第六章 Realm及相关对象——《跟我学Shiro》

最新推荐文章于 2022-05-13 19:20:47 发布
最新推荐文章于 2022-05-13 19:20:47 发布
阅读量1.4k 收藏 1
点赞数
分类专栏: 安全框架-Shiro框架

ection;然后通过其getPrimaryPrincipal获取PrimaryPrincipal。

 

Java代码   收藏代码
  1. Set<String> realmNames = princialCollection.getRealmNames();  

获取所有身份验证成功的Realm名字。      

 

Java代码   收藏代码
  1. Set<Object> principals = princialCollection.asSet(); //asList和asSet的结果一样  

将身份信息转换为Set/List,即使转换为List,也是先转换为Set再完成的。

 

Java代码   收藏代码
  1. Collection<User> users = princialCollection.fromRealm("c");  

根据Realm名字获取身份,因为Realm名字可以重复,所以可能多个身份,建议Realm名字尽量不要重复。

 

6.4 AuthorizationInfo

AuthorizationInfo用于聚合授权信息的:

Java代码   收藏代码
  1. public interface AuthorizationInfo extends Serializable {  
  2.     Collection<String> getRoles(); //获取角色字符串信息  
  3.     Collection<String> getStringPermissions(); //获取权限字符串信息  
  4.     Collection<Permission> getObjectPermissions(); //获取Permission对象信息  
  5. }   

当我们使用AuthorizingRealm时,如果身份验证成功,在进行授权时就通过doGetAuthorizationInfo方法获取角色/权限信息用于授权验证。

 

Shiro提供了一个实现SimpleAuthorizationInfo,大多数时候使用这个即可。

 

对于Account及SimpleAccount,之前的【6.3 AuthenticationInfo】已经介绍过了,用于SimpleAccountRealm子类,实现动态角色/权限维护的。

 

6.5 Subject

Subject是Shiro的核心对象,基本所有身份验证、授权都是通过Subject完成。

1、身份信息获取

Java代码   收藏代码
  1. Object getPrincipal(); //Primary Principal  
  2. PrincipalCollection getPrincipals(); // PrincipalCollection   

 

2、身份验证

Java代码   收藏代码
  1. void login(AuthenticationToken token) throws AuthenticationException;  
  2. boolean isAuthenticated();  
  3. boolean isRemembered();  

通过login登录,如果登录失败将抛出相应的AuthenticationException,如果登录成功调用isAuthenticated就会返回true,即已经通过身份验证;如果isRemembered返回true,表示是通过记住我功能登录的而不是调用login方法登录的。isAuthenticated/isRemembered是互斥的,即如果其中一个返回true,另一个返回false。

  

3、角色授权验证 

Java代码   收藏代码
  1. boolean hasRole(String roleIdentifier);  
  2. boolean[] hasRoles(List<String> roleIdentifiers);  
  3. boolean hasAllRoles(Collection<String> roleIdentifiers);  
  4. void checkRole(String roleIdentifier) throws AuthorizationException;  
  5. void checkRoles(Collection<String> roleIdentifiers) throws AuthorizationException;  
  6. void checkRoles(String... roleIdentifiers) throws AuthorizationException;   

hasRole*进行角色验证,验证后返回true/false;而checkRole*验证失败时抛出AuthorizationException异常。 

 

4、权限授权验证

Java代码   收藏代码
  1. boolean isPermitted(String permission);  
  2. boolean isPermitted(Permission permission);  
  3. boolean[] isPermitted(String... permissions);  
  4. boolean[] isPermitted(List<Permission> permissions);  
  5. boolean isPermittedAll(String... permissions);  
  6. boolean isPermittedAll(Collection<Permission> permissions);  
  7. void checkPermission(String permission) throws AuthorizationException;  
  8. void checkPermission(Permission permission) throws AuthorizationException;  
  9. void checkPermissions(String... permissions) throws AuthorizationException;  
  10. void checkPermissions(Collection<Permission> permissions) throws AuthorizationException;  

isPermitted*进行权限验证,验证后返回true/false;而checkPermission*验证失败时抛出AuthorizationException。

 

5、会话

Java代码   收藏代码
  1. Session getSession(); //相当于getSession(true)  
  2. Session getSession(boolean create);    

类似于Web中的会话。如果登录成功就相当于建立了会话,接着可以使用getSession获取;如果create=false如果没有会话将返回null,而create=true如果没有会话会强制创建一个。

 

6、退出 

Java代码   收藏代码
  1. void logout();  

 

7、RunAs  

Java代码   收藏代码
  1. void runAs(PrincipalCollection principals) throws NullPointerException, IllegalStateException;  
  2. boolean isRunAs();  
  3. PrincipalCollection getPreviousPrincipals();  
  4. PrincipalCollection releaseRunAs();   

