Apache Shiro的起步和自定义Facroty以及自定义RolePermissionResolver

最新推荐文章于 2022-06-01 22:39:24 发布
最新推荐文章于 2022-06-01 22:39:24 发布
阅读量398 收藏 1
点赞数 1
分类专栏: Apache Shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45492007/article/details/101986790
版权

当前运行环境:eclipse 、shiro 1.4.1

1.配置依赖

<dependencies>
	<dependency>
		<groupId>junit</groupId>
		<artifactId>junit</artifactId>
		<version>4.9</version>
	</dependency>
	<dependency>
		<groupId>commons-logging</groupId>
		<artifactId>commons-logging</artifactId>
		<version>1.1.3</version>
	</dependency>
	<dependency>
		<groupId>org.apache.shiro</groupId>
		<artifactId>shiro-core</artifactId>
		<version>1.4.1</version>
	</dependency>
	<!-- https://mvnrepository.com/artifact/org.slf4j/slf4j-api -->
	<dependency>
		<groupId>org.slf4j</groupId>
		<artifactId>slf4j-api</artifactId>
		<version>2.0.0-alpha1</version>
	</dependency>
	<!-- https://mvnrepository.com/artifact/org.slf4j/slf4j-simple -->
	<dependency>
		<groupId>org.slf4j</groupId>
		<artifactId>slf4j-simple</artifactId>
		<version>2.0.0-alpha1</version>
	</dependency>

</dependencies>

当前的shiro依赖于slf4j,没有slf4j的话就会报错!

2.开始简单的demo(ini配置文件版)

创建shiroIniApp类


import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.util.Factory;
import org.junit.Assert;
import org.junit.Before;
import org.junit.Test;
import org.apache.shiro.mgt.SecurityManager;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;

public class ShiroIniApp 
{
    private Logger logger;
    private Factory<SecurityManager> factory;
    private SecurityManager securityManager;
    private Subject subject;
    private UsernamePasswordToken token;
    
    @Before
	public void init() {
    	logger = LoggerFactory.getLogger(ShiroIniApp.class);
    	//1、获取SecurityManager工厂,此处使用Ini配置文件初始化SecurityManager
    	 factory =initSecurityManagerFactory();
        //2、得到SecurityManager实例 并绑定给SecurityUtils   
    	securityManager = factory.getInstance();
        SecurityUtils.setSecurityManager(securityManager);
        //3、得到Subject及创建用户名/密码身份验证Token(即用户身份/凭证)
        subject = SecurityUtils.getSubject();
        token = new UsernamePasswordToken("zhangsan", "123456");
    }
    
    public Factory<SecurityManager> initSecurityManagerFactory() {
		 return new IniSecurityManagerFactory("classpath:shiro.ini");
    }
    
    @Test
    public void testDefaultDemo() {
        try {
            //4、登录,即身份验证
            subject.login(token);
            logger.info("身份验证成功!");
        } catch (AuthenticationException e) {
            //5、身份验证失败
        	 logger.info("身份验证失败!");
        }
        Assert.assertEquals(true, subject.isAuthenticated()); //断言用户已经登录
        
        //判断当前用户是否具有admin角色      
        boolean hasAdminRole = subject.hasRole("user");
        logger.info("是否具有user权限:"+hasAdminRole);
        if(hasAdminRole) {
        	boolean hasAllPermission = subject.isPermitted("update");
        	logger.info("是否拥有update权限:"+hasAllPermission);
        }
        //6、退出
        subject.logout();
    }

当前的shiro.ini文件的内容为:

[users]
zhangsan = 123456,user,guest
admin = 123456,admin

[roles]
admin = *
guest = select
user = select,update,add

3.测试当前配置文件版的shiro

[main] INFO org.apache.shiro.session.mgt.AbstractValidatingSessionManager - Enabling session validation scheduler...
[main] INFO com.hy.shiro.demo.ShiroIniApp - 身份验证成功!
[main] INFO com.hy.shiro.demo.ShiroIniApp - 是否具有user权限:true
[main] INFO com.hy.shiro.demo.ShiroIniApp - 是否拥有update权限:true

结果成功!

