Shiro Review——自定义Realm实现授权

最新推荐文章于 2022-11-03 10:30:04 发布
最新推荐文章于 2022-11-03 10:30:04 发布
阅读量98 收藏
点赞数
文章标签: 数据库 java
原文链接:https://yq.aliyun.com/articles/240731
版权


   在自定义Realm中,可以进对数据库的查询,将认证后的用户的资源权限全部查询出来。



/**
 * 自定义Realm
 * @author LiuHuiChao
 *
 */
public class CustomRealm extends AuthorizingRealm{

	
	
	@Override
	public void setName(String name) {
		super.setName("customName");
	}

	/**
	 * 认证方法
	 */
	@Override
	protected AuthenticationInfo doGetAuthenticationInfo(
			AuthenticationToken token) throws AuthenticationException {
		//1,从token中取出用户身份信息
		String userCode=(String)token.getPrincipal();
		
		//2,根据用户输入的账号从数据库查询
		String password="111111";//模拟从库里查询到的密码
		
		//2--1,查询不到返回null
		//2--2,查询到返回AuthenticationInfo
		SimpleAuthenticationInfo simpleAuthenticationInfo=new SimpleAuthenticationInfo(userCode,password,this.getName());
		
		return simpleAuthenticationInfo;
	}

	/**
	 * 授权方法
	 */
	@Override
	protected AuthorizationInfo doGetAuthorizationInfo(
			PrincipalCollection principals) {
		//从principals获取主身份信息
		//将getPrimaryPrincipal方法返回值转换为真实身份类型,(在doGetAuthenticationInfo认证通过,填充到SimpleAuthenticationInfo中身份信息类型)
		String userCode=(String) principals.getPrimaryPrincipal();
		//根据身份信息,获取权限信息
		//连接数据库。。。
		//模拟从数据库获取到数据
		List<String> permissionList=new ArrayList<String>();
		permissionList.add("user:create");//用户的创建权限
		permissionList.add("items:add");//商品添加权限
		// and so on...
		//查到权限数据,返回授权信息(把上面查询到的数据填充)
		SimpleAuthorizationInfo authorizationInfo=new SimpleAuthorizationInfo();
		//将上面查询到的授权信息进行填充
		authorizationInfo.addStringPermissions(permissionList);
		
		return authorizationInfo;
	}
}


ini配置:


[main]
#自定义realm
customRealm=cn.itcast.shiro.realm.CustomRealm
#将realm设置到securityManager
securityManager.realms=$customRealm


测试授权:


/**
	 * 自定义realm进行测试
	 */
	@Test
	public void  testAuthorizationWithCustomRealm(){
		//创建SecurityManager工厂
		Factory<SecurityManager> factory=new IniSecurityManagerFactory("classpath:shiro-realm.ini");
		//创建SecurityManager
		SecurityManager securityManager=factory.getInstance();
		//将SecurityManager设置到系统运行环境,和spring整合后将SecurityManager配置到spring容器中
		SecurityUtils.setSecurityManager(securityManager);
		//创建subject
		Subject subject=SecurityUtils.getSubject();
		//执行认证
		UsernamePasswordToken token=new UsernamePasswordToken("zhangsan","123");
		try {
			subject.login(token);
		} catch (AuthenticationException e) {
			e.printStackTrace();
		}
		System.out.println("认证状态:"+subject.isAuthenticated());
		
		
		/*基于资源的授权
		 * 
		 * 调用isPermitted方法会调用自定义realm来查询权限数据
		 * */
		boolean isPermitted=subject.isPermitted("user:create:1");
		System.out.println("是否有user:create权限:"+isPermitted);
		boolean isPremittedAll=subject.isPermittedAll("user:create","user:delete");	
		System.out.println("是否有user:create,user:delete权限:"+isPermitted);
		
		//使用无返回值的check
		try {
			subject.checkPermission("user:post");
		} catch (AuthorizationException e) {
			System.out.println("用户没有user:post权限");
			e.printStackTrace();
		}
	}


授权流程:


1、对subject进行授权,调用方法isPermitted("permission串")
2、SecurityManager执行授权,通过ModularRealmAuthorizer执行授权
3、ModularRealmAuthorizer执行realm(自定义的CustomRealm)从数据库查询权限数据
	调用realm的授权方法:doGetAuthorizationInfo
 
