shiro学习笔记(3) -- 授权

最新推荐文章于 2021-08-31 17:35:06 发布
最新推荐文章于 2021-08-31 17:35:06 发布
阅读量127 收藏
点赞数
分类专栏: shiro 文章标签: shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38970428/article/details/93069716
版权

3. 授权

1. shiro权限初始

​ Shiro 支持粗粒度权限(如用户模块的所有权限)和细粒度权限(操作某个用户的权限,即按钮级别的)。

授权过程主要了解几个关键对象:主体(Subject)、资源(Resource)、权限(Permission)、角色(Role)。

Subject:主体,即访问应用的用户,Subject接口提供了很多方法,主要包括进行认证的登录登出方法、进行授权判断的方法和Session访问的方法。

Resource: 用户想访问的东西。

Permission:安全策略中的原子授权单位,通过权限我们可以表示在应用中用户有没有操作某个资源的权力。即权限表示在应用中用户能不能访问某个资源,例如,一个用户操作实体的CRUD权力。

Role:角色可以理解为自定义权限的集合,达到不用用户的权限粗颗粒实现。举个例子,学生和教师就两个不同的角色,他们分别由读书,做作业,教书,改作业的权限。

2. shiro授权方式

​ Shiro 支持三种方式的授权:

2.1 编程的方式:

Subject subject = SecurityUtils.getSubject(); 
if(subject.hasRole(“admin”)) { 
 //有权限
} else { 
 //无权限
}

2.2 注解的方式

@RequiresRoles("admin") 
public void hello() { 
 //有权限
}

2.3 注入到JSP中

<shiro:hasRole name="admin"> 
<!— 有权限 —> 
</shiro:hasRole>

3. 权限判断

3.1 粗颗粒(判断角色)

  1. 编写ini文件(shiro-role.ini)

    [users] 
zhang=123,role1,role2 #role1,role2 表示角色
wang=123,role1

  2. 编写base 基类,方便后面编写

    public class BaseTest
{
    /**
     * 模拟登录
     * @param configFile 文件位置
     * @param username  用户名
     * @param password  密码
     */ 
    protected void login(String configFile, String username, String password) {
        IniSecurityManagerFactory factory = new IniSecurityManagerFactory(configFile);
        SecurityManager manager = factory.getInstance();
        SecurityUtils.setSecurityManager(manager);

        Subject subject = subject();

        UsernamePasswordToken token = new UsernamePasswordToken(username, password);
        subject.login(token);
    }
    
	/**
     * 获取Subject
     * @return
     */
    public Subject subject() {
        return SecurityUtils.getSubject();
    }
}

  3. 判断角色:hasRole,hasAllRole

    @Test
public void testHasRole(){
    login("classpath:shiro-role.ini", "zhang", "123");
    //判断拥有角色:role1
    Assert.assertTrue(subject().hasRole("role1"));

    Assert.assertTrue(subject().hasAllRoles(Arrays.asList("role1", "role2")));

    boolean[] result = subject().hasRoles(Arrays.asList("role1", "role2", "role3"));
    for(int i = 0; i < result.length; i++){
        System.out.println(result[i]);
    }
}

  4. 断言拥有角色,如果未拥有角色,将报UnauthorizedException异常

    @Test(expected = UnauthorizedException.class)
public void testCheckRole() {
    login("classpath:shiro-role.ini", "zhang", "123");
    //断言拥有角色:role1
    subject().checkRole("role1");
    //断言拥有角色:role1 and role3 失败抛出异常
    subject().checkRoles("role1", "role3");
}

3.2 细颗粒(判断权限)

  1. 编写ini文件(shiro-permission.ini)

    [users]
zhang=123,role1,role2
wang=123,role1
[roles]
role1=user:create,user:update
role2=user:create,user:delete

  2. 判断是否有权限,isPermittedisPermittedAll

    public class PermissionTest extends BaseTest
{
    @Test
    public void testPermission(){
        login("classpath:shiro-permission.ini", "zhang", "123");
        //判断拥有权限:user:create
        Assert.assertTrue(subject().isPermitted("user:create"));
        //判断拥有权限:user:update and user:delete
        Assert.assertTrue(subject().isPermittedAll("user:update", "user:delete"));
        //判断没有权限:user:view
        Assert.assertFalse(subject().isPermitted("user:view"));
    }
}

  3. 断言权限,如果没有该权限,会抛出异常UnauthorizedException

    @Test(expected = UnauthorizedException.class) 
     public void testCheckPermission () { 
     login("classpath:shiro-permission.ini", "zhang", "123"); 
     //断言拥有权限:user:create 
     subject().checkPermission("user:create"); 
     //断言拥有权限:user:delete and user:update 
     subject().checkPermissions("user:delete", "user:update"); 
     //断言拥有权限:user:view 失败抛出异常
     subject().checkPermissions("user:view"); 
 }