但是当前的类IniSecurityManagerFactory已经被废弃,下面定义管理工厂

4.创建自定义的Factory和RolePermissionResolver

1.通过查看源码发现当前的Facorty接口只有一个方法:getInstance()
所以决定自己实现这个接口

2.所以泛型的类型就是org.apache.shiro.mgt.SecurityManager这个类

3.查看org.apache.shiro.mgt.SecurityManager这个类的源码和结构树

在这里插入图片描述

4.发现只有一个类DefaultSecurityManager所以直接返回这个类即可

5.查看当前DefaultSecurityManager的构造函数发现需要一个或者多个Realm
再次查看Realm的机构树

在这里插入图片描述
6.查看结构树,我选择的是TextConfigurationRealm,而且这个类中有一个addAccount和setRolePermissionResolver方法

7.而RolePermissionResolver中的为接口,直接实现即可

8.通过RolePermissionResolver接口中的方法发现需要Permission,所以查看Permission结构树:

在这里插入图片描述
这里的Permission实现类就三个,从字面意思可看出AllPermission表示*(拥有所有权限),WildcardPermission(通配符权限),DomainPermission(域权限),这里可以直接使用WildcardPermission即可

通过debug发现解析ini文件生成的也是WildcardPermission这个类

以上的问题全部解决所以实现代码如下:


import java.util.Arrays;
import java.util.List;
import org.apache.shiro.mgt.DefaultSecurityManager;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.realm.Realm;
import org.apache.shiro.realm.text.TextConfigurationRealm;
import org.apache.shiro.util.Factory;

public class MyShiroFacroty implements Factory<org.apache.shiro.mgt.SecurityManager> {
	//创建全局的权限解析器
	MyRolePermissionResolver resolver=new MyRolePermissionResolver();
	//创建默认的校验管理器
	DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager();
	
	public SecurityManager getInstance() {
		//创建第一个用户:admin ,密码为123456 ,拥有角色为admin
		TextConfigurationRealm realm1=new TextConfigurationRealm();
		realm1.addAccount("admin", "123456","admin");
		realm1.setRolePermissionResolver(resolver);//设置角色权限解析器
		
		//创建第二个用户为zhangsan 密码为 123456 ,拥有角色:user、guest
		TextConfigurationRealm realm2=new TextConfigurationRealm();
		realm2.addAccount("zhangsan", "123456","user","guest");
		realm2.setRolePermissionResolver(resolver);//设置角色权限解析器
		
		Realm[] realms= {realm1,realm2};
		List<Realm> asList = Arrays.asList(realms);
		defaultSecurityManager.setRealms(asList);//向校验管理器中设置当前的用户
		return defaultSecurityManager;
	}

}

当前的权限解析类如下:

import java.util.Arrays;
import java.util.Collection;
import org.apache.shiro.authz.Permission;
import org.apache.shiro.authz.permission.AllPermission;
import org.apache.shiro.authz.permission.RolePermissionResolver;
import org.apache.shiro.authz.permission.WildcardPermission;
/**
 * @description 自定义角色权限解析器
 * @author hy
 * @date 2019-10-03
 */
public class MyRolePermissionResolver implements RolePermissionResolver {
	//实现通过角色解析权限的过程
	public Collection<Permission> resolvePermissionsInRole(String roleString) {
		Permission[] permissions= null;
		if("admin".equalsIgnoreCase(roleString)) {
			//AllPermission表示具有所有的权限
			permissions=new Permission[]{new AllPermission()};
		}else if("user".equalsIgnoreCase(roleString)) {
			//通过查看发现应该创建wildCardPermission这个类的实例,并向parts中添加权限
			permissions=new Permission[]{
					new WildcardPermission("select,update,add")
			};
			//通过查看源码发现当前的WildcardPermission中的有参构造函数中向其中添加的字符会转换成parts字符集合
		}else if("guest".equalsIgnoreCase(roleString)) {
			permissions=new Permission[]{
					new WildcardPermission("select")
			};
		}
		return Arrays.asList(permissions);
	}

