第六章 Realm及相关对象(四) Subject

最新推荐文章于 2024-10-16 18:54:04 发布
原创 最新推荐文章于 2024-10-16 18:54:04 发布 · 1.1k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细介绍了Apache Shiro框架中的Subject组件,包括身份验证、授权、会话管理和多线程支持等功能。通过具体的方法说明了如何使用Subject进行权限控制。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

第2~6章的完整Demo

第2~6章完整Demo



Subject自己不会实现相应的身份验证/授权逻辑,而是通过DelegatingSubject委托给SecurityManager实现;及可以理解为Subject是一个面门。

Subject是Shiro 的核心对象,基本所有身份验证、授权都是通过Subject完成。

1. 身份信息获取

Object getPrincipal(); //Primary Principal
PrincipalCollection getPrincipals(); // PrincipalCollection

2. 身份验证

void login(AuthenticationToken token) throws AuthenticationException;
boolean isAuthenticated();
boolean isRemembered();

通过login登录,如果登录失败将抛出相应的AuthenticationException,如果登录成功调用isAuthenticated就会返回true,即已经通过身份验证。

如果isRemembered返回true,表示是通过记住我功能登录的而不是调用login方法登录的。isAuthenticated / isRemembered是互斥的,即如果其中一个返回true,另一个返回false.

3. 角色授权验证

boolean hasRole(String roleIdentifier);
boolean[] hasRoles(List<String> roleIdentifiers);
boolean hasAllRoles(Collection<String> roleIdentifiers);
void checkRole(String roleIdentifier) throws AuthorizationException;
void checkRoles(Collection<String> roleIdentifiers) throws AuthorizationException;
void checkRoles(String... roleIdentifiers) throws AuthorizationException;

hasRole*进行角色验证,验证后返回true/false;而checkRole*验证失败时抛出AuthorizationException异常。

4. 权限授权验证

boolean isPermitted(String permission);
boolean isPermitted(Permission permission);
boolean[] isPermitted(String... permissions);
boolean[] isPermitted(List<Permission> permissions);
boolean isPermittedAll(String... permissions);
boolean isPermittedAll(Collection<Permission> permissions);
void checkPermission(String permission) throws AuthorizationException;
void checkPermission(Permission permission) throws AuthorizationException;
void checkPermissions(String... permissions) throws AuthorizationException;
void checkPermissions(Collection<Permission> permissions) throws AuthorizationException;

isPermitted*进行权限验证,验证后返回true/false;而checkPermission*验证失败时抛出AuthorizationException。

5. 会话

Session getSession(); //相当于getSession(true)
Session getSession(boolean create);

类似于Web中的会话,如果登录成功就相当 于建立了会话,接着可以使用getSession获取;如果create=true如果没有会话将返回null,而create=true如果没有会话会强制创建一个。

6. 退出

void logout();

7. RunAs

void runAs(PrincipalCollection principals) throws NullPointerException, IllegalStateException;
boolean isRunAs();
PrincipalCollection getPreviousPrincipals();
PrincipalCollection releaseRunAs();

RunAs即实现“允许A 假设为B 身份进行访问”;通过调用subject.runAs(b)进行访问;接着调用subject.getPrincipals将获取到B 的身份;此时调用isRunAs将返回true;而a 的身
份需要通过subject. getPreviousPrincipals获取;如果不需要RunAs了调用subject.releaseRunAs即可。

8. 多线程

<V> V execute(Callable<V> callable) throws ExecutionException;
void execute(Runnable runnable);
<V> Callable<V> associateWith(Callable<V> callable);
Runnable associateWith(Runnable runnable);

实现线程之间的Subject传播,因为Subject是线程绑定的;因此在多线程执行中需要传播到相应的线程才能获取到相应的Subject。最简单的办法就是通过execute(runnable/callable实例)直接调用;或者通过associateWith(runnable/callable实例)得到一个包装后的实例;它们都是通过:1、把当前线程的Subject绑定过去;2、在线程执行结束后自动释放。

Subject自己不会实现相应的身份验证/授权逻辑,而是通过DelegatingSubject委托给SecurityManager实现;及可以理解为Subject是一个面门。

对于Subject的构建一般没必要我们去创建;一般通过SecurityUtils.getSubject()获取

public static Subject getSubject() {
	Subject subject = ThreadContext.getSubject();
	if (subject == null) {
		subject = (new Subject.Builder()).buildSubject();
		ThreadContext.bind(subject);
	}
	return subject;
}

