shiro-身份授权流程、案例

最新推荐文章于 2023-10-19 14:43:56 发布
原创 最新推荐文章于 2023-10-19 14:43:56 发布 · 890 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#shiro #java

本文详细介绍了Shiro框架的身份授权流程,涉及如何通过Subject进行权限检查,通过数据库查询用户角色和权限,并展示了查询数据库的伪代码。重点讲解了如何通过`isPermitted`和`hasRole`接口验证用户权限和角色。
一、身份授权流程
  1. 首先调用Subject.isPermitted/hasRole接口,委托给SecurityManager.
  2. SecurityManager接着会委托给内部组件Authorizer.
  3. Authorizer再将其请求委托给我们的Realm去做,Realm才是真正干活的.
  4. realm将用户请求的参数封装成权限对象,再从我们重写的doGetAuthorizationInfo方法中获取从数据库中查询到的权限集合.
  5. Realm将用户传入的权限对象,与数据库查询出来的权限对象进行比较。如果用户掺入的权限对象在数据库中存在,侧返回true,否则返回false。
    前提:进行授权操作的前提,用户必须通过认证。
二、案例
1.首先模拟数据库查询数据
 /**
     * 通过用户名查询角色列表
     * @param loginName
     * @return
     */
    List<String> findRoleByLoginName(String loginName);

    /**
     * 通过用户名查询资源列表
     * @param loginName
     * @return
     */
    List<String> findPermissionByLoginName(String loginName);

/**
     * 通过用户名查询角色列表
     * 伪代码
     * @param loginName
     * @return
     */
    @Override
    public List<String> findRoleByLoginName(String loginName) {
        List<String> list = Lists.newArrayList();
        list.add("admin");
        list.add("dev");
        return list;
    }

    /**
     * 通过用户名查询资源列表
     * 伪代码
     * @param loginName
     * @return
     */
    @Override
    public List<String> findPermissionByLoginName(String loginName) {
        List<String> list = Lists.newArrayList();
        list.add("order.add");
        list.add("order.insert");
        list.add("order.delete");
        return list;
    }
2.编写授权,认证的代码在之前的文章里
/**
     * 鉴权
     * @param principalCollection
     * @return
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        //一、拿到用户凭证
        String loginName = (String)principalCollection.getPrimaryPrincipal();
        //二、从数据库中查询对应的角色和权限
        SecurityServiceImpl service = new SecurityServiceImpl();
        List<String> roles = service.findRoleByLoginName(loginName);
        List<String> permissions = service.findPermissionByLoginName(loginName);
        //三、构建资源校验对象
        SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
        simpleAuthorizationInfo.addRoles(roles);
        simpleAuthorizationInfo.addStringPermissions(permissions);
        return simpleAuthorizationInfo;
    }

         //导入ini配置创建工厂
        IniSecurityManagerFactory factory = new IniSecurityManagerFactory("classpath:shiro.ini");
        //工厂构建安全管理器
        SecurityManager securityManager = factory.getInstance();
        //使用工具生效安全管理器
        SecurityUtils.setSecurityManager(securityManager);
        //使用工具获取subject的主体
        Subject subject = SecurityUtils.getSubject();
        //构建账号密码
        UsernamePasswordToken passwordToken = new UsernamePasswordToken("zhangSan", "123");
        //使用subject主体去登录
        subject.login(passwordToken);
        //打印登录信息
        System.out.println("登录结果" + subject.isAuthenticated());

        //校验当前用户是否拥有管理员的权限
        boolean admin = subject.hasRole("admin");
        System.out.println("是否用户管理员角色"+admin);
        //校验当前用户没有的角色
        try {
            subject.checkRole("coder");
            System.out.println("当前用户有coder这个角色");
        } catch (AuthorizationException e) {
            System.out.println("当前用户没有coder这个角色");
        }
        //校验当前用户的权限信息
        System.out.println("当前用户是否有查看订单的权限"+ subject.isPermitted("order:list"));
        //校验当前用户没有的权限
        try {
            subject.checkPermission("order:update");
            System.out.println("当前用户有修改权限");
        } catch (AuthorizationException e) {
            System.out.println("当前用户没有修改权限");
        }
执行结果

