Shiro安全框架(四)——权限认证

最新推荐文章于 2023-07-31 22:44:03 发布
最新推荐文章于 2023-07-31 22:44:03 发布
阅读量473 收藏
点赞数
分类专栏: Shiro 文章标签: 安全框架 Shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42386143/article/details/99290586
版权

Shiro权限认证

1、权限认证核心要素
权限认证,也就是访问控制,即在应用中控制谁能访问哪些资源。
在权限认证中,最核心的三个要素是:权限,角色,用户

用户:在shiro中,代表访问系统的用户,即Subject。
角色:是权限的集合,一个角色可以包含多个权限。
权限:操作资源的权利,如访问某个页面,及某个模块的数据的添加,修改 ,删除,查看的权利。

2、授权
1)编程式授权

  • a)基于角色的访问控制
  • b)基于权限的访问控制

2)注解式授权
@RequiresAuthentication 要求当前Subject 已经在当前的session 中被验证通过才能被访问或调用。

@RequiresGuest 要求当前的Subject 是一个"guest",也就是说,他们必须是在之前的session 中没有被验证或被记住才能被访问或调用。

@RequiresPermissions(“account:create”) 要求当前的Subject 被允许一个或多个权限,以便执行注解的方法。

@RequiresRoles(“administrator”) 要求当前的Subject 拥有所有指定的角色。如果他们没有,则该方法将不会被执行,而且AuthorizationException 异常将会被抛出。

@RequiresUser RequiresUser 注解需要当前的Subject 是一个应用程序用户才能被注解的类/实例/方法访问或调用。一个“应用程序用户”被定义为一个拥有已知身份,或在当前session 中由于通过验证被确认,或者在之前session 中的’RememberMe’服务被记住。

3)Jsp标签授权
<%@ taglib prefix=“shiro” uri=“http://shiro.apache.org/tags” %>
Guest 标签:用户没有身份验证时显示相应信息,即游客访问信息;

User 标签:用户已经身份验证/记住我登录后显示相应的信息;

Authenticated 标签:用户已经身份验证通过,即Subject.login 登录成功,不是记住我登录的。

notAuthenticated 标签:用户没有身份验证通过,即没有调用Subject.login 进行登录,包括记住我自动登录的也属于未进行身份验证。

principal 标签显示用户身份信息,默认调用Subject.getPrincipal()获取,即Primary Principal。

hasRole 标签如果当前Subject 有角色将显示body 体内容。

lacksRole 标签如果当前Subject 没有角色将显示body 体内容。

hasAnyRoles 标签如果当前Subject 有任意一个角色(或的关系)将显示body 体内容。

hasPermission 标签如果当前Subject 有权限将显示body 体内容。

lacksPermission 标签如果当前Subject 没有权限将显示body 体内容

基于权限的身份判断

单个权限:query
单个资源多个权限:user:query,user:add 多值user:query,add
单个资源所有权限:user:query,add,update,delete =user:*
所有资源某个权限::view
实例级别的权限控制
单个实例的单个权限:printer:query:lp7200, printer:print:epsoncolor
所有实例的单个权限:printer:print:
所有实例的所有权限:printer::
单个实例的所有权限:printer:*:lp7200
单个实例的多个权限:printer:query,print:lp7200

1.在resources目录下创建配置文件,shiro_permissopn.ini,用于描述用户的登录信息以及角色和权限信息。

[users]
muma=123,role1
admin=123,role1,role2

[roles]
role1=user:select
role2=user:add,user:update,user:delete,user:select

2.创建ShiroTest测试类

import org.apache.shiro.subject.Subject;

public class ShiroTest4 {
    public static void main(String[] args) {
        Subject subject = ShiroUtils.login("classpath:shiro_permission.ini","admin", "123");
        //单个权限的判断
        System.out.println(subject.isPermitted("user:add")?"有user:add权限":"没有user:add权限");
        System.out.println(subject.isPermitted("user:delete")?"有user:delete权限":"没有user:delete权限");
        System.out.println(subject.isPermitted("user:update")?"有user:update权限":"没有user:update权限");
        System.out.println(subject.isPermitted("user:select")?"有user:select权限":"没有user:select权限");
        //多个权限的判断
        boolean[] permitted = subject.isPermitted("user:add", "user:delete","user:update","user:select");
        for (int i=0;i<permitted.length;i++){
            System.out.println(permitted[i]);
        }
    }
}

