本文详细介绍了Apache Shiro的授权基础知识,包括授权的概念、关键对象、流程、方式以及权限字符串的构建。通过自定义的realm类实现认证和授权,演示了如何在doGetAuthorizationInfo方法中配置角色和权限,并在测试类中验证用户权限。此外,还展示了基于角色和资源的访问控制用法。
目录
授权基础知识
1,概念
授权就是访问控制,控制谁能访问哪些资源。主体进行身份认证后需要分配权限方可访问系统的资源,对于某些资源没有权限是无法访问的。
2,关键对象
Who 对what 进行How操作“:
- Who:就是主体subject
- What:就是资源,系统菜单,页面,按钮,类方法等,资源包括资源类型和资源实例,比如商品信息就是资源类型,类型为t01的商品为资源实例,编号为001的商品信息也属于资源实例。
- How:权限,许可,规定了主体对资源的操作许可,权限离开资源没有意义,比如用户查询权限,用户添加权限,某个类方法的调用权限,编号为001用户的修改权限等,通过权限可知道主体对哪些资源都有哪些操作。
3,授权流程
授权的前提是通过了认证。
4,授权方式
- 基于角色的访问控制:RBAC基于角色的访问控制是以角色为中心进行访问控制的。
If(subject.hasRole(“admain”)){
操作什么资源
}
- 基于资源的访问控制:是以资源为中心进行访问控制的
If(subject.isPermission (“user:*:create”)){
对所有的用户有创建权限
}
5,权限字符串
表达式:资源标识符:操作:资源实例标识符
意思就是对那个资源的那个实例进行什么操作
例子:
User:*:01:就是任意的用户对01实例的任意操作都有权限。
User:update:01: 代表着资源实例
User:update:*: 代表着资源类型
6,授权实现
(1)自定义的realm类中重写了AuthorizingRealm中的doGetAuthorizationInfo()方法。
package com.example.shiro.realm;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.util.ByteSource;
//使用自定义reaml加入MD5+salt+hash
public class customerMd5Realm extends AuthorizingRealm {
// 自定义授权方法
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
// 获取身份信息
String primaryPrincipal = (String) principalCollection.getPrimaryPrincipal();
System.out.println("身份信息:"+primaryPrincipal);
// 根据身份信息 用户名 获取当前用户的角色信息以及权限信息 xiaochen admain user
SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
// 将数据库中查询的角色信息赋值给权限对象
simpleAuthorizationInfo.addRole("admin");
simpleAuthorizationInfo.addRole("user");
// 将数据库中查询权限信息赋值给权限对象
simpleAuthorizationInfo.addStringPermission("user:*:01");
simpleAuthorizationInfo.addStringPermission("product:update");
return simpleAuthorizationInfo;
}
// 自定义认证方法
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
// 获取身份信息
String principal = (String) authenticationToken.getPrincipal();
// 根据用户名查询数据库
if ("xiaochen".equals(principal)) {
// 这是单纯的MD55算法生成的密码
SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo(principal, "202cb962ac59075b964b07152d234b70", this.getName());
/**
* md5+salt生成的密码验证方式,多了一个参数,是salt生成随机后缀的表达式
* 参数1:数据库中的用户名 参数2:数据库md5+salt之后的密码 参数3:注册时的随机盐 参数4:realm的名字
* 并且shiro会自动识别随机盐
* 如果想使用MD5+salt+hash就要在指定算法的地方去设置散列的次数
*/
SimpleAuthenticationInfo simpleAuthenticationInfo1 = new SimpleAuthenticationInfo(principal, "8a83592a02263bfe6752b2b5b03a4799", ByteSource.Util.bytes("X0*7ps"), this.getName());
return simpleAuthenticationInfo;
}
return null;
}
}
编程式,注解式,标签式。
(2)测试类中去查看认证用户中被授权的权限
package com.example.shiro.demoshiro;
import com.example.shiro.realm.customerMd5Realm;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.IncorrectCredentialsException;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.authc.credential.HashedCredentialsMatcher;
import org.apache.shiro.mgt.DefaultSecurityManager;
import org.apache.shiro.subject.Subject;
import java.util.ArrayList;
import java.util.Arrays;
import java.util.List;
public class TestCustomerMd5RealmAuthenicator {
public static void main(String[] args) {
// 创建安全管理器
DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager();
// 设置realm使用hash凭证匹配器,我们自定义的realm继承了AuthorizingRealm,而AuthorizingRealm中可以去设置凭证匹配器,但是我们要创建一个匹配器的对象
customerMd5Realm realm = new customerMd5Realm();
HashedCredentialsMatcher hashedCredentialsMatcher = new HashedCredentialsMatcher();//创建匹配器的对象
// 使用算法
hashedCredentialsMatcher.setHashAlgorithmName("md5");//给这个匹配器命名
// 如果使用md5+salt+hash时,指定其散列次数
hashedCredentialsMatcher.setHashIterations(1024);//给这个匹配器设置hash次数
realm.setCredentialsMatcher(hashedCredentialsMatcher);//给这个realm设置这个匹配器
// 注入realm
defaultSecurityManager.setRealm(realm);
// 将安全管理器注入安全工具
SecurityUtils.setSecurityManager(defaultSecurityManager);
// 通过安全工具类获取subject
Subject subject = SecurityUtils.getSubject();
// 认证
UsernamePasswordToken token = new UsernamePasswordToken("xiaochen", "123");
try {
subject.login(token);
System.out.println("登陆成功");
} catch (UnknownAccountException e) {
e.printStackTrace();
System.out.println("认证失败");
}
catch (IncorrectCredentialsException e) {
e.printStackTrace();
System.out.println("密码错误");
}
// 认证用户进行授权
if(subject.isAuthenticated()){
// 1,基于角色的权限控制
System.out.println(subject.hasRole("admin"));
// 基于多角色权限控制
System.out.println(subject.hasAllRoles(Arrays.asList("admin", "user")));
// 是否具有其中一个角色
System.out.println(subject.hasRoles(Arrays.asList("admin", "super", "user")));
// 基于权限字符串的访问控制 资源标识符:操作:资源类型
System.out.println("权限:"+subject.isPermitted("user:*:*"));
// 分别具有哪些权限
boolean[] permitted = subject.isPermitted("user:*:01", "order:*:10");//返回了一个bool数组
for (boolean b : permitted){
System.out.println(b);
}
// 同时具有那些权限
boolean permittedAll = subject.isPermittedAll("user:*:01", "product:*");
}
}
}
扫一扫
233
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
