shiro中的授权

最新推荐文章于 2023-12-07 21:48:56 发布
最新推荐文章于 2023-12-07 21:48:56 发布
阅读量680 收藏
点赞数 1
分类专栏: shiro 文章标签: shiro
原文链接:https://blog.csdn.net/qq_43753724/article/details/118363088
版权

文章目录

一、授权

授权,即访问控制,控制谁能访问哪些资源。主体进行身份认证后需要分配权限方可访问系统的资源,对于某些资源没有权限是无法访问的。

二、关键对象

授权可简单理解为who对what(which)进行How操作:

Who,即主体(Subject),主体需要访问系统中的资源。

What,即资源(Resource),如系统菜单、页面、按钮、类方法、系统商品信息等。资源包括资源类型资源实例,比如商品信息为资源类型,类型为t01的商品为资源实例,编号为001的商品信息也属于资源实例。

How,权限/许可(Permission),规定了主体对资源的操作许可,权限离开资源没有意义,如用户查询权限、用户添加权限、某个类方法的调用权限、编号为001用户的修改权限等,通过权限可知主体对哪些资源都有哪些操作许可。

三、授权流程

在这里插入图片描述

四、授权方式

  • 基于角色的访问控制

    • RBAC基于角色的访问控制(Role-Based Access Control)是以角色为中心进行访问控制

      if(subject.hasRole("admin")){
   //操作什么资源
}

  • 基于资源的访问控制

    • RBAC基于资源的访问控制(Resource-Based Access Control)是以资源为中心进行访问控制

      if(subject.isPermission("user:update:01")){ //资源实例
  //对01用户进行修改
}
if(subject.isPermission("user:update:*")){  //资源类型
  //对01用户进行修改
}

五、权限字符串

权限字符串的规则是:资源标识符:操作:资源实例标识符,意思是对哪个资源的哪个实例具有什么操作,“:”是资源/操作/实例的分割符,权限字符串也可以使用*通配符。

例子:

  • 用户创建权限:user:create,或user:create:*
  • 用户修改实例001的权限:user:update:001
  • 用户实例001的所有权限:user:*:001

六、shiro中授权编程实现方式

  • 编程式

    Subject subject = SecurityUtils.getSubject();
if(subject.hasRole(“admin”)) {
	//有权限
} else {
	//无权限
}

  • 注解式

    @RequiresRoles("admin")
public void hello() {
	//有权限
}

  • 标签式

    JSP/GSP 标签:在JSP/GSP 页面通过相应的标签完成:
<shiro:hasRole name="admin">
	<!— 有权限—>
</shiro:hasRole>
注意: Thymeleaf 中使用shiro需要额外集成!

七、开发授权

1、realm的实现

/**
 * 自定义一个带有MD5 + salt + 散列的realm
 */
public class CustomMD5Realm extends AuthorizingRealm {


    // 授权
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        System.out.println("======进入授权==========");
        // 获取用户身份信息
        String primaryPrincipal = (String) principalCollection.getPrimaryPrincipal();
        System.out.println(primaryPrincipal);
        // 将数据库中查询到的角色信息赋值给权限对象
        SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
        simpleAuthorizationInfo.addRole("admin");
        simpleAuthorizationInfo.addRole("user");

        // 将数据库中查询到的权限信息赋值给权限对象
        simpleAuthorizationInfo.addStringPermission("user:update:*");
        simpleAuthorizationInfo.addStringPermission("product:create:02");
        return simpleAuthorizationInfo;
    }

    // 身份认证
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        // 从token中获取身份信息
        String principal = (String) token.getPrincipal();
        // 根据用户名到数据库中进行查找
        if ("zhangsan".equals(principal)){
            return new SimpleAuthenticationInfo(principal,
                    "4090ec9c2cfd8341455ae0e6c80ae696",
                    ByteSource.Util.bytes("QPX@!"),
                    this.getName());
        }
        return null;
    }

}

2、授权

public class TestCustomMD5RealmAuthenticator {
    public static void main(String[] args) {
        // 1.创建安全管理器
        DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager();
        // 2.设置自定义realm
        CustomMD5Realm customMD5Realm = new CustomMD5Realm();

