Shiro 授权(Authorization)

于 2020-09-19 10:31:32 发布
阅读量538 收藏
点赞数
分类专栏: 笔记 文章标签: shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_50252185/article/details/108651859
版权

Shiro 授权(Authorization)

简介

授权

授权,也叫访问控制,她可以控制谁能访问哪些资源(如访问页面/编辑数据/页面操作等)。
授权的几个关键对象:

  1. 主体(Subject)
  2. 资源(Resource)
  3. 资源(Permission)
  4. 角色(R)

主体

主体,即访问应用的用户,在Shiro 中使用Subject 代表该用户。用户只有授权后才允许访问相应的资源。

资源

在应用中用户可以访问的任何东西,比如访问JSP页面、查看/编辑某些数据、访问某个业务方法、打印文本等等都是资源。用户只有授权后才能访问。

资源

安全策略中的原子授权单位,通过权限我们可以表示在应用中用户有没有操作某个资源的权力。即权限表示在应用中用户能不能访问某个资源,如:访问用户列表页面、查看/新增/修改/删除用户数据(即很多时候都是CRUD (增查改删)式权限控制)、打印文档等等。
如上可以看出,权限代表了用户有没有操作某个资源的权力,即反映在某个资源上的操作允不允许,不反映谁去执行这个操作。所以后续还需要把权限赋予给用户,即定义哪个用户允许在某个资源上做什么操作(权限),Shiro 不会去做这件事情,而是由实现人员提供。
Shiro支持粗粒度权限(如用户模块的所有权限)和细粒度权限(操作某个用户的权限,即实例级别的)。

角色

角色代表了操作集合,可以理解为权限的集合,-般情况下我们会赋予用户角色而不是权限,即这样用户可以拥有一组权限,赋予权限时比较方便。典型的如:项目经理、技术总监、CTO、开发工程师等都是角色,不同的角色拥有-组不同的权限。

授权(Authorization)

快速上手

在resources下配置shiro.ini

[users]
#配置规则:用户账号=密码,角色1,角色2
admin=123456,管理员
czkt=111111,客户经理

[roles]
#配置规则:角色=权限1,权限2
管理员=user:*,role:*
客户经理=user:list,user:view

授权测试

@Test
    public void testShiro(){
        IniRealm realm=new IniRealm("classpath:shiro.ini");
        DefaultSecurityManager securityManger=new DefaultSecurityManager();

        securityManger.setRealm(realm);
        SecurityUtils.setSecurityManager(securityManger);
        Subject subject=SecurityUtils.getSubject();
        UsernamePasswordToken token=new UsernamePasswordToken("admin","123456");
        subject.login(token);
        System.out.println("是否通过认证:"+subject.isAuthenticated());
        System.out.println("是否为管理员角色:"+subject.hasRole("管理员"));
        System.out.println("是否能操作用户查看功能:"+subject.isPermitted("user:view"));
        subject.checkPermission("user:view");
    }

运行效果:
在这里插入图片描述

授权流程

在这里插入图片描述

  1. 首先调用Subject.isPermitted*/hasRole*接口,其会委托给SecurityManager,而SecurityManager接着会委托给Authorizer;
  2. Authorizer是真正的授权者,如果我们调用如isPermitted(“user:view”),其首先会通过PermissionResolver把字符串转换成相应的Permission实例;
  3. 在进行授权之前,其会调用相应的Realm获取Subject相应的角色/权限用于匹配传入的角色/权限;
  4. Authorizer会判断Realm的角色/权限是否和传入的匹配,如果有多个Realm,会委托给ModularRealmAuthorizer进行循环判断,如果匹配如isPermitted*/hasRole*会返回true,否则返回false表示授权失败。

授权方式

Shiro支持四种方式的授权验证(权限控制):

