使用shiro实现简单权限验证

最新推荐文章于 2024-04-28 17:17:13 发布
最新推荐文章于 2024-04-28 17:17:13 发布
阅读量496 收藏
点赞数
文章标签: shiro权限
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43836464/article/details/86598638
版权

Apache Shiro 是 Java 的一个安全(权限)框架。
Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE 环境,也可以用在 JavaEE 环境。
Shiro 可以完成:认证、授权、加密、会话管理、与Web 集成、缓存等。
下载地址:http://shiro.apache.or
f

Authentication:身份认证/登录,验证用户是不是拥有相应的身份;
Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能进行什么操作,如:验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具有某个权限;
Session Manager:会话管理,即用户登录后就是一次会话,在没有退出之前,它的所有信息都在会话中;会话可以是普通 JavaSE 环境,也可以是 Web 环境的;
Cryptography:加密,保护数据的安全性,如密码加密存储到数据库,而不是明文存储;
Web Support:Web 支持,可以非常容易的集成到Web 环境;
Caching:缓存,比如用户登录后,其用户信息、拥有的角色/权限不必每次去查,这样可以提高效率;
Concurrency:Shiro 支持多线程应用的并发验证,即如在一个线程中开启另一个线程,能把权限自动传播过去;
Testing:提供测试支持;
Run As:允许一个用户假装为另一个用户(如果他们允许)的身份进行访问;
Remember Me:记住我,这个是非常常见的功能,即一次登录后,下次再来的话不用登录了。
在这里插入图片描述

Subject:应用代码直接交互的对象是 Subject,也就是说 Shiro 的对外API 核心就是 Subject。Subject 代表了当前“用户”, 这个用户不一定是一个具体的人,与当前应用交互的任何东西都是 Subject,如网络爬虫,机器人等;与 Subject 的所有交互都会委托给 SecurityManager;Subject 其实是一个门面,SecurityManager 才是实际的执行者;
SecurityManager:安全管理器;即所有与安全有关的操作都会与SecurityManager 交互;且其管理着所有 Subject;可以看出它是 Shiro的核心,它负责与 Shiro 的其他组件进行交互,它相当于 SpringMVC 中DispatcherServlet 的角色。
Realm:Shiro 从 Realm 获取安全数据(如用户、角色、权限),就是说SecurityManager 要验证用户身份,那么它需要从 Realm 获取相应的用户进行比较以确定用户身份是否合法;也需要从 Realm 得到用户相应的角色权限进行验证用户是否能进行操作;可以把 Realm 看成 DataSource。
在这里插入图片描述
准备表数据

CREATE TABLE sec_user(

user_id number(10)primary key,

user_name varchar2(64) ,

password varchar2(128) ,

created_time date ,

update_time timestamp

);

create sequence s_seq;

insert into sec_user values(s_seq.nextval,'admin','123456','2-2月-19','12-12月-12');

insert into sec_user values(s_seq.nextval,'xiaoliu','qw123456','2-2月-19','12-12月-12');

insert into sec_user values(s_seq.nextval,'xiazhang','we2133','2-2月-19','12-12月-12');

select * from sec_user;

编写ini配置文件:

dataSource=org.springframework.jdbc.datasource.DriverManagerDataSource

dataSource.driverClassName=oracle.jdbc.driver.OracleDriver

dataSource.url=jdbc:oracle:thin:@localhost:1521:XE

dataSource.username=*********

dataSource.password=******

jdbcRealm=org.apache.shiro.realm.jdbc.JdbcRealm

jdbcRealm.permissionsLookupEnabled= true

jdbcRealm.dataSource=$dataSource

jdbcRealm.authenticationQuery= SELECT password FROM sec_user WHERE user_name = ?

securityManager.realms=$jdbcRealm

依赖:

<dependencies>



	<dependency>
		<groupId>org.slf4j</groupId>
		<artifactId>jcl-over-slf4j</artifactId>
	</dependency>
	
	<dependency>
		<groupId>ch.qos.logback</groupId>
		<artifactId>logback-core</artifactId>
		<version>1.1.2</version>
	</dependency>
	
	<dependency>
			<groupId>org.apache.shiro</groupId>
			<artifactId>shiro-spring</artifactId>
			<version>1.4.0</version>
		</dependency>
		
