Shiro Authorization

最新推荐文章于 2022-04-22 14:11:40 发布
最新推荐文章于 2022-04-22 14:11:40 发布
阅读量128 收藏
点赞数 1
分类专栏: shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40889460/article/details/91410056
版权

Shiro Authorization

  1. 授权 : 给身份认证通过的人,授予他可以访问某些资源的权力
  2. 权限粒度 : 分为粗粒度和细粒度,粗粒度:对表的操作.细粒度:对记录的操作.shiro 一般管理的是粗粒度的权限,比如: 菜单,按钮,url .一般细粒度的权限是通过业务来控制的
  3. 角色 : 权限的集合.
  4. 权限的表示规则 : 资源:操作:实例. 可以用通配符表示.如:
    user:add 表示对user有添加的权限
    user:* 表示对user具有所有操作的权限
    user:delete:100 表示对user标识为100的记录有删除的权限

测试代码:

        Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini");
        SecurityManager securityManager = factory.getInstance();
        SecurityUtils.setSecurityManager(securityManager);
        Subject subject = SecurityUtils.getSubject();
        UsernamePasswordToken token = new UsernamePasswordToken("zhangsan","1111");
        try{
            //认证
            subject.login(token);
        }catch (AuthenticationException e){
            System.out.println("认证不通过");
        }
        //基于角色的授权
        boolean result = subject.hasRole("role1");
        System.out.println(result);
        //可以通过checkRole来检测是否具有某个角色,如果没有则抛出UnAuthorizedException
        subject.checkRoles("role1");

        //基于资源的授权
        result = subject.isPermitted("user:delete");
        System.out.println(result);
        System.out.println(subject.isPermittedAll("user:dd","user:add","user:update"));

shiro.ini

[users]
zhangsan=1111,role1
lisi=1234,role2

[roles]
role1=user:add,user:update,user:delete
role2=user:*

shiro 中权限检查的方式有3种

  1. 编程式
        if(subject.hasRole("role1")){
            //操作某个资源
        }
  1. 注解式
    @RequiresRoles("role1")
    public void list(){
        //查询数据
    }
  1. 标签
    <shiro:hasPermission name="user:delete">
      <a>delete</a>
    </shiro:hasPermission>

需要在jsp中先引入标签

<%@ taglib prefix="shiro" uri="http://shiro.apache.org/tags" %>

授权流程

  1. 获取subject主体
  2. 判断主体是否通过认证
  3. 调用subject.isPermitted*/hosRole* 来进行权限的判断
    subject是由其实现类DelegatingSubject来调用方法的.该类将处理交给了SecurityManager.SecurityManager 的实现类AuthorizingSecurityManager将处理交给了authorizer(授权器),Authorozer 由其实现类ModularRealmAuthorizer来处理,该类可以调用对应的Realm来获取数据.

自定义Realm实现授权

仅仅通过配置文件指定权限不够灵活.在实际应用中都是将客户信息,角色信息,权限信息保存到数据库中所以需要从数据库中去获取相关的数据信息.可以通过shiro提供的JdbcRealm来实现,也可以自定义realm来实现.
自定义realm:

package cn.ckh2019.realm;

import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.util.ByteSource;

import java.util.ArrayList;
import java.util.List;

/**
 * @author Chen Kaihong
 * 2019-06-09 21:48
 */
public class UserRealm extends AuthorizingRealm {

    @Override
    public String getName() {
        return "userRealm";
    }


    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principal) {
        String usernaeme = principal.getPrimaryPrincipal().toString();

        //根据用户名到数据库查询该用户对应的权限信息
        List<String> permissions = new ArrayList<>();
        permissions.add("user:add");
        permissions.add("user:delete");
        permissions.add("user:update");
        permissions.add("user:find");
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        for(String perm : permissions){
            info.addStringPermission(perm);
        }
        return info;
    }

    /**
     * 完成身份认证(从数据库中取数据)
     * 返回认证信息,如果认证失败返回null
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        //获取用户输入的用户名
        String username = (String) token.getPrincipal();
        //根据用户名到数据库查询密码信息
        //假定从数据库获取的密码是1234
        String password = "6fbf9e1b65c1bef784eafff34b93b482";
        String salt = "ckh";
        //将从数据库查询的信息封装到SimpleAuthenticationInfo中
        SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(username,password,ByteSource.Util.bytes(salt),getName());
        return info;
    }
}

shiro.ini:

[main]
credentialsMatcher= org.apache.shiro.authc.credential.HashedCredentialsMatcher
credentialsMatcher.hashAlgorithmName=md5
credentialsMatcher.hashIterations=10

userRealm= cn.ckh2019.realm.UserRealm
userRealm.credentialsMatcher=$credentialsMatcher
securityManager.realm=$userRealm