3.测试结果
在这里插入图片描述

Shiro权限框架 01(shiro框架入门)
m0_67094505的博客
08-24 486
Shiro是Apache的一个开源框架,是一个权限管理的框架,实现用户认证、用户授权。​ 权限管理,一般指根据系统设置的安全策略或者安全规则,用户可以访问而且只能访问自己被授权的资源,不多不少。权限管理几乎出现在任何系统里面,只要有用户和密码的系统。Spring中有Spring security(原名Acegi),是一个权限框架,它和Spring依赖过于紧密,没有Shiro使用简单。Shiro不依赖于Spring,Shiro不仅可以实现Web应用的权限管理,还可以实现c/s系统。
Shiro安全框架——【快速入门、登录拦截、用户认证、请求授权】
最新发布
2401_83817843的博客
04-18 656
做任何事情都要用心,要非常关注细节。看起来不起眼的、繁琐的工作做透了会有意想不到的价值。当然要想成为一个技术大牛也需要一定的思想格局,思想决定未来你要往哪个方向去走, 建议多看一些人生规划方面的书籍,多学习名人的思想格局,未来你的路会走的更远。更多的技术点思维导图我已经做了一个整理,涵盖了当下互联网最流行99%的技术点,在这里我将这份导图分享出来,以及为金九银十准备的一整套面试体系,上到集合,下到分布式微服务《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》
(转) shiro权限框架详解04-shiro认证
07-04 100
http://blog.csdn.net/facekbook/article/details/54906635 shiro认证 本文介绍shiro认证功能 认证流程 入门程序(用户登录和退出) 自定义Realm 散列算法 认证流程 开始构造SecurityManager环境subject.login();提交认证securityManager.login()...
浅谈shiro权限框架认证过程
u012767184的专栏
10-24 385
1、什么是shiro框架? 是Apache组织下的一套安全认证框架,是对用户进行认证和授权,具有会话管理功能。它是一个可以快速完成认证、授权等低成本开发的框架。 优点:使用范围广泛:可以用于B/S:集权分布式和C/S       快速低成本 与同类型Spring security对比:Acegi开源权限管理,非常依赖Spring,使用范围较狭窄、没有shiro框架简单灵活 2、shir...
Shiro 实现权限验证完整版
m0_67393619的博客
04-07 618
写在前面的话 提及权限,就会想到安全,是一个十分棘手的话题。这里只是作为学校Shiro的一个记录,而不是,权限就应该这样设计之类的。 Shiro框架 1、Shiro是基于Apache开源的强大灵活的开源安全框架。 2、Shiro提供了 认证,授权,企业会话管理、安全加密、缓存管理。 3、Shiro与Security对比 4、Shiro整体架构 5、特性 6、认证流程 认证 当我们理解Shiro之后,我们就能比较容易梳理出认证流程,大概就是下面这样子。 我们来看一段测试代码: // 1.构建Secu
shiro 注解
gaoyongjianqq的专栏
07-26 765
整理了一下shiro中的注解,主要包括如下一些注解: 1.@RequiresAuthentication 2.@RequiresGuest 3.@RequiresPermissions 4.@RequiresRoles 5.@RequiresUser 在使用shiro注解与springmvc进行整合时,注解只能加到controller的方法上,标明此方法需要什么样的权限才能访问,使用这...
ShiroShiro从小白到大神(三)-权限认证(授权)
weixin_34311757的博客
09-22 606
本节讲权限认证,也就是授权 基于角色的访问控制和基于权限的访问控制的小实例 以及注解式授权和JSP标签授权详解 权限认证 权限认证核心要素 权限认证,也就是访问控制,即在应用中控制谁能访问哪些资源 在权限认证中,最核心的三个要素是:权限,角色和用户 (资源也算一个要素,但不是最核心的) 权限,即操作资源的 ...
shiro——认证
08-05
Apache Shiro 是一个强大且易用的Java安全框架,提供了身份验证、授权、加密和会话管理功能,可以简化开发人员的安全实现。在本主题中,我们将深入探讨Shiro认证过程,即验证用户身份的过程。 认证是任何安全系统...
Shiro 安全框架——验证与授权
热心网友
08-21 258
身份验证 身份验证,即在应用中谁能证明他就是他本人。一般提供如他们的身份 ID 一些标识信息来表明他就是他本人,如提供身份证,用户名 / 密码来证明。 在 shiro 中,用户需要提供 principals (身份)和 credentials(证明)给 shiro,从而应用能验证用户身份: principals:身份,即主体的标识属性,可以是任何东西,如用户名、邮箱等,唯一即可。一个主体可以...
后端——》shiro系统权限认证完整demo及讲解
叙传
12-05 1437
