Shiro中的授权

已于 2022-03-11 09:56:23 修改
阅读量122 收藏
点赞数
分类专栏: Shiro 文章标签: shiro java spring boot
于 2021-08-09 20:30:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40675243/article/details/119546242
版权

Shiro的授权

1. 授权

​ 授权,即访问控制。主体通过身份认证之后,需要分配权限。

2. 关键对象

  • Who
    • 主体,即主体需要访问系统中的资源
  • What
    • 即资源,如系统菜单、页面、按钮、类方法、系统商品信息等。资源包括资源类型和资源实例,比如商品信息为资源类型,类型为t01的商品为资源实例,编号为001的商品信息也属于资源实例。
  • How
    • 权限/许可,规定主体对资源的操作访问,权限离开资源乜有意义,如用户查询权限,用户添加权限。通过权限可以知道主体对哪些资源有哪些操作许可。

3. 授权流程

在这里插入图片描述

4. 授权方式

  • 基于角色的访问控制

    • RBAC基于角色的访问控制(Role-Based Access Control)以角色为中心进行访问控制

    • 举例:

      if (subject.hasRole("admin")){
	// 操作什么资源
}

  • 基于资源的访问控制

    • RBAC基于资源的访问控制(Resource-Based Access Control)以资源为中心进行访问控制
    • 举例:
      if (subject.isPerssion("user:update:01")){
	// 对01用户进行修改
}

  • 权限字符串

    • 格式:资源标识符:操作:资源实例标识符
    • 标识对哪个资源的哪个实例具有什么操作
    • *为通配符
    • 举例
      • 用户创建权限: user:create, 或者 user:create:*
      • 用户修改实例001的权限: user:update:001
      • 用户筛查001的所有权限: user:*:001

5. 授权编码实现方式

  • 编程实现

    Subject subject = SecurityUtils.getSubject();
if (subject.hasRole("admin")){
	// 有权限,进行相应的操作
}

  • 注解实现

    @RequiresRoles("admin")
public void hello(){
	// 有权限,进行相应的操作
}

  • 标签实现

    JSP/GSP 标签:在JSP/GSP页面通过相应的标签完成
<shiro:hasRole name="admin">
	<!- 有权限 ->
</shiro:hasRole>
注意:Thymeleaf 中使用shiro需要额外集成

6. 代码实现

自定义Realm类

/**
 * @Author: Hjx
 * @Date: 2021/8/9 18:03
 */
public class CustomerMd5Realm extends AuthorizingRealm {
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {

        /*
            PrincipalCollection 身份的集合
            一个主体可以有多个身份,但是只有一个主身份
         */
        // 获取主体的主身份
        String principal = (String) principals.getPrimaryPrincipal();
        System.out.println("主身份信息"+principal);

        // 模拟根据用户的身份信息 从数据库中查询其角色信息
        SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
        simpleAuthorizationInfo.addRole("admin");
        simpleAuthorizationInfo.addRole("user");

        // 模拟从数据库查询权限信息,赋值给某个对象
        simpleAuthorizationInfo.addStringPermission("user:*:01");
        simpleAuthorizationInfo.addStringPermission("product:create:01");

        return simpleAuthorizationInfo;
    }


    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        // 从 token 中获取用户输入的身份凭证
        String userName = (String) token.getPrincipal();
        // 模拟从数据库查询出的用户名和密码
        String name = "hjx";
        String pass = "1a0f1aac48cf23ffb080673fd60b5d2d";
        String credentialsSalt = "hjx";

        if (name.equals(userName)){
            /*
                SimpleAuthenticationInfo 是 AuthenticationInfo 的实现类
                参数1:用户名
                参数2:md5加密后的密码
                参数3:盐值,类型为ByteSource,需要进行格式转换
                参数4:自定义realm的名称
             */
            return new SimpleAuthenticationInfo(name, pass, ByteSource.Util.bytes(credentialsSalt), this.getName());
        }
        return null;
    }
}

Test测试类

/**
 * @Author: Hjx
 * @Date: 2021/8/9 17:57
 */
public class TestMd5Authenticator {
    public static void main(String[] args) {
        // 创建SecurityManager安全管理器
        DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager();

        // 给SecurityManager设置自定义Realm
        CustomerMd5Realm customerMd5Realm = new CustomerMd5Realm();

