shiro权限框架

最新推荐文章于 2024-09-19 07:04:55 发布
原创 最新推荐文章于 2024-09-19 07:04:55 发布 · 232 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细介绍了Apache Shiro框架在权限管理方面的应用,包括基本的认证流程、自定义Realm的实现、散列加密算法的使用,以及如何进行授权操作。通过实例展示了如何配置Shiro,实现用户认证和权限控制。

1.入门案例

导入maven依赖

shiro-core:核心包
shiro-web:主要用于整合web项目
shiro-pring:主要用于整合spring框架
shiro-quartz:主要用于整合任务调度quartz
shiro-ehcache:主要用于整合ehcache缓存

pom.xml

        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-core</artifactId>
            <version>1.3.2</version>
        </dependency>
        <dependency>
            <groupId>junit</groupId>
            <artifactId>junit</artifactId>
            <version>4.12</version>
            <scope>test</scope>
        </dependency>   
        <dependency>
            <groupId>log4j</groupId>
            <artifactId>log4j</artifactId>
            <version>1.2.17</version>
        </dependency>
        <dependency>
            <groupId>commons-logging</groupId>
            <artifactId>commons-logging</artifactId>
            <version>1.2</version>
        </dependency>

shiro.ini

[users]
admin=123456

认证代码:

    @Test
    public void loginTest(){
        //认证操作
        //加载资源文件
        Factory<SecurityManager> factory=new IniSecurityManagerFactory("classpath:config/shiro.ini");
        //创建安全管理器
        SecurityManager securityManager = factory.getInstance();
        //把安全管理器设置到SecurityUtils中
        SecurityUtils.setSecurityManager(securityManager);
        //通过安全工具类创建当前Subject主体对象
        Subject subject = SecurityUtils.getSubject();
        //创建用户认证用的令牌
        UsernamePasswordToken token=new UsernamePasswordToken("admin","admin");
        //通过login方法进行认证
        try {
            subject.login(token);
            System.out.println("通过验证,可以登陆");
        } catch (AuthenticationException e) {
            System.out.println("登陆失败");
        }
        //判断认证结果
        boolean authenticated = subject.isAuthenticated();
        System.out.println("认证结果:"+authenticated);
        //退出系统
        subject.logout();
    }

认证成功:

通过验证,可以登陆
认证结果:true

认证失败:

登陆失败
认证结果:false

  • 原理分析

    1. 通过加载shiro.ini配置文件创建securityManager

    2. 通过subject.login方法提交认证,提交token封装的用户信息

    3. securityManager进行认证,securityManager最终由ModularRealmAuthenticator进行认证

    4. ModularRealmAuthenticator通过调用iniRealm去ini配置文件中查询用户信息

    5. iniRealm根据输入的token从ini配置文件中查询用户信息,根据帐号查询用户信息(用户名和密码),如果查询到用户信息,就返回用户信息,查询不到,返回null

    6. ModularRealmAuthenticator根据iniRealm返回的认证信息,如果是null,抛出异常。如果不是null,说明找到了用户,将返回的用户密码和token中的密码进行对比,如果不一致则抛出异常

1.自定义realm认证

实际开发过程中,realm域主要用于数据库的交互,我们可以自定义realm类,从数据库中获取信息

自定义realm的步骤:

  1. 自定义realm类继承AuthorizingRealm

  2. 重写验证方法,连接数据库,获取数据

  3. 自定义ini配置文件

  4. 通过junit进行测试

MyRealm.java

public class MyRealm extends AuthorizingRealm {
​
    /**
     * 授权方法
     * @param principalCollection
     * @return
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        return null;
    }
​
    /**
     * 认证方法
     * @param authenticationToken
     * @return
     * @throws AuthenticationException
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        //通过token令牌获取用户账户信息
        String username = (String)authenticationToken.getPrincipal();
        //根据用户名从数据库中查询用户密码
        String password="admin";
        if(password==null||"".equals(password)){
            return null;
        }
        //把用户名密码和域的简写类封装到SimpleAuthenticationInfo
        return new SimpleAuthenticationInfo(username,password,"myRealm");
    }
}

