Apache Shiro 之 授权

最新推荐文章于 2021-06-15 23:54:10 发布
最新推荐文章于 2021-06-15 23:54:10 发布
阅读量192 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: Shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/q1392928762/article/details/80041956

第二章 Apache Shiro 授权

1.理解授权

授权,即访问控制,在应用中,用来控制各种角色对资源的访问权限等, 在授权中,有几个关键对象,主体(Subject),资源()Resuorce),权限(Permission),角色(Role)

主体:  即访问者,应用的任何访问者,不只是人,也有可能是个爬虫.

资源: 在应用中,主体可以访问的任何东西,比如页面,某个业务方法,某些数据等

权限: 安全策略中的院子授权单位,通过权限我们可以表示在应用中,主体没有操作某个资源的权利,如:增删改查,Apache Shiro 支持粗粒度权限(如用户模块的所有权限)和细粒度权限(操作某个用户的权限,即实例级别的)

角色: 角色代表了操作集合,可以理解为权限的集合,一般授予用户的是角色,即一组权限,

2.授权方式

编程式方式

Subject subject = SecurityUtils.getSubject();  
if(subject.hasRole(“admin”)) {  
    //有权限  
} else {  
    //无权限  
}

注解式方式

@RequiresRoles("admin")  
public void hello() {  
    //有权限  
}

标签方式

<shiro:hasRole name="admin">  
<!— 有权限 —>  
</shiro:hasRole>

3.授权

基于角色的访问控制(隐式角色)

[users]
chen=123,role1,role2
he=123,role3
[roles]
role1=user:create,user:update
role2=user:select
role3=user:delete

测试代码(测试用户是否拥有某角色)

 @Test(expected = UnauthorizedException.class)
    public void testHasRole() {
        //用户登录
        Subject subject = login("classpath:shiro-capter3.ini", "chen", "123");
        //用户chen,拥有角色role1
        Assert.assertTrue(subject.hasRole("role1"));
        //用户chen,没有角色role2
        Assert.assertFalse(subject.hasRole("noRole"));
        //检查用户是否拥有列表里的权限,没有的话会抛出UnauthorizedException异常
        subject.checkRoles("role1","role2","role3");

测试用户是否拥有某权限

@Test(expected = UnauthorizedException.class)
    public void testHashRight(){
        Subject subject = login("classpath:shiro-capter3.ini", "chen", "123");
        //断言用户有user:create权限
        Assert.assertTrue(subject.isPermitted("user:create"));
        //断言用户没有user:delete
        Assert.assertFalse(subject.isPermitted("user:delete"));
        //如果不存在某个权限时,会抛出UnauthorizedException异常
        subject.checkPermissions("user:create","user:select","user:delete");
    }

ini配置文件通配符书写方式

单个资源,单个权限        role1=user:create,update
单个资源,所有权限		 role=user:* 
所有资源,单个权限        role = *:create
单个实例,单个权限        role=user:create:1 #对user的1实例,有create权限
单个实例,多个权限		 role=user:create,update:1
单个实例,所有权限		 role=user:*:1
所有实例,单个权限		 role=use:create:*
所有实例,所有权限		 role=user:*:*

授权流程

  1. 首先调用Subject.isPermitted("")接口,其会委托SecurityManager,而SecurityManager接着会委托给Authorizer
  2. Authorizer是真正的授权者,如果我们调用isPermitted("user:create"),其首先会通过PermissionResolver把字符串转换成对应的Permission实例;
  3. 在进行授权之前,其会调用相应的Realm获取Subject相应的角色/权限用于匹配传入的角色/权限;
  4. Authirizer会判断Realm的角色/权限和传入的是否匹配,匹配返回true,否则返回false. 注意:如果存在多个Realm,会委托给ModularRealmAuthorizer进行循环匹配;

ModularRealmAuthorizer进行多Realm匹配流程:

  1. 首先检查相应的Realm是否实现了Authorizer;
  2. 如果实现了Authorizer,那么接着调用其相应的isPermitted/hasRole接口进行匹配
  3. 如果有一个Realm匹配那么将返回true,否则返回false

如果进行Realm授权的话,应该继承AuthorizingRealm

Authorizer,PermissionResolver,RolePermissionResolver

Authorizer 职责是进行授权,其提供了相应的角色权限判断接口.



