Shiro授权(Authorization)

最新推荐文章于 2020-10-10 00:17:35 发布
最新推荐文章于 2020-10-10 00:17:35 发布
阅读量586 收藏 1
点赞数
分类专栏: 入门 文章标签: shiro 数据库 java spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_49670207/article/details/108672143
版权
本文介绍了Apache Shiro的授权(Authorization)概念,包括主体、资源、权限、角色以及授权方式。通过Shiro配置和SpringBoot整合,展示了静态和动态授权的实现,包括自定义Realm、URL拦截器权限控制,并提供了数据库存储权限数据的动态授权示例。
摘要由CSDN通过智能技术生成

Shiro授权(Authorization)

术语简介

授权

授权,也叫访问控制,即在应用中控制谁能访问哪些资源(如访问页面/编辑数据/页面操作等)。在授权中需了解的几个关键对象:主体(Subject)、资源(Resource)、权限(Permission)、角色(Role)。

主体

主体,即访问应用的用户,在Shiro中使用Subject代表该用户,用户只有授权后才允许访问相应的资源。

资源

在应用中用户可以访问的任何东西,比如访问JSP页面、查看/编辑某些数据、访问某个业务方法、打印文本等等都是资源。用户只有授权后才能访问。

权限

安全策略中的原子授权单位,通过权限我们可以表示在应用中用户没有操作某个资源的权力,即权限表示在应用中用户能不能访问某个资源,如:访问用户列表页面、查看/新增/修改/删除用户数据(即很多时候都是CRUD(增删改查)式权限控制)、打印文档等等。
如上可以看出,权限代表了用户有没有操作某个资源的权力,即反映在某个资源上的操作允不允许,不反映谁去执行这个操作。所以后续还需要把权限赋予给用户,即定义哪个用户允许在某个资源上做什么操作(权限),Shiro 不会去做这件事情,而是由实现人员提供。
Shiro支持粗粒度权限(如用户模块的所有权限)和细粒度权限(操作某个用户的权限,即实例级别的)。

角色

角色代表操作集合, 可以理解为权限的集合,一般情况下我们会赋予用户角色而不是权限,即这样用户可以拥有一组权限,赋子权限时比较方便。典型的如: 项目经理、技术总监、CTO、开发工程师等都是角色,不同的角色拥有- -组不同的权限。

隐式角色

即直接通过角色来验证用户有没有操作权限,如在应用中CTO、 技术总监、开发工程师可以使用打印机,假设某天不允许开发工程师使用打印机,此时需要从应用中删除相应代码;再如在应用中CTO、技术总监可以查看用户、查看权限;突然有一-天不允许技术总监查看用户、查看权限了,需要在相关代码中把技术总监角色从判断逻辑中删除掉;即粒度是以角色为单位进行访问控制的,粒度较粗;如果进行修改可能造成多处代码修改。

显示角色

在程序中通过权限控制谁能访问某个资源,角色聚合一组权限集合; 这样假设哪个角色不能访问某个资源,只需要从角色代表的权限集合中移除即可;无须修改多处代码:即粒度是以资源/实例为单位的:粒度较细。
请百度搜索“RBAC”和“RBAC新解”分别了解“基于角色的访问控制”“基于资源的访问控制(Resource-Based Access Control)”。

授权(Authorization)

快速上手

可在上一篇博客的基础上继续练习。
1.配置shiro.ini
修改resources目录下的shiro.ini文件配置用户授权数据

#对用户信息进行配置
[users]
#用户账号和密码
#配置规则:用户账号=密码,角色1,角色2
admin=123456,管理员
lisi=111111,客户经理

#对权限信息进行配置,基于角色配置
[roles]
#角色和权限
#配置规则:角色=权限1,权限2。权限字符串可使用通配符配置
#管理员能够对用户和角色进行所有操作
管理员=user:*,role:*
#客户经理只能对用户进行列表和详细的查看操作
客户经理=user:list,user:view

2.授权测试
修改ShiroTester测试类,在原认证测试代码的基础上添加授权测试

@Test
public void testShiro(){
    IniRealm realm=new IniRealm("classpath:shiro.ini");
    DefaultSecurityManager securityManager=new DefaultSecurityManager();
    securityManager.setRealm(realm);
    SecurityUtils.setSecurityManager(securityManager);
    Subject subject=SecurityUtils.getSubject();
    UsernamePasswordToken token=new UsernamePasswordToken("admin","123456");

    try{
        subject.login(token);
    }catch (AuthenticationException e){
        System.out.println("认证异常:");
        e.printStackTrace();
    }
    System.out.println("是否认证通过:"+subject.isAuthenticated());
    System.out.println("身份信息:"+subject.getPrincipal());


