框架学习--shiro权限管理框架基础

最新推荐文章于 2022-11-03 13:15:23 发布
最新推荐文章于 2022-11-03 13:15:23 发布
阅读量212 收藏
点赞数
分类专栏: ssm框架
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37891064/article/details/78713880
版权

1.权限管理

权限管理实现用户对系统资源访问的控制,主要包括两个部分,认证和授权。认证部分即登陆,有资格进入系统。授权即进入系统之后,只有你被授权的资源你才有资格访问。举个例子,教务管理系统,老师的账号登陆之后,可以查看所有同学的成绩,并进行修改。但是学生的账号登陆之后,只能看到自己的成绩,并不能进行修改等操作,因为没有被授权。

2.权限模型

权限信息肯定是放在数据库之中进行管理的,那我们就得知道什么样得权限模型是好得。

主体(账号、密码)

资源(资源名称、访问地址)

权限(权限名称、资源id

角色(角色名称)

角色和权限关系(角色id、权限id

主体和角色关系(主体id、角色id

注:一般资源和权限是放在同一张表里面得,什么样得权限能访问什么资源(一般也就是请求的url)

3.授权流程

授权是shiro最主要的功能,在理解授权之前,我们先要搞清楚几个概念

1.SecurityManager  

SecurityManager即安全管理器,对全部的subject进行安全管理(也就是任何在applicationcontext-shiro中配置的bean,都要通过它的认证),它是shiro的核心,负责对所有的subject进行安全管理。通过SecurityManager可以完成subject的认证、授权等,实质上SecurityManager是通过Authenticator进行认证,通过Authorizer进行授权,通过SessionManager进行会话管理等

<!-- securityManager安全管理器 -->
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
		<property name="realm" ref="customRealm" />
		<!-- 注入缓存管理器 -->
 		<property name="cacheManager" ref="cacheManager"/> 
		<!-- 注入session管理器 -->
	   	<property name="sessionManager" ref="sessionManager" /> 
		<!-- 记住我 -->
<!-- 		<property name="rememberMeManager" ref="rememberMeManager"/> -->
		
	</bean>

2.realm

Realm即领域,相当于datasource数据源,securityManager进行安全认证需要通过Realm获取用户权限数据,比如:如果用户身份数据在数据库那么realm就需要从数据库获取用户身份信息。

更确切的说是从数据库中取出信息和从登陆会话中取出的信息进行认证和授权。

3.authenticator和authorizer

前者是认证器,对用户身份进行认证

后者是授权器,判断用户是否有对此功能的操作权限。

4.subject

Subject即主体,外部应用与subject进行交互,subject记录了当前操作用户,将用户的概念理解为当前操作的主体

,可能是一个通过浏览器请求的用户,也可能是一个运行的程序。Subject在shiro中是一个接口,接口中定义了很多认证授相关的方法,

外部程序通过subject进行认证授,而subject是通过SecurityManager安全管理器进行认证授权

理解了之后接下来就是授权流程:

1、对subject进行授权,调用方法isPermitted("permission串")

2、SecurityManager执行授权,通过ModularRealmAuthorizer执行授权

3、ModularRealmAuthorizer执行realm(自定义的CustomRealm)从数据库查询权限数据

调用realm的授权方法:doGetAuthorizationInfo

 

4、realm从数据库查询权限数据,返回ModularRealmAuthorizer

5、ModularRealmAuthorizer调用PermissionResolver进行权限串比对

6、如果比对后,isPermitted中"permission串"在realm查询到权限数据中,说明用户访问permission串有权限,

否则 没有权限,抛出异常。


	// 用于认证,
	@Override
	protected AuthenticationInfo doGetAuthenticationInfo(
			AuthenticationToken token) throws AuthenticationException {

		// token是用户输入的
		// 第一步从token中取出身份信息
		String userCode = (String) token.getPrincipal();

		// 第二步:根据用户输入的userCode从数据库查询
		SysUser sysUser=null;
		
		try {
            sysUser=sysService.findSysUserByUserCode(userCode);
        } catch (Exception e1) {
            // TODO Auto-generated catch block
            e1.printStackTrace();
        }
		
