shiro在配置文件中实现授权

最新推荐文章于 2024-04-21 23:14:09 发布
最新推荐文章于 2024-04-21 23:14:09 发布
阅读量749 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43381137/article/details/92634281
版权
  1. 创建项目,引入jar包
    创建maven 在pom.xml文件中引入jar
<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0"
         xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
    <modelVersion>4.0.0</modelVersion>

    <groupId>chang</groupId>
    <artifactId>test_shiro01</artifactId>
    <version>1.0-SNAPSHOT</version>
    <dependencies>
    <!--shiro安全框架jar包-->
            <dependency>
                <groupId>commons-logging</groupId>
                <artifactId>commons-logging</artifactId>
                <version>1.1.1</version>
            </dependency>

            <dependency>
                <groupId>org.apache.shiro</groupId>
                <artifactId>shiro-core</artifactId>
                <version>1.2.3</version>
            </dependency>
     </dependencies>
  1. 声明shiro的主配置文件shiro.ini
[users]
#zhangsan有两个角色 role1,role2
zhangsan=123,role1,role2
lisi=111,role2
zhaoliu=123456,role4

[roles]
#role1是自定义的一个角色名称,角色名称后是角色可以操作的资源
role1=user:list.user:add,user:delete,user:update
role2=user:list

#为角色定义可操作资源的时候可以使用通配符*  *也可以省略
user3=user
#定义角色role4有删除编号为5的用户的权限
role4=user:delete5
  1. 创建测试类
package com.chang.shiro.test;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.util.Factory;

import java.util.ArrayList;
import java.util.List;

/**
 * 测试授权
 * */
public class Test01 {
    public static void main(String[] args) {
        //声明Factory类对象
        Factory<SecurityManager> factory=new IniSecurityManagerFactory("classpath:shiro.ini");
        //获取SecurityManager对象
        SecurityManager securityManager=factory.getInstance();
        //把securityManager对象设置到SecurityUtils中
        SecurityUtils.setSecurityManager(securityManager);
        //获取验证的主体对象subject用户对象
        Subject subject = SecurityUtils.getSubject();
        //传入用户输入的用户名和密码
        String username="zhangsan";
        UsernamePasswordToken token = new UsernamePasswordToken(username, "123");
        try{
            //执行登录校验
            subject.login(token);
            System.out.println("登录成功");

            //调用subject的方法可以用来鉴权 一般包括两种操作
            //1.判断用户有哪个角色
            boolean role1 = subject.hasRole("role1");
            if(role1){
                System.out.println(username+"有role1的角色");
            }else {
                System.out.println(username+"没有role1的角色");
            }
            List<String> roles=new ArrayList<String>();
            roles.add("role1");
            roles.add("role4");
            boolean[] booleans = subject.hasRoles(roles);
            for (boolean boo:
                 booleans) {
                System.out.println(boo);
            }

            //2.判断用户有哪些资源的权限
            if (subject.isPermitted("user:list")){
                System.out.println(username+"有删除用户的权限");
            }else {
                System.out.println(username+"没有删除用户的权限");
            }

            if (subject.isPermittedAll("user:list","user:update")){
                System.out.println(username+"同时有查看用户列表和更新的权利");
            }else {
                System.out.println(username+"没有同时查看用户列表和更新的权利");
            }

            if (subject.isPermitted("user:delete:5")){
                System.out.println(username+"有删除用户5的权限");
            }else {
                System.out.println(username+"没有删除用户5的权限");
            }