    System.out.println("是否认证通过:"+subject.isAuthenticated());
    //认证通过后,进行权限验证
    System.out.println("是否为管理员角色:"+subject.hasRole("管理员"));
    //判断是否为某角色
    System.out.println("是否能操作用户查看功能:"+subject.isPermitted("user:view"));//判断是否拥有权限
    //也可以使用check方法判断是否拥有某权限,但是失败的情况下会抛出 UnauthorizedException异常
    subject.checkPermission("user:view");
}

授权流程

授权流程图``

流程如下:
1.首先调用Subject.isPermitted*/hasRole接口,其会委托给SecurityManager, 而SecurityManager接着会委托给Authorizer;
2. Authorizer 是真正的授权者,如果我们调用如isPermitted( “user:

最低0.47元/天 解锁文章
-祝我好运
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
oracle 赋权
04-12
源码 博文链接:https://lishoubin.iteye.com/blog/1731236
Shiro学习笔记(3)——授权Authorization
热门推荐
君君的专栏
05-28 1万+
什么是授权 授权三要素 Shiro的三种授权方式 1 编码方式授权 2 基于注解的授权 3 JSP标签授权1.什么是授权授权,就是访问控制,控制某个用户在应用程序中是否有权限做某件事2.授权三要素 权限 请看Shiro学习笔记(1)——shiro入门中权限部分内容角色 通常代表一组行为或职责.这些行为演化为你在一个软件应用中能或者不能做的事情。角色通常是分配给用户帐户的,因此,通过分配,用户
Shiro】Apache Shiro架构之权限认证(Authorization
武哥聊编程
07-03 1万+
上一篇博文总结了一下Shiro中的身份认证,本文主要来总结一下Shiro中的权限认证(Authorization)功能,即授权。如下: 本文参考自Apache Shiro的官方文档:http://shiro.apache.org/authorization.html。 本文遵循以下流程:先介绍Shiro中的权限认证,再通过一个简单的实例来具体说明一下API的使用(基于maven)。 1
shiro 授权(Authorization)
weixin_44659712的博客
09-18 203
术语简介 1、授权 授权,也叫访问控制,即在应用中控制谁能访问哪些资源。在授权中需了解的几个关键对象:主体(Subject)、资源(Resource)、权限(Permission)、角色(Role) 2、主体 主体,即访问应用的用户,在shiro中使用shiro中使用subject代表该用户,用户只有授权后才允许访问相应的资源。 3,资源 在应用中用户可以访问的任何东西,比如访问jsp页面、查看/编辑某些数据、访问某个业务方法,打印文件等都是资源,用户只有授权后才能访问。 4、资源 安全策略中
shiro实战系列(六)之Authorization(授权)
weixin_34290096的博客
06-10 337
授权,又称作为访问控制,是对资源的访问管理的过程。换句话说,控制谁有权限在应用程序中做什么。 授权检查的例子是:该用户是否被允许访问这个网页,编辑此数据,查看此按钮,或打印到这台打印机?这些都是 决定哪些是用户能够访问的。 授权的要素: Apache Shiro 中的权限代表着安全政策中最基础的元素。它们从根本上作出了对行为的声明,并明...
Apache Shiro 使用手册(三) Shiro授权
09-15
Apache Shiro 是一款强大的安全管理框架,它提供了身份验证(Authentication)、授权Authorization)和会话管理(Session Management)等功能。本篇文章将详细讲解 Shiro授权机制,即如何控制用户在应用程序中...
shiro认证及授权demo
10-28
Apache Shiro是一个强大的Java安全框架,它提供了身份验证(Authentication)、授权Authorization)以及会话管理(Session Management)等功能,简化了开发人员在构建安全应用时的复杂性。本Demo旨在展示如何使用...
Shiro登录授权认证功能
09-26
Apache Shiro 是一个强大且易用的 Java 安全框架,它提供了身份验证(Authentication)、授权Authorization)和会话管理(Session Management)等功能,简化了应用安全的开发。在这个项目中,我们主要关注的是...
Shiro实现登录授权功能
09-26
2. **授权Authorization)**:授权是指确定已认证的用户是否有权限执行某个操作。Shiro 提供了角色(Role)和权限(Permission)的概念,用户可以被分配到多个角色,每个角色拥有若干权限。你可以设置基于角色的...
shiro权限认证和授权
02-26
### 二、Shiro授权 **2. 权限授权Authorization)** 授权是指确定用户是否有权限执行特定操作。Shiro提供多种授权方式,包括基于角色的访问控制(RBAC)和基于权限的访问控制(PBAC)。 - **角色(Role)**:...
shiro入门学习--授权Authorization)|筑基初期