  1. 代码级别权限控制
Subject subject=new Subject();
if(subject.hasRole("管理员")){
	//有权限
}else{
	//无权限
}
  1. 页面标签权限控制
<shiro:hasRole name="管理员">
<!-- 有权限 -->
</shiro:hasRole >
  1. 方法注解权限控制
  @RequiresRoles("管理员")
    public String add(Model model){
    }
  1. URL拦截权限控制
fileMap.put("/user/dologin","anon");
fileMap.put("/user/logout","logout");
fileMap.put("/user/list","perms[用户列表]");
fileMap.put("/user/add","perms[用户添加]");
fileMap.put("/user/edit/**","perms[用户编辑]");
fileMap.put("/user/del/**","perms[用户删除]");

Spring Boot+Shiro 授权

静态授权

自定义Realm授予期限

public class MyShiroRealm extends AuthorizingRealm{

    @Resource
    private IUserService userService;

    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        System.out.println("调用MyShiroRealm.doGetAuthorizationInfo获取权限信息");
        User user=(User)principalCollection.getPrimaryPrincipal();
        SimpleAuthorizationInfo info=new SimpleAuthorizationInfo();
        //静态授权
        info.addRole(user.getRole().getRoleName());
        info.addStringPermission("用户列表");
        if (user.getRole().getRoleName().equals("管理员")){
            info.addStringPermission("用户添加");
            info.addStringPermission("用户编辑");
            info.addStringPermission("用户删除");
        }
        return info;
    }

配置ShiroConfig拦截URL

 @Bean
    public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager){
        ShiroFilterFactoryBean shiroFilterFactory=new ShiroFilterFactoryBean();
        shiroFilterFactory.setSecurityManager(securityManager);
        shiroFilterFactory.setLoginUrl("/user/login");
        shiroFilterFactory.setSuccessUrl("/main");
        shiroFilterFactory.setUnauthorizedUrl("/403");
        Map<String,String> fileMap=new LinkedHashMap<String,String>();
        fileMap.put("/css/**","anon");
        fileMap.put("/fonts/**","anon");
        fileMap.put("/images/**","anon");
        fileMap.put("/js/**","anon");
        fileMap.put("/localcss/**","anon");
        fileMap.put("/localjs/**","anon");
        fileMap.put("/user/dologin","anon");
        fileMap.put("/user/logout","logout");
        //静态授权
        fileMap.put("/user/list","perms[用户列表]");
        fileMap.put("/user/add","perms[用户添加]");
        fileMap.put("/user/edit/**","perms[用户编辑]");
        fileMap.put("/user/del/**","perms[用户删除]");

        fileMap.put("/**","authc");
        shiroFilterFactory.setFilterChainDefinitionMap(fileMap);
        return shiroFilterFactory;
    }

测试授权控制

在IndexController控制器添加unauthorized方法:

@RequestMapping(value = "/403")
    public String unauthorized(){
        return "403";
    }

修改403页面

 <body class="nav-md footer_fixed">
    <div class="container body">
      <div class="main_container">
        <div th:include="demo/common/header"></div>
          <div class="col-md-12">
            <div class="x_panel">
              <div class="x_title">
                <h2 style="color: red">
                  权限不足
                <i class="fa fa-remove"></i>
                <small style="color: red"><span th:text="${session.userSession.userName}">登录用户</span>
                 - 对不起,你没有操作改功能的权限! ^_^</small></h2>
                <div class="clearfix"></div>
              </div>
            </div>
          </div>
        </div>
        <!-- page content -->
    <div th:include="demo/common/footer"></div>

动态授权

基础代码开发

  1. 添加实体类Right
@Entity
@Table(name = "sys_right")
@JsonIgnoreProperties(value = {"hibernateLazyInitializer","handler"})
public class Right implements Serializable {
    @Id
    @Column(name = "right_code")
    private String rightCode;
    @Column(name = "right_parent_code")
    private String rightParentCode;
    @Column(name = "right_type")
    private String rightType;
    @Column(name = "right_test")
    private String rightTest;
    @Column(name = "right_url")
    private String rightUrl;
    @Column(name = "right_tip")
    private String rightTip;
	//多对多
	@ManyToMany(targetEntity = Role.class,mappedBy = "rights")
    @JsonIgnore
    private Set<Role> roles = new HashSet<Role>(0);
    
