Shiro 学习记录(三)--简单的 授权

最新推荐文章于 2024-02-09 12:28:26 发布
最新推荐文章于 2024-02-09 12:28:26 发布
阅读量235 收藏
点赞数
分类专栏: Shiro 文章标签: Shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xyjcfucdi128/article/details/85243659
版权

shiro简单的授权

需要引入的依赖

<dependency>
   <groupId>org.apache.shiro</groupId>
   <artifactId>shiro-core</artifactId>
   <version>1.3.2</version>
</dependency>
<!--  shiro-core 依赖于这个依赖    -->
<dependency>
   <groupId>commons-logging</groupId>
   <artifactId>commons-logging</artifactId>
   <version>1.1</version>
</dependency>

1,基本的认证(从配置文件中获取用户和权限信息来模拟从数据库中的获取)

1.1,shiro-resources.ini配置文件的配置

[users]
zhangsan=123,role1
wangwu=123,role2

[roles]
role1=user:create
role2=user:*

1.2,简单的测试代码

/**
 *   简单的授权
 * @author wangmx
 */
public class TestAuthorize1 {
	
	public static void main(String[] args) {
		//简单的授权需要先认证 在授权
		
		//认证
		
		//创建安全管理器
		IniSecurityManagerFactory iniSecurityManagerFactory = new IniSecurityManagerFactory("classpath:shiro/shiro-resources.ini");
		SecurityManager securityManager = iniSecurityManagerFactory.getInstance(); 
				
		//告诉安全工具类,使用哪一个安全管理器
		SecurityUtils.setSecurityManager(securityManager);
				
		//获取主体
		Subject subject = SecurityUtils.getSubject();
				
		//认证状态
		boolean flag = subject.isAuthenticated();
		System.out.println("认证状态: "+flag);
				
		//认证主体携带数据
		AuthenticationToken token = new UsernamePasswordToken("zhangsan", "123");
		try {
			subject.login(token);
			System.out.println("当前认证成功!");
		}catch (UnknownAccountException e) {
			// TODO: handle exception
			System.out.println("账户错误!");
		}catch (IncorrectCredentialsException e) {
			// TODO: handle exception
			System.out.println("密码错误!");
		}
				
		flag = subject.isAuthenticated();
		System.out.println("认证状态: "+flag);
		
		//授权
		if(subject.isAuthenticated()) {
			//基于角色权限
			//判断当前用户是否有此角色
			boolean hasRole1 = subject.hasRole("role1");
			if(hasRole1) {
//				System.out.println("当前用户有role1的权限");
			}
			
			//判断当前用户是否包含某个角色
			boolean[] hasRoles2 = subject.hasRoles(Arrays.asList("role1","role2","role3"));
			for (boolean b : hasRoles2) {
//				System.out.println("判断当前用户是否包含某个角色:"+b);
			}
			
			//判断当前用户是否包含所以的角色
			boolean hasAllRoles3 = subject.hasAllRoles(Arrays.asList("role1","role2","role3"));
//			System.out.println("判断当前用户是否包含所以的角色"+hasAllRoles3);
			
//			基于权限标识符的权限控制
			boolean permitted1 = subject.isPermitted("user:create");
//			System.out.println("基于权限标识符的权限控制:"+permitted1);
			
//			判断用户是否具分别有某个角色
			boolean[] permitted2 = subject.isPermitted("user:create:001","user:delete","product:create");
			for (boolean b : permitted2) {
//				System.out.println("判断用户是否分别具有某个角色:"+b);
			}
			
//			当前用户是否包含所以角色
			boolean permittedAll1 = subject.isPermittedAll("user:create:001","user:delete","product:create");
			System.out.println("当前用户是否包含所以角色:"+permittedAll1);
			
		}
		
	}

}

2,从数据库中获取用户信息和角色信息(权限标识符)

2.1,还是先看shiro-resources2.ini配置文件的配置,主要就是配置自定义realm和配置安全管理器以及配置凭证匹配器

#配置凭证匹配器
hashedCredentialsMatcher=org.apache.shiro.authc.credential.HashedCredentialsMatcher
hashedCredentialsMatcher.hashAlgorithmName=md5
hashedCredentialsMatcher.hashIterations=1024