        // 设置md5 凭证适配器
        HashedCredentialsMatcher hashedCredentialsMatcher = new HashedCredentialsMatcher();
        // 设置加密方式
        hashedCredentialsMatcher.setHashAlgorithmName("md5");
        // 设置散列次数
        hashedCredentialsMatcher.setHashIterations(1024);
        customerMd5Realm.setCredentialsMatcher(hashedCredentialsMatcher);

        defaultSecurityManager.setRealm(customerMd5Realm);
        // 给安全工具类SecurityUtils 设置 SecurityManager
        SecurityUtils.setSecurityManager(defaultSecurityManager);
        // 通过安全工具类SecurityUtils获取 主体subject
        Subject subject = SecurityUtils.getSubject();
        // 创建Token,模拟接收前端用户输入的用户名和密码
        UsernamePasswordToken token = new UsernamePasswordToken("hjx", "123");
        try {
            System.out.println("认证状态 : "+subject.isAuthenticated());
            subject.login(token);
            System.out.println("认证状态 : "+subject.isAuthenticated());
        }catch (UnknownAccountException e){
            e.printStackTrace();
            System.out.println("用户名错误");
        }catch (IncorrectCredentialsException e){
            e.printStackTrace();
            System.out.println("密码错误");
        }catch (Exception e){
            e.printStackTrace();
        }

        // 对通过身份认证的是用户进行授权管理
        if (subject.isAuthenticated()){

            // 基于角色的访问控制
            if (subject.hasRole("admin")){
                System.out.println("该用户拥有 admin 的权限");
            }else {
                System.out.println("该用户没有 admin 的权限");
            }

            // 基于多角色的访问控制
            if(subject.hasAllRoles(Arrays.asList("admin","user"))){
                System.out.println("该用户拥有 admin user 的权限");
            }

            // 具有其中一个角色
            boolean[] booleans = subject.hasRoles(Arrays.asList("admin", "user", "super"));
            for (boolean bool:booleans){
                System.out.println(bool);
            }
            System.out.println("================================================");
            // 基于全新字符串的权限控制
            System.out.println(subject.isPermitted("user:*:01"));

            // 分别具有哪些权限
            boolean[] booleans1 = subject.isPermitted("user:*:01", "product:update:01");
            for (boolean bool:booleans1){
                System.out.println(bool);
            }

            // 同时具有哪些权限
            System.out.println(subject.isPermittedAll("user:*:01", "product:*"));
        }

    }
}

代码及资料地址:hjx: 知道的越多,越发觉自己的无知 (gitee.com)
视频学习参考:【编程不良人】2020最新版Shiro教程,整合SpringBoot项目实战教程_哔哩哔哩_bilibili