Apache Shiro授权、访问控制(四)
山不转的博客
11-23 706
总的参考文档:http://shiro.apache.org/reference.html 本文参考文档:http://shiro.apache.org/authorization.html 1、概念 Shiro授权机制包含三个核心概念:Permissions、Roles、Users。 1.1.Permissions Permissions代表权限,关涉及用户。它一般是一种语句,表示对...
Apache Shiro 授权
百威
03-30 165
Apache Shiro 授权 授权,亦即访问控制,是管理资源访问的过程,换言之,也就是控制在一个程序中“谁”有权利访问“什么”。 授权的例子有:是否允许这个用户查看这个页面,编辑数据,看到按钮,或者从这台打印机打印?这些决定是一个用户可以访问什么的决断。 授权组件 授权有三个核心组件,在Shiro中我们经常要用到它们:权限(permissions)、角色(roles)和用户(u...
Apache Shiro 注解方式授权
热门推荐
王浩的技术博客
11-09 4万+
除了通过API方式外,Shiro 提供Java 5+注解的集合,以注解为基础的授权控制。在你可以使用Java 注释之前,你需要在你的应用程序中启用AOP 支持。 Shiro注解支持AspectJ、Spring、Google-Guice等,可根据应用进行不同的配置。 相关的注解如下: The RequiresAuthentication annotation(RequiresAuthentic
Apache shiro集群实现 (四)shiro授权(Authentication)--访问控制
04-23 1万+
授权即访问控制,它将判断用户在应用程序中对资源是否拥有相应的访问权限。  如,判断一个用户有查看页面的权限,编辑数据的权限,拥有某一按钮的权限,以及是否拥有打印的权限等等。  授权三要素 授权有着三个核心元素:权限、角色和用户。  权限 权限是Apache Shiro安全机制最核心的元素。它在应用程序中明确声明了被允许的行为和表现。一个格式良好好的权限声明可以清晰表达出用户对该资
Apache Shiro 标签模式授权
爱笑的博客
08-30 821
Apache Shiro 标签方式授权 Shiro提供了一套JSP标签库来实现页面级的授权控制。 在使用Shiro标签库前,首先需要在JSP引入shiro标签: 下面一一介绍Shiro的标签: guest标签 验证当前用户是否为“访客”,即未认证(包含未记住)的用户。   Hi there!  Please Login or Signup today!  
Apache shiro 1.13.0源码
01-17
Apache Shiro 是一个强大且易用的Java安全框架,提供了认证、授权、加密和会话管理功能,简化了企业级应用的安全实现。Shiro 1.13.0 是其一个重要的版本,包含了多项更新和改进。在这个版本中,开发者可以深入理解其...
Apache Shiro教程
12-30
Apache Shiro是一个强大的Java安全框架,它为应用程序提供了身份验证、授权、会话管理和加密等功能。这个教程将帮助你深入理解和有效地使用Shiro框架。在本文中,我们将详细探讨Shiro的核心概念、主要功能和常见用法...
Apache Shiro 使用手册(三) Shiro授权
09-15
授权Shiro 的核心功能之一,其目的是判断用户是否拥有对特定资源的访问权限。例如,系统可能需要判断一个用户是否有查看页面、编辑数据、使用特定按钮或者执行打印操作的权限。授权涉及到三个关键元素:权限...
Apache shiro1.10.0依赖
10-25
Apache Shiro 是一个强大且易用的Java安全框架,提供了认证、授权、加密和会话管理功能,可以非常轻松地开发出足够安全的应用。Shiro 1.10.0 版本是该框架的一个稳定版本,包含了自上个版本以来的一些改进和新特性。...
Apache shiro1.2.4反序列化漏洞介绍.docx
07-01
Apache Shiro是一个全面的Java安全框架,用于处理应用程序的安全需求,包括身份验证、授权、密码管理和会话管理。它的核心功能之一是“RememberMe”服务,该服务允许用户在关闭浏览器后仍然保持登录状态,无需在下次...
Apache Shiro授权功能-05
javaZhong的博客
04-24 213
Apache Shiro授权功能 授权(也称为访问控制)是确定应用程序中资源的访问权限的过程。换句话说,确定“谁有权访问什么。”授权用于回答安全问题,例如“用户是否允许编辑帐户”,“该用户是否允许查看此网页”,“该用户是否可以访问”到这个按钮?“这些都是决定用户有权访问的决定,因此都代表授权检查。 授权是任何应用程序的关键元素,但它很快就会变得非常复杂。Shiro的目标是消除授权的大部分复杂性...
