Shiro 安全框架——验证与授权

最新推荐文章于 2023-08-21 17:22:28 发布
最新推荐文章于 2023-08-21 17:22:28 发布
阅读量245 收藏
点赞数
分类专栏: Shiro 安全框架
任何你写的代码,超过6个月不去看它,当你再看时,都像是别人写的
本文链接:https://blog.csdn.net/qq_38977097/article/details/81906447
版权

身份验证

身份验证,即在应用中谁能证明他就是他本人。一般提供如他们的身份 ID 一些标识信息来表明他就是他本人,如提供身份证,用户名 / 密码来证明。
在 shiro 中,用户需要提供 principals (身份)和 credentials(证明)给 shiro,从而应用能验证用户身份:
principals:身份,即主体的标识属性,可以是任何东西,如用户名、邮箱等,唯一即可。一个主体可以有多个 principals,但只有一个 Primary principals,一般是用户名 / 密码 / 手机号。
credentials:证明 / 凭证,即只有主体知道的安全值,如密码 / 数字证书等。
最常见的 principals 和 credentials 组合就是用户名 / 密码了。接下来先进行一个基本的身份认证。
另外两个相关的概念是之前提到的 Subject 及 Realm,分别是主体及验证主体的数据源。

授权

授权,也叫访问控制,即在应用中控制谁能访问哪些资源(如访问页面/编辑数据/页面操作等)。在授权中需了解的几个关键对象:主体(Subject)、资源(Resource)、权限(Permission)、角色(Role)。
主体
主体,即访问应用的用户,在 Shiro 中使用 Subject 代表该用户。用户只有授权后才允许访问相应的资源。
资源
在应用中用户可以访问的任何东西,比如访问 JSP 页面、查看/编辑某些数据、访问某个业务方法、打印文本等等都是资源。用户只要授权后才能访问。
权限
安全策略中的原子授权单位,通过权限我们可以表示在应用中用户有没有操作某个资源的权力。即权限表示在应用中用户能不能访问某个资源,如: 访问用户列表页面
查看/新增/修改/删除用户数据(即很多时候都是 CRUD(增查改删)式权限控制)
打印文档等等。。。
如上可以看出,权限代表了用户有没有操作某个资源的权利,即反映在某个资源上的操作允不允许,不反映谁去执行这个操作。所以后续还需要把权限赋予给用户,即定义哪个用户允许在某个资源上做什么操作(权限),Shiro 不会去做这件事情,而是由实现人员提供。
Shiro 支持粗粒度权限(如用户模块的所有权限)和细粒度权限(操作某个用户的权限,即实例级别的),后续部分介绍。
角色
角色代表了操作集合,可以理解为权限的集合,一般情况下我们会赋予用户角色而不是权限,即这样用户可以拥有一组权限,赋予权限时比较方便。典型的如:项目经理、技术总监、CTO、开发工程师等都是角色,不同的角色拥有一组不同的权限。
隐式角色:
即直接通过角色来验证用户有没有操作权限,如在应用中 CTO、技术总监、开发工程师可以使用打印机,假设某天不允许开发工程师使用打印机,此时需要从应用中删除相应代码;再如在应用中 CTO、技术总监可以查看用户、查看权限;突然有一天不允许技术总监查看用户、查看权限了,需要在相关代码中把技术总监角色从判断逻辑中删除掉;即粒度是以角色为单位进行访问控制的,粒度较粗;如果进行修改可能造成多处代码修改。
显示角色:
在程序中通过权限控制谁能访问某个资源,角色聚合一组权限集合;这样假设哪个角色不能访问某个资源,只需要从角色代表的权限集合中移除即可;无须修改多处代码;即粒度是以资源/实例为单位的;粒度较细。
请 google 搜索“RBAC”和“RBAC新解”分别了解“基于角色的访问控制”“基于资源的访问控制(Resource-Based Access Control)”。

pom.xml

<dependency>
            <groupId>junit</groupId>
            <artifactId>junit</artifactId>
            <version>4.9</version>
        </dependency>
        <dependency>
            <groupId>commons-logging</groupId>
            <artifactId>commons-logging</artifactId>
            <version>1.1.3</version>
        </dependency>
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-core</artifactId>
            <version>1.4.0</version>
        </dependency>
        <dependency>
             <groupId>org.slf4j</groupId>
             <artifactId>slf4j-nop</artifactId>
             <version>1.7.2</version>
         </dependency>
         <dependency>
            <groupId>mysql</groupId>
            <artifactId>mysql-connector-java</artifactId>
            <version>5.1.46</version>
        </dependency>
        <dependency>
            <groupId>com.alibaba</groupId>
            <artifactId>druid</artifactId>
            <version>1.1.10</version>
        </dependency>