#配置自定义realm   自定义realm的地址com.wangmx.shiroAutorizer.PermissionRealm
myrealm=com.wangmx.shiroAutorizer.PermissionRealm
myrealm.credentialsMatcher=$hashedCredentialsMatcher
#配置安全管理器
securityManager.realm=$myrealm

2.2,自定义realm 和只有认证不一样 继承 AuthorizingRealm  实现doGetAuthorizationInfo和doGetAuthenticationInfo方法doGetAuthorizationInfo主要是授权的方法 返回值类型为AuthorizationInfo,doGetAuthenticationInfo是认证的方法返回值为AuthenticationInfo

简单的自定义realm的编写

/**
 * 从数据库中查找数据 认证 并且授权
 * @author wangmx
 */
public class PermissionRealm extends AuthorizingRealm{
	
//  授权
	@Override
	protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
		// TODO Auto-generated method stub
		
		String primaryPrincipal = (String)principals.getPrimaryPrincipal();
		System.out.println("授权primaryPrincipal:"+primaryPrincipal);
		//查询数据库
                //User user = dao.queryUser("primaryPrincipal ");
                //dao.queryRole(user.getUserId());  
                //这里 admin 和 user:add 我没有从数据库中查询 这个可以从数据库中 查询出来
		SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
		
		//可根据自己需要的去选择 角色还是 权限标识符
		//角色
		simpleAuthorizationInfo.addRole("admin");
		
		//权限标识符(资源表示)
		simpleAuthorizationInfo.addStringPermission("user:add");
		
		return simpleAuthorizationInfo;
	}
	
//  认证
	@Override
	protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
		// TODO Auto-generated method stub
		
		String principal = (String)authenticationToken.getPrincipal();
		System.out.println("认证Realm:"+principal);
                //User user = dao.queryUser("principal");
                // wangwu和3d53b73c485f523ef2fe45f2b8dd3c58 可以从user.getUserName()和user.getPassWord()中获取
		if(principal.equals("wangwu")) {
			return new SimpleAuthenticationInfo("wangwu","3d53b73c485f523ef2fe45f2b8dd3c58",ByteSource.Util.bytes("ABCD"),this.getName());
		}
		
		return null;
	}

}

2.3,简单的测试代码 进行测试用户的认证和授权模拟 Controller

/**
 *   授权 在数据库中取数据
 * @author wangmx
 */
public class TestAuthorize2 {
	
	public static void main(String[] args) {
		//简单的授权需要先认证 在授权
		
		//认证
		
		//创建安全管理器
		IniSecurityManagerFactory iniSecurityManagerFactory = new IniSecurityManagerFactory("classpath:shiro/shiro-resources2.ini");
		SecurityManager securityManager = iniSecurityManagerFactory.getInstance(); 
				
		//告诉安全工具类,使用哪一个安全管理器
		SecurityUtils.setSecurityManager(securityManager);
				
		//获取主体
		Subject subject = SecurityUtils.getSubject();
				
		//认证状态
		boolean flag = subject.isAuthenticated();
		System.out.println("认证状态: "+flag);
				
		//认证主体携带数据
		AuthenticationToken token = new UsernamePasswordToken("wangwu", "123456");
		try {
			subject.login(token);
			System.out.println("当前认证成功!");
		}catch (UnknownAccountException e) {
			// TODO: handle exception
			System.out.println("账户错误!");
		}catch (IncorrectCredentialsException e) {
			// TODO: handle exception
			System.out.println("密码错误!");
		}
				
		flag = subject.isAuthenticated();
		System.out.println("认证状态: "+flag);
		
		//授权
		if(subject.isAuthenticated()) {
			//验证角色
			boolean hasRole = subject.hasRole("admin");
			System.out.println("验证角色:"+hasRole);
			
			//验证权限标识符
			boolean permitted = subject.isPermitted("user:add");
			System.out.println("验证权限标识符:"+permitted);
		}
		