4. 字符串通配符权限

4.1 权限配置规则

​ 规则:“资源标识符:操作:对象实例 ID” 即对哪个资源的哪个实例可以进行什么操作。其默认支持通配符权限字符串,“:”表示资源/操作/实例的分割;“,”表示操作的分割;“*”表示任意资源/操作/实例。

  1. 单个资源配置

    # 用户拥有资源“system:user”的“update”权限。
role41=system:user:update

  2. 单个字段多个权限

    role42=system:user:update,system:user:delete

    代码判断

    // 这种方式只能用一下方式来判断
subject().checkPermissions("system:user:update", "system:user:delete");

// 以这种方式来写就会识别不到
subject().checkPermissions("system:user:update,delete");

    第二种写法:

    role43="system:user:update,delete"

    代码判断

    // 以下两种写法都能识别
subject().checkPermissions("system:user:update", "system:user:delete");

subject().checkPermissions("system:user:update,delete");

  3. 单个资源全部权限

    role51="system:user:create,update,delete,view"

    代码判断

    // 以下两种写法都能识别
subject().checkPermissions("system:user:create,delete,update:view");

subject().checkPermissions("system:user:*");

  4. 所以资源全部权限

    role61=*:view

    代码判断

    subject().checkPermissions("user:view");

    用户拥有所有资源的“view”所有权限。假设判断的权限是“"system:user:view”,那么需要“role5=::view”这样写才行。

5. 授权过程

流程如下:

  1. 首先调用Subject.isPermitted*/hasRole*接口,其会委托给SecurityManager,而SecurityManager接着会委托给Authorizer;
  2. Authorizer是真正的授权者,如果我们调用如isPermitted(“user:view”),其首先会通过PermissionResolver把字符串转换成相应的Permission实例;
  3. 在进行授权之前,其会调用相应的Realm获取Subject相应的角色/权限用于匹配传入的角色/权限;
  4. Authorizer会判断Realm的角色/权限是否和传入的匹配,如果有多个Realm,会委托给ModularRealmAuthorizer进行循环判断,如果匹配如isPermitted/hasRole会返回true,否则返回false表示授权失败。

ModularRealmAuthorizer进行多Realm匹配流程:

  1. 首先检查相应的Realm是否实现了实现了Authorizer;
  2. 如果实现了Authorizer,那么接着调用其相应的isPermitted*/hasRole*接口进行匹配;
  3. 如果有一个Realm匹配那么将返回true,否则返回false。

如果Realm进行授权的话,应该继承AuthorizingRealm,其流程是:

1.1 如果调用hasRole,则直接获取AuthorizationInfo.getRoles()与传入的角色比较即可;

1.2 首先如果调用如isPermitted(“user:view”),首先通过PermissionResolver将权限字符串转换成相应的Permission实例,默认使用WildcardPermissionResolver,即转换为通配符的WildcardPermission;

2 通过AuthorizationInfo.getObjectPermissions()得到Permission实例集合;通过AuthorizationInfo. getStringPermissions()得到字符串集合并通过PermissionResolver解析为Permission实例;然后获取用户的角色,并通过RolePermissionResolver解析角色对应的权限集合(默认没有实现,可以自己提供);

3 接着调用Permission. implies(Permission p)逐个与传入的权限比较,如果有匹配的则返回true,否则false。

6. Authorizer、PermissionResolver及RolePermissionResolver

​ Authorizer的职责是进行授权(访问控制),是Shiro API中授权核心的入口点,其提供了相应的角色/权限判断接口,具体请参考其Javadoc。SecurityManager继承了Authorizer接口,且提供了ModularRealmAuthorizer用于多Realm时的授权匹配。

​ PermissionResolver用于解析权限字符串到Permission实例,而RolePermissionResolver用于根据角色解析相应的权限集合。

代码太多了,我不想写了,我是参考这个文章来学习的

第三章 授权——《跟我学Shiro》

他这篇文章有一个问题,就是在定义shiro-authorizer.ini文件时,少写几行代码

#没有调用自己声明的Realm
#自定义realm 一定要放在securityManager.authorizer赋值之后(因为调用setRealms会将realms设置给authorizer,并给各个Realm设置permissionResolver和rolePermissionResolver)
fooRealm=realm.MyRealm
securityManager.realms=$fooRealm