        // 使用hash凭证匹配器
        HashedCredentialsMatcher hashedCredentialsMatcher = new HashedCredentialsMatcher();
        // 使用的加密算法
        hashedCredentialsMatcher.setHashAlgorithmName("md5");
        // 设置哈希散列的次数
        hashedCredentialsMatcher.setHashIterations(1024);

        customMD5Realm.setCredentialsMatcher(hashedCredentialsMatcher);

        defaultSecurityManager.setRealm(customMD5Realm);
        // 3.注入安全工具类
        SecurityUtils.setSecurityManager(defaultSecurityManager);
        // 4.获取subject主体
        Subject subject = SecurityUtils.getSubject();
        // 5.获取token
        UsernamePasswordToken token = new UsernamePasswordToken("zhangsan", "123");

        try {
            // 6.登录认证
            subject.login(token);
            System.out.println("登录成功");
        } catch (UnknownAccountException e) {
            e.printStackTrace();
            System.out.println("用户名错误!");
        }catch (IncorrectCredentialsException e) {
            e.printStackTrace();
            System.out.println("密码错误!");
        }

        // 授权测试
        if (subject.isAuthenticated()){
            // 基于单角色的权限控制
            System.out.println(subject.hasRole("super"));
            // 基于多角色的权限控制(同时具有)
            System.out.println(subject.hasAllRoles(Arrays.asList("admin", "super")));
            // 是否具有其中一个角色
            boolean[] booleans = subject.hasRoles(Arrays.asList("super", "admin", "user"));
            for (boolean aBoolean : booleans) {
                System.out.println(aBoolean);
            }
            System.out.println("----------------");

            // 基于权限字符串的访问控制  资源标识符:操作:资源实例标识符
            System.out.println("权限:" + subject.isPermitted("user:*:01"));
            System.out.println("权限:" + subject.isPermitted("product:*:01"));

            // 分别具有哪些权限
            boolean[] permitted = subject.isPermitted("user:*:01", "product:update:*");
            for (boolean b : permitted) {
                System.out.println(b);
            }

