本文详细介绍了权限管理的概念,包括用户身份认证和授权,并重点讲解了Apache Shiro框架,阐述了Shiro的功能、使用意义以及如何实现认证和授权。通过示例展示了Shiro的配置和代码实现,帮助读者理解Shiro在实际应用中的工作流程。
一、权限管理
什么是权限管理?
基本上涉及到用户参与的系统都要进行权限管理,权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。
权限管理包括用户身份认证和授权两部分,简称认证授权。对于需要访问控制的资源用户首先经过身份认证,认证通过后用户具有该资源的访问权限方可访问。
二、身份认证
什么是身份认证?
身份认证,就是判断一个用户是否为合法用户的处理过程。最常用的简单身份认证方式是系统通过核对用户输入的用户名和口令,看其是否与系统中存储的该用户的用户名和口令一致,来判断用户身份是否正确。对于采用指纹等系统,则出示指纹;对于硬件Key等刷卡系统,则需要刷卡。
三、授权
什么是授权?
授权,即访问控制,控制谁能访问哪些资源。主体进行身份认证后需要分配权限方可访问系统的资源,对于某些资源没有权限是无法访问的 。
四、认证授权框架
认证授权框架有哪些?
shiro框架和spring security框架 这款框架是现在市面比较流行。
五、shiro框架
1.什么是shiro框架?
Apache Shiro™ is a powerful and easy-to-use Java security framework that performs authentication, authorization, cryptography, and session management. With Shiro’s easy-to-understand API, you can quickly and easily secure any application – from the smallest mobile applications to the largest web and enterprise applications.
Apache Shiro 是一个强大易用的 Java 安全框架,提供了认证、授权、加密和session会话管理等功能,对于任何一个应用程序,Shiro 都可以提供全面的安全管理服务。并且相对于其他安全框架spring security,Shiro 要简单的多.
Shiro是apache旗下一个开源框架,它将软件系统的安全认证相关的功能抽取出来,实现用户身份认证,权限授权、加密、会话管理等功能,组成了一个通用的安全认证框架。
2.使用shiro框架的意义
Shiro可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以用在JavaEE环境。Shiro可以帮助我们完成:认证、授权、加密、会话管理、与Web集成、缓存等。
六、使用shiro完成认证工作
Subject:主体访问系统的用户,主体可以是用户、程序等,进行认证的都称为主体;
Principal:身份信息----账号是主体(subject)进行身份认证的标识,标识必须具有唯一性,如用户名、手机号、邮箱地址等,一个主体可以有多个身份,但是必须有一个主身份(Primary Principal)。
credential:凭证信息---密码是只有主体自己知道的安全信息,如密码、证书等。
1.认证流程
2.实现
(1)创建一个maven java工程引入依赖
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-core</artifactId>
<version>1.9.0</version>
</dependency>
(2)创建ini配置文件
(3)代码测试
public class ShiroTest {
public static void main(String[] args) {
//1.获取SecutiryManagr对象
DefaultSecurityManager securityManager =new DefaultSecurityManager();
//2.读取ini文件
IniRealm iniRealm=new IniRealm("classpath:shiro.ini");
//3.设置securityManager的realm
securityManager.setRealm(iniRealm);
//4.设置securityManager上下文生效
SecurityUtils.setSecurityManager(securityManager);
//5.获取subject主体对象
Subject subject=SecurityUtils.getSubject();
try {
//UsernamePasswordToken作用就是封装你输入的账号和密码 账号密码是客户输入的账号和密码
UsernamePasswordToken token=new UsernamePasswordToken("guolaocai","123456");
//抛出异常 比对shiro中realm自带对比
subject.login(token);
System.out.println("登录成功!");
}catch (Exception e){
e.printStackTrace();
System.out.println("账号密码错误!");
}
}
}
(4)认证的原理
Subject: 主体 登录信息提交给SecurityManager, --->认证器Authenticator---->根据你的realm提供的数据进行相关的认证。 realm---与数据源交互的类。
七、授权
(1)修改ini文件
(2)修改原来的代码
public class ShiroTest {
public static void main(String[] args) {
//1.获取SecutiryManagr对象
DefaultSecurityManager securityManager =new DefaultSecurityManager();
//2.读取ini文件
IniRealm iniRealm=new IniRealm("classpath:shiro.ini");
//3.设置securityManager的realm
securityManager.setRealm(iniRealm);
//4.设置securityManager上下文生效
SecurityUtils.setSecurityManager(securityManager);
//5.获取subject主体对象
Subject subject=SecurityUtils.getSubject();
try {
//UsernamePasswordToken作用就是封装你输入的账号和密码 账号密码是客户输入的账号和密码
UsernamePasswordToken token=new UsernamePasswordToken("username","123456");
//抛出异常 比对shiro中realm自带对比
subject.login(token);
System.out.println("登录成功!");
}catch (Exception e){
e.printStackTrace();
System.out.println("账号密码错误!");
}
System.out.println("******************************登录后***********************************");
boolean authenticated = subject.isAuthenticated();
if(authenticated){
//判断您当前登录者是否具有user:update权限
boolean permitted = subject.isPermitted("user:update");
System.out.println(permitted);
//从角色角度看角色是否具有权限
boolean b = subject.hasRole("role1");
System.out.println(b);
}else {
System.out.println("请先认证!");
}
}
}
扫一扫
1041
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
