Shiro学习(四)——认证与授权(ini文件配置与数据库配置方式)

最新推荐文章于 2024-04-30 16:38:31 发布
最新推荐文章于 2024-04-30 16:38:31 发布
阅读量790 收藏 4
点赞数
分类专栏: Shiro 文章标签: mysql 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sadoshi/article/details/120059995
版权

前言

安全框架最基本的两个功能是认证和授权,说俗一点就是登陆和权限管理。在系列第一篇文章《Shiro学习(一)——Shiro配置与快速开始》中,我们已经通过login验证了其认证功能。本篇主要讲讲授权功能。

另外也想讲讲通过数据库方式进行授权的管理。网上搜索以及很多例子基本都是以ini文件配置为主,即使个别使用数据库管理的,也讲得不清不楚,希望这篇文章能让大家搞明白。

ini文件配置方式

还是先以ini文件配置方式讲起,我们新建文件shiro.ini

[users]
zhang=123,role1
wang=456,role1,role2
[roles]
role1=user:create,user:update
role2=user:create,user:delete

注意ini文件中,用户信息要在[users]小节下,角色权限要在[roles]小节下。因为ini文件配置方式会调用IniRealm来处理,该类会寻找[users]和[roles]小节进行处理。

[users]小节下,以“用户名=密码,角色1,角色2,......”进行配置。因此上述为用户名“zhang”,其密码为123,其角色为role1。

[roles]小节下,以“角色=权限1,权限2,......”进行配置。权限还有一些简写的方式,这里就不讲了,需要的可以自行查询。

接下来我们写一个测试类:

package com.sadoshi.shiro;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.env.BasicIniEnvironment;
import org.apache.shiro.env.Environment;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.util.Factory;
import org.junit.Before;
import org.junit.Test;

import junit.framework.Assert;

public class ShiroIniTest {
	
	private Subject subject;
	
	@Before
	public void init() {
		Environment env = new BasicIniEnvironment("classpath:shiro.ini");
		org.apache.shiro.mgt.SecurityManager securityManager = env.getSecurityManager();
		SecurityUtils.setSecurityManager(securityManager);
		subject = SecurityUtils.getSubject();
	}
	
	@Test
	public void testAuthorization() {
		UsernamePasswordToken token = new UsernamePasswordToken("zhang", "123");
		try {
			subject.login(token);
			System.out.println(subject.hasRole("role1"));
			System.out.println(subject.hasRole("role2"));
			System.out.println(subject.isPermitted("user:create"));
			System.out.println(subject.isPermitted("user:update"));
		} catch (AuthenticationException e) {
			e.printStackTrace();
		}
		subject.logout();
	}
}

init函数内是对subject进行初始化,testAuthorization先login进行认证,之后我们用hasRole方法校验该帐号是否为role1、role2角色,然后用isPermitted校验帐号是否具备user:create和user:update权限。

上述的例子网上随便搜一下就有,仅当做个铺垫和记录,接下来讲通过数据库配置才是重点。

通过mysql数据库配置方式

绝大多数项目,我们的帐号密码,以及角色权限,应该都是存储在数据库中的,基本没什么项目用ini文件配置账号权限。数据库配置并不难,而且即使不扩展JdbcRealm,也可以具备一定灵活性。关于灵活性后面再讲一下,先讲默认情况。

建表

首先数据库必须新建三张表

CREATE TABLE `users` (
   `id` bigint(20) NOT NULL AUTO_INCREMENT,
   `username` varchar(100) DEFAULT NULL,
   `password` varchar(100) DEFAULT NULL,
   `password_salt` varchar(100) DEFAULT NULL,
   PRIMARY KEY (`id`),
   UNIQUE KEY `idx_users_username` (`username`)
 ) ENGINE=InnoDB AUTO_INCREMENT=3 DEFAULT CHARSET=utf8
CREATE TABLE `user_roles` (
   `id` bigint(20) NOT NULL AUTO_INCREMENT,
   `username` varchar(100) NOT NULL,
   `role_name` varchar(100) NOT NULL,
   PRIMARY KEY (`id`)
 ) ENGINE=InnoDB AUTO_INCREMENT=4 DEFAULT CHARSET=utf8
CREATE TABLE `roles_permissions` (
   `id` bigint(20) NOT NULL AUTO_INCREMENT,
   `role_name` varchar(100) DEFAULT NULL,
   `permission` varchar(100) DEFAULT NULL,
   PRIMARY KEY (`id`)
 ) ENGINE=InnoDB DEFAULT CHARSET=utf8