qq_43788185的博客
10-10 511
写在前面 经过前面的学习,我们了解了shiro中的认证流程,并且学会了如何通过自定义Realm实现应用程序的用户认证。在这篇文章当中,我们将学习shiro中的授权流程。 授权概述 这里的授权指的是授予某一系统的某一用户访问受保护资源的权限,分为查询、修改、插入和删除几类。没有相关权限的用户将无法访问受保护资源,具有权限的用户只能在自己权限范围内操作受保护资源。 关键对象 主体(Subject) 即指定的某一用户,这里的用户可以是浏览器、APP和第三方应用程序等。 资源(Resource) 这里的资源包括资源
oracle grant revoke
zhoutianzhe的专栏
02-25 322
一、权限是用户对一项功能的执行权力。在Oracle 中,根据系统管理方式不同,将权限分为系统权限 与实体权限 两类。 系统权限 是指是否被授权用户可以连接到数据库上,在数据库中可以进行哪些系统操作。 实体权限 是指用户对具体的模式实体 (schema)所拥有的权限。这样讲可以有些模糊。 举个例子来说:select any table是系统权限,它表示可以查看任何表。而select...
shiro授权过程
jasnet_u的博客
03-25 1383
一、授权的核心概念 授权,也就是权限认证或访问控制,即在应用中控制谁能访问哪些资源 授权中的核心要素: 1 用户,在shiro中代表访问系统的任何客户端,即subject 2 角色,是权限的集合,或字符串值表示的一种能力。 3 权限,即操作资源的权利。比如访问某个页面,以及对某功能模块的添加、修改、删除、查看的权利 (http://shiro.apache.org/authorization.ht...
Shiro授权(Authorization)
qq_45136677的博客
09-19 191
授权 授权,也叫访问控制,既在应用中控制谁能访问哪些资源(如访问页面/编辑数据/页面操作等).在授权中需了解几个关键对象:主体(Subject),资源(Resource),权限(Permission).角色(Role). 主体 主体,既访问应用的用户,在Shiro中使用Subject代表该用户.用户只有授权后才允许访问相应的资源. 资源 在应用中用户可以访问的任何东西,比如访问JSP页面,查看/编辑某些数据,访问某个业务方法,打印文本等等都是资源.有货只有授权以后才能访问. 权限 安全策略中的原子授权单位,
什么是shiro 3——组件之授权
甲凹I饕餮的博客
05-23 427
授权,也叫访问控制,即在应用中控制谁能访问哪些资源(如访问页面/编辑数据/页面操作 等)。在授权中需了解的几个关键对象:主体(Subject)、资源(Resource)、权限(Permission)、角色(Role)。 主体 主体,即访问应用的用户,在Shiro中使用Subject代表该用户。用户只有授权后才允许访 问相应的资源。 资源 在应用中用户可以访问的任何东西,比如访问JSP 页
Shiro 授权(权限)
我的博客----机械鱼人
01-09 1485
一、授权(权限) 1.1 什么是权限 授权,也叫访问控制,即在应用中控制谁能访问哪些资源(如访问页面/编辑数据/页面操作等)。 1.2 权限框架 shiro spring security Apache ShiroJava的一个安全框架。目前,使用Apache Shiro的人越来越多,因为它相当简单, 对比Spring Security,可能没有Spring Security做的功能强大,但...
Shiro(授权Authorization)
weixin_34406796的博客
08-14 164
什么是授权? 即该用户是否有权限访问某个资源.(即校验权限) Shiro权限的实现方式 1. 硬编码方式:实现授权访问校验. 在自定义中的realm中的授权方法中进行编写代码. 根据传进来的PrincipalCollection获取用户对象. 该授权方法的返回值是AuthorizationInfo,该对象是一个接口,因此我们需要创建它的实现类,SimpleAuthorizationInfo....
第五章:Shiro授权Authorization
逸轩
04-09 681
Authorization概述 概述   授权,又称作为访问控制,是对资源的访问管理的过程。换句话说,控制谁有权限在应用程序中做什么。   授权检查的例子是:该用户是否被允许访问这个网页,编辑此数据,查看此按钮,或打印到这台打印机?这些都是决定哪些是用户能够访问的。 授权的三要素   授权有着三个核心元素:权限、角色和用户 。   我们需要在应用程序中对用户和权
shiro讲解 之 Authorization (一)
Dusty丶one的博客
10-30 566
shiro讲解之 多Realm 之 Authorization(一)本节我们将学习一下 ShiroAuthorization(授权)。 官方文档The Authorizer is the component responsible determining users’ access control in the application. It is the mechanism that ult
小米用户画像实践与Shiro授权缓存管理
Shiro 的核心功能包括认证(Authentication)和授权Authorization)。认证是指验证用户的身份,而授权则是确定已认证的用户可以访问哪些资源。在 Shiro 中,`AuthorizingRealm` 是实现这两个功能的关键类,它负责...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值