shiro中的授权

最新推荐文章于 2023-05-09 15:43:22 发布

@青春之路

最新推荐文章于 2023-05-09 15:43:22 发布

阅读量719

点赞数 1

分类专栏： shiro 文章标签： shiro

原文链接：https://blog.csdn.net/qq_43753724/article/details/118363088

版权

shiro 专栏收录该内容

5 篇文章 0 订阅

订阅专栏

文章目录

一、授权
二、关键对象
三、授权流程
四、授权方式
五、权限字符串
六、shiro中授权编程实现方式
七、开发授权
- 1、realm的实现
- 2、授权

一、授权

授权，即访问控制，控制谁能访问哪些资源。主体进行身份认证后需要分配权限方可访问系统的资源，对于某些资源没有权限是无法访问的。

二、关键对象

授权可简单理解为who对what(which)进行How操作：

Who，即主体（Subject），主体需要访问系统中的资源。

What，即资源（Resource)，如系统菜单、页面、按钮、类方法、系统商品信息等。资源包括资源类型和资源实例，比如商品信息为资源类型，类型为t01的商品为资源实例，编号为001的商品信息也属于资源实例。

How，权限/许可（Permission)，规定了主体对资源的操作许可，权限离开资源没有意义，如用户查询权限、用户添加权限、某个类方法的调用权限、编号为001用户的修改权限等，通过权限可知主体对哪些资源都有哪些操作许可。

三、授权流程

在这里插入图片描述

四、授权方式

基于角色的访问控制
- RBAC基于角色的访问控制（Role-Based Access Control）是以角色为中心进行访问控制
```
if(subject.hasRole("admin")){
   //操作什么资源
}
```

基于资源的访问控制

RBAC基于资源的访问控制（Resource-Based Access Control）是以资源为中心进行访问控制

if(subject.isPermission("user:update:01")){ //资源实例
  //对01用户进行修改
}
if(subject.isPermission("user:update:*")){  //资源类型
  //对01用户进行修改
}

五、权限字符串

权限字符串的规则是：资源标识符：操作：资源实例标识符，意思是对哪个资源的哪个实例具有什么操作，“:”是资源/操作/实例的分割符，权限字符串也可以使用*通配符。

例子：

用户创建权限：user:create，或user:create:*
用户修改实例001的权限：user:update:001
用户实例001的所有权限：user:*：001

六、shiro中授权编程实现方式

编程式

Subject subject = SecurityUtils.getSubject();
if(subject.hasRole(“admin”)) {
	//有权限
} else {
	//无权限
}

注解式

@RequiresRoles("admin")
public void hello() {
	//有权限
}

标签式

JSP/GSP 标签：在JSP/GSP 页面通过相应的标签完成：
<shiro:hasRole name="admin">
	<!— 有权限—>
</shiro:hasRole>
注意: Thymeleaf 中使用shiro需要额外集成!

七、开发授权

1、realm的实现

/**
 * 自定义一个带有MD5 + salt + 散列的realm
 */
public class CustomMD5Realm extends AuthorizingRealm {


    // 授权
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        System.out.println("======进入授权==========");
        // 获取用户身份信息
        String primaryPrincipal = (String) principalCollection.getPrimaryPrincipal();
        System.out.println(primaryPrincipal);
        // 将数据库中查询到的角色信息赋值给权限对象
        SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
        simpleAuthorizationInfo.addRole("admin");
        simpleAuthorizationInfo.addRole("user");

        // 将数据库中查询到的权限信息赋值给权限对象
        simpleAuthorizationInfo.addStringPermission("user:update:*");
        simpleAuthorizationInfo.addStringPermission("product:create:02");
        return simpleAuthorizationInfo;
    }

    // 身份认证
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        // 从token中获取身份信息
        String principal = (String) token.getPrincipal();
        // 根据用户名到数据库中进行查找
        if ("zhangsan".equals(principal)){
            return new SimpleAuthenticationInfo(principal,
                    "4090ec9c2cfd8341455ae0e6c80ae696",
                    ByteSource.Util.bytes("QPX@!"),
                    this.getName());
        }
        return null;
    }

}

2、授权

public class TestCustomMD5RealmAuthenticator {
    public static void main(String[] args) {
        // 1.创建安全管理器
        DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager();
        // 2.设置自定义realm
        CustomMD5Realm customMD5Realm = new CustomMD5Realm();

        // 使用hash凭证匹配器
        HashedCredentialsMatcher hashedCredentialsMatcher = new HashedCredentialsMatcher();
        // 使用的加密算法
        hashedCredentialsMatcher.setHashAlgorithmName("md5");
        // 设置哈希散列的次数
        hashedCredentialsMatcher.setHashIterations(1024);

        customMD5Realm.setCredentialsMatcher(hashedCredentialsMatcher);

        defaultSecurityManager.setRealm(customMD5Realm);
        // 3.注入安全工具类
        SecurityUtils.setSecurityManager(defaultSecurityManager);
        // 4.获取subject主体
        Subject subject = SecurityUtils.getSubject();
        // 5.获取token
        UsernamePasswordToken token = new UsernamePasswordToken("zhangsan", "123");

        try {
            // 6.登录认证
            subject.login(token);
            System.out.println("登录成功");
        } catch (UnknownAccountException e) {
            e.printStackTrace();
            System.out.println("用户名错误！");
        }catch (IncorrectCredentialsException e) {
            e.printStackTrace();
            System.out.println("密码错误！");
        }

        // 授权测试
        if (subject.isAuthenticated()){
            // 基于单角色的权限控制
            System.out.println(subject.hasRole("super"));
            // 基于多角色的权限控制（同时具有）
            System.out.println(subject.hasAllRoles(Arrays.asList("admin", "super")));
            // 是否具有其中一个角色
            boolean[] booleans = subject.hasRoles(Arrays.asList("super", "admin", "user"));
            for (boolean aBoolean : booleans) {
                System.out.println(aBoolean);
            }
            System.out.println("----------------");

            // 基于权限字符串的访问控制  资源标识符：操作：资源实例标识符
            System.out.println("权限：" + subject.isPermitted("user:*:01"));
            System.out.println("权限：" + subject.isPermitted("product:*:01"));

            // 分别具有哪些权限
            boolean[] permitted = subject.isPermitted("user:*:01", "product:update:*");
            for (boolean b : permitted) {
                System.out.println(b);
            }

            // 同时具有哪些权限
            boolean permittedAll = subject.isPermittedAll("user:update:01", "product:create:*");
            System.out.println(permittedAll);
        }
    }
}