Shiro权限认证

最新推荐文章于 2024-10-16 10:00:24 发布
最新推荐文章于 2024-10-16 10:00:24 发布
阅读量6.4k 收藏 2
点赞数
CC 4.0 BY-SA版权
文章标签: shiro shiro框架 身份认证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Daybreak1209/article/details/51193204
本文详细介绍了Apache Shiro权限认证框架的应用,包括权限、角色、用户的管理,编程式及注解式授权方式,并展示了如何在Java Web环境中集成Shiro进行权限验证。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

   一、权限认证核心要素

权限认证顾名思义,就是在应用系统中,控制谁能访问哪些资源。核心要素有仨:权限、角色、用户

  权限:即操作资源的权利,如访问某个url,对某个模块数据进行增删改查

  角色:权限的集合,一种角色可以包含多种权限。例如操作员角色可查看系统账单、进行结账操作多种权限。

  用户:也就是身份认证中提到的subject一角。

 二、授权

shiro授权的方式通常有三种:

1、编程式授权:在代码中进行授权操作,可基于角色和权限两种方式。

2、注解式授权:使用注解对方法或类进行授权,标注该类可被哪些权限、角色所使用。

3、Jsp标签授权:shiro比较灵活的地方笔者觉得就是jsp标签授权,通过shiro的guest、user、principal等标签,可通过访问权限的不同,控制页面信息显示。免去了一大部分后台处理逻辑。好方便,好好用。后面会有详细介绍。

     三、编程式授权实例

      1、同样首先创建ini文件

[users]
java1234=123456,role1,role2
jack=123,role1

      这是一个通过角色授权的方式,具体含义是指:用户名为java1234的用户享有role1,role2角色的权利,jack用户享有role1的权利。

     2、java代码通过hasRole 和checkRole的方法可判断某用户是否具有role1、role2角色权利。

      这里首先将一些shiro初始化、预处理的操作封装成一个util类

public class ShiroUtil {
	public static Subject login(String configFile,String userName,String password){
		// 读取配置文件,初始化SecurityManager工厂
		Factory<SecurityManager> factory=new IniSecurityManagerFactory(configFile);
		// 获取securityManager实例
		SecurityManager securityManager=factory.getInstance();
		// 把securityManager实例绑定到SecurityUtils
		SecurityUtils.setSecurityManager(securityManager);
		// 得到当前执行的用户
		Subject currentUser=SecurityUtils.getSubject();
		// 创建token令牌,用户名/密码
		UsernamePasswordToken token=new UsernamePasswordToken(userName, password);
		try{
			// 身份认证
			currentUser.login(token);	
			System.out.println("身份认证成功!");
		}catch(AuthenticationException e){
			e.printStackTrace();
			System.out.println("身份认证失败!");
		}
		return currentUser;
	}
}
      新建roleTest类,通过调用user的hasRole、checkRole方法判断用户权限。

public class RoleTest {

	@Test
	public void testHasRole() {
		Subject currentUser=ShiroUtil.login("classpath:shiro_role.ini", "java1234", "123456");
		// Subject currentUser=ShiroUtil.login("classpath:shiro_role.ini", "jack", "123");
		System.out.println(currentUser.hasRole("role1")?"有role1这个角色":"没有role1这个角色");
		boolean []results=currentUser.hasRoles(Arrays.asList("role1","role2","role3"));
		System.out.println(results[0]?"有role1这个角色":"没有role1这个角色");
		System.out.println(results[1]?"有role2这个角色":"没有role2这个角色");
		System.out.println(results[2]?"有role3这个角色":"没有role3这个角色");
		System.out.println(currentUser.hasAllRoles(Arrays.asList("role1","role2"))?"role1,role2这两个角色都有":"role1,role2这个两个角色不全有");
		
		currentUser.logout();
	}

	@Test
	public void testCheckRole() {
		Subject currentUser=ShiroUtil.login("classpath:shiro_role.ini", "java1234", "123456");
		// Subject currentUser=ShiroUtil.login("classpath:shiro_role.ini", "jack", "123");
		currentUser.checkRole("role1");
		currentUser.checkRoles(Arrays.asList("role1","role2"));
		currentUser.checkRoles("role1","role2","role3");
		
		currentUser.logout();
	}
}

通过权限permission的权限验证方式如下:

[users]
java1234=123456,role1,role2
jack=123,role1
[roles]
role1=user:select
role2=user:add,user:update,user:delete