	}

}

 

帅气Dee海绵宝宝
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Apache Shiro认证(
山不转的博客
11-22 287
总的参考文档:http://shiro.apache.org/reference.html 本文参考文档:http://shiro.apache.org/authentication.html 1、概念 本文介绍Shiro功能特性中的身份认证部分,上图中绿色的一块。身份认证就是根据用户提供的身份以及凭证验证它的合法性。有两个概念: Principals:用户的身份,简单理解就是用户名。 ...
Shiro小结
qq_43489474的博客
06-22 379
Shiro 一:Shiro基础知识 学习Shiro之前需要了解的知识:权限管理 1:什么是权限管理? 只要有用户管理参与的系统一般都需要有权限管理,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。 对权限的管理分为两大类别: 用户认证 用户授权 1.1:用户认证 用户认证,用户去访问系统,系统要验证用户身份的合法性 最常用的用户身份验证的方法:1、用户名密码方式、2、指纹打卡机、3、基于证书验证方法。。系统验证用户身份合法,用户方可访问系统的资源
shiro的认证
young-youth的博客
01-25 293
shiro 的认证过程,以及 logout 配置。
shiro SecurityUtils.getSubject()深度分析
08-10 1872
1.总的来说,SecurityUtils.getSubject()是每个请求创建一个Subject, 并保存到ThreadContext的resources(ThreadLocal<Map<Object, Object>>)变量中,也就是一个http请求一个subject,并绑定到当前线程。 问题来了:.subject.login()登陆认证成功后,下一次请求如何知道是那个用户的请求呢? 友情提示:本文唯一可以读一下的就是分析这个疑问,如果你已经明白就不用往下看了。 首先给出内...
learning-shiro:Shiro学习笔记
04-27
本项目“learning-shiro”显然是一个关于 Apache Shiro学习资源集合,包含了作者在学习过程中积累的笔记和示例代码。下面将详细探讨 Shiro 的核心概念以及如何使用它来实现应用安全。 1. **认证(Authentication...
apache-shiro 学习笔记
04-12
在`shiro-demo`这个示例项目中,可能包含了一个简单Shiro应用示例,包括配置文件、Controller、Service和DAO等组件,展示了如何使用Shiro进行认证和授权。开发者可以通过阅读这个示例来理解Shiro在实际项目中的...
吴天雄--shiro个人总结笔记.doc
04-30
Shiro因其简单易用而受到青睐,相比于依赖Spring的Spring Security,Shiro学习曲线更低。 Shiro的主要组成部分包括: 1. **Authentication**:身份认证,确认用户身份是否有效,通常涉及登录过程。 2. **...
shiro学习笔记0.0.0.0
12-21
尽管这份"shiro学习笔记0.0.0.0"可能内容不多,但通过它,你可以对 Shiro 有个初步的认识,为进一步深入学习打下基础。在实际项目中,根据需求选择合适的 Shiro 组件和配置,可以有效地提升应用的安全性。
SpringBoot与Shiro整合-权限管理实战资料
08-07
笔记和资料将详细记录整个学习过程,总结关键知识点和常见问题解决方案。 通过这门课程,你将掌握Spring Boot和Shiro整合的核心技术,能够构建出一套完整的用户权限管理系统,为你的Java应用提供坚实的安全保障。...
Shiro安全框架学习
adminwxc的博客
11-08 2975
Shiro安全框架学习一、shiro简介(简介内容来自百度百科)二、学习目标shiro与spring Security的比较(spring的官网也是用shiro做安全管理的)四、Shiro的整体架构五、Shiro的认证六、Shiro授权七、Shiro自定义Realm八、自定义Realm九、Shiro的加密 一、shiro简介(简介内容来自百度百科) Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码学和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得
Shiro的SecurityUtils.getSubject()是如何获取到正确的用户信息
最新发布
qq_61592687的博客
02-09 2416