		// 
	

		// 如果查询不到返回null
		//数据库中用户账号是zhangsansan
		if(sysUser==null){//
			return null;      
		}
		//盐
		String salt=sysUser.getSalt();
		
		// 模拟从数据库查询到密码
		String password = sysUser.getPassword();
		

		// 如果查询到返回认证信息AuthenticationInfo
		ActiveUser activeUser=new ActiveUser();
		
		activeUser.setUserid(sysUser.getId());
		activeUser.setUsercode(sysUser.getUsercode());
		activeUser.setUsername(sysUser.getUsername());
		//..
		//根据用户id取出菜单
		
		//通过sevice取出菜单
		List<SysPermission> menus=null;
		try {
		    menus=sysService.findMenuListByUserId(sysUser.getId());
        } catch (Exception e) {
            // TODO Auto-generated catch block
            e.printStackTrace();
        }
		//将用户菜单设置到activeuser
		activeUser.setMenus(menus);
		//将activeuser设置到SimpleAuthenticationInfo
		SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo(
		        activeUser, password,ByteSource.Util.bytes(salt), this.getName());

		return simpleAuthenticationInfo;
	}

	// 用于授权
	@Override
	protected AuthorizationInfo doGetAuthorizationInfo(
			PrincipalCollection principals) {
		// TODO Auto-generated method stub
	    //从principals获取主身份信息
	    //将getprimaryprinciple方法返回值转换为真实的身份类型
	    ActiveUser activeUser=(ActiveUser)principals.getPrimaryPrincipal();
	    List<SysPermission> permissionList=null;
	    //根据身份信息获取权限信息
	    //连接数据库...
	    //模拟从数据库获取到数据
	    try {
            permissionList=sysService.findPermissionListByUserId(activeUser.getUserid());
        } catch (Exception e) {
            // TODO Auto-generated catch block
            e.printStackTrace();
        }
	    //单独定义一个集合对象
	    List<String> permissions=new ArrayList<String>();
	    if(permissionList!=null){
	        for(SysPermission sysPermission:permissionList)
	        {
	            //将数据库中的权限标识符号放入集合
	            permissions.add(sysPermission.getPercode());
	        } 
	    }
	   

	    
        //查到权限数据,返回授权信息(要包括 上边的permissions)
        SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
        //将上边查询到授权信息填充到simpleAuthorizationInfo对象中
        simpleAuthorizationInfo.addStringPermissions(permissions);
	    
