Shiro框架(四)-Shiro实现权限验证功能

最新推荐文章于 2021-05-14 17:21:01 发布
最新推荐文章于 2021-05-14 17:21:01 发布
阅读量781 收藏 3
点赞数
分类专栏: # Shiro 文章标签: shiro shiro框架 Shiro权限 Shiro权限验证 Shiro实现权限验证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/threelifeadv/article/details/105170759
版权

用户授权也成为用户访问权限控制,指应用中用户可以访问的资源路径或页面或功能,在用户授权功能中,需要知道以下几个对象:

主体:Subject

指请求应用的用户,在Shiro中使用Subject代表该用户,该用户只有通过授权后才允许访问对应的资源。

角色:Role

角色代表了操作的集合或权限的集合,一般情况下我们会赋予用户的是角色而不是权限,即用户直接和角色进行关联,角色再和权限进行关联。

权限:Permission

权限在百度百科中是指为了保证职责的有效履行,任职者必须具备的,对某事项进行决策的范围和程度,在安全策略中为原子授权单位,通过权限我们可以设置用户访问应用中某个功能的权力,比如我们常用的CURD等。

资源:Resource

资源再应用程序中,指某个页面或功能对应的有效路径,如登录/login,退出/logout,404错误页面/404.html等即为资源。

主要使用方法:

subject.hasRole("role");判断用户是否有某个角色

subject.hasRole(list);分别判断用户时候具有List集合中的每个角色

subject.hasAllRoles(collection);返回一个boolean值,要求参数中所有角色用户都要有

subject.isPermitted("permission");判断是否有权限

本文在前文Shiro框架(三)-Shiro实现身份认证功能的功能上继续进行开发,小伙伴们可以点击链接前去参考。

1、修改shiro.ini文件,添加roles配置增加角色,修改users增加用户的角色,内容如下:

#配置用户
[users]
user1=123,role1
user2=1234,role2,role3
user3=12345,role3

#配置角色和权限
[roles]
role1=menu:save,menu:delete,menu:update,menu:query
role2=menu:save,menu:query,menu:export
role3=menu:query

2、src/main/java目录下新建类ShiroAuthorization,代码如下:

package com.hongke.shiro;

import java.util.ArrayList;
import java.util.Arrays;
import java.util.Collection;
import java.util.List;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.util.Factory;

/**
 * @description 用户权限认证
 * @title ShiroAuthorization.java
 * @package com.hongke.shiro
 * @author chengjunyu 
 * @date 2020-03-28 15:41:46
 */
public class ShiroAuthorization {
	
	public static void main(String[] args) {
		String username = "user1";
		String password = "123";
		/*
		 * 创建安全管理器工厂,选择org.apache.shiro.util包下的Factory,从ini文件下读取信息
		 */
		Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini");
		/*
		 * 从工厂中获取SecurityManager对象
		 */
		SecurityManager securityManager = factory.getInstance();
		/*
		 * 绑定SecurityManager到当前线程 
		 */
		SecurityUtils.setSecurityManager(securityManager);
		/*
		 * 取出当前Subject主体,来自于SecurityManager
		 */
		Subject subject = SecurityUtils.getSubject();
		/*
		 * 将用户名和密码存入token中
		 */
		UsernamePasswordToken usernamePasswordToken = new UsernamePasswordToken(username, password);
		/*
		 * 登录认证
		 */
		System.out.println("用户"+username+"将要登录,登录密码为"+password);
		try {
			subject.login(usernamePasswordToken);
			System.out.println("用户"+username+"登录成功");
		}catch (AuthenticationException e) {
			System.out.println("用户"+username+"账号不存在或密码错误");
		}
		
		/*
		 * 判断用户是否有某个角色
		 */
		String roleFirst = "role1";
		String roleSecond = "role2";
		String roleThird = "role3";
		String hasRole1 = subject.hasRole(roleFirst)?"用户有角色"+roleFirst:"用户无角色"+roleFirst;
		System.out.println("用户"+username+"是否有角色"+roleFirst+":"+hasRole1);
		String hasRole2 = subject.hasRole(roleSecond)?"用户有角色"+roleSecond:"用户无角色"+roleSecond;
		System.out.println("用户"+username+"是否有角色"+roleSecond+":"+hasRole2);
		/**
		 * 在JDK1.8版本中,new ArrayList后不需要再指定类型,此处我使用的是JDK1.5,不做修改了
		 */
		/*
		 * 判断用户是否同时拥有集合中的所有角色
		 */
		Collection<String> rolesCollection = new ArrayList<String>();
		rolesCollection.add(roleFirst);
		rolesCollection.add(roleSecond);
		rolesCollection.add(roleThird);
		String hasAllRoles = subject.hasAllRoles(rolesCollection)?"同时拥有":"未同时拥有";
		System.out.println("用户"+username+"是否同时拥有角色"+rolesCollection+":"+hasAllRoles);
		/*
		 * 分别判断用户是否有集合中的某个角色
		 */
		boolean[] hasRoles = subject.hasRoles((List<String>)rolesCollection);
		System.out.println("用户"+username+"是否有角色"+rolesCollection+":"+Arrays.toString(hasRoles));
		