这里就补充了role1、role2用户具体具有哪些操作权,role1可进行select操作,同理,role2可进行增删改操作。同样调用user关于permission认证的方法,可对用户具体操作权限进行认证。

public class PermissionTest {

	@Test
	public void testIsPermitted() {
		Subject currentUser=ShiroUtil.login("classpath:shiro_permission.ini", "java1234", "123456");
		// Subject currentUser=ShiroUtil.login("classpath:shiro_permission.ini", "jack", "123");
		System.out.println(currentUser.isPermitted("user:select")?"有user:select这个权限":"没有user:select这个权限");
		System.out.println(currentUser.isPermitted("user:update")?"有user:update这个权限":"没有user:update这个权限");
		boolean results[]=currentUser.isPermitted("user:select","user:update","user:delete");
		System.out.println(results[0]?"有user:select这个权限":"没有user:select这个权限");
		System.out.println(results[1]?"有user:update这个权限":"没有user:update这个权限");
		System.out.println(results[2]?"有user:delete这个权限":"没有user:delete这个权限");
		System.out.println(currentUser.isPermittedAll("user:select","user:update")?"有user:select,update这两个权限":"user:select,update这两个权限不全有");
		
		currentUser.logout();
	}

	@Test
	public void testCheckPermitted() {
		Subject currentUser=ShiroUtil.login("classpath:shiro_permission.ini", "java1234", "123456");
		// Subject currentUser=ShiroUtil.login("classpath:shiro_permission.ini", "jack", "123");
		currentUser.checkPermission("user:select");
		currentUser.checkPermissions("user:select","user:update","user:delete");
		currentUser.logout();
	}
}

  四、shiroweb集成进行权限认证

下面介绍在java web程序中使用 Shiro进行权限认证。

  1. 首先也是添加shiro相关jar包:shiro-web、shiro-core;commons-logging、slf4j-api、log4j;jstl、javax.servlet.jsp-api、javax.servlet-api

  2. web.XML中添加shiroFilter过滤器,并初始化创建的shiro.ini配置文件。

  <listener>
	    <listener-class>org.apache.shiro.web.env.EnvironmentLoaderListener</listener-class>
  </listener>
   
	<!-- 添加shiro支持 -->
	<filter>
	    <filter-name>ShiroFilter</filter-name>
	    <filter-class>org.apache.shiro.web.servlet.ShiroFilter</filter-class>
	</filter>
	
	<filter-mapping>
	    <filter-name>ShiroFilter</filter-name>
	    <url-pattern>/*</url-pattern>
	</filter-mapping>
	<!--省略loginServlet 和adminServlet配置ps.login 针对所有的/login请求,admin针对/admin-->

shiro.ini文件

[main]
authc.loginUrl=/login
roles.unauthorizedUrl=/unauthorized.jsp
perms.unauthorizedUrl=/unauthorized.jsp
[users]
java1234=123456,admin
jack=123,teacher
marry=234
json=345
[roles]
admin=user:*
teacher=student:*
[urls]
/login=anon
/admin=authc
/student=roles[teacher]
/teacher=perms["user:create"]

3.创建login和adminservlet,分别用于直接登陆转发到login.jsp,和admin登录进行身份验证,转发到succeess.jsp和error.jsp

public class LoginServlet extends HttpServlet{
	private static final long serialVersionUID = 1L;
	@Override
	protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
		System.out.println("login doget");
		req.getRequestDispatcher("login.jsp").forward(req, resp);
	}
	@Override
	protected void doPost(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
		System.out.println("login dopost");
		String userName=req.getParameter("userName");
		String password=req.getParameter("password");
		Subject subject=SecurityUtils.getSubject();
		UsernamePasswordToken token=new UsernamePasswordToken(userName, password);
		try{
			subject.login(token);	
			resp.sendRedirect("success.jsp");
		}catch(Exception e){
			e.printStackTrace();
			req.setAttribute("errorInfo", "用户名或者密码错误");
			req.getRequestDispatcher("login.jsp").forward(req, resp);
		}
	}
}

4.配置数据源-这里介绍两种reaml:Text Reaml和自定义JDBC reaml 。

  Text Reaml 配置详情与访问流程

    text Reaml配置整合到Shiro.ini文件中,具体配置了四个用户,java1234拥有admin角色权限,jack拥有teacher角色权限;角色admin可对user进行任意crud操作,teacher可对student进行crud操作;访问的urls,请求/login地址时,这里的anon是指游客身份,不需要进行任何身份认证;请求/admin地址时,需要进行身份认证,进行filter过滤后,跳转到【main】中进行了配置为/login (jsp页面),同样,role和perms的权限认证页设置为unauthorized.jsp;