        }catch (AuthenticationException e){
            e.printStackTrace();
            System.out.println("用户名或密码错误");
        }
        //退出登录
        subject.logout();
    }
}
  1. 测试结果
登录成功
zhangsan有role1的角色
true
false
zhangsan有删除用户的权限
zhangsan同时有查看用户列表和更新的权利
zhangsan有删除用户5的权限
Junkai Chang
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
shiro key文件
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
12-01 1282
​下面结合实战以及shiro的CookieRememberMeManaer的调用过程,浅谈获取shiro key文件的几种方式。 shiro key文件的获取方式:1结合Dnslog与URLDNS;2利用时间延迟或报错;3结合CookieRememberMeManaer 1结合Dnslog与URLDNS 在进行漏洞探测的时候,一般会使用ysoserial-URLDNS-gadget结合dnslog进检测,其受JDK版本和相关的安全策略影响,除非存在网络限制DNS不能出网。 通过判断dnslog是否
Shiro权限相关配置文件
star_zongke的专栏
04-24 2678
Shiro权限框架 开发系统,少不了权限,目前java里的权限框架有SpringSecurity和Shiro(以前叫做jsecurity),对于SpringSecurity:功能太过强大以至于功能比较分散,使用起来也比较复杂,跟Spring结合的比较好。对于初学Spring Security者来说,曲线还是较大,需要深入学习其源码和框架,配置起来也需要费比较大的力气,扩展性也不是特别强。 对
Shiro安全框架】核心概念、基本配置、整合Web项目
最新发布
m0_74187147的博客
04-21 1158
问题1:什么是shiro?它有什么用?​ 答:shiro是apache公司推出的一款安全框架,主要在项目进行权限控制。 shiro的几个核心概念: 1、SecurityManager:安全管理器 作用:用于执行认证(登录)、授权(获得用户的访问权限) 2、Subject:主体 作用:它代表当前用户 3、Realm:领域对象 作用:它用于封装认证、授权的方法
菜鸟学习shiro之用配置文件实现登录,身份和权限验证2
保持愤怒
07-28 472
Maven的和第一篇,一样直接去复制使用 这篇博客和上一篇没有多大的区别,区别之处就是上一篇没有实现权限认证,将在这一篇实现,这里我们使用四郎给我们提供的内置类IniRealm,来实现登录,身份和权限验证,值得注意的是,IniRealm这个是引入的配置文件的形式来管理数据库的数据的 直接上代码吧: import antlr.StringUtils; import org.apache....
Shiro配置文件.xml
u011607686的博客
03-16 1324
一、权限控制:两种说法 比如anon拦截器表示匿名访问(即不需要登录即可访问); authc拦截器表示需要身份认证通过后才能访问; roles[admin]拦截器表示需要有admin角色授权才能访问; 而perms[“user:create”]拦截器表示需要有“user:create”权限才能访问。 1、authc 表示需要认证的链接 2、perms[/url] 表示该链接需要拥有对应...
shiro授权实现原理
08-29
Shiro 授权基于角色的访问控制,可以通过 ini 配置文件配置用户拥有的角色,然后通过 Realm 返回角色信息来验证用户是否有相应的角色。Shiro 提供了相应的接口来方便验证,但不负责维护用户-角色信息,需要应用...
shiro 配置文件
01-06
接下来,我们看 `springmvc.xml` 文件,这是 Spring MVC 的配置文件,通常在这里配置 Shiro 的 Realm,即认证和授权实现。Realm 是 Shiro 与应用数据源交互的桥梁,你可以自定义 Realm 类,继承 `AuthorizingRealm...
Springboot shiro认证授权实现原理及实例
08-19
配置文件,我们可以指定 Shiro 的 Realm 和其他配置项。例如,我们可以配置 Shiro 的登录 URL、logout URL 和 session timeout 等。 Shiro 的 Realm Shiro 的 Realm 是一个身份验证和授权的接口,我们可以通过...
Shiro实现登录授权功能
09-26
在“Shiro实现登录授权功能”这个主题,我们将深入探讨如何利用 Shiro 进行用户的身份验证和权限管理。 1. **身份验证(Authentication)**:这是验证用户身份的过程,确保用户确实是他们声称的那个用户。在 ...
shiro的全流程demo,世界shiro在spring认证、授权流程,自定义授权类型,分布式session、授权缓存的实现
09-11
这个项目shiro_boot_web 文件可能包含了 Spring Boot 项目的结构,如配置文件Shiro 相关的 Java 类、MVC 控制器、视图模板等,你可以通过阅读和运行这些代码,进一步学习和实践 Shiro 的各种功能。
Shiro教程(六)Shiro整体的配置文件
baidu_37366055的博客
03-02 1360
因为 Shrio 和整体项目结合的话,细节问题还是比较多。我要侧重讲一些地方。下面我先把我整个项目的 Shiro 配置文件先贴出来,如果你需要哪个类的实现方式,你可以针对性的查找,或者问我。 &lt;?xml version="1.0" encoding="UTF-8"?&gt; &lt;beans xmlns="http://www.springframework.org...
shiro第二天——角色和权限验证(编程式授权)
MODjie的博客
12-11 856
目录结构: shiro_role.ini文件——为用户分配角色 [users] java1234=123456,role1,role2 jack=123,role测试角色代码: 1、hasRole方法,返回值为boolean类型(判断当前用户是否有一个角色); 2、hasRoles方法,返回值为boolean数组(判断当前用户是否有多个角色,一个角色对应数组的一个值); 3、has