    //省略get/set方法,改造方法
}
  1. 修改Role实体类,添加与Right类的多对多关联
@ManyToMany(targetEntity = Right.class,fetch = FetchType.LAZY)
    @JoinTable(name = "sys_role_right",joinColumns = {@JoinColumn(name = "rf_role_id")}
        ,inverseJoinColumns = {@JoinColumn(name = "rf_right_code")})
    @OrderBy(value = "rightCode")
    private Set<Right> rights = new HashSet<Right>(0);
  1. 开发RightRepository
public interface RightRepository extends JpaRepository<Right,String> {
    List<Right> findRightsByRolesOrderByRightCode(Role role);//根据角色
}
  1. 添加新的方法
public interface IRoleService {
    public List<Role> findAllRoles();
    public List<Right> findAllRights();
    public List<Right> findRightsByRole(Role role);
}

调整IndexController

   @RequestMapping("/user/dologin")
    public String dologin(String userName, String userPassword, Model model, HttpSession session){
        try {
            UsernamePasswordToken token=new UsernamePasswordToken(userName,userPassword);
            Subject subject= SecurityUtils.getSubject();
            subject.login(token);
            User user=(User) subject.getPrincipal();
            Role role=user.getRole();
            List<Right> rights=roleService.findRightsByRole(role);
            role.getRights().addAll(rights);
            session.setAttribute("userSession",user);
            return "demo/main";
}

调整自定义Realm

public class MyShiroRealm extends AuthorizingRealm{

    @Resource
    private IUserService userService;

    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        System.out.println("调用MyShiroRealm.doGetAuthorizationInfo获取权限信息");
        User user=(User)principalCollection.getPrimaryPrincipal();
        SimpleAuthorizationInfo info=new SimpleAuthorizationInfo();
        //静态授权
//        info.addRole(user.getRole().getRoleName());
//        info.addStringPermission("用户列表");
//        if (user.getRole().getRoleName().equals("管理员")){
//            info.addStringPermission("用户添加");
//            info.addStringPermission("用户编辑");
//            info.addStringPermission("用户删除");
//        }
        //动态授权
        Role role=user.getRole();
        if (role!=null){
            info.addRole(user.getRole().getRoleName());
            Set<Right> rights=role.getRights();
            if (rights!=null && rights.size()>0){
                rights.forEach(right -> info.addStringPermission(right.getRightCode()));
            }
        }
        return info;
    }
 }

调整配置对象ShiroConfig

    @Bean
    public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager){
        ShiroFilterFactoryBean shiroFilterFactory=new ShiroFilterFactoryBean();
        shiroFilterFactory.setSecurityManager(securityManager);
        shiroFilterFactory.setLoginUrl("/user/login");
        shiroFilterFactory.setSuccessUrl("/main");
        shiroFilterFactory.setUnauthorizedUrl("/403");
        Map<String,String> fileMap=new LinkedHashMap<String,String>();
        fileMap.put("/css/**","anon");
        fileMap.put("/fonts/**","anon");
        fileMap.put("/images/**","anon");
        fileMap.put("/js/**","anon");
        fileMap.put("/localcss/**","anon");
        fileMap.put("/localjs/**","anon");
        fileMap.put("/user/dologin","anon");
        fileMap.put("/user/logout","logout");
        //静态授权
//        fileMap.put("/user/list","perms[用户列表]");
//        fileMap.put("/user/add","perms[用户添加]");
//        fileMap.put("/user/edit/**","perms[用户编辑]");
//        fileMap.put("/user/del/**","perms[用户删除]");