这三个表的表名、字段名都不能改动(主键id除外),因为JdbcRealm的默认查询语句就是查这三个表对应的字段。当然这几个表可以添加更多的字段,但至少要有这些字段,而且字段名和表名不能动。

我们插入一些测试数据,和我们通过ini配置的情况一样:

INSERT INTO users(username, `password`) VALUES ('zhang','123');
INSERT INTO users(username, `password`) VALUES ('wang','456');

INSERT INTO user_roles(username, role_name) VALUES ('zhang','role1');
INSERT INTO user_roles(username, role_name) VALUES ('wang','role1');
INSERT INTO user_roles(username, role_name) VALUES ('wang','role2');

INSERT INTO roles_permissions(role_name, permission) VALUES ('role1', 'user:create');
INSERT INTO roles_permissions(role_name, permission) VALUES ('role1', 'user:update');
INSERT INTO roles_permissions(role_name, permission) VALUES ('role2', 'user:create');
INSERT INTO roles_permissions(role_name, permission) VALUES ('role2', 'user:delete');

配置JdbcRealm

我们有两种方式配置shiro使用JdbcRealm,通过ini方式或者通过纯java方式。读者选择其中一种即可,当然以后有多个realm需要配置,也可以混合使用。

ini文件配置方式

这里创建ini配置文件shiro-jdbc-realm.ini:

[main]
jdbcRealm=org.apache.shiro.realm.jdbc.JdbcRealm
dataSource=com.alibaba.druid.pool.DruidDataSource
dataSource.driverClassName=com.mysql.jdbc.Driver
dataSource.url=jdbc:mysql://localhost:3306/shiro
dataSource.username=root
#dataSource.password=
jdbcRealm.dataSource=$dataSource
jdbcRealm.permissionsLookupEnabled=true
securityManager.realms=$jdbcRealm

这里先指定jdbcRealm的类型,然后指定dataSource的类型,之后设置dataSource的各项属性,把dataSource注入jdbcRealm中,再把jdbcRealm注入到securityManager即可。注意如果使用权限控制的话,一定要把jdbcRealm.permissionsLookupEnabled这个设置为true,因为默认是false,这种情况下jdbcRealm不会去查询roles_permissions,之前的isPermitted判断权限都会返回false。

纯java配置

java的配置差不多,如果了解spring ioc注入原理的,应该对这些配置方式不陌生:

public void init() throws Exception {
	DefaultSecurityManager securityManager = new DefaultSecurityManager();
	JdbcRealm realm = new JdbcRealm();
	Class<DruidDataSource> clazz = DruidDataSource.class;
	DruidDataSource dataSource = clazz.newInstance();
	dataSource.setUsername("root");
	dataSource.setPassword("");
	dataSource.setUrl("jdbc:mysql://localhost:3306/shiro");
	dataSource.setDriverClassName("com.mysql.jdbc.Driver");
	realm.setDataSource(dataSource);
	realm.setPermissionsLookupEnabled(true);
	securityManager.setRealm(realm);
}

上面这段的函数实现的就是ini文件配置一样的功能。我们前面的文章分析了securityManager默认使用DefaultSecurityManager,所以这里我们直接new一个DefaultSecurityManager出来,利用反射创建dataSource,之后设置属性,再配置到securityManager中即可。这样我们就可以使用securityManager了,后面按之前的步骤调用SecurityUtils.setSecurityManager(securityManager),再获取subject即可。

测试权限效果

之后我们编写测试例子,我们使用纯java方式:

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.mgt.DefaultSecurityManager;
import org.apache.shiro.realm.jdbc.JdbcRealm;
import org.apache.shiro.subject.Subject;
import org.junit.Before;
import org.junit.Test;

import com.alibaba.druid.pool.DruidDataSource;

import junit.framework.Assert;

public class ShiroJdbcTest {
	
	private Subject subject;
	
