Shiro学习(四)——认证与授权(ini文件配置与数据库配置方式)

最新推荐文章于 2024-04-30 16:38:31 发布
最新推荐文章于 2024-04-30 16:38:31 发布
阅读量799 收藏 4
点赞数
分类专栏: Shiro 文章标签: mysql 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sadoshi/article/details/120059995
版权

前言

安全框架最基本的两个功能是认证和授权,说俗一点就是登陆和权限管理。在系列第一篇文章《Shiro学习(一)——Shiro配置与快速开始》中,我们已经通过login验证了其认证功能。本篇主要讲讲授权功能。

另外也想讲讲通过数据库方式进行授权的管理。网上搜索以及很多例子基本都是以ini文件配置为主,即使个别使用数据库管理的,也讲得不清不楚,希望这篇文章能让大家搞明白。

ini文件配置方式

还是先以ini文件配置方式讲起,我们新建文件shiro.ini

[users]
zhang=123,role1
wang=456,role1,role2
[roles]
role1=user:create,user:update
role2=user:create,user:delete

注意ini文件中,用户信息要在[users]小节下,角色权限要在[roles]小节下。因为ini文件配置方式会调用IniRealm来处理,该类会寻找[users]和[roles]小节进行处理。

[users]小节下,以“用户名=密码,角色1,角色2,......”进行配置。因此上述为用户名“zhang”,其密码为123,其角色为role1。

[roles]小节下,以“角色=权限1,权限2,......”进行配置。权限还有一些简写的方式,这里就不讲了,需要的可以自行查询。

接下来我们写一个测试类:

package com.sadoshi.shiro;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.env.BasicIniEnvironment;
import org.apache.shiro.env.Environment;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.util.Factory;
import org.junit.Before;
import org.junit.Test;

import junit.framework.Assert;

public class ShiroIniTest {
	
	private Subject subject;
	
	@Before
	public void init() {
		Environment env = new BasicIniEnvironment("classpath:shiro.ini");
		org.apache.shiro.mgt.SecurityManager securityManager = env.getSecurityManager();
		SecurityUtils.setSecurityManager(securityManager);
		subject = SecurityUtils.getSubject();
	}
	
	@Test
	public void testAuthorization() {
		UsernamePasswordToken token = new UsernamePasswordToken("zhang", "123");
		try {
			subject.login(token);
			System.out.println(subject.hasRole("role1"));
			System.out.println(subject.hasRole("role2"));
			System.out.println(subject.isPermitted("user:create"));
			System.out.println(subject.isPermitted("user:update"));
		} catch (AuthenticationException e) {
			e.printStackTrace();
		}
		subject.logout();
	}
}

init函数内是对subject进行初始化,testAuthorization先login进行认证,之后我们用hasRole方法校验该帐号是否为role1、role2角色,然后用isPermitted校验帐号是否具备user:create和user:update权限。

上述的例子网上随便搜一下就有,仅当做个铺垫和记录,接下来讲通过数据库配置才是重点。

通过mysql数据库配置方式

绝大多数项目,我们的帐号密码,以及角色权限,应该都是存储在数据库中的,基本没什么项目用ini文件配置账号权限。数据库配置并不难,而且即使不扩展JdbcRealm,也可以具备一定灵活性。关于灵活性后面再讲一下,先讲默认情况。