shiro-realm.ini

[main]
authRealm=com.yfy.realm.MyRealm
securityManager.realms=$authRealm

Test.java

    @Test
    public void loginTest1(){
        //认证操作
        //加载资源文件
        Factory<SecurityManager> factory=new IniSecurityManagerFactory("classpath:config/shiro-realm.ini");
        //创建安全管理器
        SecurityManager securityManager = factory.getInstance();
        //把安全管理器设置到SecurityUtils中
        SecurityUtils.setSecurityManager(securityManager);
        //通过安全工具类创建当前Subject主体对象
        Subject subject = SecurityUtils.getSubject();
        //创建用户认证用的令牌
        UsernamePasswordToken token=new UsernamePasswordToken("admin","admin");
        //通过login方法进行认证
        try {
            subject.login(token);
            System.out.println("通过验证,可以登陆");
        } catch (AuthenticationException e) {
            System.out.println("登陆失败");
        }
        //判断认证结果
        boolean authenticated = subject.isAuthenticated();
        System.out.println("认证结果:"+authenticated);
        //退出系统
        subject.logout();
    }

3.散列加密算法

在实际开发过程中,一般密码都是以密文的形式进行保存的。shiro也对数据加密提供了支持,常见的加密算法有:md5,sha等

1.Md5Hash类 :通过带参构造器可以实现带验证的加密

2.SimpleHash类:通过带参构造器可以指定加密方式

    /**
     * md5和sha的加密算法
     */
    @Test
    public void testMd5(){
        String password="admin";
        String salt="123456";
        int times=1;
        //参数:原始密码的明文,盐值随机数,数列次数
        Md5Hash md=new Md5Hash(password,salt,times);
        System.out.println(md);
        System.out.println("---------------");
        //参数:加密方式,原始密码的明文,盐值随机数,数列次数
        SimpleHash sh=new SimpleHash("sha",password,salt,times);
        System.out.println(sh);
    }

4.散列加密算法实现步骤

  1. 数据插入到数据库的时候,先根据加密算法加密后再保存

  2. 自定义realm类,继承AuthorizingRealm抽象类

  3. 重写验证方法,根据用户名查询加密后的用户密码和盐值

  4. 编写ini配置文件,设置匹配器

Md5AutoRealm.java

public class Md5AuthRealm extends AuthorizingRealm {
​
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        return null;
    }
    /**
     * 认证方法
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        //通过token对象获取用户账号,用户自己输入的账号
        String username = token.getPrincipal().toString();
        //根据获取到的用户账号查询数据表中对应密码和盐值  加密后的密码值
        String password = "50317b958ee25a1e14449aeb95db5245";
        //密码加密到数据库时使用的盐值
        String salt = "abcd";
        //封装到SimpleAuthenticationInfo实现类对象中
        SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(username,password,ByteSource.Util.bytes(salt),"md5AuthRealm");
        return authenticationInfo;
    }
​
}

shiro-md5.ini

[main]
#定义凭证匹配器
credentialsMatcher=org.apache.shiro.authc.credential.HashedCredentialsMatcher
#定义散列算法
credentialsMatcher.hashAlgorithmName=md5
#定义散列次数
credentialsMatcher.hashIterations=1
#将凭证匹配器设置到域
md5AuthRealm=com.yfy.realm.Md5AuthRealm
md5AuthRealm.credentialsMatcher=$credentialsMatcher
securityManager.realms=$md5AuthRealm

5.shiro通过ini配置文件授权

shiro-perm.ini

[users]
#用户admin的密码是admin,此用户具有role1和role2两个角色
admin=admin,role1,role2
#用户test的密码是test,此用户具有role2角色
test=test,role2
​
[roles]
#角色role1对资源user拥有create、update权限
role1=user:create,user:update
#角色role2对资源user拥有create、delete权限
role2=user:create,user:delete
​
#配置文件中的内容属于静态的资源配置定义,动态的数据配置需要从数据库中获取
#user:*代表通配符,匹配所有user操作权限