	@Before
	public void init() throws Exception {
		DefaultSecurityManager securityManager = new DefaultSecurityManager();
		JdbcRealm realm = new JdbcRealm();
		Class<DruidDataSource> clazz = DruidDataSource.class;
		DruidDataSource dataSource = clazz.newInstance();
		dataSource.setUsername("root");
		dataSource.setPassword("");
		dataSource.setUrl("jdbc:mysql://localhost:3306/shiro");
		dataSource.setDriverClassName("com.mysql.jdbc.Driver");
		realm.setDataSource(dataSource);
		realm.setPermissionsLookupEnabled(true);
		securityManager.setRealm(realm);
        SecurityUtils.setSecurityManager(securityManager);
 
        subject = SecurityUtils.getSubject();
	}
	
	@Test
    public void testJDBCRealm() {
        UsernamePasswordToken token = new UsernamePasswordToken("zhang", "123");
        try {
            subject.login(token);
            System.out.println(subject.hasRole("role1"));
			System.out.println(subject.hasRole("role2"));
			System.out.println(subject.isPermitted("user:create"));
			System.out.println(subject.isPermitted("user:update"));
        } catch (AuthenticationException e) {
            e.printStackTrace();
        }
        Assert.assertEquals(true, subject.isAuthenticated());
        subject.logout();
    }
}

认证与权限的表名和字段可以修改吗?关于JdbcRealm的探索

是可以修改的,而且JdbcRealm为我们留了足够的空间,甚至不需要对其进行扩展。我们稍微看一下源码:

public class JdbcRealm extends AuthorizingRealm {

    protected static final String DEFAULT_AUTHENTICATION_QUERY = "select password from users where username = ?";
 
    protected static final String DEFAULT_SALTED_AUTHENTICATION_QUERY = "select password, password_salt from users where username = ?";

    protected static final String DEFAULT_USER_ROLES_QUERY = "select role_name from user_roles where username = ?";

    protected static final String DEFAULT_PERMISSIONS_QUERY = "select permission from roles_permissions where role_name = ?";

//省略
}

实际上JdbcRealm把使用的sql查询语句提取出来,第一句是用来做登录认证的,第二句是加上盐值认证,第三句是根据用户名查询角色名,第四句根据角色名查询权限。看看这些语句,现在知道为什么之前创建的表名和字段不能修改了吧,因为你改了,JdbcRealm就查不到了!

shiro作者还是比较贴心,不但把sql语句提取出来,还有专门的setter方法和getter方法,这样我们可以在配置的时候直接修改这几个语句,那即使表名和字段名改了,JdbcRealm也能找到。

举个例子,我们现在把所有表名的前面加上"t_",修改后表名变为“t_users”、“t_user_roles”、“t_roles_permissions”,另外我们把t_user_roles和t_roles_permissions的role_name字段改为role。这时候你执行上面测试的程序一定会报错。

我们需要修改一下对应的语句,这次我们使用ini文件配置JdbcRealm方式:

[main]
jdbcRealm=org.apache.shiro.realm.jdbc.JdbcRealm
dataSource=com.alibaba.druid.pool.DruidDataSource
dataSource.driverClassName=com.mysql.jdbc.Driver
dataSource.url=jdbc:mysql://localhost:3306/shiro
dataSource.username=root
#dataSource.password=
jdbcRealm.dataSource=$dataSource
jdbcRealm.permissionsLookupEnabled=true
jdbcRealm.authenticationQuery=select password from t_users where username = ?
jdbcRealm.userRolesQuery=select role from t_user_roles where username = ?
jdbcRealm.permissionsQuery=select permission from t_roles_permissions where role = ?
securityManager.realms=$jdbcRealm