}

5.测试自定义Facroty以及自定义RolePermissionResolver

直接将其中的initFactory方法换成

 
   public Factory<SecurityManager> initSecurityManagerFactory() {
	/* return new IniSecurityManagerFactory("classpath:shiro.ini"); */
	 return new MyShiroFacroty(); 
   }

结果:

[main] INFO org.apache.shiro.session.mgt.AbstractValidatingSessionManager - Enabling session validation scheduler...
[main] INFO com.hy.shiro.demo.ShiroIniApp - 身份验证成功!
[main] INFO com.hy.shiro.demo.ShiroIniApp - 是否具有user权限:true
[main] INFO com.hy.shiro.demo.ShiroIniApp - 是否拥有update权限:true

与上面完全一致!

6.总结

1.使用配置文件编写shiro.ini的时候需要

  1. 在[users]下使用用户名=密码,角色1,角色2...
  2. 在[roles]下使用角色1=权限1,权限2...

2.在自定义的Factory中需要

  1. 使用默认的校验管理器(DefaultSecurityManager)TextConfigurationRealm来创建用户名、密码和权限
  2. 需要使用WildcardPermission来创建Permission(权限)

3.当前的shiro通过SecurityManager来管理校验通过Subject来进行每一次操作,通过创建token来管理用户登录的用户名和密码

4.通过使用发现当前的Shiro框架相对于Spring Security来说,继承层次比较简单,对象关系简单,容易上手!

以上纯属个人见解,如有问题请联系本人!

