认的PermissionsLookupEnabled为false,再使用时,先把它设为true才可以 JdbcRealm.setPermissionsLookupEnabled(true);
shiro基础知识学习
cccy的博客
07-08 71
授权,即访问控制,控制哪些用户能访问哪些资源。主体进行身份认证后需要分配权限方可访问系统的资源,对于某些没有权限的资源是无法访问的。如果自己完成认证和授权相对来说比较麻烦。可以使用第三方框架帮你完成认证和权限的绑定。使用比较多的第三方框架---shiro和springsecurity安全框架。shiro使用比较简单。而且它可以单独使用也可以和spring框架整合。
shiro框架的基础学习
02-02
通过上述知识点的学习,你可以构建起对 Apache Shiro基础理解,并能够将其应用于实际项目中,实现高效且安全的权限控制。在深入学习 Shiro 的同时,也要注意与 Spring、Spring Boot 等其他框架的集成,以充分利用...
shiro学习笔记
12-20
1. **Shiro基础** - **认证**:Shiro提供了一套完整的认证流程,包括凭证匹配、账号状态检查等,确保用户身份的正确性。 - **授权**:权限控制是Shiro的重要功能,它支持角色和权限的细粒度分配,能实现URL级别的...
shiro学习资料
08-29
"shiro入门学习.ppt"是Shiro基础教程,可能包含了Shiro的基本概念介绍、快速入门指南和简单的示例代码。通过这个PPT,初学者可以快速上手,了解如何创建用户认证和授权流程。 "shiro使用方法.ppt"则是关于Shiro更...
Shiro框架学习代码
05-03
在这个“Shiro框架学习代码”压缩包中,我们可以看到一些基本的学习资源,用于理解和实践 Shiro 的核心功能。 1. **认证**: 认证是验证用户身份的过程。在 Shiro 中,这一过程通过 `AuthenticationInfo` 类来实现...
shiro学习心得
05-20
#### 一、Shiro 认证与权限管理基础 Apache Shiro 是一个强大且易用的 Java 安全框架,它提供了认证(Authentication)、授权(Authorization)、加密(Cryptography)以及会话管理等功能。通过本文档,将深入探讨 ...
shiro授权
分享牛
05-22 1万+
shiro授权shiro授权,分享牛系列,分享牛专栏,分享牛。shiro授权原理,shiro授权分析。shiro授权1.1 授权流程 1.2 授权方式Shiro 支持三种方式的授权: 编程式:通过写if/else 授权代码块完成:Subject subject = SecurityUtils.getSubject();if(subject.hasRole(“admin”)) {//有权限} e
springboot + shiro , 无权限操作org.apache.shiro.authz.UnauthorizedException: Subject does not have permis
RanGe的博客
03-04 1万+
使用springboot+shiro框架对controller中方法进行鉴权时, 在shiro配置文件中设置如下内容不起作用 // 鉴权页面,认证不通过跳转 shiroFilterFactoryBean.setUnauthorizedUrl("/error403"); 这里配置了当用户没有权限访问时, 跳转到error403界面, 但是我现在就是想要的是, 当用户没有权限访问时, 跳转到一个我自...
shiro错误:Subject does not have permission [user:select]
热门推荐
weixin_34274029的博客
12-30 1万+
使用的是jdbcRealm,在数据库中有相应的权限 错误日志: org.apache.shiro.authz.UnauthorizedException: Subject does not have permission [user:select] at org.apache.shiro.authz.ModularRealmAuthorizer.checkPermission(ModularR...