Test.java

    @Test
    public void testPerm() {
        // 加载资源文件
        Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:config/shiro-perm.ini");
        // 创建安全管理器
        SecurityManager securityManager = factory.getInstance();
        // 把安全管理器设置到SecurityUtils
        SecurityUtils.setSecurityManager(securityManager);
        // 通过安全工具类创建subject主体对象
        Subject subject = SecurityUtils.getSubject();
        // 创建用户认证用的令牌
        UsernamePasswordToken token = new UsernamePasswordToken("test", "test");
        try {
            // 通过subject主体的login方法来进行认证
            subject.login(token);
            System.out.println("通过验证,可以登录系统");
        } catch (Exception e) {
            System.out.println("验证失败。。。。");
            e.printStackTrace();
        }
        // 判断认证结果
        boolean authenticated = subject.isAuthenticated();
        System.out.println(authenticated);
​
        // 判断当前主体对象是否属于指定的角色
        boolean hasRole = subject.hasRole("role1");
        System.out.println("当前主体是否拥有role1 :" + hasRole);
​
        // 判断是否具有自定的权限
        boolean permitted = subject.isPermitted("test");
        System.out.println("当前主体具有创建用户的权限:" + permitted);
​
        // 多角色判断
        boolean flag = subject.hasAllRoles(Arrays.asList("role1", "role2", "role3"));
        System.out.println("当前主体具有role1和role2两个角色:" + flag);
        // 多权限判断
        boolean ppflag = subject.isPermittedAll("user:create", "user:delete");
        System.out.println("ppflag:" + ppflag);
    }

输出结果:

通过验证,可以登录系统
true
admin的输入role1 :false
当前主体具有创建用户的权限:false
当前主体具有role1和role2两个角色:false
ppflag:true

6.自定义realm授权

  • 自定义realm授权的目的是为了访问数据库,操作数据库中的数据进行验证、授权判断

MyPermRealm.java

public class MyPermRealm extends AuthorizingRealm {
​
    /**
     * 授权操作
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        // 获取用户名
        String username = principals.getPrimaryPrincipal().toString();
        List<String> perms = new ArrayList<String>();
        //根据用户名从数据库中获取角色信息
        String[] roles = {"role1","role2"};
        //遍历角色,根据角色获取每一个角色具有权限信息
        for(String role : roles){
            //获取权限信息,并且保存到权限列表中
            perms.add("user:create");
            perms.add("user:delete");
            perms.add("user:update");
        }
        //把权限列表封装到SimpleAuthorizationInfo对象中
        SimpleAuthorizationInfo saif = new SimpleAuthorizationInfo();
        saif.addStringPermissions(perms);
        saif.addRoles(Arrays.asList(roles));
        return saif;
    }
​
    /**
     * 认证方法
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        String username = token.getPrincipal().toString();
        //根据用户获取用户密码
        String password = "admin"; //从数据库中获取到的密码的值
        //把用户名和密码封装到AuthenticationInfo的实现类对象中
        SimpleAuthenticationInfo shinfo = new SimpleAuthenticationInfo(username,password,"authRealm");
        return shinfo;
    }
​
}

shiro-perm-realm.ini

[main]
authRealm=com.yfy.realm.MyPermRealm
securityManager.realms=$authRealm

Test.java

    @Test
    public void testPermRealm() {
        // 加载资源文件
        Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:config/shiro-perm-realm.ini");
        // 创建安全管理器
        SecurityManager securityManager = factory.getInstance();
        // 把安全管理器设置到SecurityUtils
        SecurityUtils.setSecurityManager(securityManager);
        // 通过安全工具类创建subject主体对象
        Subject subject = SecurityUtils.getSubject();
        // 创建用户认证用的令牌
        UsernamePasswordToken token = new UsernamePasswordToken("admin", "admin");
        try {
            // 通过subject主体的login方法来进行认证
            subject.login(token);
            System.out.println("通过验证,可以登录系统");
        } catch (Exception e) {
            System.out.println("验证失败。。。。");
            e.printStackTrace();
        }
        // 判断认证结果
        boolean authenticated = subject.isAuthenticated();
        System.out.println(authenticated);
        if (authenticated) {
            // 判断当前主体对象是否属于指定的角色
            //boolean hasRole = subject.hasRole("role1");
            //System.out.println("admin的输入role1 :" + hasRole);
​
            // 判断是否具有自定的权限
            boolean permitted = subject.isPermitted("user:create");
            System.out.println("当前主体具有创建用户的权限:" + permitted);
​
            // 多角色判断
            boolean flag = subject.hasAllRoles(Arrays.asList("role1", "role2"));
            System.out.println("当前主体具有role1和role2两个角色:" + flag);
            // 多权限判断
            boolean ppflag = subject.isPermittedAll("user:create", "user:delete");
            System.out.println("ppflag:" + ppflag);
        }
    }

