shiro(授权)

最新推荐文章于 2022-12-24 09:27:36 发布
最新推荐文章于 2022-12-24 09:27:36 发布
阅读量698 收藏 1
点赞数
分类专栏: shiro 文章标签: java shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_50020236/article/details/125718897
版权

shiro 授权

1、 shiro中的授权
1.1、 授权

​ 授权,即访问控制,控制谁能访问哪些资源。主体进行身份认证后需要分配权限方可访问系统的资源,对于某些资源没有权限是无法访问的。

1.2、 关键对象

授权可简单理解为who 对 what 进行 how操作:

who: 即主体(Subject),主体需要访问资源系统中的资源。

what:即资源(Resource),如菜单、页面、按钮、类方法、系统商品信息等。资源包括资源类型资源实列,比如商品信息为资源类,类型为s01的商品为资源实列,编号为9527的商品也属于资源实列。

how , 权限/许可(Permission),规定了主体对资源的操作许可,权限离开资源没有意义,如用户查询权限、用户添加权限、某个类方法的调用权限,编号为9527 用户的修改权限等,通过权限可知主体对哪些资源都有哪些操作许可。

1.3、 授权流程

在这里插入图片描述

1.4、 授权方式

基于角色的访问控制

RBAC基于角色的访问控制 (Role-Based-Access-Control) 是以角色为中心进行访问控制

if(subject.hasRole("admin")){
    //操作什么资源
}

​ 基于资源的访问控制

​ RBAC基于资源的访问控制(Resource-Based-Access-Control) 是以资源为中心进行访问控制

if(subject.isPermission("user:create:*")){      //资源类型
    //对所有用户具有创建权限
}
if(subject.isPermission("user:create:9527")){   //资源类型
    //对9527用户具有创建权限
}
1.5、 权限字符串

​ 权限字符串的规则是:资源标识符:操作:资源实列标识符 ,意思是对哪个资源是哪个实例具有什么操作,“:”是资源/操作/实例的分隔符,权限字符串也可以使用*通配符。

​ 例子

​ 用户创建权限 : user:create,或 user:create:*

​ 用户修改001权限 : user:create,或 user:update:001

​ 用户实例001的所有权限 :user:*:001

1.6、 shiro 中授权编程的实现方式
  1. 编程式
Subject subject = SecurityUtils.getSubject();
if(subject.hasRole("admin")){
    //有权限
}else{
    //无权限
}
  1. 注解式
@RequiresRoles("admin")
public void hello(){
    //有权限
}
  1. 标签式
JSP/GSP 标签:在JSP/GSP  页面通过相应的标签完成:
<shiro:hasRole name="admin">
<!- 有权限->
</shiro:hasRole>
注意:thymeleaf 中使用shiro需要额外集成!
1.7、 开发授权
  1. 自定义realm
package com.tzm.shiro.realm;

import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.util.ByteSource;

/***
 * 使用自定义realm
 */
public class CustomerMD5Realm extends AuthorizingRealm {
    //授权
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        System.out.println("===================");
        String  primaryPrincipal = (String) principals.getPrimaryPrincipal();
        System.out.println("身份信息:"+primaryPrincipal);
        //根据身份信息 用户名 获取当前用户的角色信息,以及权限信息 baobe  admin user
        SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
        simpleAuthorizationInfo.addRole("user");
        //将数据库中查询角色信息赋值给权限对象
        simpleAuthorizationInfo.addRole("admin");

        simpleAuthorizationInfo.addStringPermission("user:*:01");
        simpleAuthorizationInfo.addStringPermission("product:create:*");
        return  simpleAuthorizationInfo;
    }

