Shiro中认证、授权、域相关知识

最新推荐文章于 2022-08-03 19:55:04 发布
最新推荐文章于 2022-08-03 19:55:04 发布
阅读量233 收藏
点赞数
分类专栏: JAVA 文章标签: shiro spring java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011618818/article/details/105687617
版权

概述

认证,权限验证、域是Shiro的主要功能

认证、权限验证、用户验证

概述:用于验证用户是否账号/凭证和权限的功能

认证方法:

login(AuthenticationToken token)

权限验证方法:
  • checkPermission(String permission)
  • checkPermissions(Collection permissions)
  • checkPermissions(String… permissions)
用户验证方法:
  • checkRole(String roleIdentifier)
  • checkRoles(Collection roleIdentifiers)
  • checkRoles(String… roleIdentifiers)

域(Realm)

概述:Shiro在验证时它会从设置的Realm中去拿数据进行验证,也就是说Realm相当于保存验证所需的数据的池

IniRealm

概述:使用ini配置文件来作为数验证的池

案例:

DefaultSecurityManager manager = new DefaultSecurityManager();
IniRealm realm = new IniRealm();
manager.setRealm(realm);
SecurityUtils. setSecurityManager(manager)
Subject user = SecurityUtils.getSubject();
user.login(new UsernamePasswordToken(“账号”,”密码”))
// 其他验证等等
user.logout(); // 登出

配置文件格式:

[users]
admin=123,admin
# 格式: 用户名=凭证,角色1,角色2...   可有一个或多个用户

[roles]
admin=user:delete,select
# 格式: 角色=权限1,权限2....   可有一个或多个角色
PropertiesRealm

概述:使用properties配置文件来作为验证的池

案例:

DefaultSecurityManager manager = new DefaultSecurityManager();
PropertiesRealm realm = new PropertiesRealm();
manager.setRealm(realm);
SecurityUtils. setSecurityManager(manager)
Subject user = SecurityUtils.getSubject();
user.login(new UsernamePasswordToken(“账号”,”密码”))
//  其他验证等等
user.logout()  // 登出

配置文件格式:

user.username=password,role1,role2...
role.rolename=permissionDefinition1, permissionDefinition2,...
JdbcRealm

概述:使用数据库来作为验证的池

案例:

DefaultSecurityManager manager = new DefaultSecurityManager();
JdbcRealm realm = new JdbcRealm();
realm.setAuthenticationQuery(“select password form users where name = ?);
realm.setPermissionsQuery(“select permission_name from permission_authentication where athentication_name = ?);
realm.setUserRolesQuery(“select role_name from role_user where user_name=?);
realm.setDataSource(dataSource);
manager.setRealm(realm);
SecurityUtils. setSecurityManager(manager)
Subject user = SecurityUtils.getSubject();
user.login(new UsernamePasswordToken(“账号”,”密码”))
// 其他验证等等
// 如果需要验证权限需要设置该项为true realm.setPermissionsLookupEnabled(true)
user.logout()  // 登出

注意:使用JdbcRealm时要设置指定的数据源,通常是数据库然后设置查询用户验证,用户角色,用户权限的sql,sql的格式必须只返回一列,且“?”将要留下将会把用户名作为参数传入查询

自定义Realm

概述:我们自定义一个域来作为验证的池,这个类可以实现Realm接口,但我们通常继承AuthorizingRealm类

案例:

@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
String username=(String) token.getPrincipal();  //得到用户名
String password = getPasswordByName(username);  //通过用户名得到密码
if(password==null) return null;  //没有这个用户返回null
retrun new SimpleAuthenticationInfo(username,password,”customRealm”);  //有的话返回包含用户信息的token
}

@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection token) {
String name = (String) token.getPrimaryPrincipal();  //得到用户名
Set<String> roles = getRolesByName(name);  //通过用户名得到该用户的角色
set<String> permissions = getPermissionsByName(name);  //通过用户名得到该用户权限
SimpleAuthorizationInfo authorizationInfo=new SimpleAuthorizationInfo();  //创建权限认证对象
authorizationInfo.setRoles(roles);  //设置认证角色
authorizationInfo.setStringPermissions(permissions);  //设置认证权限
return authorizationInfo;  //返回出去
}
doGetAuthorizationInfo方法

概述:该方法是SubjectManager将调用的授权方法,该方法返回的对象所拥有的权限和角色就是所授予调用角色/权限检查的用户的权限与角色

doGetAuthenticationInfo方法

概述:该方法是SubjectManager将调用的认证方法,该方法返回一个认证对象,认证对象的账号凭证都要是正确的,如果没有这个账号呢么则返回空,Shiro会根据返回对象和login参数来对比