RunAs即实现“允许A假设为B身份进行访问”;通过调用subject.runAs(b)进行访问;接着调用subject.getPrincipals将获取到B的身份;此时调用isRunAs将返回true;而a的身份需要通过subject. getPreviousPrincipals获取;如果不需要RunAs了调用subject. releaseRunAs即可。

 

8、多线程

Java代码   收藏代码
  1. <V> V execute(Callable<V> callable) throws ExecutionException;  
  2. void execute(Runnable runnable);  
  3. <V> Callable<V> associateWith(Callable<V> callable);  
  4. Runnable associateWith(Runnable runnable);   

实现线程之间的Subject传播,因为Subject是线程绑定的;因此在多线程执行中需要传播到相应的线程才能获取到相应的Subject。最简单的办法就是通过execute(runnable/callable实例)直接调用;或者通过associateWith(runnable/callable实例)得到一个包装后的实例;它们都是通过:1、把当前线程的Subject绑定过去;2、在线程执行结束后自动释放。

 

Subject自己不会实现相应的身份验证/授权逻辑,而是通过DelegatingSubject委托给SecurityManager实现;及可以理解为Subject是一个面门。

 

对于Subject的构建一般没必要我们去创建;一般通过SecurityUtils.getSubject()获取:

Java代码   收藏代码
  1. public static Subject getSubject() {  
  2.     Subject subject = ThreadContext.getSubject();  
  3.     if (subject == null) {  
  4.         subject = (new Subject.Builder()).buildSubject();  
  5.         ThreadContext.bind(subject);  
  6.     }  
  7.     return subject;  
  8. }   

即首先查看当前线程是否绑定了Subject,如果没有通过Subject.Builder构建一个然后绑定到现场返回。

 

如果想自定义创建,可以通过:

Java代码   收藏代码
  1. new Subject.Builder().principals(身份).authenticated(true/false).buildSubject()  

这种可以创建相应的Subject实例了,然后自己绑定到线程即可。在new Builder()时如果没有传入SecurityManager,自动调用SecurityUtils.getSecurityManager获取;也可以自己传入一个实例。

 

对于Subject我们一般这么使用:

1、身份验证(login)

2、授权(hasRole*/isPermitted*或checkRole*/checkPermission*)

3、将相应的数据存储到会话(Session)

4、切换身份(RunAs)/多线程身份传播

5、退出

 

 

而我们必须的功能就是1、2、5。到目前为止我们就可以使用Shiro进行应用程序的安全控制了,但是还是缺少如对Web验证、Java方法验证等的一些简化实现。    

 

