基本了解Shiro授权(Authorization)

最新推荐文章于 2021-12-25 21:25:43 发布
最新推荐文章于 2021-12-25 21:25:43 发布
阅读量161 收藏
点赞数
分类专栏: Spring 文章标签: shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45697632/article/details/108677846
版权

授权介绍

授权关键对象

  • 主体(Subject)
  • 资源(Resource)
  • 权限(Permission)
  • 角色(Role)

快速上手

  1. 配置shiro.ini
#对用户信息进行配置
[users]
#用户账号和密码
#配置规则:用户账号=密码,角色1,角色2
zhangsan=123456,管理员
xiaobei=123456,客户经理
qingjing=123456,总经理

#对权限信息进行配置,基于角色配置
[roles]
#角色和权限
#配置规则:角色=权限1,权限2,权限字符串可使用通配符配置
#管理员能够对用户和角色进行所有操作
管理员=user:*,role:*
#客户经理支队用户进行列表和详情的查看操作
客户经理=user:list,user:view

授权测试

@Test
    public void testShiro() {
        //1.创建Realm(安全数据源)
        //通过shiro.ini配置文件创建Realm
        IniRealm realm = new IniRealm("classpath:shiro.ini");
        //2.配置SecurityManager
        DefaultSecurityManager securityManager = new DefaultSecurityManager();

        //注入创建的Realm(安全数据源)
        securityManager.setRealm(realm);
        SecurityUtils.setSecurityManager(securityManager);
        //3.操作subject,进行认证
        Subject subject = SecurityUtils.getSubject();
        //封装一个令牌
//        UsernamePasswordToken token = new UsernamePasswordToken("admin","123456");
        UsernamePasswordToken token = new UsernamePasswordToken("zhangsan", "123456");
        try {
            subject.login(token);//登录,即认证
        } catch (AuthenticationException e) {
            log.info("认证异常!");
            e.printStackTrace();
        }
        log.info("是否认证通过:" + subject.isAuthenticated());
        log.info("身份信息:" + subject.getPrincipal());
        //判断是否为某角色
        log.info("是否为管理员角色:" + subject.hasRole("客户经理"));
        //判断是否拥有某权限,也可以使用check方法判断是否拥有某权限,单失败的情况下会抛出UnauthorizedException异常
        log.info("是否能操作用户查看功能:" + subject.isPermitted("user:view"));
        subject.checkPermission("user:view");
}