		<dependency>
			<groupId>com.oracle</groupId>
			<artifactId>ojdbc6</artifactId>
			<version>11.2.0.3</version>
		</dependency>



		 <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-data-jpa</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>
 
       
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-test</artifactId>
            <scope>test</scope>
        </dependency>
	</dependencies>

最后是测试类:

public class TestShiroOracle {

	public static void main(String[] args) {

		System.out.println("请输入用户名:");

		@SuppressWarnings("resource")

		Scanner input = new Scanner(System.in);

		String username = input.next();

		System.out.println("请输入密码:");

		String userpwd = input.next();

		// 1.获取SecurityManager工厂,此处使用ini配置文件初始化SecurityManager
		//Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini");
		
		@SuppressWarnings("deprecation")
		Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini");
		 
        // 2.获取SecurityManager实例,并绑定到SecurityUtils

		SecurityManager sm = factory.getInstance();

		SecurityUtils.setSecurityManager(sm);

		// 3.得到Subject
		Subject subject = SecurityUtils.getSubject();

		// 4.创建用户登录凭证
		UsernamePasswordToken token = new UsernamePasswordToken(
				username, userpwd);
		// 5.登录,如果登录失败会抛出不同的异常,根据异常输出失败原因

		try {

			subject.login(token);

			// 6.判断是否成功登录

			System.out.println(subject.isAuthenticated());

			System.out.println("登录成功!!");

			// 7.注销用户

			subject.logout();

		} catch (IncorrectCredentialsException e) {

			System.out.println("登录密码错误. Password for account "

					+ token.getPrincipal() + " was incorrect.");

		} catch (ExcessiveAttemptsException e) {

			System.out.println("登录失败次数过多");

		} catch (LockedAccountException e) {

			System.out.println("帐号已被锁定. The account for username "

					+ token.getPrincipal() + " was locked.");

		} catch (DisabledAccountException e) {

			System.out.println("帐号已被禁用. The account for username "

					+ token.getPrincipal() + " was disabled.");

		} catch (ExpiredCredentialsException e) {

			System.out.println("帐号已过期. the account for username "

					+ token.getPrincipal() + " was expired.");

		} catch (UnknownAccountException e) {

			System.out.println("帐号不存在. There is no user with username of "

					+ token.getPrincipal());