示例源代码:https://github.com/zhangkaitao/shiro-example;可加群134755960探讨Spring/Shiro技术。

OkidoGreen
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
vue与shiro结合实现权限按钮
12-15
vue+shiro实现前端细颗粒按钮级权限,并且可以实现删除和禁用两种不同模式,里面需要的前置技术包括 :vue\vue的自定义指令\vue的自定义插件\vuex
跟我学Shiro第12章Demo(仅JAVA SE+Web+Shiro权限注解)
09-22
跟我学Shiro第12章Demo:Java SE、Web与Shiro权限注解实践》 Apache Shiro是一款强大的安全框架,广泛应用于Java项目中,提供了身份验证、授权、会话管理和加密等功能。本Demo主要涵盖了Shiro在Java Standard ...
Shiro核心概述
weixin_30338461的博客
08-01 113
0、写在前面的话最近在考虑权限相关的东西,于是就找到了Shiro,开涛老师的Shiro教程博客(《跟我学Shiro》)写得实在很好还带所有源码,所以我也就没有自己再总结各个阶段的笔记,只在这里对整个框架的核心类和部分执行过程进行了梳理和概述,以作备忘。1、Shiro的主要特性Shiro提供了如上图所示的特性,其中主要特性(其开发团队称之为应用安全的四大基石)如下:Authentication - ...
Springboot整合Shiro进行权限认证-两种获取realm的方式
规则中找出不规则,挫折中找出突破点
07-12 1144
Shiro安全框架 在学习之前先了解了解shiro,防止掉坑。 1. 什么是Shiro? 1.1 Shiro的官网解释 Apache Shiro™是一个功能强大且易于使用的Java安全框架,它执行身份验证,授权,加密和会话管理。使用Shiro易于理解的API,您可以快速轻松地保护任何应用程序-从最小的移动应用程序到最大的Web和企业应用程序 特点:属于Apache开源组织的一个产品,功能强大并且易用的Java安全框架 可以完成用户认证、授权、密码以及会话管理 可以在任何的应用系统中使用(主要针对单体项
Spring Boot + Vue + Shiro 实现前后端分离、权限控制 (附源码)
全栈开发者社区
03-23 492
点击上方[全栈开发者社区]→右上角[...]→[设为星标⭐]原项目采用Springboot+freemarker模版,开发过程中觉得前端逻辑写的实在恶心,后端Controller层还必须返...
mockito入门学习
weixin_30267785的博客
07-07 133
Mockito.when(mockService.queryInfo(Mockito.any(QueryCod.class))).thenReturn(uInfo); mockService为接口; queryInfo是mockService接口里的方法; QueryCod是方法queryInfo的入参,是一个class对象;且只有一个入参。 uInfo是方法queryInfo的...
[资料][Java]跟我学Shiro教程_Java跟我学Shiro教程_shiro_
10-03
Apache Shiro 是一个强大且易用的 Java 安全框架,提供了认证、授权、加密和会话管理功能,可以非常方便地开发出足够安全的应用。...阅读 "[资料][Java]跟我学Shiro教程.pdf",你将得到更详细的步骤指导和实践案例。
跟我学Shiro第11章Demo
09-16
在"跟我学Shiro第11章Demo"中,我们将深入探讨Shiro的核心组件,特别是其在缓存管理和会话管理中的应用。 首先,我们关注的是Cache缓存。Shiro支持缓存来提高性能,避免频繁的数据库查询。它允许开发者将敏感操作的...
跟我学Shiro第12章Demo(仅JAVA SE)
09-20
在本"跟我学Shiro第12章Demo(仅JAVA SE)"中,我们将专注于如何将Shiro的ini配置文件转换为Spring的XML配置文件格式,这有助于在Java Standard Edition(SE)环境中更好地集成和管理Shiro的安全设置。 Shiro的ini...
跟我学shiro综合实例(springboot新版)
06-04
**跟我学Shiro综合实例(SpringBoot新版)** 在当今的Web开发中,Spring Boot以其简洁的配置和快速的开发效率成为了许多项目首选的技术栈。而Apache Shiro作为一款强大的安全框架,它提供了身份验证、授权、会话...
springboot+shiro+boostrap+vue.js
09-28
此项目采用的是springboot+shiro+boostrap+vue.js 对于初学springboot,vue.js 的同学有很大的帮助,该项目采用的是maven 项目中有sql脚本,直接部署运行近可以跑起来了,登录用户名和密码都是admin
vue+element+springboot+shiro权限控制
12-07
vue+element+springboot+shiro权限控制,mysql数据库 登录帐号/密码 admin:111111
springboot-vue-shiro-权限整合
01-06
springboot+vue+shiro 前后盾分离,权限整合,vue路由配置解析,有sql语句,shiro 权限验证。
SpringBoot+Shiro+Vue+iView 实现的后台管理系统通用模板
09-13
通用的企业级快速开发脚手架是针对企业项目的快速迭代开发而研发的后台管理系统模块。是基于Spring Boot、Shiro和Vue等技术进行开发,主要是对后台管理系统常用模块前后端整体抽取构建成通用模板。也是集中对权限管理进行再次封装,以至于简单操作,便于二次开发代码重复。主要实现管理员管理、角色管理与资源权限管理模块,后台管理系统必不可少的就是管理员与身份权限,每一次项目都必须重新对重复的表进行分析,对企业的快速效率有很大的影响。通过对基础功能的表抽取,并对功能再次进行封装,实现企业级快速开发脚手架。 注:此为源码压缩包。 解压开来会有两个文件夹:SQL 与 CODE,分别存放着数据库与源代码。此项目为前后台分离开发,后台为Springboot+shiro,前台为 Vue+iview工程化项目。 如果在使用中遇到问题,可以加QQ群:878305246 。
Vue + Spring Boot 项目实战(十三):使用 Shiro 实现用户信息加密与登录认证
热门推荐
Evan 的博客
10-27 5万+
如题,希望这篇文章能解答你对 shiro 的一些疑问。
Springboot + Vue + shiro 实现前后端分离、权限控制
油墨香^-^的博客
05-13 2627
一、前后端分离思想 前端从后端剥离,形成一个前端工程,前端只利用Json来和后端进行交互,后端不返回页面,只返回Json数据。前后端之间完全通过public API约定。 二、后端 Springboot Springboot就不再赘述了,Controller层返回Json数据。 @RequestMapping(value="/add",method=RequestMethod.POST) @ResponseBody publicJSONResultaddClient(...
Spring Boot + Vue + Shiro 实现前后端分离,写得太好了!
良月柒
10-16 393
程序员的成长之路互联网/程序员/技术/资料共享关注阅读本文大概需要 8 分钟。作者:_Yufan来源:www.cnblogs.com/yfzhou/p/9813177.html本文总结自...
跟我学Shiro:从入门到精通教程
第六章详细介绍了REALM及其相关对象,如AUTHENTICATIONTOKEN、AUTHENTICATIONINFO、PRINCIPALCOLLECTION和AUTHORIZATIONINFO,这些是Shiro进行身份验证和授权的核心数据结构。同时,提到了SUBJECT,它是Shiro的中心...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值