不想加班的p
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro认证授权demo
10-28
包含使用Shiro实现认证授权的Demo,对应博客:https://blog.csdn.net/fancheng614/article/details/83477345
Shiro权限框架认证授权原理介绍
热门推荐
IT飞岳的博客
06-12 1万+
1、简介shiro是一个安全框架,是Apache的一个子项目。shiro提供了:认证授权、加密、会话管理、与web集成、缓存等模块。   1.1、模块介绍Authentication:用户身份识别,可以认为是登录;Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是...
shiro学习笔记_0500_授权
weixin_30648963的博客
04-02 80
1,授权:给身份认证通过的人,授予他可以访问某些资源的权限。 2,权限粒度:分为粗粒度和细粒度。   粗粒度:例如对 user 的 crud,也就是通常所说的对表的操作。   细粒度:对表记录的操作。如 只允许查询id为1的user的工资。Shiro一般管理的是粗粒度的权限。比如,菜单,按钮,url。一般细粒度的权限是通过业务来控制的。 3,角色:权限的集合。   角色有两个...
spring boot 引用 shiro 认证AD
麻辣香蕉
10-26 2545
1、首先搭建AD      地址192.168.0.112      名gcloud.com 2、编辑配置文件shiro.ini      activeDirectoryRealm = org.apache.shiro.realm.activedirectory.ActiveDirectoryRealm activeDirectoryRealm.url = ldap://192.1...
Shiro认证授权过程
weixin_44736853的博客
07-30 2253
认证:是一个身份验证的过程,要证明他们的身份,需要提供principals(身份)和credentials(凭证)。身份有多种,包括邮箱,账号等能表示subject身份的信息,凭证有密码,指纹,数字证书等。一般就是登录,获取账号和密码。 认证过程主要分为三步: step1:收集subject的principals(身份)和credentials(凭证) 1.首先拿到当前currentUser, Subject currentUser = SecurityUtils.getSubject(); 1.1利用c
shiro认证授权
qq_41644069的博客
10-27 593
1.shiro认证 1.1.身份验证 身份验证:一般需要提供如身份ID等一些标识信息来表明登录者的身份,如提供email,用户名/密码来证明。 在shiro,用户需要提供principals(身份)和credentials(证明)给shiro,从而应用能验证用户身份。 principals:身份,即主体的标识属性,可以是任何属性,如用户名、邮箱等,唯一即可。一个主体可以有多个principals,但只有一个Primaryprincipals,一般是用户名/邮箱/手机号。 credentials.
Springboot shiro认证授权实现原理及实例
08-19
下面,我们将详细介绍 Spring Boot 如何使用 Shiro 实现认证授权Shiro 认证 Shiro认证机制主要通过 Realm 来实现,Realm 是一个身份验证和授权的接口。Spring Boot ,我们可以使用 Shiro 的 Realm 来...
基于springboot实现整合shiro实现登录认证以及授权过程解析
08-25
在本文,我们将详细介绍如何使用Spring Boot框架实现整合Shiro进行登录认证授权过程的解析。Shiro是Apache软件基金会下的一个基于Java的开源安全框架,提供了身份验证、授权、加密和会话管理等功能。在Spring ...
Shiro登录授权认证功能
09-26
Shiro登录授权认证功能
shiro认证授权
08-03
shiro入门认证授权相关代码,博客地址:http://blog.csdn.net/u014532775/article/details/76620643
shiro安全框架初识--shiro简介、认证授权
qq_44189274的博客
08-03 788
Apache Shiro 是一个强大易用的 Java 安全框架,提供了认证授权、加密和session会话管理等功能,对于任何一个应用程序,Shiro 都可以提供全面的安全管理服务。并且相对于其他安全框架spring security,Shiro 要简单的多.Shiro可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以用在JavaEE环境。Shiro可以帮助我们完成:认证授权、加密、会话管理、与Web集成、缓存等。...
Shiro (三)之授权加注解式权限
cao_2000的博客
01-04 843
重点: 1.添加角色和权限的授权方法   //根据username查询该用户的所有角色,用于角色验证   Set&lt;String&gt; findRoles(String username); 代码分享: select r.roleid from t_shiro_user u,t_shiro_role r , t_shiro_user_role ur where u.userid=...
Shiro 认证授权分析
chvfghj5886的博客
10-29 172