测试代码:

        Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini");
        SecurityManager securityManager = factory.getInstance();
        SecurityUtils.setSecurityManager(securityManager);
        Subject subject = SecurityUtils.getSubject();
        UsernamePasswordToken token = new UsernamePasswordToken("张三","1234");
        //6.进行用户验证
        try {
            subject.login(token);
            //7.通过subject来判断用户是否通过验证
            if (subject.isAuthenticated()) {
                System.out.println("登录成功");
            }
        }catch(IncorrectCredentialsException e) {
            System.out.println("密码错误");
        }catch(UnknownAccountException e){
            System.out.println("用户名错误");
        }
        System.out.println(subject.isPermitted("user:add","user:delete"));
0error(s)
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro讲解 之 Authorization (一)
Dusty丶one的博客
10-30 565
shiro讲解之 多Realm 之 Authorization(一)本节我们将学习一下 ShiroAuthorization(授权)。 官方文档The Authorizer is the component responsible determining users’ access control in the application. It is the mechanism that ult
Shiro授权(Authorization
qq_49670207的博客
09-19 581
Shiro授权(Authorization)术语简介授权主体资源权限 术语简介 授权 授权,也叫访问控制,即在应用中控制谁能访问哪些资源(如访问页面/编辑数据/页面操作等)。在授权中需了解的几个关键对象:主体(Subject)、资源(Resource)、权限(Permission)、角色(Role)。 主体 主体,即访问应用的用户,在Shiro中使用Subject代表该用户,用户只有授权后才允许访问相应的资源。 资源 在应用中用户可以访问的任何东西,比如访问JSP页面、查看/编辑某些数据、访问某个业务方法、
shiroAuthorization的概述
伍六七的博客
08-12 894
Authorization概述 n概述   授权,又称作为访问控制,是对资源的访问管理的过程。换句话说,控制谁有权限在应用程序中做什么。   授权检查的例子是:该用户是否被允许访问这个网页,编辑此数据,查看此按钮,或打印到这台打印机?这些都是决定哪些是用户能够访问的。 n授权的三要素   授权有着三个核心元素:权限、角色和用户 。   我们需要在应用程序中对用户
Shiro笔记(五)----授权(Authorization)
fendo
07-16 3133
1.什么是授权 授权,就是访问控制,控制某个用户在应用程序中是否有权限做某件事 2.授权检查的例子 用户是否能访问某个网页,编辑数据,或打使用这台打印机 3.角色与权限关联 需要在应用程序中对用户和权限建立关联:通常的做法是将权限分配给角色,然后将角色分配给一个或多个用户。 4.授权三要素 4.1、权限       权
shiro 授权(Authorization)
weixin_44659712的博客
09-18 200
术语简介 1、授权 授权,也叫访问控制,即在应用中控制谁能访问哪些资源。在授权中需了解的几个关键对象:主体(Subject)、资源(Resource)、权限(Permission)、角色(Role) 2、主体 主体,即访问应用的用户,在shiro中使用shiro中使用subject代表该用户,用户只有授权后才允许访问相应的资源。 3,资源 在应用中用户可以访问的任何东西,比如访问jsp页面、查看/编辑某些数据、访问某个业务方法,打印文件等都是资源,用户只有授权后才能访问。 4、资源 安全策略中
Shiro 授权(Authorization)
weixin_50252185的博客
09-19 165
Shiro 授权(Authorization)简介授权主体资源权限角色授权 简介 授权 授权,也叫访问控制 主体 资源 权限 角色 授权
基本了解Shiro授权(Authorization)
粒桃黑马
09-19 161
授权介绍授权关键对象快速上手授权流程 授权关键对象 主体(Subject) 资源(Resource) 权限(Permission) 角色(Role) 快速上手 配置shiro.ini #对用户信息进行配置 [users] #用户账号和密码 #配置规则:用户账号=密码,角色1,角色2 zhangsan=123456,管理员 xiaobei=123456,客户经理 qingjing=123456,总经理 #对权限信息进行配置,基于角色配置 [roles] #角色和权限 #配置规则:角色=权限1,权限2