4、realm从数据库查询权限数据,返回ModularRealmAuthorizer
5、ModularRealmAuthorizer调用PermissionResolver进行权限串比对
6、如果比对后,isPermitted中"permission串"在realm查询到权限数据中,说明用户访问permission串有权限,否则 没有权限,抛出异常。







weixin_34277853
关注
shiro权限框架自定义Realm示例
09-10
在默认情况下,Shiro提供了一些预定义的Realm实现,如JDBCRealm、AuthorizingRealm等,但这些可能无法满足所有应用场景,因此我们需要自定义Realm来适配特定的数据存储结构和验证逻辑。 1. ** Realm的基本结构**:...
shiro
qq_62803338的博客
10-28 483
Shiro是一个强大易用的java安全框架,提供了认证、授权、加密、会话管理、与web集成、缓存等功能,对于任何一个应用程序,都可以提供全面的安全服务,相比其他安全框架,shiro要简单的多。为什么要使用Apache Shiro?自2003年以来,框架格局发生了很大变化,因此今天仍然有充分的理由使用Shiro。实际上有很多原因。易于使用:易于使用是该项目的最终目标。应用程序安全性可能非常令人困惑和沮丧,并被视为“必要的邪恶”。如果您使它易于使用,以使新手程序员可以开始使用它,那么就不必再痛苦了。全面。
Springboot ShiroRealm 认证和授权
weixin_43224937的博客
04-06 810
ShiroRealm 认证和授权 一本正经教学时间 新人博主,求点赞求关注 1、多Realm 先分别编写好多个Realm各种认证和授权的规则 这里是StaffRealm.java 和 StudentRealm.java //StaffRealm public class StaffRealm extends AuthorizingRealm { @Autowired StaffRoleServiceImpl staffRoleService; @Autowired Rol
第三章 授权——《跟我学Shiro
jinnianshilongnian的专栏
02-21 718
  目录贴: 跟我学Shiro目录贴   授权,也叫访问控制,即在应用中控制谁能访问哪些资源(如访问页面/编辑数据/页面操作等)。在授权中需了解的几个关键对象:主体(Subject)、资源(Resource)、权限(Permission)、角色(Role)。 主体 主体,即访问应用的用户,在Shiro中使用Subject代表该用户。用户只有授权后才允许访问相应的资源。 资源 在应...
第三章 授权(三)Authorizer、PermissionResolver及RolePermissionResolver(自定义Realm+JDBCRealm
yifanSJ的博客
08-18 1864
Authorizer的职责是进行授权(访问控制),是Shiro API中授权核心的入口点,其提供了相应的角色/权限判断接口,具体请参考其Javadoc。 SecurityManager 继承了Authorizer 接口,且提供了ModularRealmAuthorizer用于多Realm时的授权匹配。 PermissionResolver用于解析权限字符串到Permission实例。 Rol
自定义Realm用于授权
Ledis的博客
04-19 792
自定义realm授权
Spring配置shiro自定义Realm中属性无法使用注解注入的解决办法
08-26
在Spring集成Shiro进行安全控制时,我们常常需要自定义Realm实现权限验证与授权功能。然而,在实际操作中,可能会遇到一个问题:当我们在自定义Realm类中使用注解(@Autowired)尝试注入Spring管理的Bean时,这些...
shiro web中自定义Realm
02-01
自定义Realm需要继承Shiro的`AuthorizingRealm`类,因为我们需要实现认证和授权功能。`AuthorizingRealm`已经为我们提供了一些基本的骨架方法,如`doGetAuthenticationInfo`用于认证,`doGetAuthorizationInfo`用于...
用于测试shiro自定义Realm的测试代码
04-05
2. 自定义Realm类:扩展了Shiro的`AuthenticatingRealm`或`AuthorizingRealm`,实现认证和授权逻辑。 3. 测试类:使用JUnit或其他测试框架编写,用来验证自定义Realm的正确性,包括模拟用户登录、角色和权限的检查等...
从实例入手学习Shiro自定义Realm实现查询数据进行验证示例代码.zip
05-12
Shiro中, Realm 是一个接口,它实现了认证和授权的功能。默认的 Realm 类型包括 JdbcRealm、PropertiesRealm 等,但这些可能无法满足所有项目的需求,因此自定义 Realm 是常见的实践。 创建自定义 Realm 的步骤...
shiro框架多realm权限认证配置
最新发布
秋雨 De Blog
11-03 636
