Shiro自定义realm检查用户权限与流程详解(五)

最新推荐文章于 2021-02-21 23:47:46 发布
最新推荐文章于 2021-02-21 23:47:46 发布
阅读量479 收藏
点赞数
分类专栏: Shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37431224/article/details/103925548
版权

项目结构:

1)自定义PermissionRealm 继承 AuthorizingRealm 重写3个方法: getName   doGetAuthorizationInfo   doGetAuthenticationInfo

      其中AuthenticationInfo方法请回看第(二篇)

public class PermissionRealm extends AuthorizingRealm {
    public String getName() {
        return "MyRealm";
    }

    //授权操作
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        //principals:用户认证凭证信息
        //SimpleAuthenticationInfo:认证方法返回封装认证信息中第一个参数,用户信息(username)

        //当前登录用户名信息:用户凭证
        String username= (String) principals.getPrimaryPrincipal();

        //模拟查询数据库:查询用户知道的角色与权限
        List<String> roles =new ArrayList<String>();
        List<String> permissions =new ArrayList<String>();

        //假设数据库有role1权限
        roles.add("role1");

        //假设数据库有user:delete权限
       // permissions.add("user:delete");
        permissions.add("user:*");

        //返回用户在数据库中的权限与角色
        SimpleAuthorizationInfo info =new SimpleAuthorizationInfo();
        info.addRoles(roles);
        info.addStringPermissions(permissions);

        return info;
    }

    //认证操作
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        //参数token:表示登陆时保证的UsernamePasswordToken
        //通过用户名到数据库中查用户信息,封装成一个AuthenticationInfo认证对象返回,方便认证器进行对比
        String username = (String) authenticationToken.getPrincipal();

        //通过用户名查询数据库,讲改用户对应数据查询返回:账号与密码
        //假设查询数据库返回数据为:zhangsan 666
        if (!"zhangsan".equals(username)) {
            return null;
        }
        String password = "666";

        //info对象表示realm登陆对比信息,(用户名,密码,realm名字)
        SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(username, password, getName());
        return info;
    }
}

 2)配置ini文件(shiro-permission-realm.ini)

[main]
#自定义realm
myRealm=com.fxys.day05PermissionRealm.PermissionRealm
#指定Securitymanager的realm实现
securityManager.realms=$myRealm

3)加载配置文件,完成测试(测试权限请看上一章(第四篇))

public class ShiroTest {
    public static void main(String[] args) {
        Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro-permission-realm.ini");
        SecurityManager securityManager = factory.getInstance();
        SecurityUtils.setSecurityManager(securityManager);
        Subject subject = SecurityUtils.getSubject();
        UsernamePasswordToken token = new UsernamePasswordToken("zhangsan", "666");
        subject.login(token);
        System.out.println("登陆是否成功" + subject.isAuthenticated());

        //判断当前用户是否有某个角色的权限
        System.out.println(subject.hasRole("role1"));
        System.out.println(subject.isPermitted("user:list"));
    }
}

流程详解:

1、首先调用Subject.isPermitted*/hasRole*接口,其会委托给SecurityManager,而SecurityManager接着会委托给Authorizer
2、Authorizer是真正的授权者,如果我们调用如isPermitted(“user:view”),其首先会通过PermissionResolver把字符串转换成相应的Permission实例;
3、在进行授权之前,其会调用相应的Realm获取Subject相应的角色/权限用于匹配传入的角色/权限;
4、Authorizer会判断Realm的角色/权限是否和传入的匹配,如果有多个Realm,会委托给ModularRealmAuthorizer进行循环判断,如果匹配如isPermitted*/hasRole*会返回true,否则返回false表示授权失败。

 