Shiro权限验证——授权(Authorization
m0_67401134的博客
04-22 863
Shiro学习笔记(3)——授权(Authorization) 什么是授权 授权三要素 Shiro的三种授权方式 1 编码方式授权 2 基于注解的授权 3 JSP标签授权 1.什么是授权 授权,就是访问控制,控制某个用户在应用程序中是否有权限做某件事 2.授权三要素 权限 请看Shiro学习笔记(1)——shiro入门中权限部分内容 角色 通常代表一组行为或职责.这些行为演化为你在一个软件应用中能或者不能做的事情。角色通常是分配给用户帐户的,因此,通过分配,用户能够“做”的事情可以归
shiro1.5.3
05-11
2. **授权(Authorization)**: Shiro 提供了细粒度的权限控制,可以对用户进行角色和权限的分配,控制用户访问资源的权限。 3. **会话管理(Session Management)**: Shiro 可以替代Servlet容器进行会话管理,支持...
shiro.docx
03-28
2. **授权(Authorization)**:授权是验证用户是否有权执行特定操作或访问特定资源的过程。Shiro提供了细粒度的权限控制,可以基于角色或直接基于资源进行权限验证。 3. **会话管理(Session Manager)**:Shiro...
Apache Shiro教程
12-30
- **授权(Authorization)**:控制已认证的用户可以访问哪些资源或执行哪些操作。 - **会话管理(Session Management)**:跟踪用户状态,存储用户会话信息。 - **加密(Cryptography)**:提供数据加密和哈希...
shiro jar包
05-13
Apache Shiro是一个全面而强大的Java安全框架,它旨在简化应用程序的安全实现,同时提供必要的功能,如身份验证(Authentication)、授权(Authorization)、加密(Cryptography)和会话管理(Session Management)...
shiro学习笔记
04-03
2. **授权(Authorization)**:确定已认证的用户是否有权限访问特定资源或执行特定操作。 3. **会话管理(Session Management)**:Shiro 可以跨服务器管理用户会话,提供了一种统一的方式来处理会话相关的操作,如...
基于Springboot和Vue的图书借还管理系统源码 图书借还管理系统代码(高分毕设)
07-28
图书借还管理系统源码(高分毕设),个人经导师指导并认可通过的98分毕业设计项目,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者。也可作为课程设计、期末大作业。包含全部项目源码[代码]、该项目可以直接作为毕设使用。项目技术栈:前端是vue,后端是springboot,项目代码都经过严格调试,代码没有任何bug! 系统源码(高分毕设),个人经导师指导并认可通过的98分毕业设计项目,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者。也可作为课程设计、期末大作业。包含全部项目源码[代码]、该项目可以直接作为毕设使用。项目技术栈:前端是vue,后端是springboot,项目代码都经过严格调试,代码没有任何bug! 系统源码(高分毕设),个人经导师指导并认可通过的98分毕业设计项目,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者。也可作为课程设计、期末大作业。包含全部项目源码[代码]、该项目可以直接作为毕设使用。项目技术栈:前端是vue,后端是springboot,项目代码都经过严格调试,代码没有任何bug!
C语言内存管理:静态与动态分配的较量
07-28
C语言是一种通用的编程语言,由丹尼斯·里奇(Dennis Ritchie)在20世纪70年代早期于美国电话电报公司(AT&T)的贝尔实验室开发。C语言以其高效性、灵活性和可移植性而闻名,它是一种过程式编程语言,提供了对底层硬件的直接访问能力。 C语言的特点包括: 1. **简洁高效**:C语言的语法简洁,执行效率高,适合编写系统软件。 2. **接近硬件**:C语言提供了对内存地址和位操作的直接控制,使其非常适合硬件级编程。 3. **可移植性**:C语言编写的程序可以在不同的操作系统和硬件平台上编译和运行,具有很好的可移植性。 4. **丰富的库支持**:C语言拥有大量的标准库,如标准输入输出库(stdio.h)、数学库(math.h)等。 5. **结构化编程**:C语言支持结构化编程,允许使用循环、条件判断和函数等控制结构。 6. **指针**:C语言的指针功能强大,可以操作内存地址,实现复杂的数据结构和算法。 7. **编译型语言**:C语言是一种编译型语言,源代码需要通过编译器转换成机器码才能运行。 C语言广泛应用于操作系统(如Unix和Linux)、嵌入式系统、高性能
通讯协议规范-命令包格式
07-28
提供一份通讯协议规范,包含命令包、格式等,在上下位机调试的时候可参考该文档,制定对应的通讯协议。
四足宠物机器狗动态步行规划与仿真.pdf
最新发布
07-28
四足宠物机器狗动态步行规划与仿真
JSP、Servlet、HTML、CSS、JS和JQuery开发的Java题库管理系统可执行内含文档代码.zip
07-28
JSP、Servlet、HTML、CSS、JS和JQuery开发的Java题库管理系统可执行内含文档代码.zip
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值