基于SpringCloud微服务架构的B2C电子商务系统-可执行内含文档代码-可执行内含文档代码.zip
07-28
基于SpringCloud微服务架构的B2C电子商务系统-可执行内含文档代码-可执行内含文档代码.zip
智慧校园整体解决方案-6PPT(102页).pptx
07-28
智慧校园整体解决方案是响应国家教育信息化政策,结合教育改革和技术创新的产物。该方案以物联网、大数据、人工智能和移动互联技术为基础,旨在打造一个安全、高效、互动且环保的教育环境。方案强调从数字化校园向智慧校园的转变,通过自动数据采集、智能分析和按需服务,实现校园业务的智能化管理。 方案的总体设计原则包括应用至上、分层设计和互联互通,确保系统能够满足不同用户角色的需求,并实现数据和资源的整合与共享。框架设计涵盖了校园安全、管理、教学、环境等多个方面,构建了一个全面的校园应用生态系统。这包括智慧安全系统、校园身份识别、智能排课及选课系统、智慧学习系统、精品录播教室方案等,以支持个性化学习和教学评估。 建设内容突出了智慧安全和智慧管理的重要性。智慧安全管理通过分布式录播系统和紧急预案一键启动功能,增强校园安全预警和事件响应能力。智慧管理系统则利用物联网技术,实现人员和设备的智能管理,提高校园运营效率。 智慧教学部分,方案提供了智慧学习系统和精品录播教室方案,支持专业级学习硬件和智能化网络管理,促进个性化学习和教学资源的高效利用。同时,教学质量评估中心和资源应用平台的建设,旨在提升教学评估的科学性和教育资源的共享性。 智慧环境建设则侧重于基于物联网的设备管理,通过智慧教室管理系统实现教室环境的智能控制和能效管理,打造绿色、节能的校园环境。电子班牌和校园信息发布系统的建设,将作为智慧校园的核心和入口,提供教务、一卡通、图书馆等系统的集成信息。 总体而言,智慧校园整体解决方案通过集成先进技术,不仅提升了校园的信息化水平,而且优化了教学和管理流程,为学生、教师和家长提供了更加便捷、个性化的教育体验。
anaconda配置pytorch环境.pdf
最新发布
07-28
使用Anaconda配置PyTorch环境是一个相对直接的过程,以下是一个详细的步骤指南,包括Anaconda的下载与安装、PyTorch环境的创建以及PyTorch的安装与验证。 一、Anaconda的下载与安装 1.访问Anaconda官网: 1.前往Anaconda官网下载最新版本的Anaconda。 2.下载Anaconda: 1.在官网首页,点击“Free Download”按钮,选择合适的操作系统版本进行下载。 3.安装Anaconda: 1.双击下载好的Anaconda安装包,按照提示进行安装。 2.注意选择安装路径(建议不安装在C盘),并确保安装路径为全英文。 3.安装过程中,根据需要选择“为所有用户安装”或“仅为当前用户安装”。 4.验证Anaconda安装: 1.安装完成后,打开“Anaconda Prompt”(或Anaconda Navigator),输入conda --version查看conda版本,以验证Anaconda是否安装成功。 二、创建PyTorch环境 1.打开Anaconda Prompt: 1.在开始菜单中找到并打开“Anaconda Pro
2024小米SOC面试经验
07-28
• 自我介绍,然后针对项目实习进行提问。 • sdram仲裁模块设计:面试官询问了我关于sdram(同步动态随机存取存储器)仲裁模块的设计思路,这可能涉及到如何高效地管理多个设备或进程对sdram的访问,确保数据一致性和性能优化。 • FIFO设计:我们探讨了FIFO(先进先出队列)是否使用了现成的IP核(知识产权核),并假设如果我自己设计FIFO时可能遇到的难点,如同步问题、缓冲区管理、性能优化等。 • 跨时钟域问题:讨论了跨时钟域信号同步的挑战,特别是信号展宽(metastability)的解决策略,这是确保数据在不同时钟域间可靠传输的关键。 • TMDS编码流程:面试官询问了我TMDS(Transition Minimized Differential Signaling,转换最小化差分信号)编码的具体流程,这通常涉及视频或高速数据传输领域,要求我对数据传输协议有深入理解。 • 项目调试方法:面试官要求我分享在项目中如何进行调试的经验,包括使用的工具、调试策略及问题解决过程。
Java安全框架Apache Shiro基础教程
Apache Shiro 是一款Java安全框架,它为开发者提供了一种简单易用的方式来处理认证、授权、会话...通过本教程的学习,开发者将能够掌握Apache Shiro的基本使用,实现在Java项目中快速构建安全功能,满足日常开发需求。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值