Shiro入门学习四

最新推荐文章于 2022-08-26 11:22:47 发布
原创 最新推荐文章于 2022-08-26 11:22:47 发布 · 364 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#shiro

Shiro入门学习四

授权

授权流程
授权流程参考官网Authorization Sequence,也可参阅第三章 授权——《跟我学Shiro》

这里写图片描述

流程如下:

  1. 首先调用Subject.isPermitted*/hasRole*接口,其会委托给SecurityManager,而SecurityManager接着会委托给Authorizer;
  2. Authorizer是真正的授权者,如果我们调用如isPermitted(“user:view”),其首先会通过PermissionResolver把字符串转换成相应的Permission实例;
  3. 在进行授权之前,其会调用相应的Realm获取Subject相应的角色/权限用于匹配传入的角色/权限;
  4. Authorizer会判断Realm的角色/权限是否和传入的匹配,如果有多个Realm,会委托给ModularRealmAuthorizer进行循环判断,如果匹配如isPermitted*/hasRole*会返回true,否则返回false表示授权失败。

在授权中需了解的几个关键对象:

  • 主提(subject):即访问应用的用户,在Shiro中使用Subject代表该用户
  • 资源(resources):在应用中用户可以访问的任何东西
  • 权限:对某个资源的细粒度的CRUD
  • 角色:角色代表了操作集合,可以理解为权限的集合

JavaSE例子

角色

shiro.ini文件中,添加如下的内容,配置用户拥有的角色:

[users]
kh=123,r1,r2
zhangsan=111,r3
lisi=123,r2,r3

测试如下:

    public Subject login(String username, String password) {
        Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini");
        SecurityManager securityManager = factory.getInstance();
        SecurityUtils.setSecurityManager(securityManager);

        Subject subject = SecurityUtils.getSubject();
        UsernamePasswordToken token = new UsernamePasswordToken(username, password);
        try {
            subject.login(token);
            return subject;
        } catch (UnknownAccountException e) {
            System.out.println("用户不存在");
        } catch (IncorrectCredentialsException e) {
            System.out.println("密码不存在");
        } catch (AuthenticationException e) {
            System.out.println("认证异常");
        }
        return null;
    }

    @Test
    public void testRole() {
        Subject subject = login("kh", "123");
        System.out.println(subject.hasRole("r1"));
        System.out.println(subject.hasAllRoles(Arrays.asList("r1","r2","r3")));
        System.out.println(subject.hasRoles(Arrays.asList("r1","r2","r3"))[2]);
        subject.checkRole("r1");
    }

做一些说明:

1.hasRole("r1")是否有r1角色,返回值为boolean
2.hasAllRoles是否有所有的权限,返回值为boolean
3.hasRoles返回值为boolean为数组
4.checkRole方法没有返回值,如果没有对应的角色,则抛异常

权限

如下配置权限:

[roles]
r1=user:create,user:delete
r2=topic:*
  • r1=user:create,user:delete表示r1具有user的create,delete权限,可简写为r1="user:create,delete"(注意带有引号)
  • r2=topic:*表示r2具有topic的所有权限

测试如下:

    @Test
    public void testPermission() {
        Subject subject = login("kh", "123");
        // 是否具有user的view权限 false
        System.out.println(subject.isPermitted("user:view"));
        // 是否具有user的delete权限 true
        System.out.println(subject.isPermitted("user:delete"));
        // 是否具有topic的create权限 true
        System.out.println(subject.isPermitted("topic:create"));
    }

如下的r1:

r1="user:create,delete","dep:del,view",classroom

classroom等同于classroom:*

r3=*:view表示r3具有任何的view的权限,如test:view,但test:abc:view则不行

自定义realm中权限的处理

可参考在Spring MVC中使用Apache Shiro安全框架

    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        //获取登录时输入的用户名
        String loginName = (String) principalCollection.fromRealm(getName()).iterator().next();
        //到数据库查是否有此对象
        User user = this.getDao().findByName(loginName);
        if (user != null) {
            //权限信息对象info,用来存放查出的用户的所有的角色(role)及权限(permission)
            SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
            //用户的角色集合
            info.setRoles(user.getRolesName());
            //用户的角色对应的所有权限,如果只使用角色定义访问权限,下面的四行可以不要
            List<Role> roleList = user.getRoleList();
            for (Role role : roleList) {
                info.addStringPermissions(role.getPermissionsString());
            }
            return info;
        }
        return null;
    }