Shiro的SecurityUtils.getSubject()是如何获取到正确的用户信息的呢?每次调用SecurityUtils.getSubject()方法,它会去当前所处线程获取用户信息,组装subject返回。如果是没有登录过的,他就会为当前访问的JSESSIONID创建一个subject,只是这个的就是未登录状态。
Apache Shiro安全框架(2)-用户认证
一点点的积累
06-20 537
上一节已经讲过shiro的用户认证最后是交给Realm来完成的,这节就聊聊realm。Realm结构图如下 :从上图可以发现shiro提供了多种Realm,但是我们通常用的都不多,如果需要了解请到官网查看具体用法。这里主要介绍自定义Realm,这也是我们使用最多的如何自定义Realm?第一步:创建类继承AuthorizingRealm,并实现AuthorizingRealm中的抽象方法,如下所示p...
Shiro权限管理】二、身份认证
真香号
11-05 249
一、介绍 身份认证:即在系统中,什么能证明此用户的合法性,证明当前登录的用户就是自己。提供一些唯一标识ID来证明自己。一般是用户名/密码组合来证明。 principals:身份,即主体的标识属性,可以是任何东西,如用户名、邮箱等,唯一即可。一个主体可以有多个principals,但只有一个Primary principals,一般是用户名/密码/手机号。 Credentials:证明/凭证,...
Shiro-Subject 分析
热门推荐
汪小哥
12-18 2万+
Subject反正就好像呈现的视图。所有Subject 都绑定到SecurityManager,与Subject的所有交互都会委托给SecurityManager;可以把Subject认为是一个门面;SecurityManager才是实际的执行者; 对于上面这句话的理解呢?怎么去理解这个很重要,看看别人的代码设计的流程也是比较的清楚的,Subject都绑定到了SecurityManager,因此我
shiro标签库html,学习shiro——注解式授权和JSP标签授权
weixin_36397146的博客
06-29 195
注解式授权 (shiro官网地址:http://shiro.apache.org/authorization.html#Authorization-AnnotationbasedAuthorization)@RequiresAuthentication 要求当前Subject已经在当前的session中被验证通过才能被访问或调用@RequiresAuthenticationpublic void ...
Shiro系列(五)--- Springboot整合Shiro实现基本授权流程
FAIRYTAIL的博客
08-25 551
继续我们shiro系列博客相关的学习笔记,各位看到此博客的小伙伴,如有不对的地方请及时通过私信我或者评论此博客的方式指出,以免误人子弟。多谢! 在Shiro系列的前几篇中提到,Shiro授权方式有种,回顾一下, 3 种方式如下: 以编程方式 - 您可以使用if和else块等结构在 Java 代码中执行授权检查。 注解方式 - 您可以将授权注释附加到您的 Java 方法。 JSP/GSP 标签 - 您可以根据角色和权限控制 JSP 或 GSP 页面输出。 下面着重记录一下编
java ladp 乱码_shiro使用LDAP认证
weixin_39815410的博客
02-13 219
public class LdapAuthorizingRealm extendsJndiLdapRealm {private static final Logger logger = LoggerFactory.getLogger(LdapAuthorizingRealm.class);privateString rootDN;publicString getRootDN() {returnro...
基于SpringBoot的后台管理系统(2)登录权限控制模块
zhanghw的博客
07-05 2419
登录权限控制模块1、Shiro框架简单介绍2、Shiro安全框架工程配置2.1、依赖的包2.2、配置文件shiroConfig2.3、自定义验证器shiroRealm3、登录拦截器loginController4、测试4.1、正常登录测试4.2、记住登录测试 1、Shiro框架简单介绍 Apache Shiro是Java的一个安全框架,旨在简化身份验证和授权Shiro在JavaSE和JavaEE项目中都可以使用。它主要用来处理身份认证,授权,企业会话管理和加密等。Shiro的具体功能点如下: (1)身份认
shiro-redis-spring-boot-starter
10-06
Apache Shiro是一个强大而灵活的Java安全框架,用于身份验证、授权和会话管理等安全功能。而Redis是一个高性能的内存数据库,其具有快速的数据存取能力和持久化支持。 shiro-redis-spring-boot-starter提供了一种...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值