shiro在配置文件中实现授权

最新推荐文章于 2024-04-21 23:14:09 发布
最新推荐文章于 2024-04-21 23:14:09 发布
阅读量750 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43381137/article/details/92634281
版权
  1. 创建项目,引入jar包
    创建maven 在pom.xml文件中引入jar
<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0"
         xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
    <modelVersion>4.0.0</modelVersion>

    <groupId>chang</groupId>
    <artifactId>test_shiro01</artifactId>
    <version>1.0-SNAPSHOT</version>
    <dependencies>
    <!--shiro安全框架jar包-->
            <dependency>
                <groupId>commons-logging</groupId>
                <artifactId>commons-logging</artifactId>
                <version>1.1.1</version>
            </dependency>

            <dependency>
                <groupId>org.apache.shiro</groupId>
                <artifactId>shiro-core</artifactId>
                <version>1.2.3</version>
            </dependency>
     </dependencies>
  1. 声明shiro的主配置文件shiro.ini
[users]
#zhangsan有两个角色 role1,role2
zhangsan=123,role1,role2
lisi=111,role2
zhaoliu=123456,role4

[roles]
#role1是自定义的一个角色名称,角色名称后是角色可以操作的资源
role1=user:list.user:add,user:delete,user:update
role2=user:list

#为角色定义可操作资源的时候可以使用通配符*  *也可以省略
user3=user
#定义角色role4有删除编号为5的用户的权限
role4=user:delete5
  1. 创建测试类
package com.chang.shiro.test;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.util.Factory;

import java.util.ArrayList;
import java.util.List;

/**
 * 测试授权
 * */
public class Test01 {
    public static void main(String[] args) {
        //声明Factory类对象
        Factory<SecurityManager> factory=new IniSecurityManagerFactory("classpath:shiro.ini");
        //获取SecurityManager对象
        SecurityManager securityManager=factory.getInstance();
        //把securityManager对象设置到SecurityUtils中
        SecurityUtils.setSecurityManager(securityManager);
        //获取验证的主体对象subject用户对象
        Subject subject = SecurityUtils.getSubject();
        //传入用户输入的用户名和密码
        String username="zhangsan";
        UsernamePasswordToken token = new UsernamePasswordToken(username, "123");
        try{
            //执行登录校验
            subject.login(token);
            System.out.println("登录成功");

            //调用subject的方法可以用来鉴权 一般包括两种操作
            //1.判断用户有哪个角色
            boolean role1 = subject.hasRole("role1");
            if(role1){
                System.out.println(username+"有role1的角色");
            }else {
                System.out.println(username+"没有role1的角色");
            }
            List<String> roles=new ArrayList<String>();
            roles.add("role1");
            roles.add("role4");
            boolean[] booleans = subject.hasRoles(roles);
            for (boolean boo:
                 booleans) {
                System.out.println(boo);
            }

            //2.判断用户有哪些资源的权限
            if (subject.isPermitted("user:list")){
                System.out.println(username+"有删除用户的权限");
            }else {
                System.out.println(username+"没有删除用户的权限");
            }

            if (subject.isPermittedAll("user:list","user:update")){
                System.out.println(username+"同时有查看用户列表和更新的权利");
            }else {
                System.out.println(username+"没有同时查看用户列表和更新的权利");
            }

            if (subject.isPermitted("user:delete:5")){
                System.out.println(username+"有删除用户5的权限");
            }else {
                System.out.println(username+"没有删除用户5的权限");
            }