授权推荐教程

加密

参阅第五章 编码/加密——《跟我学Shiro》

散列算法一般用于生成数据的摘要信息,是一种不可逆的算法,一般适合存储密码之类的数据,常见的散列算法如MD5、SHA等

        //202cb962ac59075b964b07152d234b70
        System.out.println(new Md5Hash("123").toHex());
        //ICy5YqxZB1uWSwcVLSNLcA==
        System.out.println(new Md5Hash("123").toBase64());

一般进行散列时最好提供一个salt(盐),比如加密密码“admin”,产生的散列值是“21232f297a57a5a743894a0e4a801fc3”,可以到一些md5解密网站很容易的通过散列值得到密码“admin”,即如果直接对密码进行散列相对来说破解更容易,此时我们可以加一些只有系统知道的干扰数据,如用户名和ID(即盐);这样散列的对象是“密码+用户名+ID”,这样生成的散列值相对来说更难破解。

String str = "hello";  
String salt = "123";  
String md5 = new Md5Hash(str, salt).toString();//还可以转换为 toBase64()/toHex()
Shiro源码分析 -- Subject.isPermitted(permission)已登陆用户判断是否具有某权限
TragedyXD的专栏
10-28 1万+
这行代码用来判断已登陆用户是否具有某权限 subject.isPermitted(permission.getPermission());假设登陆用户已有权限:system 我们需要判断的权限:    system:role:add 问题在于,此时shiro会判断用户具有system:role:add权限。 通过单步跟踪找到: WildcardPermission.impli
shiro——授权原理(源码流程)
dgh112233的博客
08-29 1071
目录 1. 授权入口 2. 源码追踪 1. 授权入口 subject.isPermitted(url); 这就是入口,如果用户有这个url权限,那么就返回true,如果没有,则返回false。 2. 源码追踪 由于我们的Subject默认是由DelegatingSubject 类实现的,所以调用的是DelegatingSubject类的isPermitted(String url...
Apache Shiro的用户授权isPermitted过程,导致jeesite授权失败
freedom
12-04 4152
在使用jeesite快速开发平台时,出现权限授权失败。 开发项目中有个用户模块,取包名 user 模块。通过自动生成代码后,controller层自动添加了如下权限 @RequiresPermissions("user:bjUser:view") @RequestMapping(value = {"list", ""}) public String list(BjUser ...
Shiro的授权实现源码分析之权限字符串校验
smalllongonline的专栏
08-26 599
Shiro的授权实现源码分析之权限字符串校验
权限解决方案:Shiro自定义Permission、AOP + Shiro
qq_45716444的博客
06-01 3448
权限解决方案 Shiro自定义Permission Shiro授权扩展 Shiro AuthorizerRealm重写isPermitted AOP + Shiro AOP 加 Shiro
shiro框架了解
ABestRookie的博客
06-28 513
shiro框架
shiro入门学习.ppt
06-15
4. **加密 (Cryptography)**:Shiro对JDK中的复杂加密算法进行了封装,使得开发者能够方便地进行数据加密,确保信息安全。 除了这些基本功能,Shiro还提供了许多扩展性特性: - **Web Support**:针对Web应用提供...
shiro入门学习demo源码
03-01
<bean id="myShiroRealm" class="com.z.shiro.realm.ShiroRealm"> <property name="cacheManager" ref="cacheManager" /> </bean> <!-- Shiro Filter --> <bean id="shiroFilter" class="org.apache...
shiro入门学习
04-20
shiro入门学习的ppt课件,含简单的介绍,简单的配置,简单的扩展
Shiro 权限管理
心猿意码
06-24 5112
一共5个表 用户表 角色表 权限表 用户角色中间表 角色权限中间表 权限验证 通过角色来判断有没有权限。 比如 if 用户有在用户角色中间表中有经理的角色, 就可以查看工资。这中判断比较笼统。适合比如实现不同的角色登录以后看到不同的菜单。 通过权限标识来判断, 这个就需要查出用户拥有的具体权限。 这个权限控制比较细致。 适合细致的,比如部门公司的管理员,只能修改该部门下的员工资料。 Shi...