建表

首先数据库必须新建三张表

CREATE TABLE `users` (
   `id` bigint(20) NOT NULL AUTO_INCREMENT,
   `username` varchar(100) DEFAULT NULL,
   `password` varchar(100) DEFAULT NULL,
   `password_salt` varchar(100) DEFAULT NULL,
   PRIMARY KEY (`id`),
   UNIQUE KEY `idx_users_username` (`username`)
 ) ENGINE=InnoDB AUTO_INCREMENT=3 DEFAULT CHARSET=utf8
CREATE TABLE `user_roles` (
   `id` bigint(20) NOT NULL AUTO_INCREMENT,
   `username` varchar(100) NOT NULL,
   `role_name` varchar(100) NOT NULL,
   PRIMARY KEY (`id`)
 ) ENGINE=InnoDB AUTO_INCREMENT=4 DEFAULT CHARSET=utf8
CREATE TABLE `roles_permissions` (
   `id` bigint(20) NOT NULL AUTO_INCREMENT,
   `role_name` varchar(100) DEFAULT NULL,
   `permission` varchar(100) DEFAULT NULL,
   PRIMARY KEY (`id`)
 ) ENGINE=InnoDB DEFAULT CHARSET=utf8

这三个表的表名、字段名都不能改动(主键id除外),因为JdbcRealm的默认查询语句就是查这三个表对应的字段。当然这几个表可以添加更多的字段,但至少要有这些字段,而且字段名和表名不能动。

我们插入一些测试数据,和我们通过ini配置的情况一样:

INSERT INTO users(username, `password`) VALUES ('zhang','123');
INSERT INTO users(username, `password`) VALUES ('wang','456');

INSERT INTO user_roles(username, role_name) VALUES ('zhang','role1');
INSERT INTO user_roles(username, role_name) VALUES ('wang','role1');
INSERT INTO user_roles(username, role_name) VALUES ('wang','role2');

INSERT INTO roles_permissions(role_name, permission) VALUES ('role1', 'user:create');
INSERT INTO roles_permissions(role_name, permission) VALUES ('role1', 'user:update');
INSERT INTO roles_permissions(role_name, permission) VALUES ('role2', 'user:create');
INSERT INTO roles_permissions(role_name, permission) VALUES ('role2', 'user:delete');

配置JdbcRealm

我们有两种方式配置shiro使用JdbcRealm,通过ini方式或者通过纯java方式。读者选择其中一种即可,当然以后有多个realm需要配置,也可以混合使用。

ini文件配置方式

这里创建ini配置文件shiro-jdbc-realm.ini:

[main]
jdbcRealm=org.apache.shiro.realm.jdbc.JdbcRealm
dataSource=com.alibaba.druid.pool.DruidDataSource
dataSource.driverClassName=com.mysql.jdbc.Driver
dataSource.url=jdbc:mysql://localhost:3306/shiro
dataSource.username=root
#dataSource.password=
jdbcRealm.dataSource=$dataSource
jdbcRealm.permissionsLookupEnabled=true
securityManager.realms=$jdbcRealm

这里先指定jdbcRealm的类型,然后指定dataSource的类型,之后设置dataSource的各项属性,把dataSource注入jdbcRealm中,再把jdbcRealm注入到securityManager即可。注意如果使用权限控制的话,一定要把jdbcRealm.permissionsLookupEnabled这个设置为true,因为默认是false,这种情况下jdbcRealm不会去查询roles_permissions,之前的isPermitted判断权限都会返回false。

纯java配置

java的配置差不多,如果了解spring ioc注入原理的,应该对这些配置方式不陌生:

public void init() throws Exception {
	DefaultSecurityManager securityManager = new DefaultSecurityManager();
	JdbcRealm realm = new JdbcRealm();
	Class<DruidDataSource> clazz = DruidDataSource.class;
	DruidDataSource dataSource = clazz.newInstance();
	dataSource.setUsername("root");
	dataSource.setPassword("");
	dataSource.setUrl("jdbc:mysql://localhost:3306/shiro");
	dataSource.setDriverClassName("com.mysql.jdbc.Driver");
	realm.setDataSource(dataSource);
	realm.setPermissionsLookupEnabled(true);
	securityManager.setRealm(realm);
}

上面这段的函数实现的就是ini文件配置一样的功能。我们前面的文章分析了securityManager默认使用DefaultSecurityManager,所以这里我们直接new一个DefaultSecurityManager出来,利用反射创建dataSource,之后设置属性,再配置到securityManager中即可。这样我们就可以使用securityManager了,后面按之前的步骤调用SecurityUtils.setSecurityManager(securityManager),再获取subject即可。