然后就是他没有提供shiro-jdbc-authorizer.ini

[main]
#自定义authorizer
authorizer=org.apache.shiro.authz.ModularRealmAuthorizer
#自定义permissionResolver
#permissionResolver=org.apache.shiro.authz.permission.WildcardPermissionResolver
permissionResolver=permission.BitAndWildPermissionResolver
authorizer.permissionResolver=$permissionResolver
#自定义rolePermissionResolver
rolePermissionResolver=permission.MyRolePermissionResolver
authorizer.rolePermissionResolver=$rolePermissionResolver

securityManager.authorizer=$authorizer

#自定义realm 一定要放在securityManager.authorizer赋值之后(因为调用setRealms会将realms设置给authorizer,并给各个Realm设置permissionResolver和rolePermissionResolver)
jdbcRealm=org.apache.shiro.realm.jdbc.JdbcRealm
dataSource=com.alibaba.druid.pool.DruidDataSource
dataSource.driverClassName=com.mysql.jdbc.Driver
dataSource.url=jdbc:mysql://localhost:3306/shiro
dataSource.username=root
dataSource.password=root
jdbcRealm.dataSource=$dataSource
jdbcRealm.permissionsLookupEnabled=true

securityManager.realms=$jdbcRealm

其他的你跟着上面的文章就可以了。

wowoToffee
关注
专栏目录
Shiro整合SSH开发3:配置Shiro认证后页面地址跳转问题(和详述不配置需要注意的问题)
机智猫
04-12 2万+
在视频教程中讲请求认证成功后跳转页面的问题是一笔带过的,但是我觉得有必要单独写一篇对应的文章进行叙述。      我用了SSH来整合Shiro,在开发后验证的过程中,每次登陆后Shiro都会跳转到一个不知名js中,但是重点是我上一次访问的地址是: Edit http://localhost:8080/shiro_05/user/login.action 认证之后应该跳转到上一个请求的
Shiro学习笔记-----小组开发前后端分离项目---登陆认证盐值加密
RSDYS的博客
07-21 497
基于springboot框架前后端分离项目实现的Shiro登录认证以及盐值加密功能。
Shiro系列(六)--- 完善登录认证、授权细节及解决setLoginUrl、setUnauthorizedUrl失效问题
FAIRYTAIL的博客
08-31 1956
继续我们shiro系列博客相关的学习笔记,完善一下登录认证和授权流程的一些细节,各位看到此博客的小伙伴,如有不对的地方请及时通过私信我或者评论此博客的方式指出,以免误人子弟。多谢! 首先完善一下登录的流程,使其更接近于实际的应用场景,我们在Shiro系列(四)--- Springboot整合Shiro实现基本的登录认证流程中描述了登录认证的基本流程,并且最后我们测试的时候通过访问http://localhost:8080/login进入到登录页面,然后输入用户名密码进行登录验证。 貌似也没有什么问题..
knife4j集成shiro导致localhost/doc.html访问不到解决
qq_41822960的博客
08-23 1992
练手项目,Spring boot+shiro+knife4j。刚刚融合了shiro进来之后,shiro放行了doc.html 和webjars之后,但是界面还是访问不到。最后是应为少了v2之类的 解决办法。 Map<String, String> map = new HashMap<>(); map.put("/login","anon"); map.put("/doc.html", "anon"); map.put("/swa
当ssm和shiro整合时候,当没有登录,shiro自动跳转登录页面,会出现类似的localhost:8080/SSMshiro/login;jsessionid=3CD303C605A
weixin_43802688的博客
06-12 1982
这里要去掉jsessionid,最简单方法就是在web.xml文件里加上: <session-config> <tracking-mode>COOKIE</tracking-mode> </session-config> 即可 下面引用别人的jsessionid简单介绍,通俗易懂,可以去看一下 http://blog.csdn.net/ch...
shiro处理两种路径进行登陆问题
lipingping951462的专栏
05-25 4628
以下是我的shiro配置:   -->                                                                                         /static/** = anon /userfiles/** = anon ${frontPath}/login
解决: localhost:3306/shiro, errorCode 1045, state 28000
White_i的博客
01-13 214
SpringBoot报错:localhost:3306/shiro, errorCode 1045, state 28000 将spring.datasource.data-password 和spring.datasource.data-username 改成 spring.datasource.password 和spring.datasource.username 如下: 正确写法: spring: datasource: username: "root" password: "1