		}

	}

}

根据以上操作就可以直接运行了。

热心市民小罗
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Shiro基础应用——角色和权限校验
qq_45337431的博客
10-10 2787
1.shiro的概述 2.相关依赖和配置文件 3.shiro工厂启动的初始化原理 4.整个的使用过程以及注意事项 5.自定义的标签的使用
权限验证框架Shiro使用详解
想作会飞的鱼的博客
06-08 6062
一、简介Shiro 是一个 Apache Incubator 项目,旨在简化身份验证和授权。是一个很不错的安全框架。 它能够干净利落地处理身份认证,授权,企业会话管理和加密。 以下是你可以用 Apache Shiro所做的事情: 验证用户 对用户执行访问控制,如: 判断用户是否拥有角色admin。 判断用户是否拥有访问的权限 在任何环境下使用 Session API。例如CS程序。 可以使
Shiro 授权(权限
我的博客----机械鱼人
01-09 1466
一、授权(权限) 1.1 什么是权限 授权,也叫访问控制,即在应用中控制谁能访问哪些资源(如访问页面/编辑数据/页面操作等)。 1.2 权限框架 shiro spring security Apache Shiro是Java的一个安全框架。目前,使用Apache Shiro的人越来越多,因为它相当简单, 对比Spring Security,可能没有Spring Security做的功能强大,但...
Shiro | 实现权限验证完整版
冯文议技术博客
10-22 7920
写在前面的话 提及权限,就会想到安全,是一个十分棘手的话题。这里只是作为学校Shiro的一个记录,而不是,权限就应该这样设计之类的。 Shiro框架 1、Shiro是基于Apache开源的强大灵活的开源安全框架。 2、Shiro提供了 认证,授权,企业会话管理、安全加密、缓存管理。 3、Shiro与Security对比 4、Shiro整体架构 5、特性 6、认证流程 认证 当我们理解Shi...
Shiro安全框架——【快速入门、登录拦截、用户认证
最新发布
2401_84281638的博客
04-28 736
Apache Shiro是一个Java的安全(权限)框架。Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以用在JavaEE环境。Shiro可以完成,认证,授权,加密,会话管理,Web集成,缓存等。shiro功能:Authentication:身份认证、登录,验证用户是不是拥有相应的身份;
vue与shiro结合实现权限按钮
12-15
Vue.js作为一个轻量级的前端框架,搭配Apache Shiro这样的安全管理框架,可以有效地实现前端的细粒度权限管理,如按钮级别的权限控制。本文将详细介绍如何在Vue项目中结合Shiro实现这一功能,以及所需的前置技术。 ...
springMVC+shiro实现动态权限验证.zip
07-13
springMVC+shiro实现动态权限验证实现动态设置用户角色,根据角色来决定哪些url可以访问 抱歉了各位需要修改下配置文件(org.eclipse.wst.common.component) <?xml version="1.0" encoding="UTF-8"?> ...
SpringBoot 集成 Shiro 实现动态uri权限
04-22
SpringBoot集成Shiro实现动态URI权限是一个常见的权限管理实践,主要目的是为了实现更灵活、更安全的用户访问控制。在Web应用中,权限控制通常包括角色管理、菜单管理、操作权限(URI)管理等,而动态URI权限则允许...
springboot整合shiro实现权限控制.zip
02-04
Shiro提供了一套简单易用的API,可以方便地实现用户的登录、权限分配和访问控制等功能。 整合Spring Boot和Shiro的过程主要包括以下几个步骤: 1. **添加依赖**:在Spring Boot的`pom.xml`文件中,我们需要引入...
SSM+Shiro实现权限角色控制
11-07
在SSM项目中,Shiro通常用来进行用户登录验证、角色分配以及对特定URL或操作的权限控制。 项目中包含的"Maven"是Java项目管理工具,它通过定义项目的依赖关系和构建过程,帮助开发者管理和构建项目。而"Tomcat"是一...
java的细粒度权限shiro权限校验 ssh
11-22
java的细粒度权限shiro权限校验 Spring + Struts + hibernate
使用Shiro实现权限验证
热门推荐
YanMonarch博客
01-17 10万+
使用Shiro实现权限验证》 1. Shiro入门 ApacheShiro是一个功能强大且易于使用的Java安全框架,提供了认证,授权,加密,和会话管理。 Shiro有三大核心组件: Subject:即当前用户,在权限管理的应用程序里往往需要知道谁能够操作什么,谁拥有操作该程序的权利,shiro中则需要通过Subject来提供基础的当前用户信息,Subject 不仅仅代表某个用户,与当前
Shiro学习笔记(3)——授权(Authorization)
君君的专栏
05-28 1万+
什么是授权 授权三要素 Shiro的三种授权方式 1 编码方式授权 2 基于注解的授权 3 JSP标签授权1.什么是授权授权,就是访问控制,控制某个用户在应用程序中是否有权限做某件事2.授权三要素 权限 请看Shiro学习笔记(1)——shiro入门中权限部分内容角色 通常代表一组行为或职责.这些行为演化为你在一个软件应用中能或者不能做的事情。角色通常是分配给用户帐户的,因此,通过分配,用户
Spring整合Shiro权限控制模块详细案例分析
chutiao4683的博客
05-02 204
1.引入Shiro的Maven依赖 <!-- Spring 整合Shiro需要的依赖 --> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>s...
springboot整合shiro实现权限控制
jiankang66的博客
05-24 4万+
Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码学和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。上个月写了一个在线教育的项目用到了shiro权限控制,这几天又复盘了一下,对其进行了深入探究,来总结一下。 下面所总结的有关shiro的代码已经传到我的github上,可以访问下面的......
Apache Shiro 是一个框架,可用于身份验证和授权
decision47的专栏
02-07 1040
身份验证:应用程序中,身份验证是通过用户名和密码的组合完成的 ,用户名和密码的 组合通常就足以确立身份 。 授权:一旦身份验证过程成功地建立起身份,授权 就会接管以便进行访问的限制或允 许。 有这样的可能性:用户虽然通过了身份验证可以登录到一个系统,但是未经过授权, 不 准做任何事情。 还有一种可能是用户虽然具有了某种程度的授权, 却并未经过身份验证。 在为应用程序规划安全性模型时,必
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值