风吹底裤飘
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Shiroshiro自定义Realm
来日浅谈的博客
05-27 1163
Shiroshiro自定义Realm1. 创建数据库表2. Dao层和Service层3. 自定义Realm4. 配置Realm shirorealm的是进行认证和授权的组件,自带了几种实现,比如jdbcRealm和iniRealm,实际项目中肯定都是自己实现realm。 1. 创建数据库表 创建⽤户表,⻆⾊表,权限表,以及对应的中间表。 create table t_user( id int primary key auto_increment, username varchar(
3.Shiro认证流程1_调用自定义realm
T_P_F的博客
04-26 343
一、认证流程 认证即登录 1.获取当前的Subject,使用SecurityUtils.getSubject() 2.测试当前用户是否已经被认证,即是否已经登录,调用Subject的isAuthenticated()方法 3.若没有认证,则需要把账号密码封装成UsernamePasswordToken对象,提交到Handler。 ①表单页面 ②提交到Handler ...
Shiro 自定义Realm实现认证
mengxianglong123的博客
10-17 160
认证流程 1. 获取当前的 Subject. 调用 SecurityUtils.getSubject(); 2. 测试当前的用户是否已经被认证. 即是否已经登录. 调用 Subject 的 isAuthenticated() 3. 若没有被认证, 则把用户名和密码封装为 UsernamePasswordToken 对象 1). 创建一个表单页面 2). 把请求提交到 Spring...
shiro框架学习5--自定义realm检查用户拥有权限
weixin_42404323的博客
05-14 286
shiro框架学习记录,不对之处还请各位不吝赐教 第一步:自定义permissionRealm继承AuthorizingRealm 重写getName、doGetAuthorizationInfo、doGetAuthenticationInfo三个方法 第二步:配置ini文件 第三步:测试 注意第一条红线,为ini文件路径,名字也不能错 结果: 该用户的确有role1角色和user:de...
Shiro_自定义Realm完成认证和权限验证
qq_44193036的博客
03-04 569
通过前面的入门程序,我们需要对Shiro的基本API执行过程有一定的了解。 securityManager在框架中充当安全管理器的角色,Subject为实体对象,通过Subject我们可以封装前台传输的用户名和密码数据,并且将实体对象传递给securitymanager。然后securitymanager会将数据交给认证器和授权器进行认证和权限验证,而认证的依据就是通过Realm,认证完成之后将结...
详解spring与shiro集成
08-29
在本文中,我们将深入探讨如何将Spring框架与Apache Shiro安全框架集成,以便在Java应用程序中实现用户认证和授权。Apache Shiro是一个轻量级的安全框架,它提供了一种简单的方式来处理身份验证、授权和会话管理。而...
OAuth2与shiro集成共18页.pdf.zip
10-30
Shiro允许自定义角色和权限,可以通过 Realm 配置来实现对OAuth2令牌中角色和权限的解析。这使得即使在OAuth2环境下,也能实现对用户不同权限的精确控制。 **总结** OAuth2与Shiro的集成,提供了强大的安全解决方案...
Springboot + shiro权限管理
最新发布
11-17
**SpringBoot + Shiro 权限管理详解** 在现代企业级应用开发中,权限管理是不可或缺的一部分,它确保用户只能访问他们被授权的资源。SpringBoot 和 Apache Shiro 是两个非常流行的 Java 开发框架,它们结合可以构建...
注释最全,一步步详解 shiro-ssm登录认证权限授予验证案例.zip
09-04
在本案例中,我们将深入探讨如何将 Shiro 与 Spring(SSM)框架整合,实现用户登录认证和权限授予功能。 1. **Shiro 的核心组件**: - **Authentication(认证)**:验证用户身份,通常涉及到用户名和密码的验证。...
shiro权限框架
04-07
### Shiro权限框架详解 #### 一、权限概述与核心概念 在现代软件系统中,权限控制是一项重要的安全措施,它确保只有经过适当验证和授权的用户才能访问特定资源或执行特定操作。权限控制通常包括两个核心方面:认证...
Shiro 权限校验分析
黑马程序员官方博客
03-11 458
Shiro 概述 Shiro 是一款 Apache 提供的权限校验框架, Shiro 同时也是一个强大且易用的 Java 安全框架,执行身份验证、授权、密码学和会话管理。使用 Shiro 的易于理解的 API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序,特别是今天对权限校验和管理特别严格,大家有必要对shiro 有一个基本的认识和学习。 Shiro 的三...
自定义realm检查用户拥有权限
qq_44971387的博客
04-06 208
编写shiro-permission-realm.ini配置文件 [main] #声明一个realm myReal= com.feng.realm.PermissionRealm #指定securityManager的realms实现 securityManager.realms=$myReal 自定义Realm,重写授权方法 public class PermissionRealm exten...
authorization权限控制_shiro入门学习--授权(Authorization)|筑基初期
weixin_30356603的博客
01-31 571
写在前面经过前面的学习,我们了解了shiro中的认证流程,并且学会了如何通过自定义Realm实现应用程序的用户认证。在这篇文章当中,我们将学习shiro中的授权流程。授权概述这里的授权指的是授予某一系统的某一用户访问受保护资源的权限,分为查询、修改、插入和删除几类。没有相关权限的用户将无法访问受保护资源,具有权限的用户只能在自己权限范围内操作受保护资源。关键对象主体(Subject)即指定的某一用...
spring集成shiro注解授权
hgx2014的博客
04-26 1119
这种授权主要有3个配置: 1.springmvc.xml                       2.自定义realm中对于AuthorizationInfo方法的重写  //授权方法       protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalC
shiro验证用户和获取权限角色
bigwatermel的博客
09-16 1万+
这2个方法究竟是在什么时候调用的,记录如下: shiro 中的AuthorizingRealm有2个方法doGetAuthorizationInfo()和doGetAuthenticationInfo(),一般实际开发中, 我们都继承AuthorizingRealm类然后重写doGetAuthorizationInfo和doGetAuthenticationInfo。          do...
Shiro自定义realm检查用户角色权限
这天有点热的博客
05-07 598
整体目录: pom文件 <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://...
Shiro入门10:自定义Realm进行授权
热门推荐
机智猫
03-30 1万+
需求:     |---前一个的程序通过shiro-permission.ini作为数据源对权限信息进行静态配置,实际开发中从数据库中获取权限数据         就需要自定义realm,由Realm从数据库查询权限数据。     |---Realm根据用户身份查询权限数据,将权限数据返回给Authorizer(授权器)     |     |---自定义Realm【实现Authoriz
shiro的源码学习(四)-- 深入理解realm
weixin_33850015的博客
07-21 143
IniRealm的类结构如下图: 下面分析每个类: (1)Ream: 域的顶点,其代码如下:securityManager会使验证器来调用,验证器通过Realm返回用户信息,确定用户是否登录成功: 1 public interface Realm { 2 String getName();//返回Realm的名字,唯一 3 boolean supports(...
realm java_Java-Shiro(四):Shiro Realm讲解(一)Realm介绍
weixin_36377344的博客
02-21 962
Realm简介Realm:英文意思‘域’,在Shiro框架中,简单理解它存储(读取配置、读取数据库、读取内存中)用户信息,并且它充当了Shiro与应用安全数据间的“桥梁”(“连接器”),当对某个用户执行认证(登录)和授权(用户用有的角色、资源,或者说访问控制)验证时,Shiro会从应用配置的Realm中查找用户以及权限信息。从它的在Shiro矿建中所起的作用来讲,Realm相当于是一个安全相关的D...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值