SimpleAccountRealm

AnthenticationTest .java

public class AnthenticationTest {

    SimpleAccountRealm simpleAccountRealm=new SimpleAccountRealm();
    @Before
    public void addUser(){
        simpleAccountRealm.addAccount("Mark","123","admin","user");
    }
    @Test
    public void testAuthentication(){
        //1、构建SecurityManager
        DefaultSecurityManager defaultSecurityManager=new DefaultSecurityManager();
        defaultSecurityManager.setRealm(simpleAccountRealm);
        //2、主题提交认证请求
        SecurityUtils.setSecurityManager(defaultSecurityManager);
        Subject subject=SecurityUtils.getSubject();

        UsernamePasswordToken token=new UsernamePasswordToken("Mark","123");
        subject.login(token);

        System.out.println("isAuthenticated:"+subject.isAuthenticated());

        subject.checkRole("admin");
        subject.checkRoles("admin","user");

        subject.logout();
        System.out.println("isAuthenticated:"+subject.isAuthenticated());
    }
}

IniRealm

shiro.ini

[users]
zhang=123
wang=123
Mark=123,admin,user
[roles]
admin=user:delete

IniRealmTest .java

public class IniRealmTest {

    /**
     * 测试IniRealm
     */
    @Test
    public void testAuthentication(){

        IniRealm iniRealm=new IniRealm("classpath:shiro.ini");
        //1、构建SecurityManager
        DefaultSecurityManager defaultSecurityManager=new DefaultSecurityManager();
        defaultSecurityManager.setRealm(iniRealm);
        //2、主题提交认证请求
        SecurityUtils.setSecurityManager(defaultSecurityManager);
        Subject subject=SecurityUtils.getSubject();

        UsernamePasswordToken token=new UsernamePasswordToken("Mark","123");
        subject.login(token);

        System.out.println("isAuthenticated:"+subject.isAuthenticated());

        subject.checkRole("admin");
        subject.checkRoles("admin","user");
        subject.checkPermission("user:delete");

        subject.logout();
        System.out.println("isAuthenticated:"+subject.isAuthenticated());
    }
}

JdbcRealm

JdbcRealmTest .java

public class JdbcRealmTest {

    DruidDataSource dataSource=new DruidDataSource();
    {
        dataSource.setUrl("jdbc:mysql://localhost:3306/shiro");
        dataSource.setUsername("root");
        dataSource.setPassword("123456");
    }

    /**
     * 测试JdbcRealm
     */
    @Test
    public void testAuthentication(){
        JdbcRealm jdbcRealm=new JdbcRealm();
        jdbcRealm.setDataSource(dataSource);
        //开启查询权限数据
        jdbcRealm.setPermissionsLookupEnabled(true);

        //使用自己的表
        String sql="select password from test_users where username=?";
        jdbcRealm.setAuthenticationQuery(sql);

        /*String roleSql="select role_name from test_user_role where user_role_name=?";
        jdbcRealm.setUserRolesQuery(roleSql);*/

        //1、构建SecurityManager
        DefaultSecurityManager defaultSecurityManager=new DefaultSecurityManager();
        defaultSecurityManager.setRealm(jdbcRealm);
        //2、主题提交认证请求
        SecurityUtils.setSecurityManager(defaultSecurityManager);
        Subject subject=SecurityUtils.getSubject();

        UsernamePasswordToken token=new UsernamePasswordToken("Mark","123");
        subject.login(token);