测试权限效果

之后我们编写测试例子,我们使用纯java方式:

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.mgt.DefaultSecurityManager;
import org.apache.shiro.realm.jdbc.JdbcRealm;
import org.apache.shiro.subject.Subject;
import org.junit.Before;
import org.junit.Test;

import com.alibaba.druid.pool.DruidDataSource;

import junit.framework.Assert;

public class ShiroJdbcTest {
	
	private Subject subject;
	
	@Before
	public void init() throws Exception {
		DefaultSecurityManager securityManager = new DefaultSecurityManager();
		JdbcRealm realm = new JdbcRealm();
		Class<DruidDataSource> clazz = DruidDataSource.class;
		DruidDataSource dataSource = clazz.newInstance();
		dataSource.setUsername("root");
		dataSource.setPassword("");
		dataSource.setUrl("jdbc:mysql://localhost:3306/shiro");
		dataSource.setDriverClassName("com.mysql.jdbc.Driver");
		realm.setDataSource(dataSource);
		realm.setPermissionsLookupEnabled(true);
		securityManager.setRealm(realm);
        SecurityUtils.setSecurityManager(securityManager);
 
        subject = SecurityUtils.getSubject();
	}
	
	@Test
    public void testJDBCRealm() {
        UsernamePasswordToken token = new UsernamePasswordToken("zhang", "123");
        try {
            subject.login(token);
            System.out.println(subject.hasRole("role1"));
			System.out.println(subject.hasRole("role2"));
			System.out.println(subject.isPermitted("user:create"));
			System.out.println(subject.isPermitted("user:update"));
        } catch (AuthenticationException e) {
            e.printStackTrace();
        }
        Assert.assertEquals(true, subject.isAuthenticated());
        subject.logout();
    }
}

认证与权限的表名和字段可以修改吗?关于JdbcRealm的探索

是可以修改的,而且JdbcRealm为我们留了足够的空间,甚至不需要对其进行扩展。我们稍微看一下源码:

public class JdbcRealm extends AuthorizingRealm {

    protected static final String DEFAULT_AUTHENTICATION_QUERY = "select password from users where username = ?";
 
    protected static final String DEFAULT_SALTED_AUTHENTICATION_QUERY = "select password, password_salt from users where username = ?";

    protected static final String DEFAULT_USER_ROLES_QUERY = "select role_name from user_roles where username = ?";

    protected static final String DEFAULT_PERMISSIONS_QUERY = "select permission from roles_permissions where role_name = ?";

//省略
}

实际上JdbcRealm把使用的sql查询语句提取出来,第一句是用来做登录认证的,第二句是加上盐值认证,第三句是根据用户名查询角色名,第四句根据角色名查询权限。看看这些语句,现在知道为什么之前创建的表名和字段不能修改了吧,因为你改了,JdbcRealm就查不到了!

shiro作者还是比较贴心,不但把sql语句提取出来,还有专门的setter方法和getter方法,这样我们可以在配置的时候直接修改这几个语句,那即使表名和字段名改了,JdbcRealm也能找到。

举个例子,我们现在把所有表名的前面加上"t_",修改后表名变为“t_users”、“t_user_roles”、“t_roles_permissions”,另外我们把t_user_roles和t_roles_permissions的role_name字段改为role。这时候你执行上面测试的程序一定会报错。

我们需要修改一下对应的语句,这次我们使用ini文件配置JdbcRealm方式:

[main]
jdbcRealm=org.apache.shiro.realm.jdbc.JdbcRealm
dataSource=com.alibaba.druid.pool.DruidDataSource
dataSource.driverClassName=com.mysql.jdbc.Driver
dataSource.url=jdbc:mysql://localhost:3306/shiro
dataSource.username=root
#dataSource.password=
jdbcRealm.dataSource=$dataSource
jdbcRealm.permissionsLookupEnabled=true
jdbcRealm.authenticationQuery=select password from t_users where username = ?
jdbcRealm.userRolesQuery=select role from t_user_roles where username = ?
jdbcRealm.permissionsQuery=select permission from t_roles_permissions where role = ?
securityManager.realms=$jdbcRealm