输出结果:

通过验证,可以登录系统
true
当前主体具有创建用户的权限:true
当前主体具有role1和role2两个角色:true
ppflag:true

 

精选资源
Apache Shiro权限框架实战+项目案例视频课程
06-09
Apache Shiro是一个强大的Java安全框架,它为应用程序提供了身份验证(Authentication)、授权(Authorization)以及会话管理(Session Management)等功能。本课程旨在通过实战演练和项目案例,帮助学习者深入理解...
精选资源
Shiro权限框架由浅入深讲解教程课件
01-07
Apache Shiro 是一个轻量级的 Java 安全框架,主要负责身份验证、授权、加密以及会话管理。它的设计目标是简化应用安全的实现,让开发者能够快速地为各种类型的程序添加安全特性,从简单的命令行应用到复杂的 web ...
关于shiro授权的格式记录
p_animal的博客
01-17 543
@Bean public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager) { ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean(); shir...
Shiro(一)——Shiro概述
方圆几里
03-21 731
什么是Apache Shiro? Apache的强大灵活的开源安全框架 可以完成认证,授权,企业会话管理,安全加密等功能 Shiro与Spring Security比较 Apache Shiroshiro不依赖于spring,可脱离Spring,简单灵活,shiro不仅可以实现web应用的权限管理,还可以实现c/s系统,分布式系统权限管理,shiro属于轻量框架,目前使用率广泛。 Spring...
swoolefy框架快速入门指南
gitblog_00176的博客
09-19 736
swoolefy框架快速入门指南 swoolefy是一个基于Swoole扩展设计的轻量级、高性能且开放的API与Web应用服务框架。它旨在简化基于协程的应用开发,提供了一套常驻内存型架构方案,极大提升了PHP服务端的处理能力。以下是该框架的基本使用和配置指导。 1. 项目目录结构及介绍 swoolefy框架的目录结构精心组织,便于理解和扩展: ├── app # ...
swoolefy框架快速入门与实践
最新发布
gitblog_00286的博客
09-19 1184
swoolefy框架快速入门与实践 项目介绍 swoolefy 是一款基于Swoole构建的协程级、轻量级且高性能的API及Web应用服务框架。它设计为常驻内存型架构,高度整合了HTTP、WebSocket、UDP服务器,并通过TCP支持扩展RPC服务。此外,该框架采用 Composer 包的形式便于安装和部署,简化了PHP开发者对于Swoole的集成体验,旨在降低异步编程的学习曲线,提供无缝的传...
【简报】Wirefy-响应式构架的框架工具
GBin1.com
08-17 742
日期:2012-8-17  来源:GBin1.com 如果你是一个web网站设计人员或者开发工程师的话,那么使用Wirefy将会对你开发一个网站原型非常的有帮助。它是一个帮助你开发响应式并且跨浏览器的CSS-JS框架。 Wirefy创建的界面简单直观,不会让你的客户被颜色或其它样式给干扰,因为它让你更加专注于网站的布局和功能。 这个框架包括所有的网站开发和设计需要的元素,例如布局、网格、
由浅入深掌握Shiro权限框架资料.zip
07-31
2、shiro权限框架的核心组件;3、springboot下shiro的使用; 4、shiro认证鉴权的缓存机制;5、分布式下使用shrio处理统一会话;6、密码重试次数,并发登录控制;7、前后端分离的鉴权方式;8、建立分布式统一鉴权系统...
精选资源
由浅入深掌握Shiro权限框架视频教程
08-12
​ 2、shiro权限框架的核心组件 ​ 3、springboot下shiro的使用 ​ 4、shiro认证鉴权的缓存机制 ​ 5、分布式下使用shrio处理统一会话 ​ 6、密码重试次数,并发登录控制 ​ 7、前后端分离的鉴权方式 ​ 8、...
使用Shiro实现权限验证
热门推荐
YanMonarch博客
01-17 10万+