            // 同时具有哪些权限
            boolean permittedAll = subject.isPermittedAll("user:update:01", "product:create:*");
            System.out.println(permittedAll);
        }
    }
}
@青春之路
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JAVA权限生成字符串(多个权限生成字符串方便数据库存储)
06-28
把多个权限值生成一个字符串,增加多个权限而不会影响之前的权限字符串。 如:旧的权限字符串为“4,5,12” 当增加权限字符串前面不会改变"4,5,12,54,2" 附有例子,源码。方便做网站后台权限的管理
chmod 权限串解释
Wub笔记
09-07 631
chmod755 ./a.sh chmod 777 ./b.sh 第一个跟参数属于管理员,跟chmod无关,先不管. 2-4参数:属于user 5-7参数:属于group 8-10参数:属于others r==>可读 r=4 w==>可写 w=2 x==>可执行 x=1 所以 755代表 rwxr-xr-x 777代表 rwxrwxrwx ...
按位或组合权限
wyf
04-11 757
public enum BindingFlags { // 摘要: // 不指定绑定标志。 Default = 0, // // 摘要: // 指定当绑定时不应考虑成员名的大小写。 IgnoreCase = 1, // ...
Shiro实战教程之shiro授权04
helloworld工程师的博客
03-19 183
Shiro实战教程之shiro授权04 5.1 授权 授权,即访问控制,控制谁能访问哪些资源。主体进行身份认证后需要分配权限方可访问系统的资源,对于某些资源没有权限是无法访问的。 5.2 关键对象 授权可简单理解为who对what(which)进行How操作: Who,即主体(Subject),主体需要访问系统的资源。 What,即资源(Resource),如系统菜单、页面、按钮、类方法、系统商品信息等。资源包括资源类型和资源实例,比如商品信息为资源类型,类型为t01的商品为资源实例,编号
shiro(一):shiro基本概念及基本使用(认证、授权)
weixin_39724194的博客
01-31 1176
身份认证,就是判断一个用户是否为合法用户的处理过程。最常用的简单身份认证方式是系统通过核对用户输入的用户名和口令,看其是否与系统存储的该用户的用户名和口令一致,来判断用户身份是否正确。对于采用指纹等系统,则出示指纹;对于硬件Key等刷卡系统,则需要刷卡。授权,即访问控制,控制谁能访问哪些资源。主体进行身份认证后需要分配权限方可访问系统的资源,对于某些资源没有权限是无法访问的。
若依角色与权限字符串
世界在我口袋的博客
12-07 2222
基于权限字段串和基于角色的访问控制是两种不同的权限管理模型,它们各自有其优点和应用场景。若依框架采用了基于角色(Role-Based Access Control, RBAC)的权限控制模型。这种模型将权限与角色相关联,而不是直接与用户关联,从而提高了灵活性和可扩展性。在若依框架,用户通过被赋予不同的角色来获得相应的权限。开发者可以创建多个角色,并为每个角色分配不同的权限。然后将这些角色分配给用户,以实现对用户权限的管理。此外,若依框架还提供了数据权限控制、按钮级权限控制等功能,以适应复杂的业务需求。
RBAC权限字符串的比较
osillto的博客
07-13 1398
权限字符串用于校验当前用户访问的路径是否属于他的权限范围。 权限字符串的比较本质就是字符串的比较,这里想到了两种解决方法,一种是通过切割成为数组进行比较,另一种是组合成字符串使用kmp算法进行比较。 第一种:数组比较 因为读取数据库的权限字符串的顺序是固定的,所以每个权限字符串放入数组存储时就会生成有序数组,这里需要注意一点,因为每个权限对应的访问路径可能有很多个,所以这就要在存储数据时使用符号分割开每个路径,在读取是将它们进行切割在存储。这样就会将长字符串比较简化为一个数组的比较,这种方式在数据读
RBAC权限验证
博客
03-21 660
User实体类(用户) @ApiModel("用户实体") @Data @AllArgsConstructor @NoArgsConstructor public class User { private Long id; @ApiModelProperty(value = "昵称") private String name; @ApiModelProperty(value = "用户名") private String username; privat.
shiro授权.pdf
08-13
shiro 授权 #资源达人分享计划 # 技术文档
Shiro登录授权认证功能
09-26
Shiro登录授权认证功能
shiro认证授权
08-03
shiro入门认证和授权的相关代码,博客地址:http://blog.csdn.net/u014532775/article/details/76620643
shiro认证及授权demo
10-28
包含使用Shiro实现认证和授权的Demo,对应博客:https://blog.csdn.net/fancheng614/article/details/83477345
shiro授权的实现原理
08-29
主要介绍了shiro授权的实现原理,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Markdown学习笔记
04-30
Markdown学习笔记
热塑性弹性体,全球前21强生产商排名及市场份额.docx
04-30
热塑性弹性体,全球前21强生产商排名及市场份额
配合eclipse svn插件subclipse-4.3.4版本的javahl
04-30
配合eclipse svn插件subclipse-4.3.4版本的javahl,将其的features和plugins目录解压到与subclipse-4.3.4插件同一目录下即可。在eclipse 4.31版本上验证有效。
一个基于epoll的多线程 linux c http web服务器.zip
04-30
一个基于epoll的多线程 linux c http web服务器.zip
Bash脚本教程:优雅地管理Java应用.zip
04-30
本Bash脚本用于自动化管理Java JAR应用的启动、停止及监控。首先检查JAR进程是否在运行,如在运行则安全终止。随后,使用预设的Java参数启动JAR文件,并将输出和错误日志重定向至日志文件。启动后,脚本持续监控JAR进程状态,确保其在预设时间内成功启动。本脚本提供了灵活的配置和错误处理机制,为Java应用的运维管理带来了便捷与可靠性。
嗨淘V12刷任务点赞系统源码+手动派单版本.rar
最新发布
04-30
嗨淘V12刷任务点赞系统源码+手动派单版本.rar嗨淘V12刷任务点赞系统源码+手动派单版本.rar
shiro怎么实现授权
05-05
1. 定义角色和权限:在Shiro,角色和权限是通过字符串来定义的。可以使用Shiro提供的Configuration API来定义角色和权限,也可以使用注解来定义。 2. 认证用户身份:在进行授权之前,需要先对用户进行身份认证。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值