        //动态授权
        List<Right> rights=roleService.findAllRights();
        for (Right right:rights){
            if (right.getRightUrl()!=null && !right.getRightUrl().trim().equals("")){
                fileMap.put(right.getRightUrl()+"/**","perms["+right.getRightCode()+"]");
            }
        }

        fileMap.put("/**","authc");
        shiroFilterFactory.setFilterChainDefinitionMap(fileMap);
        return shiroFilterFactory;
    }
len(陈憨憨)
关注
专栏目录
Shiro授权Authorization
qq_49670207的博客
09-19 738
Shiro授权Authorization)术语简介授权主体资源权限 术语简介 授权 授权,也叫访问控制,即在应用中控制谁能访问哪些资源(如访问页面/编辑数据/页面操作等)。在授权中需了解的几个关键对象:主体(Subject)、资源(Resource)、权限(Permission)、角色(Role)。 主体 主体,即访问应用的用户,在Shiro中使用Subject代表该用户,用户只有授权后才允许访问相应的资源。 资源 在应用中用户可以访问的任何东西,比如访问JSP页面、查看/编辑某些数据、访问某个业务方法、
shiro讲解 之 Authorization (一)
Dusty丶one的博客
10-30 590
shiro讲解之 多Realm 之 Authorization(一)本节我们将学习一下 ShiroAuthorization(授权)。 官方文档The Authorizer is the component responsible determining users’ access control in the application. It is the mechanism that ult
Shiro学习笔记(3)——授权Authorization
君君的专栏
05-28 1万+
什么是授权 授权三要素 Shiro的三种授权方式 1 编码方式授权 2 基于注解的授权 3 JSP标签授权1.什么是授权授权,就是访问控制,控制某个用户在应用程序中是否有权限做某件事2.授权三要素 权限 请看Shiro学习笔记(1)——shiro入门中权限部分内容角色 通常代表一组行为或职责.这些行为演化为你在一个软件应用中能或者不能做的事情。角色通常是分配给用户帐户的,因此,通过分配,用户
HTML+CSS底部footer两种固定方式
pan_junbiao的博客
06-20 7283
网页常见的底部栏(footer)目前有两种: 一、永久固定,不管页面的内容有多高,footer一直位于浏览器最底部,适合做移动端底部菜单,这个比较好实现; 二、相对固定,当页面内容高度不沾满浏览器高度,footer显示在浏览器底部,且不会出现滚动条,如果页面内容高度超出浏览器高度,footer则相对与内容的最底部,并且自动出现滚动条; 一、永久固定 <!DOCTYPE html> <html> <head> <meta http-equiv="Co
Shiro 如何主动调用doGetAuthorizationInfo方法
热门推荐
简单简单小白
05-04 2万+
Shiro 如何主动调用doGetAuthorizationInfo方法 (一)提出问题 最近在看shiro框架,使用shiro控制角色的权限,突然遇到一个问题,就是在每次登陆的时候shiro框架才会调用认证方法doGetAuthorizationInfo,才会去初始化权限,然后放到缓存,之后只要是不登陆就不会再去调用认证方法doGetAuthorizationInfo,所以这样就会存在一个...
shiro 授权(Authorization)
weixin_44659712的博客
09-18 232
术语简介 1、授权 授权,也叫访问控制,即在应用中控制谁能访问哪些资源。在授权中需了解的几个关键对象:主体(Subject)、资源(Resource)、权限(Permission)、角色(Role) 2、主体 主体,即访问应用的用户,在shiro中使用shiro中使用subject代表该用户,用户只有授权后才允许访问相应的资源。 3,资源 在应用中用户可以访问的任何东西,比如访问jsp页面、查看/编辑某些数据、访问某个业务方法,打印文件等都是资源,用户只有授权后才能访问。 4、资源 安全策略中
Apache Shiro 使用手册(三) Shiro授权
09-15