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        //获取用户信息
        String principal = (String) token.getPrincipal();
        //根据用户名查数据库
        if ("baobe".equals(principal)) {
            // 参数1: 数据库用户名
            //2:数据库md5+salt 之后的密码
            //3:注册时的随机数
            //4:realm 的名字
            return new SimpleAuthenticationInfo(principal,
                    "e343805db85797f023cdfd9ee31e4944",
                    ByteSource.Util.bytes("Xo**78ps"),
                    getName());
        }

        return null;
    }
}
  1. 使用自定义的ream
package com.tzm.shiro;
import com.tzm.shiro.realm.CustomerMD5Realm;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.IncorrectCredentialsException;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.authc.credential.HashedCredentialsMatcher;
import org.apache.shiro.mgt.DefaultSecurityManager;
import org.apache.shiro.subject.Subject;
import java.util.Arrays;

public class TestCustomerMD5RealmAuthenticator {
    public static void main(String[] args) {
        //创建安全管理器
        DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager();
        CustomerMD5Realm realm = new CustomerMD5Realm();
        //设置realm 使用hash 凭证匹配器
        HashedCredentialsMatcher credentialsMatcher = new HashedCredentialsMatcher();
        //使用算法md5
        credentialsMatcher.setHashAlgorithmName("md5");
        //散列次数
        credentialsMatcher.setHashIterations(1024);
        realm.setCredentialsMatcher(credentialsMatcher);
        //注入realm
        defaultSecurityManager.setRealm(realm);
        //将安全管理器注入安全
        SecurityUtils.setSecurityManager(defaultSecurityManager);
        //通过工具类获取主体
        Subject subject = SecurityUtils.getSubject();
        //获取token
        UsernamePasswordToken token = new UsernamePasswordToken("baobe", "123456");

        try {
            //登录
            subject.login(token);
            System.out.println("登录成功");
        } catch (UnknownAccountException e) {
            e.printStackTrace();
            System.out.println("用户名错误");
        } catch (IncorrectCredentialsException e) {
            e.printStackTrace();
            System.out.println("密码有误");
        }
        //授权
        if (subject.isAuthenticated()){
            //基于角色权限控制
            System.out.println("subject.hasRole(\"admin\") = " + subject.hasRole("super"));
            //基于多角色权限控制
            System.out.println("subject.hasAllRoles(Arrays.asList(\"admin\",\"user\")) = " + subject.hasAllRoles(Arrays.asList("admin", "user")));

            //是否具有其中一个角色
            boolean[] booleans = subject.hasRoles(Arrays.asList("admin", "user", "super"));
            for (boolean aBoolean : booleans) {
                System.out.println(aBoolean);
            }
            System.out.println("==============================");
            System.out.println("权限 " + subject.isPermitted("user:*:01"));
            System.out.println("权限 " + subject.isPermitted("product:create:01"));