        }catch (AuthenticationException e){
            e.printStackTrace();
            System.out.println("用户名或密码错误");
        }
        //退出登录
        subject.logout();
    }
}
  1. 测试结果
登录成功
zhangsan有role1的角色
true
false
zhangsan有删除用户的权限
zhangsan同时有查看用户列表和更新的权利
zhangsan有删除用户5的权限
Junkai Chang
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
shiro key文件
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
12-01 1297
​下面结合实战以及shiro的CookieRememberMeManaer的调用过程,浅谈获取shiro key文件的几种方式。 shiro key文件的获取方式:1结合Dnslog与URLDNS;2利用时间延迟或报错;3结合CookieRememberMeManaer 1结合Dnslog与URLDNS 在进行漏洞探测的时候,一般会使用ysoserial-URLDNS-gadget结合dnslog进检测,其受JDK版本和相关的安全策略影响,除非存在网络限制DNS不能出网。 通过判断dnslog是否
shiro授权实现原理
08-29
Shiro 授权基于角色的访问控制,可以通过 ini 配置文件配置用户拥有的角色,然后通过 Realm 返回角色信息来验证用户是否有相应的角色。Shiro 提供了相应的接口来方便验证,但不负责维护用户-角色信息,需要应用...
Shiro权限相关配置文件
star_zongke的专栏
04-24 2678
Shiro权限框架 开发系统,少不了权限,目前java里的权限框架有SpringSecurity和Shiro(以前叫做jsecurity),对于SpringSecurity:功能太过强大以至于功能比较分散,使用起来也比较复杂,跟Spring结合的比较好。对于初学Spring Security者来说,曲线还是较大,需要深入学习其源码和框架,配置起来也需要费比较大的力气,扩展性也不是特别强。 对
Shiro安全框架】核心概念、基本配置、整合Web项目
最新发布
m0_74187147的博客
04-21 1162
问题1:什么是shiro?它有什么用?​ 答:shiro是apache公司推出的一款安全框架,主要在项目进行权限控制。 shiro的几个核心概念: 1、SecurityManager:安全管理器 作用:用于执行认证(登录)、授权(获得用户的访问权限) 2、Subject:主体 作用:它代表当前用户 3、Realm:领域对象 作用:它用于封装认证、授权的方法
菜鸟学习shiro之用配置文件实现登录,身份和权限验证2
保持愤怒
07-28 473
Maven的和第一篇,一样直接去复制使用 这篇博客和上一篇没有多大的区别,区别之处就是上一篇没有实现权限认证,将在这一篇实现,这里我们使用四郎给我们提供的内置类IniRealm,来实现登录,身份和权限验证,值得注意的是,IniRealm这个是引入的配置文件的形式来管理数据库的数据的 直接上代码吧: import antlr.StringUtils; import org.apache....
Shiro配置文件.xml
u011607686的博客
03-16 1325
一、权限控制:两种说法 比如anon拦截器表示匿名访问(即不需要登录即可访问); authc拦截器表示需要身份认证通过后才能访问; roles[admin]拦截器表示需要有admin角色授权才能访问; 而perms[“user:create”]拦截器表示需要有“user:create”权限才能访问。 1、authc 表示需要认证的链接 2、perms[/url] 表示该链接需要拥有对应...
shiro 配置文件
01-06
接下来,我们看 `springmvc.xml` 文件,这是 Spring MVC 的配置文件,通常在这里配置 Shiro 的 Realm,即认证和授权实现。Realm 是 Shiro 与应用数据源交互的桥梁,你可以自定义 Realm 类,继承 `AuthorizingRealm...
Springboot shiro认证授权实现原理及实例
08-19
配置文件,我们可以指定 Shiro 的 Realm 和其他配置项。例如,我们可以配置 Shiro 的登录 URL、logout URL 和 session timeout 等。 Shiro 的 Realm Shiro 的 Realm 是一个身份验证和授权的接口,我们可以通过...
Shiro实现登录授权功能
09-26
在“Shiro实现登录授权功能”这个主题,我们将深入探讨如何利用 Shiro 进行用户的身份验证和权限管理。 1. **身份验证(Authentication)**:这是验证用户身份的过程,确保用户确实是他们声称的那个用户。在 ...
shiro的全流程demo,世界shiro在spring认证、授权流程,自定义授权类型,分布式session、授权缓存的实现
09-11
这个项目shiro_boot_web 文件可能包含了 Spring Boot 项目的结构,如配置文件Shiro 相关的 Java 类、MVC 控制器、视图模板等,你可以通过阅读和运行这些代码,进一步学习和实践 Shiro 的各种功能。
shiro实现授权登陆验证
12-18
在实际项目,`shiro-root`目录可能包含了Shiro配置文件(如shiro.ini或shiro.xml)、Spring整合Shiro的相关配置、以及自定义Realm的实现等。我们需要根据项目需求配置Shiro的安全策略,包括密码加密算法、未授权...
shiro框架在项目的应用
11-09
Apache Shiro 是一个强大且易用的 Java 安全框架,提供身份认证、授权、会话管理和加密等...通过学习和理解 Shiro 的这些核心概念和功能,开发者可以快速地在项目实现用户认证和授权,构建出安全可靠的 Java 应用。
Springboot和bootstrap实现shiro权限控制配置过程