可以看到倒数2、3、4行把修改后的sql语句设置到JdbcRealm对应的属性中,之后再尝试测试即可。

小结

本文主要讲了shiro授权方面的基本使用,也稍微探索了一下JdbcRealm。如果权限管理比较复杂,通常的做法是自定义realm,扩展JdbcRealm并重写其doGetAuthenticationInfo和doGetAuthorizationInfo方法。自定义realm的后面再讲。使用起来也不复杂,但是想要完全驾驭的话,肯定要从源码角度去理解,这个会在后面的文章中分析。

sadoshi
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiroINI配置详解
08-29
ShiroINI配置主要用于定义SecurityManager的配置,包括认证授权、Realm等配置。 在Shiro中,SecurityManager是整个安全框架的核心组件,它负责身份验证和授权。SecurityManager是一个Thread-safe的对象,每个...
shiro——认证
08-05
3. **凭证匹配器(CredentialsMatcher)**: 在认证过程中,Shiro需要比较用户的凭证(如密码)与存储在数据库或其他凭证存储中的凭证。为此,我们需要定义一个`CredentialsMatcher`,比如`HashedCredentialsMatcher`...
Shiro笔记(三)----Shiro配置文件ini详解
热门推荐
fendo
07-09 3万+
一、INI简介 INI配置文件是一种key/value的键值对配置,提供了分类的概念,每一个类中的key不可重复,#号代表注释,shiro.ini文件默认在/WEB-INF/ 或classpath下,shiro会自动查找,INI配置文件一般适用于用户少且不需要在运行时动态创建的情景下使用。 1.在web.xml中配置shiro的过滤器 要使用Shiro必须在web
Shiro框架(二)-ini文件详解
threelifeadv的博客
03-28 1758
shiro.ini文件说明: iniInitializationFile,指初始文件。 在前文Shiro概述中介绍过,Shiro可以用来管理最简单的移动应用程序,也可以用来管理复杂的企业项目,那么在简单的程序中,我们很多时候都不需要使用到数据库,那么怎么获取数据呢?shiro.ini文件满足了我们的需求,在不连接数据库的情况下,我们可以在shiro.ini文件配置静态数据。 shiro....
基于Java的shiro框架介绍和使用
最新发布
小蜜蜂vs码农
04-30 281
基于Java的shiro框架介绍和使用
Shiro 框架总结】9 Shiro.ini详解
FullStackDeveloper0的博客
04-17 730
一、INI简介 INI配置文件是一种key/value的键值对配置,提供了分类的概念,每一个类中的key不可重复,#号代表注释 shiro.ini文件默认在/WEB-INF/ 或classpath下,shiro会自动查找,INI配置文件一般适用于用户少且不需要在运行时动态创建的情景下使用。 1.在web.xml中配置shiro的过滤器 (1)Shiro 1.1及以前版本配置方式 要...
shiro的基本功能(ini方式)
虾米大王的学习历程
10-02 109
在src/main/java目录下,新建包com.shrimpking.realm。我还没有彻底弄明白shrio的运行,以上代码仅作为敲门砖,各位海涵。新建springboot项目,练习shiro安全框架的使用。在resources目录下,新建shiro.ini配置文件。运行后,可以查看ini方式的shrio的运行。另外关于shrio的加密,单独建立一个测试类。然后在test测试目录下,新建测试类。新建一个MyRealm类。
shiro配置文件shiro.ini简介说明
qq_25073223的博客
07-27 857
shiro配置文件shiro.ini简介说明
基于springboot实现整合shiro实现登录认证以及授权过程解析
08-25
基于Spring Boot实现整合Shiro实现登录认证以及授权过程解析 在本文中,我们将详细介绍如何使用Spring Boot框架实现整合Shiro进行登录认证授权过程的解析。Shiro是Apache软件基金会下的一个基于Java的开源安全...