            //分别具有哪些属性
            boolean[] permitted = subject.isPermitted("user:*:01", "order:*:01");
            for (boolean b : permitted) {
                System.out.println("  "+b);
            }
            //同时具有哪些权限
            boolean permittedAll = subject.isPermittedAll("user:*:01", "product:create:1");
            for (boolean b : permitted) {
                System.out.println("  "+b);
            }
        }
    }
}
.诗酒趁年华
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
shiro 权限认证以及授权demo
09-10
shiro 权限认证以及授权demo
Shiro实现授权
史天航的博客
12-10 7138
shiro实现授权 授权,也叫做访问控制,即在应用中控制谁能访问哪些资源(如访问页面、编辑数据、页面操作等)。在授权中需要了解几个关键对象:主体(Subject)、资源(Resource)、权限(Permission)、角色(Role)。 授权的概念 主体: 主体,即访问应用的用户,在Shiro中使用Subject代表用户。用户只有授权后才允许访问相应的资源。 资源: 在应用中用户可以...
shiro 授权和注解开发
LIN_17970的博客
10-15 329
shiro 授权和注解开发shiro授权shiro注解式开发 数据库的表设计: shiro授权ShiroUserMapper.xml中新增内容 <!-- 这是根据用户id获取到所拥有的角色集合--> <select id="getRolesByUserId" resultType="java.lang.String" parameterType="java.lang....
SimpleAuthenticationInfo的参数
dxyzhbb的博客
01-09 2628
SimpleAuthenticationInfo的参数 仅供个人参考,以及学习记录。 SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo( userInfo, //用户名–此处传的是用户对象 userInfo.getPassword(), //密码—从数据库中获取的密码 salt, getName()...
shiro授权
A2895922320的博客
12-25 1925
所需的大概表设计: 一:shiro授权角色、权限 二:Shiro的注解式开发
shiro授权.pdf
08-13
shiro 授权 #资源达人分享计划 # 技术文档
shiro授权类图关系简化版
04-13
shiro授权类图关系简化版
shiro授权的实现原理
08-29
主要介绍了shiro授权的实现原理,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
SpringBoot Shiro授权实现过程解析
08-25
主要介绍了SpringBoot Shiro授权实现过程解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Shiro授权
m0_60385807的博客
12-25 2267
一、shiro授权角色、权限 思路: 给用户授予角色 给用户授予权限 做法: 1、拿到账号 2、通过用户账号查询对应的能够看到的那些菜单 3、将这些权限交给shiro管理 授予角色做法: 1、拿到账号 2、通过用户账号查询对应的能够看到的那些角色 3、将这些权限交给shiro管理 mapper.xml Mapper.java Service.java Mapper.xml <!--添加通过账号查询用户信息--> <select id="queryByName" resul
shiro 授权(Authorization)
weixin_44659712的博客
09-18 191
术语简介 1、授权 授权,也叫访问控制,即在应用中控制谁能访问哪些资源。在授权中需了解的几个关键对象:主体(Subject)、资源(Resource)、权限(Permission)、角色(Role) 2、主体 主体,即访问应用的用户,在shiro中使用shiro中使用subject代表该用户,用户只有授权后才允许访问相应的资源。 3,资源 在应用中用户可以访问的任何东西,比如访问jsp页面、查看/编辑某些数据、访问某个业务方法,打印文件等都是资源,用户只有授权后才能访问。 4、资源 安全策略中
shiro 授权
dream_heheda的博客
09-27 482
授权的三要素: 用户,角色,权限把权限 赋给角色, 把角色和一个多个用户相关联授权: 匹配过程Shiro的三种授权方式 编写代码—— 在java代码中 使用ifelse块 执行授权检查 JDK 的注解—— 添加授权注解给java方法 JSP/GSP 标签库 —— 控制基于角色和权限的jsp页面输出
Shiro授权(Authorization)
qq_45136677的博客
09-19 185
授权 授权,也叫访问控制,既在应用中控制谁能访问哪些资源(如访问页面/编辑数据/页面操作等).在授权中需了解几个关键对象:主体(Subject),资源(Resource),权限(Permission).角色(Role). 主体 主体,既访问应用的用户,在Shiro中使用Subject代表该用户.用户只有授权后才允许访问相应的资源. 资源 在应用中用户可以访问的任何东西,比如访问JSP页面,查看/编辑某些数据,访问某个业务方法,打印文本等等都是资源.有货只有授权以后才能访问. 权限 安全策略中的原子授权单位,
Shiro授权
qq_57907966的博客
12-24 1204
在controller层创建接口使用shiro中的注解@RequiresRoles指定能访问的角色名称在自定义的MyRealm自定义授权方法其中的service层dao层数据库表role角色表角色用户关系表。
Shiro学习笔记(四):Shiro中的授权
weixin_47382783的博客
12-12 2537
一、授权介绍 1、授权 授权:即访问控制,控制谁能够访问哪些资源。主体进行身份认证后需要分配权限方可访问系统的资源,对于没有授权的资源则是无法访问的。 对于授权可以理解为谁对哪些资源进行什么操作,授权中的关键对象如下: 主体:主体需要访问系统中的资源 资源:如系统菜单、页面、按钮、类方法、系统商品信息等。资源包括资源类型和资源实例,比如商品信息为资源类型,类型为g01的商品则称为资源实例,订单编号为o01的订单也为资源实例。 权限/许可:规定了主体...
shiro怎么实现授权
最新发布
05-05
Shiro实现授权主要包括以下几个步骤: 1. 定义角色和权限:在Shiro中,角色和权限是通过字符串来定义的。可以使用Shiro提供的Configuration API来定义角色和权限,也可以使用注解来定义。 2. 认证用户身份:在进行...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

.诗酒趁年华

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值