08-19
然后,需要在SpringBoot的配置文件添加Shiro的Filter: ```java @Configuration public class ShiroConfig { @Bean public ShiroFilterFactoryBean shiroFilterFactoryBean() { ShiroFilterFactoryBean ...
springboot+Shiro 实现动态授权
09-05
在SpringBoot项目引入Shiro,首先需要在`pom.xml`文件添加Shiro的相关依赖。例如,可以引入`shiro-spring`和`shiro-web`这两个模块: ```xml <groupId>org.apache.shiro <artifactId>shiro-spring ...
CAS+Shiro实现认证授权
11-15
在提供的文件" CAS-ShiroPermission ",可能包含了具体的代码示例或配置文件,用于展示如何将CAS与Shiro整合,以及如何在Shiro定义和使用权限。这些文件可以帮助开发者更好地理解和实现上述流程。 总结来说,...
Shiro教程(六)Shiro整体的配置文件
baidu_37366055的博客
03-02 1370
因为 Shrio 和整体项目结合的话,细节问题还是比较多。我要侧重讲一些地方。下面我先把我整个项目的 Shiro 配置文件先贴出来,如果你需要哪个类的实现方式,你可以针对性的查找,或者问我。 &lt;?xml version="1.0" encoding="UTF-8"?&gt; &lt;beans xmlns="http://www.springframework.org...
shiro第二天——角色和权限验证(编程式授权)
MODjie的博客
12-11 859
目录结构: shiro_role.ini文件——为用户分配角色 [users] java1234=123456,role1,role2 jack=123,role测试角色代码: 1、hasRole方法,返回值为boolean类型(判断当前用户是否有一个角色); 2、hasRoles方法,返回值为boolean数组(判断当前用户是否有多个角色,一个角色对应数组的一个值); 3、has
shiro文件的详解
京北游戏官方
12-24 8420
1,Shiro.ini文件的说明 ini (InitializationFile) 初始文件.Window系统文件扩展名. Shiro 使用时可以连接数据库,也可以不连接数据库. 2.1 如果不连接数据库,可以在shiro.ini配置静态数据 2,Shrio.ini文件的组成部分 1,[main] :定义全局变量 1 内置securityManager对象. 2 操作内置对象时,在[main]里面写东西\ [main] securityManager.属性=值 myobj=co
springboot基于shiro配置文件
05-09
在Spring Boot项目使用Shiro进行安全控制,需要进行以下几个步骤。 1. 引入Shiro和Spring Boot相关依赖 在`pom.xml`文件添加以下依赖: ```xml <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.6.0</version> </dependency> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-web</artifactId> <version>1.6.0</version> </dependency> ``` 2. 配置Shiro的安全管理器 在Spring Boot的配置文件,添加Shiro的相关配置: ```yaml # Shiro配置 shiro: # 配置安全管理器 securityManager: # 配置Realm realms: - name: myRealm # 配置自定义的Realm实现类 customRealm: com.example.demo.shiro.MyRealm # 配置Session管理器 sessionManager: # Session过期时间,单位:毫秒 globalSessionTimeout: 1800000 # 配置Cookie cookie: # Cookie名称 name: SHIROSESSIONID # Cookie过期时间,单位:秒 maxAge: 1800 # Cookie路径 path: / # 配置Shiro Filter filters: # 配置自定义的Filter实现类 myFilter: com.example.demo.shiro.MyFilter # 配置Filter Chain filterChainDefinitions: # 配置访问控制规则 /login: anon /logout: logout /**: myFilter ``` 其,配置了安全管理器`securityManager`,包括了自定义的Realm实现类`MyRealm`、Session管理器和Cookie。 配置了Shiro Filter`myFilter`,以及Filter Chain,其`/login`可以匿名访问,`/logout`需要进行登出操作,其他URL需要经过自定义的Filter`MyFilter`进行访问控制。 3. 实现自定义Realm 在`MyRealm`类,需要实现Shiro的`Realm`接口,重写`doGetAuthenticationInfo`和`doGetAuthorizationInfo`方法,完成身份认证和授权。 ```java public class MyRealm extends AuthorizingRealm { /** * 身份认证 */ @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException { // 获取用户名和密码 String username = (String) authenticationToken.getPrincipal(); String password = new String((char[]) authenticationToken.getCredentials()); // 根据用户名查询用户信息 User user = userService.findByUsername(username); // 判断用户是否存在 if (user == null) { throw new UnknownAccountException("用户不存在"); } // 判断密码是否正确 if (!password.equals(user.getPassword())) { throw new IncorrectCredentialsException("密码错误"); } // 将用户信息封装到AuthenticationInfo SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(user, password, getName()); return authenticationInfo; } /** * 授权 */ @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) { // 获取用户信息 User user = (User) principalCollection.getPrimaryPrincipal(); // 查询用户角色和权限信息 List<Role> roles = roleService.findByUserId(user.getId()); List<Permission> permissions = permissionService.findByUserId(user.getId()); // 封装角色和权限信息到AuthorizationInfo SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo(); for (Role role : roles) { authorizationInfo.addRole(role.getName()); } for (Permission permission : permissions) { authorizationInfo.addStringPermission(permission.getName()); } return authorizationInfo; } } ``` 4. 实现自定义Filter 在`MyFilter`类,需要继承Shiro的`AccessControlFilter`类,重写`isAccessAllowed`和`onAccessDenied`方法,完成访问控制逻辑。 ```java public class MyFilter extends AccessControlFilter { @Override protected boolean isAccessAllowed(ServletRequest servletRequest, ServletResponse servletResponse, Object o) throws Exception { // 获取Shiro的Subject对象 Subject subject = getSubject(servletRequest, servletResponse); // 判断是否已经登录 if (subject.isAuthenticated()) { return true; } // 判断是否是登录请求 HttpServletRequest request = (HttpServletRequest) servletRequest; if ("/login".equals(request.getServletPath())) { return true; } // 其他情况都要进行跳转到登录页面 redirectToLogin(servletRequest, servletResponse); return false; } @Override protected boolean onAccessDenied(ServletRequest servletRequest, ServletResponse servletResponse) throws Exception { // 如果是Ajax请求,则返回JSON格式的数据 HttpServletRequest request = (HttpServletRequest) servletRequest; HttpServletResponse response = (HttpServletResponse) servletResponse; if (request.getHeader("X-Requested-With") != null && request.getHeader("X-Requested-With").equalsIgnoreCase("XMLHttpRequest")) { response.setContentType("application/json;charset=UTF-8"); response.getWriter().write(JSON.toJSONString(Result.fail("未登录或登录超时"))); } else { // 否则进行跳转到登录页面 redirectToLogin(servletRequest, servletResponse); } return false; } } ``` 5. 配置Shiro的注解支持 在Spring Boot的配置类,添加`@EnableAspectJAutoProxy(proxyTargetClass = true)`注解和`@EnableAuthorization`注解,启用Shiro的注解支持和AOP功能。 ```java @Configuration @EnableAspectJAutoProxy(proxyTargetClass = true) @EnableAuthorization public class ShiroConfig { // ... } ``` 至此,基于Shiro的安全控制已经配置完成。在需要进行访问控制的Controller方法上,添加相应的注解即可完成授权操作,例如`@RequiresPermissions("user:view")`表示需要拥有`user:view`权限才能访问该方法。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值