可以看到倒数2、3、4行把修改后的sql语句设置到JdbcRealm对应的属性中,之后再尝试测试即可。

小结

本文主要讲了shiro授权方面的基本使用,也稍微探索了一下JdbcRealm。如果权限管理比较复杂,通常的做法是自定义realm,扩展JdbcRealm并重写其doGetAuthenticationInfo和doGetAuthorizationInfo方法。自定义realm的后面再讲。使用起来也不复杂,但是想要完全驾驭的话,肯定要从源码角度去理解,这个会在后面的文章中分析。

sadoshi
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springboot整合shiro(超详细,你想要的都在这了)
GOV_D的博客
12-08 1万+
Springboot整合Shiro 文章目录pom依赖前端页面(thymeleaf整合shiro)thymeleaf中shiro标签解释数据库理解shiro的几个组成部分编写Shiro配置类 pom依赖 <dependencies> <!--thymeleaf--> <dependency> <groupId>org.springframework.boot</groupId>
shiroINI配置详解
08-29
ShiroINI配置主要用于定义SecurityManager的配置,包括认证授权、Realm等配置。 在Shiro中,SecurityManager是整个安全框架的核心组件,它负责身份验证和授权。SecurityManager是一个Thread-safe的对象,每个...
Shiro笔记(三)----Shiro配置文件ini详解
热门推荐
fendo
07-09 3万+
一、INI简介 INI配置文件是一种key/value的键值对配置,提供了分类的概念,每一个类中的key不可重复,#号代表注释,shiro.ini文件默认在/WEB-INF/ 或classpath下,shiro会自动查找,INI配置文件一般适用于用户少且不需要在运行时动态创建的情景下使用。 1.在web.xml中配置shiro的过滤器 要使用Shiro必须在web
基于Java的shiro框架介绍和使用
最新发布
小蜜蜂vs码农
04-30 267
基于Java的shiro框架介绍和使用
Shiro框架(二)-ini文件详解
threelifeadv的博客
03-28 1755
shiro.ini文件说明: iniInitializationFile,指初始文件。 在前文Shiro概述中介绍过,Shiro可以用来管理最简单的移动应用程序,也可以用来管理复杂的企业项目,那么在简单的程序中,我们很多时候都不需要使用到数据库,那么怎么获取数据呢?shiro.ini文件满足了我们的需求,在不连接数据库的情况下,我们可以在shiro.ini文件配置静态数据。 shiro....
Shiro 框架总结】9 Shiro.ini详解
FullStackDeveloper0的博客
04-17 722
一、INI简介 INI配置文件是一种key/value的键值对配置,提供了分类的概念,每一个类中的key不可重复,#号代表注释 shiro.ini文件默认在/WEB-INF/ 或classpath下,shiro会自动查找,INI配置文件一般适用于用户少且不需要在运行时动态创建的情景下使用。 1.在web.xml中配置shiro的过滤器 (1)Shiro 1.1及以前版本配置方式 要...
shiro的基本功能(ini方式)
虾米大王的学习历程
10-02 99
在src/main/java目录下,新建包com.shrimpking.realm。我还没有彻底弄明白shrio的运行,以上代码仅作为敲门砖,各位海涵。新建springboot项目,练习shiro安全框架的使用。在resources目录下,新建shiro.ini配置文件。运行后,可以查看ini方式的shrio的运行。另外关于shrio的加密,单独建立一个测试类。然后在test测试目录下,新建测试类。新建一个MyRealm类。
shiro配置文件shiro.ini简介说明
qq_25073223的博客
07-27 850
shiro配置文件shiro.ini简介说明
shiro——认证
08-05
3. **凭证匹配器(CredentialsMatcher)**: 在认证过程中,Shiro需要比较用户的凭证(如密码)与存储在数据库或其他凭证存储中的凭证。为此,我们需要定义一个`CredentialsMatcher`,比如`HashedCredentialsMatcher`...
基于springboot实现整合shiro实现登录认证以及授权过程解析
08-25
基于Spring Boot实现整合Shiro实现登录认证以及授权过程解析 在本文中,我们将详细介绍如何使用Spring Boot框架实现整合Shiro进行登录认证授权过程的解析。Shiro是Apache软件基金会下的一个基于Java的开源安全...
springmvc+shiro+maven 实现登录认证与权限授权管理
08-29