编程写手
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Apache shiro 1.13.0源码
01-17
Apache Shiro 是一个强大且易用的Java安全框架,提供了认证、授权、加密和会话管理功能,简化了企业级应用的安全实现。Shiro 1.13.0 是其一个重要的版本,包含了多项更新和改进。在这个版本中,开发者可以深入理解其...
Shiro的permission管理,用户的认证和授权
超人的博客
08-16 3574
以下是步骤: 1.web.xml中配置:<display-name>shirodemo</display-name> <welcome-file-list> <welcome-file>index.jsp</welcome-file> </welcome-file-list> <context-param> <param-name>contex
权限认证
sinat_39291367的博客
07-06 221
ShiroUtil.java public class ShiroUtil { public static Subject login(String configFile,String userName,String password){ // 读取配置文件,初始化SecurityManager工厂 Factory factory=new IniSecurityManagerFact
springboot实现权限管理(shiro
qq_44156131的博客
12-13 938
总结一下学习springboot权限管理的经验 1、创建数据库 5张表 user表:用户表 role表:角色表 permission表:功能表 role_permission:角色功能表(外键关联) user_role:角色用户表(外键关联) /* Navicat MySQL Data Transfer Source Server : 10.2.10.201111 Source ...
第三章 授权——《跟我学Shiro
jinnianshilongnian的专栏
02-21 713
  目录贴: 跟我学Shiro目录贴   授权,也叫访问控制,即在应用中控制谁能访问哪些资源(如访问页面/编辑数据/页面操作等)。在授权中需了解的几个关键对象:主体(Subject)、资源(Resource)、权限(Permission)、角色(Role)。 主体 主体,即访问应用的用户,在Shiro中使用Subject代表该用户。用户只有授权后才允许访问相应的资源。 资源 在应...
shiro授权
汪小哥
12-21 854
授权即访问控制,它将判断用户在应用程序中对资源是否拥有相应的访问权限。 判断一个用户是否有编辑的权限,有查看的权限 权限 权限是Apache Shiro安全机制最核心的元素。它在应用程序中明确声明了被允许的行为和表现。一个格式良好好的权限声明可以清晰表达出用户对该资源拥有的权限。 大多数的资源会支持典型的CRUD操作(create,read,update,delete),但是任何操作建立在特
Apache Shiro教程
12-30
通过这个Apache Shiro教程,你可以学习到如何构建安全的Java应用,了解Shiro的配置和用法,以及如何在实际项目中实施身份验证、授权、会话管理和加密策略。无论你是初学者还是经验丰富的开发者,Shiro都是一个值得...
Spring Security 和Apache Shiro你需要具备哪些条件
08-18
Spring Security 和 Apache Shiro 都是java web 领域中非常优秀的安全框架,但是它们有所不同。学习这两种框架需要具备一些条件,包括了解认证和鉴权的概念、过滤器链的使用、RBAC 模型、OAuth2.0 等安全协议等。 ...
Apache shiro1.10.0依赖
最新发布
10-25
Apache Shiro 是一个强大且易用的Java安全框架,提供了认证、授权、加密和会话管理功能,可以非常轻松地开发出足够安全的应用。Shiro 1.10.0 版本是该框架的一个稳定版本,包含了自上个版本以来的一些改进和新特性。...
shiro-site:Apache Shiro网站
04-28
Apache Shiro网站概述Apache Shiro网站是静态内容网站,可以从访问。 网站内容被创作为Markdown和HTML文件。 这些文件由工具扫描,该工具根据需要将页面模板应用于每个文件的内容,并将呈现的静态.html文件输出到...
权限解决方案:Shiro定义Permission、AOP + Shiro
qq_45716444的博客
06-01 2676
权限解决方案 Shiro定义Permission Shiro授权扩展 Shiro AuthorizerRealm重写isPermitted AOP + Shiro AOP 加 Shiro
Shrio授权验证详解
dengjuyan2649的博客
08-27 249
所谓授权,就是控制你是否能访问某个资源,比如说,你可以方位page文件夹下的jsp页面,但是不可以访问page文件夹下的admin文件夹下的jsp页面。 在授权中,有三个核心元素:权限,角色,用户。 每个用户可以有多个角色,每个角色也可以有多个权限。 权限:代表了可以执行的行为,例如对表的读写之类的。 角色:代表了一组权限 用户:代表了一个subject,可以为用户赋予角色,或...
Shiro 作为应用的权限基础
五谷杂粮
08-29 190
简介: Shiro 是 Java 世界中新近出现的权限框架,较之 JAAS 和 Spring Security,Shiro 在保持强大功能的同时,还在简单性和灵活性方面拥有巨大优势。本文介绍了 Shiro 的关键概念和权限模型,同时给出了 Shiro 以及 Grails Shiro Plugin 的使用示例。在阅读本文的过程中,读者可以充分的体会到 Shiro 的魅力。 &lt;!-- &lt...
狂神说笔记——SpringBoot操作数据库22-3
杨丙寅
02-07 1516
SpringBoot操作数据库(3)
Spring Shiro基础组件 PermissionResolver
我家有猫已长成的博客
02-03 271
Spring Shiro基础组件 PermissionResolver 简介。
一头扎进Shiro 笔记 实现role permission验证
ruguxinyue的博客
06-05 1431
maven配置:添加shiro相关的包,以及jdbc相关的包,junit包&lt;dependency&gt; &lt;groupId&gt;junit&lt;/groupId&gt; &lt;artifactId&gt;junit&lt;/artifactId&gt; &lt;version&gt;4.12&lt;/version&gt; &lt;/dependency&g
shiro安全框架入门
简书的专栏
02-22 1597
https://github.com/caojx-git/learn/blob/master/notes/shiro/shiro%E5%AE%89%E5%85%A8%E6%A1%86%E6%9E%B6%E5%85%A5%E9%97%A8.md
Shiro的标签说明
Orange_NanLu的博客
04-08 402
原文地址:https://www.cnblogs.com/fancongcong/p/8093258.html-----------------标签-------------------------------&lt;shiro:guest&gt; 游客访问 &lt;a href = "login.jsp"&gt;&lt;/a&gt; &lt;/shiro:guest&gt; user...
shiro学习(13):springMVC结合shiro完成认证
歌谣的博客
12-01 207
工具idea 先看看数据库 shiro_role_permission 数据 shiro_user shiro_user_role 数据 在pom.xml里面添加 <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4....
Java安全框架Apache Shiro基础教程
Apache Shiro 是一款Java安全框架,它为开发者提供了一种简单易用的方式来处理认证、授权、会话管理和加密等安全相关的问题。相比Spring Security,Apache Shiro更注重于易用性,适合那些不需要过于复杂安全功能的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值