Shiro---授权源码分析
Apple_Andy的博客
09-14 465
一.步骤总结 1.首先调用Subject.isPermitted/hasRole接口,其会委托给SecurityManager,而SecurityManage接着委托给Authorizer 2.Authorizer是真正的授权者,如果我们调用如.isPermitted(“user:view”),其首先会通过PermissionResolver把字符串换成相应的permission实例 3.在进行授权之前,其会调用相应的realm获取Subject相应的角色/权限用于匹配传入的角色/权限 4.Authoriz
shiro之授权(三)授权流程(*)
weixin_42408447的博客
11-17 274
流程如下: 1.首先调用Subject.isPermitted*/hasRole*接口,其会委托给SecurityManager,而SecurityManager接着会委托给Authorizer; 2.Authorizer是真正的授权者,如果我们调用如isPermitted(“user:view”),其首先会通过PermissionResolver把字符串转换成相应的Permission实例; 3.在进行授权之前,其会调用相应的Realm获取Subject相应的角色/权限用于匹配传入的角色/权限; 4.A.
Shiro系列十:授权源码解析
苍穹尘的博客
06-07 1234
一、授权流程   1、首先调用 Subject.isPermitted或hasRole 接口,其会委托给 SecurityManager,而 SecurityManager 接着会委托给 Authorizer;   2、Authorizer是真正的授权者,如果调用如 isPermitted(“user:view”),其首先会通过 PermissionResolver 把字符串转换成相应的 Per...
Shiro中的授权问题
江南一点雨的专栏
03-20 4172
在初识Shiro一文中,我们对Shiro的基本使用已经做了简单的介绍,不懂的小伙伴们可以先阅读上文,今天我们就来看看Shiro中的授权问题。 Shiro中的授权,大体上可以分为两大类,一类是隐式角色,还有一类是显式角色。我们来分别看下。隐式角色隐式角色是一种基于角色的访问权限控制,它在使用的过程中,我们直接判断相应的Subject是否是某一种角色,进而判断该Subject是否具备某种权限,比如下面
Shiro认证授权业务软件实现流程
Hadwin1991的博客
06-09 777
shiro认证授权业务软件实现流程
Shiro基础知识03----shiro授权(编程式授权),Permission详解,授权流程
热门推荐
ChangWen的博客
10-01 1万+
授权,也叫访问控制,即在应用中控制谁能访问哪些资源(如访问页面/编辑数据/页面操作等)。   在权限认证中,最核心的是:主体/用户(Subject)、权限(Permission)、角色(Role)、资源(Resource)。     1、权限,即操作资源的权利,通过权限我们可以表示在应用中用户有没有操作某个资源的权力。即权限表示在应用中用户能不能访问某个资源,比如访问某个页面,以及对某个模块的
shiro授权问题 详细介绍
weixin_44772380的博客
12-30 177
首先我先把图放上面 主要介绍一下 首先通过 shiro 相关的api创建 securityManager对应的subject 对象 2判断subject 主体是否通过认证 3 通过 subject .ispermitted()/hasRole方法进行权限判断 subject是由他的实现类DelegatingSubject调用方法的该类将处理交给securityManager 由他的实现类Defau...
Shiro 入门教程
让我们荡起双桨的博客
06-07 2300
一、名词解释 1、Subject:即" 当前操作用户 "。Subject代表了当前用户的安全操作,SecurityManager则管理所有用户的安全操作。 2、SecurityManager:它是Shiro框架的核心,典型的Facade模式,Shiro通过SecurityManager来管理内部组件实例,并通过它来提供安全管理的各种服务。 3、Realm:Realm充当了Shiro与应用安全
3.1shiro的权限解析配置及其说明
plumblum的博客
07-03 716
shiro的权限解析配置及其说明
Shiro入门学习shiroTest测试小代码解析
本资源中的'shiroTest测试小代码'是为了学习Shiro入门知识而编写的示例程序,它可以帮助初学者理解Shiro的基本使用方法。此代码不应用于商业目的,仅供个人学习和研究使用,并且可以免费下载获取。 在本资源中,'...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值