    上面ini配置达到的效果就是:当请求访问localhost:8080/shiro/login 时直接跳到hello页面,无需进行身份验证。当访问localhost:8080/shiro/admin时,先转发到login.jps进行身份验证,进入adminServlet,验证结束后转发到error或succeess页面。再次访问admin地址时,由于第一次访问记录了用户登录信息,故无需在登陆直接跳转到success页面。而访问localhost:8080/shiro/student时,login信息如果使用json(没有任何角色权限的用户),则因为该用户权限不足(因为配置中访问student需要teacher角色)直接跳转到无权限访问页面。这就是使用 textReaml进行身份验证和权限验证的配置。

   自定义 JDBC Reaml的配置与访问流程

    由于text Reaml的信息毕竟有限,配置也相对比较麻烦,所以一般应用程序使用的都是自定义reaml,此处创建一个自定义JDBC readml并演示reaml与java程序结合的流程。

    由于需要创建数据库(创建用户、角色、权限三张表,依次主外键关联),然后首先引入数据库驱动jar包;在shiro,ini文件中指定当前securityManager使用的验证策略是自定义jdbcReaml。

[main]
authc.loginUrl=/login
roles.unauthorizedUrl=/unauthorized.jsp
perms.unauthorizedUrl=/unauthorized.jsp
myRealm=com.java.realm.MyRealm
securityManager.realms=$myRealm
[urls]
/login=anon
/admin*=authc
/student=roles[teacher]
/teacher=perms["user:create"]
   最后创建数据库连接Util类和myReaml类调用底层数据查询dao即可。 

/**
 * 数据库工具类
 * @author 
 */
public class DbUtil {
	public Connection getCon() throws Exception{
		Class.forName("com.mysql.jdbc.Driver");
		Connection con=DriverManager.getConnection("jdbc:mysql://localhost:3306/db_shiro", "root", "123456");
		return con;
	}
	public void closeCon(Connection con)throws Exception{
		if(con!=null){
			con.close();
		}
	}
	public static void main(String[] args) {
		DbUtil dbUtil=new DbUtil();
		try {
			dbUtil.getCon();
			System.out.println("数据库连接成功");
		} catch (Exception e) {
			// TODO Auto-generated catch block
			e.printStackTrace();
			System.out.println("数据库连接失败");
		}
	}
}
MyReaml类:继承shiro AuthorizingReaml类,重写身份验证和权限验证两个方法。(这里也就解释了为什么访问student地址时,并未配置需要先登录,程序却自动跳转到登录面。因为底层封装了默认请求都先进行身份认证的方法。)

public class MyRealm extends AuthorizingRealm{
	private UserDao userDao=new UserDao();
	private DbUtil dbUtil=new DbUtil();
	/**
	 * 为当前登录的用户授予角色和权限
	 */
	@Override
	protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
		String userName=(String)principals.getPrimaryPrincipal();
		SimpleAuthorizationInfo authorizationInfo=new SimpleAuthorizationInfo();
		Connection con=null;
		try{
			con=dbUtil.getCon();
			authorizationInfo.setRoles(userDao.getRoles(con,userName));
			authorizationInfo.setStringPermissions(userDao.getPermissions(con,userName));
		}catch(Exception e){
			e.printStackTrace();
		}finally{
			try {
				dbUtil.closeCon(con);
			} catch (Exception e) {
				e.printStackTrace();
			}
		}
		return authorizationInfo;
	}
	/**
	 * 验证当前登录的用户
	 */
	@Override
	protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
		String userName=(String)token.getPrincipal();
		Connection con=null;
		try{
			con=dbUtil.getCon();
			User user=userDao.getByUserName(con, userName);
			if(user!=null){
				AuthenticationInfo authcInfo=new SimpleAuthenticationInfo(user.getUserName(),user.getPassword(),"xx");
				return authcInfo;
			}else{
				return null;
			}
		}catch(Exception e){
			e.printStackTrace();
		}finally{
			try {
				dbUtil.closeCon(con);
			} catch (Exception e) {
				// TODO Auto-generated catch block
				e.printStackTrace();
			}
		}
		return null;
	}

}

     这两个方法分别封装了一个身份信息实体类AuthenticationInfo 和AuthorizetionInfo返回。

     首先获取用户信息,根据用户名查询数据库中的用户、权限等其他信息验证即可。整体流程是当浏览器访问例如:localhost:8080/shiro/admin 地址时,先调用loginServlet,在执行user.login方法时,进入自定义MyReaml类,获取用户信息,进行身份验证。