《使用Shiro实现权限验证》 1. Shiro入门 ApacheShiro是一个功能强大且易于使用的Java安全框架,提供了认证,授权,加密,和会话管理。 Shiro有三大核心组件: Subject:即当前用户,在权限管理的应用程序里往往需要知道谁能够操作什么,谁拥有操作该程序的权利,shiro中则需要通过Subject来提供基础的当前用户信息,Subject 不仅仅代表某个用户,与当前
关于Shiro框架的学习(一)
Object的博客
08-18 4047
由于最近在做一个项目,刚完成到登录注册,不想和以前的项目搬同样的砖了,想完成点不那么low的功能,像单点登录、权限控制等,于是就想起了Shiro框架
Fastify
hulitong
02-13 215
fastify学习记录
Shiro】Apache Shiro架构之权限认证(Authorization)
武哥聊编程
07-03 1万+
上一篇博文总结了一下Shiro中的身份认证,本文主要来总结一下Shiro中的权限认证(Authorization)功能,即授权。如下: 本文参考自Apache Shiro的官方文档:http://shiro.apache.org/authorization.html。 本文遵循以下流程:先介绍Shiro中的权限认证,再通过一个简单的实例来具体说明一下API的使用(基于maven)。 1
SpringBoot 使用Shiro自定义权限拦截器实现多个perm权限的配置
wangzai_a的博客
07-31 2740
本文结合了两位大佬的文章,自己实现了多个perm权限的配置 主要参考:SpringBoot-Shiro自定义过滤器实现配置多个权限 辅助参考:SpringBoot 使用Shiro权限框架自定义拦截器检查token失效 一.为什么要自定义过滤器 在项目开发过程中,安全对于后台管理很重要。shiro是一个比较常流行的安全框架,在项目中的权限配置会有各种不同的需求,例如有的url需要用户拥有多个权限中的一个权限就能够访问,这个就要自己编写拦截器(过滤器)的规则。 二.Shiro中的权限控制 shiro权限控制是在
spring 集成shiro 之 自定义过滤器
学习笔记
09-03 6万+
转:http://blog.youkuaiyun.com/shuishouhcd/article/details/9077379 最近一段时间,我一直在将shiro集成到我的一个项目中,用作认证和授权处理。             shiro对我来说是个新东西,以下是我学习过的内容:             http://shiro.apache.org/authoriz
Shiro初级应用--小试牛刀体验shiro
qq_33693776的博客
05-17 197
最近在看Shiro安全框架,了解到了一些初级的应用,先记录一波shiro的认证和授权的简单应用,后续继续深入学习,再捋一捋shiro框架的架构和高级应用。 Apache Shiro是Java的一个安全框架。功能强大,使用简单的Java安全框架,它为开发人员提供一个直观而全面的认证,授权,加密及会话管理的解决方案。 Shrio是一款比较简单的安全框架,虽然Spring Security会简易很多,但是在我们一般的开发中已经足够保证安全了。 Shiro最简单的应用也是最重要的应用就是认证(Authenticat
shiro权限框架实战
在奋斗的路上
08-27 1万+
shiro框架作为一种开源的权限框架,通过将身份认证和授权从具体的业务逻辑中分离出来极大地提高了我们的开发速度,它的易用性使得它越来越受到人们的青睐。与之前的ACL权限框架相比,shiro能更容易的实现权限控制,而且作为基于RBAC的权限管理框架通过与shiro标签结合使用,能够让开发人员在更加细粒度的层面上进行控制。举个例子来讲,之前我们使用基于ACL的权限控制大多是控制到连接(这里的连接大家可以简单的认为是页面,下同)层面,也就是通过给用户授权让这个用户对某些连接拥有权限,这种情况显然不太适合具体的项目
Shiro介绍(三):授权及验证的简单之美
SHARE & TOP
12-06 1万+
昨天我们发现,一旦我们完成Spring的必要配置之后,Shiro在认证方面的代码量是非常少的。今天我们来看看关于授权(Authorization)
Shiro权限框架整合教程
"本文主要介绍如何在项目中集成Apache Shiro权限框架,以及Shiro的基本概念和权限系统设计。Shiro是一个轻量级且易于使用的权限管理框架,与Spring Security等相比,它提供了更为简洁的API。Shiro的核心功能包括认证...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值