萝卜7
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro授权
yzq102873的博客
08-29 968
shiro授权
Shiro学习笔记(3)——授权(Authorization)
君君的专栏
05-28 1万+
什么是授权 授权三要素 Shiro的三种授权方式 1 编码方式授权 2 基于注解的授权 3 JSP标签授权1.什么是授权授权,就是访问控制,控制某个用户在应用程序是否有权限做某件事2.授权三要素 权限 请看Shiro学习笔记(1)——shiro入门权限部分内容角色 通常代表一组行为或职责.这些行为演化为你在一个软件应用能或者不能做的事情。角色通常是分配给用户帐户的,因此,通过分配,用户
shiro授权
weixin_50020236的博客
07-11 701
shiro 授权
Shiro授权、整合Spirng、Shiro过滤器】
qq_53058639的博客
01-13 321
一般地,我们的权限都是从数据库查询的,并不是根据我们的配置文件来进行配对的。因此我们需要自定义reaml,让reaml去对比的是数据库查询出来的权限shiro-realm.ini配置文件:将自定义的reaml信息注入到安全管理器[main]#自定义 realm#将realm设置到securityManager,相当 于spring注入我们上次已经使用过了一个自定义reaml,当时候仅仅重写了doGetAuthenticationInfo()方法,
shiro授权的实现原理
08-29
Shiro 授权的实现原理是指在应用控制谁能访问哪些资源的机制。这个机制主要涉及到四个关键对象:主体(Subject)、资源(Resource)、权限(Permission)、角色(Role)。 1. 主体(Subject):指的是访问应用的...
shiro授权.pdf
08-13
shiro 授权 #资源达人分享计划 # 技术文档
Shiro登录授权认证功能
09-26
Shiro登录授权认证功能
shiro认证授权
08-03
shiro入门认证和授权的相关代码,博客地址:http://blog.csdn.net/u014532775/article/details/76620643
shiro认证及授权demo
10-28
包含使用Shiro实现认证和授权的Demo,对应博客:https://blog.csdn.net/fancheng614/article/details/83477345
Shiro根据用户权限显示不同的菜单.Shiro根据权限显示指定菜单
01-06
Shiro根据用户权限显示不同的菜单.Shiro根据权限显示指定菜单
Shiro过滤器配置(ShiroFilterFactoryBean)
热门推荐
霓虹深处
03-30 4万+
这篇博客就是记录一下shiro过滤器的配置和一些注意事项 /** * Shiro过滤器配置 */ @Bean(name = "shiroFilter") public ShiroFilterFactoryBean shiroFilter() { ShiroFilterFactoryBean shiroFilter = new Shir...
Shiro实战教程之shiro授权04
helloworld工程师的博客
03-19 185
Shiro实战教程之shiro授权04 5.1 授权 授权,即访问控制,控制谁能访问哪些资源。主体进行身份认证后需要分配权限方可访问系统的资源,对于某些资源没有权限是无法访问的。 5.2 关键对象 授权可简单理解为who对what(which)进行How操作: Who,即主体(Subject),主体需要访问系统的资源。 What,即资源(Resource),如系统菜单、页面、按钮、类方法、系统商品信息等。资源包括资源类型和资源实例,比如商品信息为资源类型,类型为t01的商品为资源实例,编号
shiro授权(一)访问控制(*)
weixin_42408447的博客
11-17 756
一.简介 授权,也叫访问控制,即在应用控制谁能访问哪些资源(如访问页面/编辑数据/页面操作),其包括如下对象: 1. 主体 即访问应用的用户,在Shiro使用Subject代表该用户。用户只有在授权后才允许访问相应的资源。 2. 资源 在应用用户可以访问的任何东西,比如访问JSP 页面、查看/编辑某些数据、访问某个业务方法、打印文本等等都是资源。用户只要授权后才能访问。 3. 权限 权限代表了用户有没有操作某个资源的权利,即反映在某个资源上的操作允不允许,不反映谁去执行这个操作。所以后续还需要把权限
Shiro详细使用
残影的博客
10-10 1021
Shiro详细使用一、权限的管理1.1 什么是权限管理1.2 什么是身份认证1.3 什么是授权二、什么是Shiro三、Shiro的核心架构3.1 Subject3.2 SecurityManager3.3 Authenticator3.4 Authorizer3.5 Realm3.6 SessionManager3.7 SessionDAO3.8 CacheManager3.9 Cryptography四、shiro的认证4.1 认证4.2 shiro认证的关键对象 一、权限的管理 1.1 什么是权限管
Shiro学习笔记(四):Shiro授权
m0_67402731的博客
08-24 238
授权:即访问控制,控制谁能够访问哪些资源。主体进行身份认证后需要分配权限方可访问系统的资源,对于没有授权的资源则是无法访问的。
Shiro(七):shiro 注解权限控制-5个权限注解
12程序猿的博客
10-23 3908
shiro提供了相应的注解用于权限控制,如果使用这些注解就需要使用aop的功能来进行判断。shiro提供了spring aop集成,用于权限注解的解析和验证 shiro注解权限控制-5个权限注解 Shiro共有5个注解,接下来我们就详细说说吧 1.@RequiresAuthentication: 使用该注解标注的类,实例,方法在访问或调用时,当前Subject必须通过login 进行了身份验证;即 Subject.isAuthenticated() 返回 true 2.@RequiresUser: 表
Shiro授权问题
江南一点雨的专栏
03-20 4078
在初识Shiro一文,我们对Shiro的基本使用已经做了简单的介绍,不懂的小伙伴们可以先阅读上文,今天我们就来看看Shiro授权问题。 Shiro授权,大体上可以分为两大类,一类是隐式角色,还有一类是显式角色。我们来分别看下。隐式角色隐式角色是一种基于角色的访问权限控制,它在使用的过程,我们直接判断相应的Subject是否是某一种角色,进而判断该Subject是否具备某种权限,比如下面
Shiro实现授权
史天航的博客
12-10 7139
shiro实现授权 授权,也叫做访问控制,即在应用控制谁能访问哪些资源(如访问页面、编辑数据、页面操作等)。在授权需要了解几个关键对象:主体(Subject)、资源(Resource)、权限(Permission)、角色(Role)。 授权的概念 主体: 主体,即访问应用的用户,在Shiro使用Subject代表用户。用户只有授权后才允许访问相应的资源。 资源: 在应用用户可以...
shiro怎么实现授权
最新发布
05-05
Shiro实现授权主要包括以下几个步骤: 1. 定义角色和权限:在Shiro,角色和权限是通过字符串来定义的。可以使用Shiro提供的Configuration API来定义角色和权限,也可以使用注解来定义。 2. 认证用户身份:在进行授权之前,需要先对用户进行身份认证。Shiro提供了多种认证方式,例如基于表单、HTTP Basic、OAuth等方式。 3. 进行授权Shiro提供了多种授权方式,例如基于角色、基于权限、自定义授权策略等。可以通过编写授权过滤器、自定义Realm等方式实现授权。 4. 控制访问:在进行授权之后,可以使用Shiro提供的访问控制过滤器来控制用户的访问权限。例如,可以限制只有具有某个角色或权限的用户才能访问某个资源。 总之,Shiro提供了丰富的授权功能,可以根据具体的业务需求来选择合适的授权方式。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值