  



钟艾伶
关注
权限验证框架Shiro
小明同学的博客
08-21 911
总结起来,Realm、AuthenticationFilter和AuthorizationFilter需要进行定义或配置,并由SecurityManager进行管理,以确保Shiro能够正确地进行身份验证和授权操作。将数据转换为不可读的形式,以保护数据的安全性。会话是指用户在与应用程序交互期间的一段时间。是整个Shiro安全体系的核心。因为它没有依赖于特定的框架。配置相应的加密算法和密钥。代表当前执行操作的用户。是所有安全操作的入口点。基于Cookie的会话。用于管理用户的会话信息。基于URL重写的会话。
shiro 权限认证以及授权demo
09-10
shiro 权限认证以及授权demo
Shiro | 实现权限验证完整版
冯文议技术博客
10-22 8030
写在前面的话 提及权限,就会想到安全,是一个十分棘手的话题。这里只是作为学校Shiro的一个记录,而不是,权限就应该这样设计之类的。 Shiro框架 1、Shiro是基于Apache开源的强大灵活的开源安全框架。 2、Shiro提供了 认证,授权,企业会话管理、安全加密、缓存管理。 3、Shiro与Security对比 4、Shiro整体架构 5、特性 6、认证流程 认证 当我们理解Shi...
Shiro学习笔记(3)——授权(Authorization)
热门推荐
君君的专栏
05-28 1万+
什么是授权 授权三要素 Shiro的三种授权方式 1 编码方式授权 2 基于注解的授权 3 JSP标签授权1.什么是授权授权,就是访问控制,控制某个用户在应用程序中是否有权限做某件事2.授权三要素 权限 请看Shiro学习笔记(1)——shiro入门中权限部分内容角色 通常代表一组行为或职责.这些行为演化为你在一个软件应用中能或者不能做的事情。角色通常是分配给用户帐户的,因此,通过分配,用户
使用Shiro实现权限验证
m0_61083409的博客
08-28 2127
@Override//根据自己的需求编写获取授权信息,这里简化代码获取了用户对应的所有权限= null) {if (perms!= null &&!//将权限资源添加到用户信息中}}}}@Override// 通过表单接收的用户名,调用currentUser.login的时候执行= null &&!//查询密码= null) {}}}}...
Shiro学习之权限认证
m0_67401746的博客
08-24 1465
1”可以匹配如“user:view:1”、“user”可以匹配“user:view”或“user:view:1”等。即_可以匹配所有,不加_可以进行前缀匹配;用户是jack的时候,控制台出去的是:true,false,代表的是jack用户role1这个角色,但是没有role2这个角色。权限,即操作资源的权力,比如访问某个页面,以及对某个模块的数据的添加,修改,删除,查看的权利(CRUD).用户是yyt的时候,控制台输出的是:true,true,代表的是yyt拥有role1,role2这个角色。
spring boot+shiro 权限认证管理案例
12-20
Spring Boot 和 Apache Shiro 的整合是企业级应用中常见的权限认证和安全管理方案。Spring Boot 提供了简化 Java 应用程序开发的框架,而 Shiro 是一个轻量级的安全框架,专注于身份验证、授权、会话管理和加密。...
基于Java和SpringBoot的Shiro权限认证与授权整合实践源码
09-28
本项目“基于Java和SpringBoot的Shiro权限认证与授权整合实践源码”,通过Java语言编写,并基于SpringBoot框架实现了与Shiro的整合。该项目不仅展示了如何将Shiro集成到SpringBoot应用中,还通过具体的代码示例,为...
shiro权限认证和授权
02-26
在本文中,我们将深入探讨Shiro的核心概念,包括权限认证和授权,以及如何在实际项目中有效应用。 ### 一、Shiro认证 **1. 用户身份验证(Authentication)** 用户身份验证是验证用户身份的过程,确保用户是他们...
ssm的shiro权限认证demo
07-11
本Demo是一个SSM框架,从开始搭建SSM框架开始到Shiro权限认证的完成,都是一步一个截图的操作。具体搭建文档信息已经发布到我的博客中,可以从我的博客中查看到!没有之一,只有唯一,绝对是史上最详细通过idea搭建...
shiroFilter权限验证
09-24