我们做shiro框架经常会遇到这种情况,用户数量很多,又不在同一个表里,比如管理员一个表,用户一个表,商家一个表。这时我们就需要用到多realm来配置让他们用不同得realm来进行权限认证
Springboot 配置Shiro实现realm不同数据表多用户类型登陆、鉴权
_修铁路的、的博客
07-05 7016
原文参考转载自:https://www.cnblogs.com/skyLogin/p/10871347.html --------------------------- 本文根据原文内容,结合自身实际配置步骤进行编写。 ---------------------------- 场景: 最近做项目时,多个项目需要用到shiro多用户类型登录,每个角色都在自己独立的库表中,以前...
SpringBoot+Shiro学习(四):Realm授权
weixin_33754913的博客
12-16 152
上一节我们讲了自定义Realm中的认证(doGetAuthenticationInfo),这节我们继续讲另一个方法doGetAuthorizationInfo授权 授权流程 流程如下: 首先调用Subject.isPermitted/hasRole接口,其会委托给SecurityManager,而SecurityManager接着会委托给Authorizer; Authorizer是真正的授权...
004-shiro授权
这个需求,做不了
03-10 318
授权三要素 授权具有三个在Shiro中引用的核心元素:权限,角色和用户 权限:比如公司给你提供办公电脑,你可以使用该电脑,你的同事不能使用,但你不能将此电脑卖了换钱。(权限就是对某个资源的处理权。处理权分多种,这里就是使用和变卖) 角色:在公司来说,员工就是角色,领导也是角色,他不是具体的某个人,可以只某个岗位(研发、测试、产品),或者是某个部门(组织部、研发部),角色就是代表一类用户,在授权中,角色就是代表拥有某些共同权限的一类用户。 用户:用户是使用系统的用户,一般情况下,用户与角色绑定,角色与
shiroRealm授权实现
qq_41606400的博客
05-01 327
需求:管理员未进行登录不可访问首页,权限不够跳转到设定的页面 实现代码: /** shiroConfig.java 只是截取的部分代码 还有的可以另外shiro文章里查看 * 创建shirofilterfactoryBean对象,设置安全管理器 */ @Bean public ShiroFilterFactoryBean getShiroFil...
shiro配置多realm,会执行多次授权操作即执行各个realm的doGetAuthorizationInfo方法
ITxiaofeixiang的博客
12-31 1131
shiro配置多realm,会执行多次授权操作即执行各个realm的doGetAuthorizationInfo方法 查看原因 调用授权 Subject subject = SecurityUtils.getSubject(); subject.isPermitted("abc"); 进入isPermitted方法 会进入Subject接口下的一个实现类DelegatingSubject其中方法: public boolean isPermitted(String permission)
Shiro的鉴权方式
热门推荐
不忘初心,方能始终。
02-25 1万+
一、 怎么用 Shiro 支持三种方式的授权 编程式:通过写 if/else 授权代码块完成: Subject subject = SecurityUtils.getSubject(); if(subject.hasRole(“admin”)) { //有权限 } else { //无权限 } 注解式:通过在执行的 Java 方法上放置相应的注解完成: @Require...
Shiro第三章一-授权流程
海恩的博客
04-30 325
简介 授权,也叫控制访问。关键对象:主体(Subject)、资源(Resource)、权限(Permission)、角色(Role)。 角色:权限的集合,一般情况下我们会赋予用户角色而不是权限。 Shiro支持粗粒度(角色级别访问控制)和细粒度(权限级别)权限。 隐式角色:直接通过角色来验证用户有没有操作权限,粒度较粗,是以角色为单位进行访问控制的。如果有一天不允许总监这...
Shiro框架:授权流程、授权方式、Shiro授权入门程序、自定义Realm进行授权
张维鹏的博客
07-31 4407
一、Shiro授权: 1、授权与权限: (1)授权:访问控制,必须具有该资源的访问权限才可以访问该资源。 (2)权限模型:标准权限数据模型包括 :用户、角色、权限(包括资源和权限)、用户角色关系、角色权限关系。 (3)权限分配:通过UI界面方便给用户分配权限,对上边权限模型进行增、删、改、查操作。 (4)权限控制: 第一种:基于角色的权限控制:根据角色判断是否有操作权限,因为角色的变化...
Apache Shiro入门与自定义Realm详解
RealmShiro中的核心概念,它负责与应用程序的特定安全存储进行交互,比如数据库、LDAP服务器等,用于实现身份验证(Authentication)和授权(Authorization)。在示例中,创建了一个名为 `MyRealm` 的自定义 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值