springmvc+shiro+maven 实现登录认证与权限授权管理
08-29
SpringMVC+Shiro+maven 实现登录认证与权限授权管理 SpringMVC 是一个基于 Java 语言的 web 应用程序框架,Shiro 是一个 Apache 下的一开源项目,旨在简化身份验证和授权。下面我们将通过实例代码,分享 SpringMVC+...
详解spring整合shiro权限管理与数据库设计
08-30
Spring整合Shiro权限管理与数据库设计 本文主要介绍了Spring整合Shiro权限管理与数据库设计的相关知识点。Shiro是一个开源的权限管理框架,广泛应用于Java Web开发中,而Spring则是Java企业版的框架,用于构建企业...
shiro认证授权demo
10-28
这个"shiro认证授权demo"应该包含了设置Shiro环境、配置 Realm、创建 SecurityManager、定义用户角色和权限以及处理登录、登出等核心功能的示例代码。 1. **Shiro环境设置**:首先,需要在项目中引入Shiro的依赖...
Springboot shiro认证授权实现原理及实例
08-19
Springboot shiro 认证授权实现原理及实例 作为一款流行的 Java 框架,Spring Boot 提供了许多插件来支持开发过程,而 Shiro 则是一个功能强大的身份验证和授权框架。下面,我们将详细介绍 Spring Boot 中如何使用 ...
springboot与shiro整合—登录认证和权限管理实例项目
04-16
2. **配置Shiro**:创建一个`shiro.ini`配置文件配置如 Realm(领域)、过滤器链、用户权限等信息。或者可以使用Java配置类来替代 ini 文件。 3. **自定义Realm**: Realm是Shiro与应用数据源交互的接口,你需要...
shiro 与 spring 整合、动态过滤链、以及认证授权.docx
07-20
Apache Shiro 是一个轻量级的安全管理框架,与 Spring Security 相比,它的认证授权流程更为简单易懂。Shiro 提供了原生会话(native-session)机制,允许在不依赖容器的 Session 实现情况下,存储和管理用户的...
简单的介绍,简单的配置,简单的扩展 shiro入门学习手册 共35页.pptx
01-08
开发者可以自定义 Realm 类型以适配不同的数据源,如数据库、LDAP 或配置文件。 8. **Subject 和 SecurityManager**:Subject 是用户交互的对象,而 SecurityManager 是 Shiro 的核心,它协调各个组件的工作。...
Shiro配置文件详解
king220022的博客
04-11 583
shiro.ini文件放在classpath下,shiro会自动查找。其中格式是key/value键值对配置INI配置文件一般适用于用户少且不需要在运行时动态创建的情景下使用。ini文件中主要配置大类:main,users,roles,urls----[main]main主要配置shiro的一些对象,例如:securityManager ,Realm,authenticator,authcStrategy----[users][users]允许配置一组静态的用户,包含用户名,密码,角色,一个用户可以有
Shiro教程(十)Shiro 权限动态加载与配置精细讲解
啊~~~ 小风车...
08-14 4611
本文转载来源:Shiro教程(十)Shiro 权限动态加载与配置精细讲解 Shiro  是一个很完美的权限控制框架,一般我们会采用 shiro  的标签,在页面判断,从而来判断一些Button ,Link Tag  的显示与否,但是仅仅这样判断是不够的,如果用户知道链接,这就一点用都没有。所以我们后台还要有一层判断。这样才安全。今天来说说 Shiro  后台判断的这点事。 s
Shiro入门:身份验证、授权与简单配置详解
Apache Shiro是一个强大的开源...Shiro的入门学习涵盖了基础概念、配置方法以及常见功能的使用,适合希望通过一个简明路径理解和实现代理安全的企业和个人。通过这些知识点,开发者可以迅速构建出安全稳定的应用环境。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值