在这里插入图片描述

Shiro认证流程授权流程
Emma_Joans的博客
10-12 1万+
认证:身份验证,即在应用中谁能证明他就是他本人。一般提供如他们的身份ID一些标识信息来表明他就是他本人,如提供身份证,用户名/密码来证明。 在shiro中,用户需要提供principals (身份)和credentials(证明)给shiro,从而应用能验证用户身份: principals:身份,即主体的标识属性,可以是任何东西,如用户名、邮箱等,唯一即可。一个主体可以有多个principals
Shiro源码分析----授权流程
云原生之家
01-14 1316
在一个用户登录后,即身份认证通过,只能证明该登录身份是合法的,至于具体能访问系统中的什么资源,需要通过授权来控制。一般系统中都是通过用户关联角色、角色再关联权限来实现判断一个用户是否有某资源的使用权限Shiro也提供了相应的实现权限控制。 Shiro中的权限控制也是通过Filter来实现的,在前面认证流程中讲到,Shiro的DefaultFilterChainManager类会创建
shiro认证授权的过程
05-01
NULL 博文链接:https://yuhuiblog695685688425687986842568269.iteye.com/blog/2405483
Apache Shiro 授权过程
王浩的技术博客
11-02 221
下面详细介绍在进行授权时,Shiro的内部处理机制。 如上图,我们通过Shiro架构图的授权部分,来说明Shiro授权内部的处理顺序: 1.应用程序或框架代码调用任何Subject的hasRole*,checkRole*,isPermitted*,或者checkPermission*方法的变体,传递任何所需的权限或角色内容。 2.Subject的实例,通常是DelegatingSub...
Shiro授权流程
qq_43654581的博客
10-29 466
了解Shiro授权流程,并debug演示
精选资源
Springboot-Shiro-Activiti
05-14
在本项目中,Shiro用于用户的身份验证和授权,确保只有经过验证的用户才能访问特定的资源。你可以通过Shiro的拦截器或者注解来控制对URL、方法或整个控制器的访问权限。 接下来,Activiti是一个开源的工作流和业务...
shiro-cas-1.2.1.jar
07-29
在本案例中,我们关注的是 Shiro 集成 CAS(Central Authentication Service)的实现,这通常用于实现单点登录(Single Sign-On, SSO)功能。 "shiro-cas-1.2.1.jar" 是一个专门针对 Shiro 与 CAS 集成的库,版本为...
shiro-ssm登录权限全面解析案例教程
在当今的IT开发领域,信息安全和用户...通过阅读并理解本案例文档,开发者可以掌握Shiro与SSM框架整合的完整流程,熟悉在SSM项目中应用Shiro实现安全相关的功能。这将对提升Web应用的安全性和用户体验产生重要影响。
shiro认证和授权案例
10-12
Apache Shiro是一个强大的Java安全框架,它提供了身份验证(Authentication)、授权(Authorization)以及会话管理(Session Management)等功能,简化了开发人员在构建安全应用时的复杂性。本案例将深入探讨Shiro...
Shiro-UAA v1.0.7 轻量级认证服务源码发布
Apache Shiro是一个强大的、易于使用的Java安全框架,提供了身份验证、授权、会话管理以及加密等功能。而shiro-uaa(User Account and Authentication)是一个基于Shiro的轻量级用户账号和身份认证服务的实现,为...
Jeesite 登录login涉及到shiro验证和授权流程分析
05-29
实习生阶段:进来公司没任何培训,给了我们几个实习生一个月的时间自学SSM框架、掌握开源JeeSite框架和使用JeeSite开发一个小demo(突然感觉头有点大,没人带)然后自己被分配了做涉及使用shiro的登录模块的开发,随时做下笔记,第一次写博客,第一篇博客在此主要分析一下下Jeesite 登录时通过shiro验证和授权的主要流程(关于shrio,先学习下快速入门的使用知识,http://www.cnblogs.com/learnhow/p/5694876.html
Shiro登陆验证实例,采用SSM
12-06
采用了Spring+SpringMVC+Mybatis+Shiro+Msql来写了一个登陆验证的实例,具体效果和过程看http://blog.youkuaiyun.com/evankaka/article/details/50196003
shiro授权实例
苏木的博客
04-26 185
shiro授权实例 个人博客 一、shiro授权角色实例 1、需要导入的依赖 <dependencies> <dependency> <groupId>junit</groupId> <artifactId>junit</artifactId> <version>4.9</version> </depen
极简入门,Shiro的认证与授权流程解析
java思维导图
05-08 546
小Hub领读:接下来的几天,我们开讲Shiro,从入门到分析、集成、单点登录整合等几篇。今天我们先来认识一下Shiro吧~其实Shiro框架并不难,我梳理了一下,你只需要学会以下内容基本...
Shiro 授权过程
weixin_43145065的博客
10-19 232
Shiro 授权过程
shiro授权功能实例
Bbb的博客
07-02 1456
shiro授权功能实例一、在配置文件中,配置需要权限信息&lt;?xml version="1.0" encoding="UTF-8"?&gt; &lt;beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schem...
shiro授权管理的过程
大鱼的博客
07-03 762
shiro作为Apache的一款安全产品,Shiro包括四大模块: Shiro内部调用流程: 从图中可以看出,要是我们想进行安全管理,就必须先经过subject,到达安全管理后,使用Realm获取真实的信息与用户输入的进行比对。 授权管理主要分为两部分,首先肯定用户得登录成功;然后才能继续谈及授权 登录部分 (1)必须先经过Subject,然后才能进入到security...
Shiro授权
m0_60385807的博客
12-25 2373
一、shiro授权角色、权限 思路: 给用户授予角色 给用户授予权限 做法: 1、拿到账号 2、通过用户账号查询对应的能够看到的那些菜单 3、将这些权限交给shiro管理 授予角色做法: 1、拿到账号 2、通过用户账号查询对应的能够看到的那些角色 3、将这些权限交给shiro管理 mapper.xml Mapper.java Service.java Mapper.xml <!--添加通过账号查询用户信息--> <select id="queryByName" resul
shiro认证授权流程
刘杰 廊坊师范学院信息技术提高班十期
06-30 1802
shiro框架的出现使得认证和授权变的简单,那shiro是如歌进行认证和授权的呢,下面来看看其流程: 认证流程: 认证流程: 1、通过ini配置文件创建securityManager 2、调用subject.login方法主体提交认证,提交的token 3、securityManager进行认证,securityManager最终由ModularRealmAuthentica
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值