shiro文件的详解
京北游戏官方
12-24 8417
1,Shiro.ini文件的说明 ini (InitializationFile) 初始文件.Window系统文件扩展名. Shiro 使用时可以连接数据库,也可以不连接数据库. 2.1 如果不连接数据库,可以在shiro.ini配置静态数据 2,Shrio.ini文件的组成部分 1,[main] :定义全局变量 1 内置securityManager对象. 2 操作内置对象时,在[main]里面写东西\ [main] securityManager.属性=值 myobj=co
Shiro 框架总结】9 Shiro.ini详解
FullStackDeveloper0的博客
04-17 722
一、INI简介 INI配置文件是一种key/value的键值对配置,提供了分类的概念,每一个类key不可重复,#号代表注释 shiro.ini文件默认在/WEB-INF/ 或classpath下,shiro会自动查找,INI配置文件一般适用于用户少且不需要在运行时动态创建的情景下使用。 1.在web.xml配置shiro的过滤器 (1)Shiro 1.1及以前版本配置方式 要...
Shiro配置文件分析
weixin_66107852的博客
04-10 262
Shiro配置文件分析
Shiro认证信息是如何保持至浏览器的?
超级氯化钾的博客
05-03 380
每个浏览器的cookie都保存某个站点的cookie,cookie保存的是key-value键值对 用户登录时进行认证,认证成功后,服务器shiro会保存已经认证的JESSSIONID值 JSSSIONID的cookie有效期是当前会话(关闭浏览器就会消失) ...
X-ray捡洞遇到的高频漏洞(Shiro默认key、备份文件&敏感目录泄露、Druid未授权访问、phpstudy-nginx解析漏洞、dedecms-cve-2018-6910)
Love&Share
11-10 9434
用 X-Ray 刷洞发现一些出现频率高的漏洞,把漏洞原理和利用方式稍作整理,按照危害排名,低危漏洞可以收集一些信息然后深度利用变高危 文章目录直接利用Shiro默认keySql注入备份文件&敏感目录泄露Druid未授权访问XSS有条件利用phpstudy-nginx解析漏洞dedecms-cve-2018-6910鸡肋Apache Tomcat Examples未删除go-pprof资源监控信息泄露ELSE配置xray反连360提交漏洞 直接利用 Shiro默认key Xray提示:shiro/s.
Apache Shiro 默认密钥致命令执行漏洞(CVE-2016-4437)
热门推荐
yuguang的博客
11-17 1万+
目录 一.情况描述 1.漏洞描述 2.漏洞造成的影响 3.安全建议 4.技术参考 5.建设方案 6.漏洞证明 测试结果 二.springmvc修改 1.修改pom.xml配置 2.增加一个自定义秘钥代码 3.修改shiro配置 4.修改完之后测试 一.情况描述 1.漏洞描述 Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能。 2.漏洞造成的影响 在配置了默认密钥的情况下,攻击者可以通过精心构造的 Payload 实现远.
springboot基于shiro配置文件
05-09
在Spring Boot项目使用Shiro进行安全控制,需要进行以下几个步骤。 1. 引入Shiro和Spring Boot相关依赖 在`pom.xml`文件添加以下依赖: ```xml <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.6.0</version> </dependency> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-web</artifactId> <version>1.6.0</version> </dependency> ``` 2. 配置Shiro的安全管理器 在Spring Boot的配置文件,添加Shiro的相关配置: ```yaml # Shiro配置 shiro: # 配置安全管理器 securityManager: # 配置Realm realms: - name: myRealm # 配置自定义的Realm实现类 customRealm: com.example.demo.shiro.MyRealm # 配置Session管理器 sessionManager: # Session过期时间,单位:毫秒 globalSessionTimeout: 1800000 # 配置Cookie cookie: # Cookie名称 name: SHIROSESSIONID # Cookie过期时间,单位:秒 maxAge: 1800 # Cookie路径 path: / # 配置Shiro Filter filters: # 配置自定义的Filter实现类 myFilter: com.example.demo.shiro.MyFilter # 配置Filter Chain filterChainDefinitions: # 配置访问控制规则 /login: anon /logout: logout /**: myFilter ``` 其,配置了安全管理器`securityManager`,包括了自定义的Realm实现类`MyRealm`、Session管理器和Cookie。 配置了Shiro Filter`myFilter`,以及Filter Chain,其`/login`可以匿名访问,`/logout`需要进行登出操作,其他URL需要经过自定义的Filter`MyFilter`进行访问控制。 3. 实现自定义Realm 在`MyRealm`类,需要实现Shiro的`Realm`接口,重写`doGetAuthenticationInfo`和`doGetAuthorizationInfo`方法,完成身份认证和授权。 ```java public class MyRealm extends AuthorizingRealm { /** * 身份认证 */ @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException { // 获取用户名和密码 String username = (String) authenticationToken.getPrincipal(); String password = new String((char[]) authenticationToken.getCredentials()); // 根据用户名查询用户信息 User user = userService.findByUsername(username); // 判断用户是否存在 if (user == null) { throw new UnknownAccountException("用户不存在"); } // 判断密码是否正确 if (!password.equals(user.getPassword())) { throw new IncorrectCredentialsException("密码错误"); } // 将用户信息封装到AuthenticationInfo SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(user, password, getName()); return authenticationInfo; } /** * 授权 */ @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) { // 获取用户信息 User user = (User) principalCollection.getPrimaryPrincipal(); // 查询用户角色和权限信息 List<Role> roles = roleService.findByUserId(user.getId()); List<Permission> permissions = permissionService.findByUserId(user.getId()); // 封装角色和权限信息到AuthorizationInfo SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo(); for (Role role : roles) { authorizationInfo.addRole(role.getName()); } for (Permission permission : permissions) { authorizationInfo.addStringPermission(permission.getName()); } return authorizationInfo; } } ``` 4. 实现自定义Filter 在`MyFilter`类,需要继承Shiro的`AccessControlFilter`类,重写`isAccessAllowed`和`onAccessDenied`方法,完成访问控制逻辑。 ```java public class MyFilter extends AccessControlFilter { @Override protected boolean isAccessAllowed(ServletRequest servletRequest, ServletResponse servletResponse, Object o) throws Exception { // 获取Shiro的Subject对象 Subject subject = getSubject(servletRequest, servletResponse); // 判断是否已经登录 if (subject.isAuthenticated()) { return true; } // 判断是否是登录请求 HttpServletRequest request = (HttpServletRequest) servletRequest; if ("/login".equals(request.getServletPath())) { return true; } // 其他情况都要进行跳转到登录页面 redirectToLogin(servletRequest, servletResponse); return false; } @Override protected boolean onAccessDenied(ServletRequest servletRequest, ServletResponse servletResponse) throws Exception { // 如果是Ajax请求,则返回JSON格式的数据 HttpServletRequest request = (HttpServletRequest) servletRequest; HttpServletResponse response = (HttpServletResponse) servletResponse; if (request.getHeader("X-Requested-With") != null && request.getHeader("X-Requested-With").equalsIgnoreCase("XMLHttpRequest")) { response.setContentType("application/json;charset=UTF-8"); response.getWriter().write(JSON.toJSONString(Result.fail("未登录或登录超时"))); } else { // 否则进行跳转到登录页面 redirectToLogin(servletRequest, servletResponse); } return false; } } ``` 5. 配置Shiro的注解支持 在Spring Boot的配置类,添加`@EnableAspectJAutoProxy(proxyTargetClass = true)`注解和`@EnableAuthorization`注解,启用Shiro的注解支持和AOP功能。 ```java @Configuration @EnableAspectJAutoProxy(proxyTargetClass = true) @EnableAuthorization public class ShiroConfig { // ... } ``` 至此,基于Shiro的安全控制已经配置完成。在需要进行访问控制的Controller方法上,添加相应的注解即可完成授权操作,例如`@RequiresPermissions("user:view")`表示需要拥有`user:view`权限才能访问该方法。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值