Shiro 认证授权分析2.1.Shiro 认证流程2.2.Shiro 授权流程 2.1.Shiro 认证流程 用户访问系统资源时的认证流程如下: 具体流程分析如下: 1)系统调用subject的login方法将用户信息提交给SecurityManager 2)SecurityManager将认证操作委托给认证器对象Authenticator 3)Authenticator将身份信息传递给Re...
Shiro 实战教程(上)
weixin_43566977的博客
06-03 1712
注:该shiro教程来源于B站上的一个教程,由于源码是付费的,我就不分享了,下篇讲解springboot搭配shiro进行使用。 我的个人博客: 天涯志 我的公众号:菜鸟小谢 1.权限的管理 1.1 什么是权限管理 基本上涉及到用户参与的系统都要进行权限管理,权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。 权限管理包括用户身份认证授权两部分,简称认证授权。对于需要访问控制的资源用户首先经过身份认证认证通过后用户具有.
shiro授权认证(一)
weixin_46403305的博客
10-28 484
shiro是什么 shiro一个授权认证的这样一个框架 简单的给你说、就是以前咋们认证授权的所有代码、shiro都给咋们写好了、而且封装好了、我们只需要按照这个框架提供的API来简单的集成到咋们的项目就可以了 1、shiro能干什么 认证授权、Cache的管理、Session的管理、rememberMe功能的实现、登陆、退出… 2、shiro的整体架构是什么 3、shiro的第一个helloworld程序 3.1、导包 <!--导入shiro的包--> <de
java用户权限设置_SpringBoot2.0整合Shiro框架实现用户权限管理的示例
weixin_28465009的博客
02-27 182
GitHub源码地址:知了一笑一、Shiro简介1、基础概念Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。作为一款安全框架Shiro的设计相当巧妙。Shiro的应用不依赖任何容器,它不仅可以在JavaEE下使用,还可以应用在JavaSE环境。2、核心角色1)Subject:认证主体代表当前系统的使用者,就是用户,在Shiro认证认证主体通常...
架构师之路 — API 经济 — 权限管理系统(分权分设计)
烟云的计算
12-02 5080
目录 文章目录目录权限管理系统权限的抽象分权分权限访问控制模型UGO(User、Group、Other)ACL(访问控制列表)DAC(自主访问控制)MAC(强制访问控制)RBAC(基于角色的访问控制)ABAC(基于属性的权限验证) 权限管理系统 ToB 产品的权限管理系统是一个非常重要的组成部分,没有权限管理的系统仿佛一个没有门的房子,任何人都可以随意查看甚至调整,对系统的安全性存在非常大的隐患。 权限管理,即:根据系统设置的安全规则(Rule)或策略(Policy),用户可以且只能访问自己被授权的资源。
java 分权分什么意思_什么是分权分管理?为什么要应用分权分技术?
weixin_31936393的博客
02-25 710
简单的说,电信运维的分权分管理是指在网络运行维护过程,维护人员只能对网络与本辖区相关的设备和数据进行操作和管理。在软交换网络又可分为用户数据的分权分继数据的分权分、计费数据的分权分等几种情况。软交换由于采用了业务/控制、承载/接入的相互分离的架构,其网络具备集控制、分散接入的特点,能实现核心设备集设置,接入设备分散放置的组网方式,单个软交换设备能同时覆盖多个本地网提供业务。...
shiro学习--2、使用(Realm)实现登录验证
逸致
04-15 899
一、对Realm的认识Realm:,掌握着shiro的验证,一般在Realm对所要验证的数据进行对比,确认是否符合条件,例如确认用户身份是否合法,验证用户是否能进行操作。可以把Realm看做是shiro的DataSource,即安全数据源。二、...
如何shiro框架进行认证授权
最新发布
07-11
Shiro框架是一个功能强大的Java安全框架,可以用于认证授权。下面是使用Shiro进行认证授权的基本步骤: 1. 添加Shiro依赖:在你的项目添加Shiro相关依赖,可以通过Maven或者Gradle进行引入。 2. 配置Shiro:创建一个Shiro的配置文件(通常是一个ini文件),配置Shiro的一些基本信息,例如Realm、Session管理等。你可以根据你的需求进行配置。 3. 创建Realm:Realm是Shiro用来进行认证授权的核心组件。你需要实现一个自定义的Realm来实现用户的认证授权逻辑。在Realm,你可以通过重写相应的方法来实现自定义的认证授权逻辑,例如验证用户名密码、查询用户角色和权限等。 4. 认证:在用户登录时,你可以通过调用Shiro提供的Subject.login方法来进行认证。该方法会将用户提交的用户名和密码传递给你自定义的Realm进行验证。如果验证通过,Shiro会将用户信息保存在Session。 5. 授权:在用户进行操作时,你可以通过调用Shiro提供的Subject.hasRole和Subject.isPermitted方法来进行授权判断。这些方法会根据你在Realm配置的角色和权限信息进行判断,决定用户是否具有相应的角色或权限。 以上是使用Shiro进行认证授权的基本步骤,你可以根据具体的需求进行定制和扩展。在实际应用,你还可以通过Shiro提供的其他功能,如RememberMe、Session管理等来增强安全性和用户体验。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值