SpringMVC+Shiro+maven 实现登录认证与权限授权管理 SpringMVC 是一个基于 Java 语言的 web 应用程序框架,Shiro 是一个 Apache 下的一开源项目,旨在简化身份验证和授权。下面我们将通过实例代码,分享 SpringMVC+...
详解spring整合shiro权限管理与数据库设计
08-30
Spring整合Shiro权限管理与数据库设计 本文主要介绍了Spring整合Shiro权限管理与数据库设计的相关知识点。Shiro是一个开源的权限管理框架,广泛应用于Java Web开发中,而Spring则是Java企业版的框架,用于构建企业...
Shiro配置文件详解
king220022的博客
04-11 579
shiro.ini文件放在classpath下,shiro会自动查找。其中格式是key/value键值对配置INI配置文件一般适用于用户少且不需要在运行时动态创建的情景下使用。ini文件中主要配置大类:main,users,roles,urls----[main]main主要配置shiro的一些对象,例如:securityManager ,Realm,authenticator,authcStrategy----[users][users]允许配置一组静态的用户,包含用户名,密码,角色,一个用户可以有
Shiro教程(十)Shiro 权限动态加载与配置精细讲解
啊~~~ 小风车...
08-14 4606
本文转载来源:Shiro教程(十)Shiro 权限动态加载与配置精细讲解 Shiro  是一个很完美的权限控制框架,一般我们会采用 shiro  的标签,在页面判断,从而来判断一些Button ,Link Tag  的显示与否,但是仅仅这样判断是不够的,如果用户知道链接,这就一点用都没有。所以我们后台还要有一层判断。这样才安全。今天来说说 Shiro  后台判断的这点事。 s
shiro-INI配置解析
大帅的博客
01-09 5873
Shiro旨在适用于任何环境,从简单的命令行应用程序到最大的企业集群应用程序。由于环境的多样性,存在许多适合于配置配置机制。本节介绍仅Shiro核心支持的配置机制。 许多配置选项 Shiro的SecurityManager实现和所有支持组件都兼容JavaBeans。这使得Shiro可以配置几乎任何配置格式,例如常规Java,XML(Spring,JBoss,Guice等),YAML,JSON,G...
Java初级面试一般问题
weixin_43511745的博客
08-20 727
java语言的基本特性? 面向对象、跨平台、多线程、异常处理机制、自动垃圾回收机制。 java程序的执行过程? 编译、运行—将java原码(.java文件)通过编译器(javac.exe)编译成JVM文件(.class文件) 将JVM文件通过java.exe执行输出结果。 java中的数据类型? 基本数据类型(byte、short、char、int、long、float、double、boolean)。 引用数据类型(类-class、接口-interface、数组-[])。 int 与In..
利用shiro实现权限的动态控制
hao_hl1314的博客
09-18 2677
使用shiro对登陆进行权限验证,以及实现权限的动态管理。 shiro配置文件     xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:p="http://www.springframework.org/schema/p"     xmlns:context="http://www.springframewo
Shiro【核心功能、核心组件、项目搭建 、配置文件认证数据库认证 】(一)-全面详解(学习总结---从入门到深化)
07-12 699
Shiro【核心功能、核心组件、项目搭建 、配置文件认证数据库认证 】(一)-全面详解(学习总结---从入门到深化)
Shiro配置及使用
qq_45733154的博客
10-21 2811
Shiro,Springboot整合Shiro,Shiro实现登录拦截,Shiro实现用户认证,用户授权Shiro整合Thymeleaf
简单的介绍,简单的配置,简单的扩展 shiro入门学习手册 共35页.pptx
01-08
简单的介绍,简单的配置,简单的扩展 Apache Shiro是一个强大而灵活的开源安全框架,它能够干净利落地处理身份认证授权,企业会话管理和加密。 以下是你可以用 Apache Shiro所做的事情: ? 验证用户 ? 对用户执行访问控制,如: ? 判断用户是否拥有角色admin。 判断用户是否拥有访问的权限 ? 在任何环境下使用 Session API。例如CS程序。 ? 可以使用多个用户数据源。例如一个是oracle用户库,另外一个是mysql用户库。 ? 单点登录(SSO)功能。 ? “Remember Me”服务 ,类似购物车的功能,shiro官方建议开启。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值