shiro是一款很强大的安全管理、权限认证框架。可以做登录权限管理,接口权限管理。如下,可以通过页面权限按钮控制用户是否拥有查询、新增、编辑的权限,完成后功能如下:在管理登录后给普通用户设置权限,可以是菜单权限,也可以是菜单列表查询权限和列表按钮权限。其中菜单的权限可以只通过代码逻辑控制,而列表查询和按钮接口的权限就可以交给shiro来管理。 直接上实现步骤吧。 大的步骤一:前期需要...
spring boot项目整合spring security权限认证
weixin_49107940的博客
07-31 995
2、项目配置文件,连接数据库 3、一个简单接口 4、测试接口能跑 2、启动,再次访问需要登录 这里的admin无法登录 4、访问测试 只拦截/r/**路径下的请求,所以login-success没问题 访问/r/r1需要登录 输入配置文件设置的用户名密码登录 再次访问,不需要登录 5、测试退出 配置文件配置了退出的路径 用户认证通过去访问系统资源时spring security进行授权控制,判断用户是否有该资源的访问权限,如果有则继续访问,如果没有则拒绝访问。张三的权限是p1 李
安全权限框架 —— Shiro(二)
baidu_39560928的博客
08-27 649
1、权限注解 @RequiresAuthentication:表示当前Subject已经通过login 进行了身份验证;即Subject. isAuthenticated() 返回true; @RequiresUser:表示当前Subject 已经身份验证或者通过记住我登录的; @RequiresGuest:表示当前Subject没有身份验证或通过记住我登录过,即是游客身份; @RequiresRoles (value={“admin”, “user”}, logical== Logical
SpringSecurity_授权认证
qq_45907893的博客
05-21 195
SpringSecurity
Author权限认证
m0_65545927的博客
03-07 910
Author权限认证,用户权限授权
权限验证框架Shiro
`or 1 or 不正经の泡泡
06-15 1179
交替换个脑子,一直搞考研的东西,实在是无聊。所以顺便把工程上的东西,拿来遛一遛。你问我,为啥不是机器学习,深度学习,那玩意搞起来头更大,累了。权当是打游戏放松了,那么废话不多说,这里要玩玩的是Shiro,其实一开始我还是喜欢玩这个Security,不过后来,经常用这个人人开源,也就接触这个玩意了,说实话,先前用那个玩意的时候,也是习惯性的把shiro改成security,但是实话实说,太麻烦了,懒得改,所以的话,干脆就是直接使用这个Shiro
Shiro(七):shiro 注解权限控制-5个权限注解
12程序猿的博客
10-23 4303
shiro提供了相应的注解用于权限控制,如果使用这些注解就需要使用aop的功能来进行判断。shiro提供了spring aop集成,用于权限注解的解析和验证 shiro注解权限控制-5个权限注解 Shiro共有5个注解,接下来我们就详细说说吧 1.@RequiresAuthentication: 使用该注解标注的类,实例,方法在访问或调用时,当前Subject必须通过login 进行了身份验证;即 Subject.isAuthenticated() 返回 true 2.@RequiresUser: 表
Shiro的标签说明
Orange_NanLu的博客
04-08 421
原文地址:https://www.cnblogs.com/fancongcong/p/8093258.html-----------------标签-------------------------------&lt;shiro:guest&gt; 游客访问 &lt;a href = "login.jsp"&gt;&lt;/a&gt; &lt;/shiro:guest&gt; user...
Shiro集成Web时的Shiro JSP标签
BADAO_LIUMANG_QIZHI的博客
05-12 395
场景 从实例入手学习Shiro与Web的整合:https://blog.csdn.net/BADAO_LIUMANG_QIZHI/article/details/90140802 在上面已经实现整合Web的基础上实现 Shiro JSP标签的使用。 实现 导入标签库 <%@taglib prefix="shiro" uri="http://shiro.apache.org/tag...
Shiro权限注解
qq_41184777的博客
03-09 327
Shiro权限注解(可以用在Controller层对应的方法上/Service层对应的方法上) 1》@RequiresAuthentication:表示当前Subject已经通过login进行了身份验证;即Subject.isAuthenticated()返回true。 2》@RequiresUser:表示当前Subject已经身份验证或者通过记住我登录的。 3》@RequiresGuest:表...
Shiro权限管理详解教程——实践篇
4. **第章:INI配置** - 讲解了如何通过INI配置文件来设置和管理Shiro安全策略,包括SECURITYMANAGER的配置。 5. **第五章:编码/加密** - 涉及到了密码的编码/解码以及散列算法,以及PASSWORDSERVICE/...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值