        System.out.println("isAuthenticated:"+subject.isAuthenticated());

        subject.checkRole("admin");
        subject.checkRoles("admin","user");
        subject.checkPermission("user:delete");

        subject.logout();
        System.out.println("isAuthenticated:"+subject.isAuthenticated());
    }
}
已改行
关注
专栏目录
SpringBoot整合框架——集成SpringSecurity、shiro
m0_61506558的博客
11-04 667
Spring Security 是针对Spring项目的安全框架,也是Spring Boot底层安全模块默认的技术选型,他可以实现强大的Web安全控制,对于安全控制,我们仅需要引入spring-boot-starter-security 模块,进行少量的配置,即可实现强大的安全管理WebSecurityConfigurerAdapter:自定义Security策略AuthenticationManagerBuilder:自定义认证策略。
Shiro安全框架学习(三) —— shiro加密处理
_夜渐凉
08-02 1425
md5 加密  在前面的例子里,用户密码是明文的,这样是有巨大风险的,一旦泄露,就不好了。 所以,通常都会采用非对称加密,什么是非对称呢?就是不可逆的,而 md5 就是这样一个算法。 如代码所示 123 用 md5 加密后,得到字符串: 202CB962AC59075B964B07152D234B70 这个字符串,却无法通过计算,反过来不会得到源密码是 123。这个加密后的字符串就存在数据库...
shiro使用更改过滤拦截器的方法完成认证授权返回json格式信息
醉死梦红尘的博客
08-18 694
先介绍一下常用的拦截器 有关认证的拦截器: 拦截器名 默认拦截器类 说明 authc FormAuthenticationFilter 需要认证才可以访问–主要属性:loginUrl:登录的url,默认login.jsp,如果被这个过滤器拦截后,会重定向这个url,successUrl:登录成功后重定向的url user UserFilter 需要认证或记住我才可以访问 logout LogoutFilter 退出url主要属性:redirectUrl:退出后重定向的url,默认"/
Shiro学习笔记(3)——授权(Authorization)
热门推荐
君君的专栏
05-28 1万+
什么是授权 授权三要素 Shiro的三种授权方式 1 编码方式授权 2 基于注解的授权 3 JSP标签授权1.什么是授权授权,就是访问控制,控制某个用户在应用程序中是否有权限做某件事2.授权三要素 权限 请看Shiro学习笔记(1)——shiro入门中权限部分内容角色 通常代表一组行为或职责.这些行为演化为你在一个软件应用中能或者不能做的事情。角色通常是分配给用户帐户的,因此,通过分配,用户
shiro学习26-shiro提供的filter-AuthorizationFilter类
iteye_14612的博客
02-19 624
这个抽象类也是继承自AccessControlFilter。他是用于处理登陆后的权限检查   他有一个属性unauthorizedUrl,表示如果没有对应的权限的话应该调到哪个页面。,这个可以不用配置,但是如果不配置的话默认为空,就会返回一个浏览器默认的401的页面。 看他的子类: ·HostFilter ·PermissionAuthorizationFilter ·PortFi...
Apache Shiro安全框架(3)-授权
一点点的积累
07-10 369
权限系统中的权限一般是通过用户、角色、权限来管理。每个用户可以对应多个角色;每个角色对应多个权限;每个权限标识一个资源。这样系统中的每个资源都可以通过这种方式来控制,一般情况下一个接口代表一个资源授权方式shiro有三种授权方式:编程式Subject subject = SecurityUtils.getSubject(); if(subject.hasRole("admin")) { /...
shiro 重写AuthorizationFilter 让shiro没有权限的时候不重定向,而是执行一个回显操作(初探)
qq_43077857的博客
07-08 6163
这里在项目需求完成的过程 以前没有权限直接跳转403.html 这样代码非常不灵活 而且前端如果不是html的页面没有权限经常跳不到403的页面 会报一个302的错误 我这里想重写下这个配置后直接跳转到403页面的方式 最好能够返回一段json 这样我前端直接判断json中的数据后前端做跳转到403页面 找了一下shiro中页面重定向的代码是这个AccessControlFilter中的onAc...
shiro安全框架整合Mybatis
04-24
Apache Shiro是一个功能强大且易于使用的Java安全框架,可执行身份验证授权、加密和会话管理。目前,使用 Apache Shiro 的人越来越多,因为它相当简单,对比 Spring Security,可能没有 Spring Security 做的功能...
快速上手Shiro—Java认证授权框架
03-19 6505