web.xml配置 因为我们是与spring进行集成的,而spring的基本就是web项目的xml文件。所以我们在web.xml中配置shiros的过滤拦截。正常情况下,我们需要将shiro的filter配置在所有的filter前面,当然和encodingFilter这个filter是不区分前后的。因为两者互相不影响的。spring-shiro.xml 这里我们将来看看spring-shiro.xml的配置,这里我采取倒叙的方式讲解,我觉的倒叙更加的有助于我们理解代码。首先我们还记得在web.xml中配置的那个filter吧,名字shiroFilter,对spring-shiro.xml配置文件就是通过这个filter展开的。首先我们在web.xml配置的过滤器实际上是配置ShiroFilterFactoryBean,所以在这里需要将ShiroFilterFactoryBean定义为shiroFilter <!-- Shiro的核心安全接口,这个属性是必须的 --> <!-- 要求登录时的链接(可根据项目的URL进行替换),非必须的属性,默认会自动寻找Web工程根目录下的"/login.html"页面 --> <!-- 登录成功后要跳转的连接 --> <!-- 用户访问未对其授权的资源时,所显示的连接 --> <!-- 若想更明显的测试此属性可以修改它的值,如unauthor.jsp,然后用[玄玉]登录后访问/admin/listUser.jsp就看见浏览器会显示unauthor.jsp --> <!-- Shiro连接约束配置,即过滤链的定义 --> <!-- 此处可配合我的这篇文章来理解各个过滤连的作用http://blog.youkuaiyun.com/jadyer/article/details/12172839 --> <!-- 下面value值的第一个'/'代表的路径是相对于HttpServletRequest.getContextPath()的值来的 --> <!-- anon:它对应的过滤器里面是空的,什么都没做,这里.do和.jsp后面的*表示参数,比方说login.jsp?main这种 --> <!-- authc:该过滤器下的页面必须验证后才能访问,它是Shiro内置的一个拦截器org.apache.shiro.web.filter.authc.FormAuthenticationFilter --> /statics/**=anon /login.html=anon /sys/schedule.html=perms[sys:schedule:save] /sys/login=anon /captcha.jpg=anon /**=authc
Shiro 实战教程(上)
weixin_43566977的博客
06-03 1815
注:该shiro教程来源于B站上的一个教程,由于源码是付费的,我就不分享了,下篇讲解springboot搭配shiro进行使用。 我的个人博客: 天涯志 我的公众号:菜鸟小谢 1.权限的管理 1.1 什么是权限管理 基本上涉及到用户参与的系统都要进行权限管理,权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。 权限管理包括用户身份认证和授权两部分,简称认证授权。对于需要访问控制的资源用户首先经过身份认证认证通过后用户具有.
深入浅出Shiro系列——权限认证
程序员的时光
07-01 574
写在前面:小伙伴儿们,大家好!上一篇我们学了Shiro身份认证——深入浅出Shiro系列——身份认证这次让我们一起来学习Shiro权限认证!思维导图:1,Shiro 授权授权,也叫访问...
shiro_03_权限认证(授权)
_Sherlock_
08-18 391
权限认证核心要素 权限认证,也就是访问控制,即在应用中控制谁能访问哪些资源。 在权限认证中,最核心的三个要素是:权限,角色和用户; 权限,即操作资源的权利,比如访问某个页面,以及对某个模块的数据的添加,修改,删除,查看的权利; 角色,是权限的集合,一中角色可以包含多种权限; 用户,在 Shiro 中,代表访问系统的用户,即 Subject; 授权 3种授权的方式: 编程性授权...
Shiro认证(Authentication)
最新发布
gghfzs1的博客
10-16 1080
Shiro 是一个强大而灵活的 Java 安全框架,主要用于解决认证(Authentication)、授权(Authorization)、加密和会话管理等问题。认证()、授权()、会话管理()、加密()被Shiro框架的开发团队称之为应用安全的四大基石,详细功能如下身份认证/登录,验证用户是不是拥有相应的身份确定用户是否有权执行特定的操作,通过定义角色和权限Shiro 可以控制用户对系统资源的访问。例如,某些用户可能被允许访问特定的页面或执行特定的操作,而其他用户则不可以。
Shiro 身份验证和权限认证
AdamShyly的博客
05-16 315
Spring Boot整合Shiro实现用户身份认证权限认证_齐天小圣^O^的博客-优快云博客_shiro怎么实现身份和权限认证
Shiro (三)之授权加注解式权限
cao_2000的博客
01-04 908
重点: 1.添加角色和权限的授权方法   //根据username查询该用户的所有角色,用于角色验证   Set&lt;String&gt; findRoles(String username); 代码分享: select r.roleid from t_shiro_user u,t_shiro_role r , t_shiro_user_role ur where u.userid=...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值