Apache Shiro 是一款强大的安全管理框架,它提供了身份验证(Authentication)、授权Authorization)和会话管理(Session Management)等功能。本篇文章将详细讲解 Shiro授权机制,即如何控制用户在应用程序中...
shiro授权设计的两种思路
05-03
Shiro授权设计中,主要存在两种思路,分别是基于角色的访问控制(Role-Based Access Control, RBAC)和基于权限的访问控制(Permission-Based Access Control)。这两种思路各有特点,适用于不同的应用场景。 **1...
shiro授权 shiro和企业项目整合开发
10-14
Shiro授权Authorization)主要负责确定用户是否有权限执行某个操作。这通过角色(Role)和权限(Permission)来实现。角色是权限的集合,而权限则定义了用户可以做什么。例如,一个“管理员”角色可能包含了...
Shiro登录授权认证功能
09-26
Apache Shiro 是一个强大且易用的 Java 安全框架,它提供了身份验证(Authentication)、授权Authorization)和会话管理(Session Management)等功能,简化了应用安全的开发。在这个项目中,我们主要关注的是...
shiro 登录不执行授权回调方法doGetAuthorizationInfo
Flyer的后花园
01-30 1万+
转载自:http://blog.csdn.net/qq_31759675/article/details/72268141 这 是 什 么 鬼 ! 登录页面跳转业务处理 SpringMVC控制器 Shiro配置文件 [html] view
【高创新】基于鲸鱼优化算法WOA-Transformer-LSTM实现故障识别Matlab实现.rar
09-18
1.版本:matlab2014/2019a/2024a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 替换数据可以直接使用,注释清楚,适合新手
《冯唐成事心法》学习笔记01:逆境来,了怎么办?
09-18
《冯唐成事心法》学习笔记01:逆境来,了怎么办?
c语言课程设计-职工资源管理系统.7z
09-18
c语言课程设计-职工资源管理系统.7z
VB个人邮件处理系统(源代码+系统).zip
最新发布
09-18
1、资源项目源码均已通过严格测试验证,保证能够正常运行; 2、项目问题、技术讨论,可以给博主私信或留言,博主看到后会第一时间与您进行沟通; 3、本项目比较适合计算机领域相关的毕业设计课题、课程作业等使用,尤其对于人工智能、计算机科学与技术等相关专业,更为适合; 4、下载使用后,可先查看REAdMe.md或论文文件(如有),本项目仅用作交流学习参考,请切勿用于商业用途。 5、资源来自互联网采集,如有侵权,私聊博主删除。 6、可私信博主看论文后选择购买源代码。 1、资源项目源码均已通过严格测试验证,保证能够正常运行; 2、项目问题、技术讨论,可以给博主私信或留言,博主看到后会第一时间与您进行沟通; 3、本项目比较适合计算机领域相关的毕业设计课题、课程作业等使用,尤其对于人工智能、计算机科学与技术等相关专业,更为适合; 4、下载使用后,可先查看REAdMe.md或论文文件(如有),本项目仅用作交流学习参考,请切勿用于商业用途。 5、资源来自互联网采集,如有侵权,私聊博主删除。 6、可私信博主看论文后选择购买源代码。 1、资源项目源码均已通过严格测试验证,保证能够正常运行; 2、项目问题、技术讨论,可以给博主私信或留言,博主看到后会第一时间与您进行沟通; 3、本项目比较适合计算机领域相关的毕业设计课题、课程作业等使用,尤其对于人工智能、计算机科学与技术等相关专业,更为适合; 4、下载使用后,可先查看READme.md或论文文件(如有),本项目仅用作交流学习参考,请切勿用于商业用途。 5、资源来自互联网采集,如有侵权,私聊博主删除。 6、可私信博主看论文后选择购买源代码。
java基于ssm+jsp咖啡馆管理系统源码 带毕业论文
09-18
1、开发环境:ssm框架;内含Mysql数据库;JSP技术 2、需要项目部署的可以私信 3、项目代码都经过严格调试,代码没有任何bug! 4、该资源包括项目的全部源码,下载可以直接使用! 5、本项目适合作为计算机、数学、电子信息等专业的课程设计、期末大作业和毕设项目,作为参考资料学习借鉴。 6、本资源作为“参考资料”如果需要实现其他功能,需要能看懂代码,并且热爱钻研,自行调试。
【高创新】基于雾凇优化算法RIME-Transformer-BiLSTM实现故障识别Matlab实现.rar
09-18
1.版本:matlab2014/2019a/2024a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 替换数据可以直接使用,注释清楚,适合新手
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值