测试过后的效果:
在这里插入图片描述

授权流程

在这里插入图片描述

  1. 首先调用Subject.isPermitted*/hasRole*接口,其会委托给SecurityManager,而SecurityManager接着会委托给Authorizer
  2. Authorizer是真正的授权者,如果我们都爱用如isPermitted(“user:view”),其首先会通过PermissionResolver把字符串转换成相应的Permisson实例
  3. 在进行授权之前,其会调用相应的Realm获取Subject相应的角色/权限用于匹配传入的角色/权限
  4. Authorizer会判断Realm的角色/权限是否和传入的匹配,如果有多个Realm,会委托给ModeularRealmAuthoriizer进行循环判断,isPermitted*/hasRole*如果匹配会返回true,否则返回false表示授权失败
粒桃黑马
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Apache Shiro 使用手册(三) Shiro授权
09-15
Apache Shiro 是一款强大的安全管理框架,它提供了身份验证(Authentication)、授权Authorization)和会话管理(Session Management)等功能。本篇文章将详细讲解 Shiro授权机制,即如何控制用户在应用程序中...
Shiro】Apache Shiro架构之权限认证(Authorization
武哥聊编程
07-03 1万+
上一篇博文总结了一下Shiro中的身份认证,本文主要来总结一下Shiro中的权限认证(Authorization)功能,即授权。如下: 本文参考自Apache Shiro的官方文档:http://shiro.apache.org/authorization.html。 本文遵循以下流程:先介绍Shiro中的权限认证,再通过一个简单的实例来具体说明一下API的使用(基于maven)。 1
Shiro授权Authorization
qq_49670207的博客
09-19 581
Shiro授权Authorization)术语简介授权主体资源权限 术语简介 授权 授权,也叫访问控制,即在应用中控制谁能访问哪些资源(如访问页面/编辑数据/页面操作等)。在授权中需了解的几个关键对象:主体(Subject)、资源(Resource)、权限(Permission)、角色(Role)。 主体 主体,即访问应用的用户,在Shiro中使用Subject代表该用户,用户只有授权后才允许访问相应的资源。 资源 在应用中用户可以访问的任何东西,比如访问JSP页面、查看/编辑某些数据、访问某个业务方法、
Shiro学习笔记(3)——授权Authorization
君君的专栏
05-28 1万+
什么是授权 授权三要素 Shiro的三种授权方式 1 编码方式授权 2 基于注解的授权 3 JSP标签授权1.什么是授权授权,就是访问控制,控制某个用户在应用程序中是否有权限做某件事2.授权三要素 权限 请看Shiro学习笔记(1)——shiro入门中权限部分内容角色 通常代表一组行为或职责.这些行为演化为你在一个软件应用中能或者不能做的事情。角色通常是分配给用户帐户的,因此,通过分配,用户
shiro 授权(Authorization)
weixin_44659712的博客
09-18 200
术语简介 1、授权 授权,也叫访问控制,即在应用中控制谁能访问哪些资源。在授权中需了解的几个关键对象:主体(Subject)、资源(Resource)、权限(Permission)、角色(Role) 2、主体 主体,即访问应用的用户,在shiro中使用shiro中使用subject代表该用户,用户只有授权后才允许访问相应的资源。 3,资源 在应用中用户可以访问的任何东西,比如访问jsp页面、查看/编辑某些数据、访问某个业务方法,打印文件等都是资源,用户只有授权后才能访问。 4、资源 安全策略中
SpringBoot整合Shiro实现用户登录认证和权限鉴定
Mistra的博客
01-22 4832
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Ma...
shiro认证及授权demo
10-28
通过这个Demo,你可以了解Shiro基本工作流程,并学会如何将其应用到实际项目中。博客文章`https://blog.csdn.net/fancheng614/article/details/83477345`可能提供了更详细的步骤和代码示例,对于深入理解Shiro的...
Shiro登录授权认证功能
09-26
Apache Shiro 是一个强大且易用的 Java 安全框架,它提供了身份验证(Authentication)、授权Authorization)和会话管理(Session Management)等功能,简化了应用安全的开发。在这个项目中,我们主要关注的是...
Shiro实现登录授权功能
09-26
2. **授权Authorization)**:授权是指确定已认证的用户是否有权限执行某个操作。Shiro 提供了角色(Role)和权限(Permission)的概念,用户可以被分配到多个角色,每个角色拥有若干权限。你可以设置基于角色的...
shiro权限认证和授权
02-26
### 二、Shiro授权 **2. 权限授权Authorization)** 授权是指确定用户是否有权限执行特定操作。Shiro提供多种授权方式,包括基于角色的访问控制(RBAC)和基于权限的访问控制(PBAC)。 - **角色(Role)**:...
shiro讲解 之 Authorization (一)