		return simpleAuthorizationInfo;
	}



金老板家的长工
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
权限管理框架学习-shrio.ppt
10-13
权限管理框架学习-Shiro 权限管理是系统安全的重要组成部分,Shiro是一个功能强大且灵活的权限管理框架,广泛应用于各种系统中。下面是对Shiro框架的详细介绍: 权限管理的定义 权限管理是指对用户访问系统的控制...
shiro权限框架
欢迎来到编程小栈
04-20 2308
文章目录Shiro架构与功能介绍1.认证与授权相关基本概念2.Shiro四大核心功能3.Shiro三个核心组件spring security和shiro的区别相同点:不同点:第一章 权限概述1、什么是权限2、认证概念【1】什么是认证【2】认证流程【3】关键对象3、授权概念【1】什么是授权【2】授权流程【3】关键对象第二章 Shiro概述1、Shiro简介【1】什么是Shiro?【2】Shiro 的特点2、核心组件第三章 Shiro入门1.1什么是shiro1.2shiro功能简介2.1外部来看Shiro2
shiro权限框架详解03-shiro介绍
在路上
02-06 3929
1、介绍shiro的一个整体架构 2、介绍shiro的主要类的作用。 3、shiro lib包的maven坐标和作用
权限管理框架Shiro简介
weixin_38526781的博客
09-01 2205
权限管理框架shiro
Shiro总结和常见面试题
热门推荐
qq_37254736的博客
08-12 4万+
Shiro总结和常见面试题 一、 什么是shiro Shiro是一个强大易用的java安全框架,提供了认证、授权、加密、会话管理、与web集成、缓存等功能,对于任何一个应用程序,都可以提供全面的安全服务,相比其他安全框架,shiro要简单的多。 二、 Shiro的核心概念Subject、SecurityManager、Realm Subject:主体,代表了当前“用户”,这个用户不一定是一个具体的...
Shiro权限管理框架详解
WGH100817的博客
01-25 1581
1 权限管理1.1 什么是权限管理 基本上涉及到用户参与的系统都要进行权限管理权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。 权限管理包括用户身份认证和授权两部分,简称认证授权。对于需要访问控制的资源用户首先经过身份认证,认证通过后用户具有该资源的访问权限方可访问。 1.2 用户身份认证1.2...
管理系统系列--SpringBoot+Shiro权限管理系统脚手架.zip
最新发布
02-25
【SpringBoot+Shiro权限管理系统脚手架】是基于Spring Boot和Apache Shiro框架构建的高效、便捷的企业级权限管理解决方案。Spring Boot以其简洁的配置和快速开发的特点,已经成为Java Web开发的主流选择,而Shiro则...
Java 安全框架-security+shiro-源码
11-16
Java安全框架Security(原名Spring Security)和Apache Shiro是两个广泛使用的权限管理和认证框架,它们为Java应用程序提供了强大的安全防护。这两个框架在现代企业级应用中扮演着至关重要的角色,确保用户数据的...
SpringMVC-Mybatis-Shiro-redis-master
01-18
**Apache Shiro** 是一个强大且易用的Java安全框架,负责认证、授权、会话管理和加密等功能。在Web应用中,Shiro可以帮助控制用户的访问权限,实现用户登录、权限验证以及安全相关的操作。例如,它可以限制未登录...
springboot-shiro认证系统框架--成型框架
09-17
- Shiro是一个强大且易用的Java安全框架,处理认证、授权、会话管理和加密等安全相关任务。 - 认证:验证用户身份,即"你是谁"。 - 授权:确定用户可以访问哪些资源,即"你能做什么"。 - 会话管理:支持跨请求的...
ShiroDemo权限框架处理
11-20
基于spring.springmvc.mybatis.shiro.redis.mysql集合内容
Java SSM+Shiro权限框架
09-25
Java SSM+Shiro权限框架
Shiro权限框架深入浅出.pdf
05-09
Apache Shiro 是 Java 的一个安全框架。我们经常看到它被拿来和 Spring 的 Security 来对比。大部分人认为 Shiro 比 Security 要简单
权限管理Shiro系统-Apache开源顶级项目shiro-SpringMVC_Shiro项目
08-04
权限管理Shiro系统-Apache开源顶级项目shiro-SpringMVC_Shiro项目
shiro入门
trasewell的博客
09-25 854
目录: 1.pom.xml 2.applicationContext.xml 3.applicationContext-mybatis.xml 4.SpringBaseTest 5.优化分页 1.pom.xml <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4...
Apache Shiro安全框架深入讲解+面试题+案例
07-02
本课程共24节,包含一节课程总结和面试题讲解。内容包括权限管理原理和表结构设计,基于文本域的身份验证和权限验证,基于JDBC域的身份验证和权限验证,盐和加密,集成web环境,shiro过滤器的使用,session的管理,缓存和SSM的集成等。边讲边记,绝不照搬照念,是shiro学习的好资料。
权限管理框架】一文看懂Shiro权限管理框架
互联网小阿祥
11-03 2408
一文看懂Shiro权限管理框架
在项目中集成shiro权限框架
Icardi9的博客
11-10 768
在项目中集成shiro权限框架(1)   Shiro是一个功能强大的轻量级权限框架,相对其它权限框架(比如spring security)来说,要易用得很,下面,我给大家讲讲如何在一个项目中简单整合shiro。 我们通常所说的权限,就是要判断某个操作者是否有操作某个资源的权限,而资源,可以是菜单、链接、功能按钮、业务方法、某类型的数据等等,根据需求,每个项目的权限可能都有所不同,通用万能权限
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值