		/*
		 * 判断用户是否有某个权限
		 */
		String permittedFirst = "menu:save";
		String permittedSecond = "menu:delete";
		String permittedThird = "menu:update";
		String permittedFourth = "menu:query";
		String permittedFifth = "menu:export";
		String hasPermission1 = subject.isPermitted(permittedFirst)?"用户有权限"+permittedFirst:"用户无权限"+permittedFirst;
		System.out.println("用户"+username+"是否有权限"+permittedFirst+":"+hasPermission1);
		String hasPermission2 = subject.isPermitted(permittedFifth)?"用户有权限"+permittedFifth:"用户无权限"+permittedFifth;
		System.out.println("用户"+username+"是否有权限"+permittedFifth+":"+hasPermission2);
		
		String[] permissionsArr = {permittedFirst, permittedSecond, permittedThird, permittedFourth, permittedFifth};
		/*
		 * 判断用户是否同时拥有数组中的所有权限
		 */
		String hasAllPermissions= subject.isPermittedAll(permissionsArr)?"同时拥有":"未同时拥有";
		System.out.println("用户"+username+"是否同时拥有权限"+Arrays.toString(permissionsArr)+":"+hasAllPermissions);
		/*
		 * 分别判断用户是否拥有数组中的某个权限
		 */
		boolean[] hasPermissions = subject.isPermitted(permissionsArr);
		System.out.println("用户"+username+"是否有权限"+Arrays.toString(permissionsArr)+":"+Arrays.toString(hasPermissions));
		
	}
	
}

运行结果如下:

 