shiro学习笔记
04-03
这份"Shiro学习笔记"可能包含了以下主题: - Shiro的安装与配置 - Shiro基本概念详解 - Realm的创建与使用 - 登录与登出流程 - 权限控制机制 - 缓存管理和会话管理 - Shiro与Spring的整合 - Shiro的Filter链配置 - ...
learning-shiro:Shiro学习笔记
04-27
本项目“learning-shiro”显然是一个关于 Apache Shiro学习资源集合,包含了作者在学习过程中积累的笔记和示例代码。下面将详细探讨 Shiro 的核心概念以及如何使用它来实现应用安全。 1. **认证(Authentication...
shiro学习笔记.rar
10-06
学习笔记主要涵盖了如何在Spring Boot项目中整合Shiro,并实现用户认证和授权,以及图片验证码的实现。 **1. Shiro 概述** Shiro 的核心组件包括 Realm(域)、Subject(当前操作用户)、Session Manager(会话...
配置了shiro后直接通过IP访问web项目会被拦截
八面玲珑
01-19 4380
这个java的web项目的架构是spring+struts2+hibernate 设置了欢迎页index.jsp <%@ page language="java" contentType="text/html; charset=utf-8" pageEncoding="utf-8"%> <!DOCTYPE html PUBLIC "-//W3C//DTD HTML ...
10 Shrio Permission
阿甘兄
05-24 384
字符串通配符权限 规则:“资源标识符:操作:对象实例ID”即对哪个资源的哪个实例可以进行什么操作。其默认支持通配符权限字符串,“:”表示资源/操作/实例的分割;“,”表示操作的分割;“*”表示任意资源/操作/实例。 1、单个资源单个权限 subject().checkPermissions("system:user:update"); 用户拥有资源“system:user”的“update”...
第三章 授权——《跟我学Shiro
jinnianshilongnian的专栏
02-21 721
  目录贴: 跟我学Shiro目录贴   授权,也叫访问控制,即在应用中控制谁能访问哪些资源(如访问页面/编辑数据/页面操作等)。在授权中需了解的几个关键对象:主体(Subject)、资源(Resource)、权限(Permission)、角色(Role)。 主体 主体,即访问应用的用户,在Shiro中使用Subject代表该用户。用户只有授权后才允许访问相应的资源。 资源 在应...
shiro doGetAuthorizationInfo不访问
qq_40937164的博客
05-11 328
doGetAuthorizationInfo获取授权 1.doGetAuthorizationInfo必须要在用户登录后访问页面配置shiro标签一起使用,当访问到shiro标签时会自动访问该方法 2.shiro配合ftl页面使用的话,需要引入标签库才可以 import org.springframework.beans.factory.InitializingBean; import o...
健身房管理系统代码系统 Springboot健身房管理系统(程序,中文注释)
09-26
健身房管理系统-健身房管理系统-健身房管理系统-健身房管理系统-健身房管理系统-健身房管理系统-健身房管理系统-健身房管理系统-健身房管理系统-健身房管理系统-健身房管理系统-健身房管理系统 1、资源说明:健身房管理系统源码,本资源内项目代码都经过测试运行成功,功能ok的情况下才上传的。 2、适用人群:计算机相关专业(如计算计、信息安全、大数据、人工智能、通信、物联网、自动化、电子信息等)在校学生、专业老师或者企业员工等学习者,作为参考资料,进行参考学习使用。 3、资源用途:本资源具有较高的学习借鉴价值,可以作为“参考资料”,注意不是“定制需求”,代码只能作为学习参考,不能完全复制照搬。需要有一定的基础,能够看懂代码,能够自行调试代码,能够自行添加功能修改代码。 4. 最新计算机软件毕业设计选题大全(文章底部有博主联系方式): https://blog.csdn.net/2301_79206800/article/details/135931154 技术栈、环境、工具、软件: ① 系统环境:Windows ② 开发语言:Java ③ 框架:SpringBoot ④ 架构:B/S、M
海思SDK及大量官方PDF文档:hi3516dv100 和RTP示例工程代码:HisiLive
09-26
海思SDK及大量官方PDF文档:hi3516dv100 和RTP示例工程代码:HisiLive
电池镍片自动检测设备_三维3D设计图纸.zip
09-26
电池镍片自动检测设备_三维3D设计图纸.zip
小微园区数字化建设方案.pptx
09-26
小微园区数字化建设方案
python科学数据笔记(Python Scientific lecture notes) 英文版
最新发布
09-26
主要介绍如何使用python来处理科学的大数据,NumPy,Matplotlib等都有大量的实例 I Getting started with Python for science 2 1 Scientific computing with tools and workflow 3 2 The Python language 8 3 NumPy: creating and manipulating numerical data 5 Matplotlib 6 Scipy : high-level scientific com II Advanced topics 7 Advanced Python Constructs 8 Advanced Numpy 9 Debugging code 10 Optimizing code 12 Image manipulation and processing using Numpy and Scipy
Shiro权限管理框架学习笔记
"Shiro学习心得与应用" Apache Shiro 是一个强大且易用的Java安全框架,主要用于身份验证、授权、会话管理和加密等安全相关功能。在学习Shiro的过程中,我们可以了解到它的一些核心概念和常见应用场景。 首先,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值