文章以官方指南为基础,包括快速上手,Shiro的架构以及如何使用Springboot整合Shiro实现简单登录认证Shiro的架构 快速入门 环境搭建 QuickStrat.java Springboot整合Shiro 两种方式引入Shiro依赖 Shiro登录原理 Shiro核心配置类 自定义Realm类 ShiroConfig类
Shiro——授权
下半夜的风
10-28 206
在实际项目中,每一个用户角色登录进系统看到的菜单可能会不一样,这样就涉及到了用户权限的问题,Shiro也是目前常用的权限框架。 源码下载 一、授权方式 shiro支持三种授权方式: 1、编程式(基本不用):通过写if/else授权代码块完成。 2、注解式:通过在执行的Java方法上防止相应的注解完成,没有权限将抛出相应的异常。 3、JSP标签:在JSP页面通过相应的标签完成。 二、默...
shiro自定义权限过滤器
chengmi6360的博客
03-31 2394
1.创建一个类继承PermissionsAuthorizationFilter public class AiSellPermissionsAuthorizationFilter extends PermissionsAuthorizationFilter { @Overri...
SSM项目中自定义Shiro权限过滤器实现多个权限的或操作
YuFeng_12138的博客
06-02 947
我在做ssm+shiro的项目过程中的学习经验,记录一下。
shiro实战系列(六)之Authorization(授权)
weixin_34290096的博客
06-10 347
授权,又称作为访问控制,是对资源的访问管理的过程。换句话说,控制谁有权限在应用程序中做什么。 授权检查的例子是:该用户是否被允许访问这个网页,编辑此数据,查看此按钮,或打印到这台打印机?这些都是 决定哪些是用户能够访问的。 授权的要素: Apache Shiro 中的权限代表着安全政策中最基础的元素。它们从根本上作出了对行为的声明,并明...
Shiro笔记五:Shiro内置Filter过滤器
m0_54853420的博客
04-22 1098
Shiro笔记五:Shiro内置Filter过滤器 shiro内置的过滤器 核心过滤器类:DefaultFilter,配置哪个路径对应哪个拦截器进行处理。 authc:org.apache.shiro.web.filter.authc.FormAuthenticationFilter 需要认证登录才能访问 user:org.apache.shiro.web.filter.authc.UserFilter 用户拦截器,表示必须存在用户。 anon:org.apache.shiro.web.f
(五)设计模式之迭代器模式(Iterator)
卷心菜投手
11-21 218
前言: 参考图书:软件设计模式与体系结构 参考博客:https://www.cnblogs.com/wanson/articles/9277813.html   正题:         迭代器(iterator)有时又称游标(cursor)是程序设计的软件设计模式,可在容器(container,例如链表或阵列)上遍访的接口,设计人员无需关心容器的内容。 代码示例: 1 MyIt...
Spring Security安全框架---动态授权
qq_32923295的博客
04-19 511
上一篇文章说了spring security的认证登陆,这章说一下动态授权 在文章的代码基础下,新增sys_user_role表和sys_role表 CREATE TABLE `sys_user_role` ( `user_id` int(11) NOT NULL, `role_id` int(11) NOT NULL, PRIMARY KEY (`user_id`,`role_id`), KEY `fk_role_id` (`role_id`), CONSTRAINT `fk_r
权限验证框架Shiro
最新发布
小明同学的博客
08-21 779
总结起来,Realm、AuthenticationFilter和AuthorizationFilter需要进行定义或配置,并由SecurityManager进行管理,以确保Shiro能够正确地进行身份验证授权操作。将数据转换为不可读的形式,以保护数据的安全性。会话是指用户在与应用程序交互期间的一段时间。是整个Shiro安全体系的核心。因为它没有依赖于特定的框架。配置相应的加密算法和密钥。代表当前执行操作的用户。是所有安全操作的入口点。基于Cookie的会话。用于管理用户的会话信息。基于URL重写的会话。
Shiro实现用户授权(Authorization)
Amant
04-16 749
Shiro实现用户授权
shiro 自定义拦截器配置多个权限实现
why154285的博客
08-30 1万+
一、问题产生 在项目开发过程中,安全对于后台管理很重要。shiro是一个比较常流行的安全框架,网上关于shiro使用和实现原理也比较全面。这里不做详细介绍,在项目中的权限配置会有各种不同的需求,例如有的url需要用户拥有多个权限中的一个权限就能够访问,这个就要自己编写拦截器的规则。 二、具体场景 自定义的拦截器没有重写PermissionsAuthorizationFilter的isA...
Apache Shiro:一站式身份验证授权安全解决方案
Apache Shiro Reference (中文版) 是一份详尽的文档,介绍了Apache Shiro——一个强大的、开源的身份认证授权、会话管理和加密框架。它的设计目标是简洁易用,旨在减轻开发者在安全方面的复杂性。Shiro的核心功能...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值