1.Apache Shiro(认证,授权)基本介绍
相互学习 共同进步
06-15 2440
Apache Shiro(认证,授权)基本介绍 什么是Apache ShiroApache Shiro是一个功能强大且灵活的开源安全框架,可以干净地处理身份验证、授权、企业会话管理和加密,提供了一种直观,全面的身份验证、授权、加密和会话管理解决方案 Apache Shiro的首要目标是易于使用、理解。安全有时可能非常复杂,甚至会很痛苦,但这不是必须的。框架应尽可能掩盖复杂性,并公开简洁直观的API,以简化开发人员确保其应用程序安全的工作 官网:http://shiro.apache.org/ 同类的比
Apache Shiro 那点破事
cs767976639的专栏
11-22 2553
Apache Shiro 是一个框架,可用于身份验证和授权。本文提供了几个示例用来展示如何在 Java™ 应用程序中使用 Shiro 并给出了如何在一个 Grails web 应用程序中使用它的概述。为了从本文中最大限度地受益,您应该习惯于创建 Java 应用程序并安装了如下的几个组件: Java 1.6 JDK Grails(用来运行这些 web 应用程序示例) 在对系统进行安
详解登录认证及授权--Shiro系列(一)
李秀才的博客
06-03 3万+
Apache Shiro 是一个强大而灵活的开源安全框架,它干净利落地处理身份认证,授权,企业会话管理和加密。 Apache Shiro 的首要目标是易于使用和理解。安全有时候是很复杂的,甚至是痛苦的,但它没有必要这样。框架应该尽可能掩盖复杂的地方,露出一个干净而直观的 API,来简化开发人员在使他们的应用程序安全上的努力。 以下是你可以用 Apache Shiro 所做的事情: 验证用户来核实他们的身份 对用户执行访问控制,如: 判断用户是否被分配了一个确定的安全角色。 判断用户是否被允许做某事。 在任何
Apache Shiro权限框架
weixin_42183336的博客
08-11 2万+
简介 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码学和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。 主要功能 三个核心组件:Subject, SecurityManager 和 Realms. Subject:即“当前操作用户”。但是,在Shiro中,Subject这...
Apache Shiro--身份验证与授权
qw765811529的专栏
02-24 4608
一、简介 Shiro 是一个 Apache Incubator 项目,旨在简化身份验证和授权。 二、官网 http://shiro.apache.org/ 三、参考 http://www.ibm.com/developerworks/cn/web/wa-apacheshiro/ http://www.docin.com/p-265768384.html
Shiro 认证授权详解
皓晨的架构笔记
03-27 8209
1     权限管理1.1用户身份认证1.1.1  概念         身份认证,就是判断一个用户是否为合法用户的处理过程。最常用的简单身份认证方式是系统通过核对用户输入的用户名和口令,看其是否与系统中存储的该用户的用户名和口令一致,来判断用户身份是否正确。对于采用指纹等系统,则出示指纹;对于硬件Key等刷卡系统,则需要刷卡。1.1.2  用户名密码身份认证流程1.1.3  关键对象      ...
采用shiro实现登录认证与权限授权管理
水中加点糖
06-24 3万+
Shiro 是Shiro 是一个 Apache 下的一开源项目项目,旨在简化身份验证和授权。 本文中记录的是一次使用shiro实现登录认证与权限授权的过程。 本文中主要用的技术有: spring,springMVC,maven,shiroshiro的配置,通过maven加入shiro相关jar包 org.apache.shiro shiro-c
基于VAEMC架构的物联网综合管理平台_支持多协议设备接入_实时数据采集与分析_云端存储与可视化_远程监控与控制_智能预警与决策支持_适用于工业40_智慧城市_智能家居_农业物联.zip
最新发布
08-16
基于VAEMC架构的物联网综合管理平台_支持多协议设备接入_实时数据采集与分析_云端存储与可视化_远程监控与控制_智能预警与决策支持_适用于工业40_智慧城市_智能家居_农业物联.zip
Apache Shiro授权机制详解
"Apache Shiro是一个强大的Java安全框架,用于实现身份验证、授权、会话管理和缓存等功能。本文将深入探讨Shiro授权机制,包括其核心组件、权限分配和授权流程。" Apache Shiro授权机制是其功能的重要组成部分...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值