散落的流沙
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Shiro 之简单Subject 登录、认证、权限检查
Zllvincent的博客
09-21 9386
一、简介 使用INI 配置文件创建一个简单的登录授权管理,相关权限检查。 二、工程创建 1.maven依赖文件pom.xml 添加如下依赖 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> &lt...
shiro授权 . 配置注解权限验证
Soul717的博客
01-04 1770
授权 1.添加角色和权限的授权方法   //根据username查询该用户的所有角色,用于角色验证 Set&lt;String&gt; queryRoleByName(String username);   //根据username查询他所拥有的权限信息,用于权限判断 Set&lt;String&gt; queryPersByName(String username);   2...
Shiro配置跳过权限验证
s724542558的博客
06-16 9833
通过重写Shiro PermissionAnnotationHandler 和Bean替换 完成 晚点完善
shiro 授权
快乐的小三菊的博客
05-14 1843
shiro 授权源码探究
Shiro--授权
吴声子夜歌的博客
02-09 256
授权 授权,也叫访问控制,即在应用中控制谁能访问哪些资源(如访问页面/编辑数据/页面操作等)。在授权中需了解的几个关键对象:主体(Subject)、资源(Resource)、权限(Permission)、角色(Role)。 主体 主体,即访问应用的用户,在Shiro中使用Subject代表该用户。用户只有授权后才允许访问相应的资源。 资源 在应用中用户可以访问的任何东西,比如访问JSP页面...
shiro-attack-4.7.0-SNAPSHOT-all.zip
10-24
标题提到的"shiro-attack-4.7.0-SNAPSHOT-all.zip"很可能是针对Apache Shiro的安全测试工具或者漏洞利用工具包,其主要目的是帮助开发者检测和防范Shiro框架相关的安全问题。 描述中的"序列化验证工具"可能是指该...
Apache Shiro安全框架-其他
06-12
Apache Shiro(发音为“shee-roh”,日语为“castle”)是一种功能强大且易于使用的Java安全框架,可执行身份验证,授权,加密和会话管理,可用于保护任何应用程序的安全-从命令行应用程序,移动应用程序到最大的Web...
shiro-jwt-oauth权限认证
11-11
2. **基于Shiro-JWT-OAuth的认证方式**:这是更复杂的一种认证策略,结合了Shiro权限管理功能和JWT以及OAuth2.0的授权流程。用户首先通过OAuth2.0流程获取访问令牌,然后使用该令牌获取JWT。Shiro负责处理JWT的...
springboot整合Shiro框架实现用户权限管理
最新发布
06-24
作为一款安全框架Shiro的设计相当巧妙。Shiro的应用不依赖任何容器,它不仅可以在JavaEE下使用,还可以应用在JavaSE环境中。 2、核心角色 Subject:认证主体 代表当前系统的使用者,就是用户,在Shiro的认证中,...
shiro-root-1.4.1-source-release.zip
06-10
Apache Shiro 是一款强大且易用的 Java 安全框架,提供身份认证、授权、加密以及会话管理功能,简化了安全实现。标题中的 "shiro-root-1.4.1-source-release.zip" 指的是 Apache Shiro 的 1.4.1 版本源码包,适用于...
Shiro学习笔记——Shiro的标签
shen的博客
09-13 305
标签 guest标签 用户没有身份验证时显示相应信息,即游客访问信息。 user标签 用户已经经过认证/记住我登录后显示相应的信息。 authenticated标签 用户已经身份验证通过,即Subject.login(token)登录成功,不是记住我登录的。 notAuthenticated标签 用户未进行身份验证,即没有调用Subject.login(token)进行登录,包...
Shiro权限管理】16.Shiro标签
程序猿之洞
12-10 3486
注:该系列所有测试均在之前创建的Shiro3的Web工程的基础上。 前面我们剖析了Shiro的授权流程,并且编写了授权的小实例。下面我们来探讨一下Shiro的 标签。 Shiro提供了JSTL标签用于在JSP页面进行权限控制,如根据登录用户显示相应的页面按钮。 Shiro提供的标签有如下几种: (1)guest标签:用户没有身份验证时显示相应信息,即游客访问信息。 例如:
Shiro学习之权限认证
奋斗的年轻人
11-12 6574
权限认证也就是访问控制,即在应用中控制谁能访问哪些资源. 在权限认证中,最核心的是三个要素是:权限,角色和用户. 权限,即操作资源的权力,比如访问某个页面,以及对某个模块的数据的添加,修改,删除,查看的权利(CRUD). 角色,是权限的集合,一个角色可以包含多种权限 用户,在shiro中代表访问系统的用户,即subject授权 编程式授权,基于角色和权限的访问控制 注解授权,jsp标签授权
shiro标签 与 权限注解
面朝大海
08-07 3215
引入shiro标签 如下: <%@ taglib prefix=”shiro” uri=”http://shiro.apache.org/tags” %> <!-- authenticated 用户已经经过身份验证,但不是记住我登录的 --> <shiro:authenticated> <shiro:principal />已经经过身份验证<br><br> </shiro:au
shiro权限分配
weixin_44744094的博客
07-29 588
Shiro标签 1.1 使用Thymeleaf整合Shiro标签 添加Maven依赖 <dependency> <groupId>com.github.theborakompanioni</groupId> <artifactId>thymeleaf-extras-shiro</artifactId> <version>2.0.0</version> </dependency> 添
Shiro详细使用
残影的博客
10-10 1157
Shiro详细使用一、权限的管理1.1 什么是权限管理1.2 什么是身份认证1.3 什么是授权二、什么是Shiro三、Shiro的核心架构3.1 Subject3.2 SecurityManager3.3 Authenticator3.4 Authorizer3.5 Realm3.6 SessionManager3.7 SessionDAO3.8 CacheManager3.9 Cryptographyshiro中的认证4.1 认证4.2 shiro中认证的关键对象 一、权限的管理 1.1 什么是权限
Shiro学习笔记()——shiro实现授权
驼君的小小博客园
02-07 375
授权概述 授权,也叫访问控制,即在应用中控制谁能访问哪些资源(如访问页面/编辑数据/页面操作等)。 在授权中需了解的几个关键对象:主体(Subject)、资源(Resource)、权限(Permission)、 角色(Role) 主体 主体,即访问应用的用户,在Shiro中使用Subject代表该用户。用户只有授权后才允许访问相应的资源。 资源 在应用中用户可以访问的任何东西,比如访问JS...
Shiro框架-史上详解
热门推荐
kentlhxy的博客
05-12 4万+
Shiro   1.权限管理概述 2.Shiro权限框架   2.1 概念   2.2 Apache Shiro 与Spring Security区别 3.Shiro认证   3.1 基于ini认证   3.2 自定义Realm --认证 4.Shiro授权   4.1 基于ini授权   4.2 自定义realm – 授权 5.项目集成shiro 认证-授权注意点   5.1 认证   5.2 授权   5.3 注解@RequiresPermissions()   5.4 标签式权限验证 6.S
如何使用shiro权限控制
qq_33012981的博客
11-07 2772
如何使用shiro权限控制 shiro不适合与jwt整合,它的最佳实现应该是将session存入redis中 1 简单案例 shiro官网有一个简单案例,按照这个案例可以很容易理解shiro的用法,地址是http://shiro.apache.org/tutorial.html 1.1 包 <parent> <groupId>org.springframework.boot</groupId> <artifactId>spring-boo
JavaEE Shiro框架实现用户权限管理
"这篇文档主要介绍了如何初始化和简单使用Apache Shiro框架,涵盖了用户认证流程、权限分配的JavaEE实现以及Springboot与Shiro的初步整合。" Apache Shiro是一个强大的安全框架,它提供了身份验证(Authentication...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值