Dusty丶one的博客
10-30 565
shiro讲解之 多Realm 之 Authorization(一)本节我们将学习一下 ShiroAuthorization(授权)。 官方文档The Authorizer is the component responsible determining users’ access control in the application. It is the mechanism that ult
authorization权限控制_shiro入门学习--授权Authorization)|筑基初期
weixin_30356603的博客
01-31 569
写在前面经过前面的学习,我们了解shiro中的认证流程,并且学会了如何通过自定义Realm实现应用程序的用户认证。在这篇文章当中,我们将学习shiro中的授权流程。授权概述这里的授权指的是授予某一系统的某一用户访问受保护资源的权限,分为查询、修改、插入和删除几类。没有相关权限的用户将无法访问受保护资源,具有权限的用户只能在自己权限范围内操作受保护资源。关键对象主体(Subject)即指定的某一用...
shiro实战系列(六)之Authorization(授权)
weixin_34290096的博客
06-10 337
授权,又称作为访问控制,是对资源的访问管理的过程。换句话说,控制谁有权限在应用程序中做什么。 授权检查的例子是:该用户是否被允许访问这个网页,编辑此数据,查看此按钮,或打印到这台打印机?这些都是 决定哪些是用户能够访问的。 授权的要素: Apache Shiro 中的权限代表着安全政策中最基础的元素。它们从根本上作出了对行为的声明,并明...
Shiro之前后端分离时获取请求头Authorization中的token
热门推荐
china_hdy的博客
04-26 2万+
重写DefaultWebSessionManager(org.apache.shiro.web.session.mgt.DefaultWebSessionManager)类中的getSessionId方法,代码如下:public class CustomDefaultWebSessionManager extends DefaultWebSessionManager  { /**  * 获取se...
Shiro笔记(五)----授权(Authorization)
fendo
07-16 3133
1.什么是授权 授权,就是访问控制,控制某个用户在应用程序中是否有权限做某件事 2.授权检查的例子 用户是否能访问某个网页,编辑数据,或打使用这台打印机 3.角色与权限关联 需要在应用程序中对用户和权限建立关联:通常的做法是将权限分配给角色,然后将角色分配给一个或多个用户。 4.授权三要素 4.1、权限       权
从零到实现ShiroAuthorization和Authentication的缓存
weixin_30770495的博客
04-17 112
本文大纲 一、简介 二、缓存的概念 三、自定义实现缓存机制 四、什么是Ehcache 五、Ehcache怎么用 六、Spring对缓存的支持 七、Spring+Ehcache实现 八、Spring+Shiro+Ehcache实现 九、总结 一、简介 在项目中,用到Shiro来做验证授权的控制。但在实际使用的时候,发现用户每访问一个功能,都会重新到User...
shiro讲解 之 Authentication-Authorization小结
Dusty丶one的博客
11-07 401
shiro讲解 之 Authentication-Authorization小结本节中我们将总结一下在我们的实际项目中 Shiro 的Authentication 和 Authorization该怎样去设计。在实际的项目需求中角色的判定和赋予,权限的判定与赋予应该都是模式化的。在设计环节我们只需要关注Subject-Role-Permission-Resource 之间的关系即可,在使用环节我们只要
shiro之前后端分离(基于jwt的token安全认证)
weixin_45390688的博客
12-25 6009
前后端分离项目与传统的一体式项目有所不同,用户安全验证的方式不太一样,前后端分离项目不能像一体式项目那样使用session验证,所以一般使用token验证。废话不多说,直接上代码。 主要代码: 一、JwtUtil Jwt即java web token,是比较成熟的token方案,JwtUtil里面有生成token的方法、校验token是否有效是否过期的方法、以及通过token获取解析值的方法,这里我们可以设置token的有效时间。 @Component public class JwtUtil {
OAuth2集成Shiro
笨鸟快飞的专栏
08-21 7259
目前很多开放平台如新浪微博开放平台都在使用提供开放API接口供开发者使用,随之带来了第三方应用要到开放平台进行授权的问题,OAuth就是干这个的,OAuth2是OAuth协议的下一个版本,相比OAuth1,OAuth2整个授权流程更简单安全了,但不兼容OAuth1,具体可以到OAuth2官网http://oauth.net/2/查看,OAuth2协议规范可以参考http://tools.ietf.
Apache Shiro入门:身份验证与授权教程
"这篇文档是关于Apache Shiro的入门学习,涵盖了Shiro基本概念、功能以及核心组件。" Apache Shiro是一个广泛使用的安全框架,它提供了用户认证、授权、会话管理和加密等功能,使得开发者能方便地实现应用程序的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值