即首先查看当前线程是否绑定了Subject,如果没有通过Subject.Builder构建一个然后绑定到现场返回。

如果想自定义创建,可以通过:

new Subject.Builder().principals(身份).authenticated(true/false).buildSubject()

这种可以创建相应的Subject实例了,然后自己绑定到线程即可。在new Builder()时如果没有传入SecurityManager,自动调用SecurityUtils.getSecurityManager获取;也可以自己传入一个实例。

对于Subject我们一般这么使用:

1. 身份验证(login)

2. 授权(hasRole* / isPermitted* 或 checkRole* / checkPermission*)

3. 将相应的数据存储到会话(Session)

4. 切换身份(RunAs) / 多线程身份传播

5. 退出

而我们必须的功能就是1、2、5。到目前为止我们就可以使用Shiro进行应用程序的安全控制了,但是不是缺少如对Web验证、Java方法验证等一些简化实现。

shiro之Realm相关对象 PrincipalCollection(*)
weixin_42408447的博客
11-16 927
之前使用过的(来点印象) login("classpath:shiro-authenticator-all-success.ini"); Subject subject = SecurityUtils.getSubject(); //得到一个身份集合,其包含了Realm验证成功的身份信息 PrincipalCollection principalCollection = subject.getPrincipals(); Assert.assertEquals(2, principalCollection..
Shiro():Shiro 多Realm验证和认证策略
12程序猿的博客
10-19 700
Shiro(三)介绍Shiro 密码的比对与MD5盐值加密,接下来对 多Realm验证和认证策略进行简单的介绍。 存在这样一种场景,我们可能会把安全数据放到不同的数据库,比方说 mysql里有,oracle里也有,mysql里面的加密算法是MD5,oracle里面的加密算法是SHA1。这个时候我们进行用户认证时,就需要同时访问这两个数据库,就需要多个Realm。如果有多个Realm的话,还需要涉及到认证策略的问题。 目录一、多Realm验证配置流程:1.添加第二个Realm SecondRealm.jav
Shiro的Subject对象详解
热门推荐
和我一起学习吧
03-29 4万+
什么是Subject对象通常我们会将Subject对象理解为一个用户,同样的它也有可能是一个三方程序,它是一个抽象的概念,可以理解为任何与系统交互的“东西”都是Subject。如何获得Subject对象首先创建一个初始化文件shiro.ini[users] root=123,admin,person manage=123,campaign [roles] admin=* person = xia...
subject.runas
LHQChocolate的专栏
04-28 746
shiro中获取当前登录用户时源码中,默认取用户信息,关键部分代码截取DelegatingSubject.java: private static final String RUN_AS_PRINCIPALS_SESSION_KEY = DelegatingSubject.class.getName() + ".RUN_AS_PRINCIPALS_SESSION_KE...
shiro源码分析之Realm调用过程
光着脚丫、走的专栏
03-16 5438
shiro源码分析之Realm调用过程1、首先看使用shiro(1.3.0)框架要使用Realm的配置。 配置Spring.xml <!-- 自定义Realm实现 --> <bean id="shiroRealm" class="com.lcl.shiro.filter.realmManage"/> <!-- 安全管理器 --> <bean id="securityManager" clas
java subject,Java Subject.hasRole方法代码示例
weixin_33654339的博客
03-13 454
import org.apache.shiro.subject.Subject; //导入方法依赖的package包/类@Testpublic void test(){log.info("My First Apache Shiro Application");Factory factory = new IniSecurityManagerFactory("classpath:shiro.ini")...
Shiro判断Subject是否拥有该角色
廖先森的博客
03-20 6849
主要针对hasRole、hasRoles、hasAllRoles、checkRoles这几个方法的使用笔记 #### [shiro_role.ini] ```ini [users] java1234=123456,role1,role2 jack=123,role1 ``` #### 单个判断角色 hasRole多个依次判断,返回true或者false,是否拥有该角色 ```java @Test...
深入理解Shiro身份验证与Realm配置教程
4. 在用户提交表单后,Shiro 的 `Subject` 对象会调用 `login(token)` 方法,传递 `UsernamePasswordToken`。 5. Shiro 将调用之前配置的 Realm 的 `getAuthenticationInfo` 方法进行认证。 6. Realm 进行数据比对,...
第九章 Shiro 认证(Authentication)
最新发布
上官花雨滴博客!!!
10-16 884
Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、会话管理和加密等功能。对于任意一个应用程序,Shiro 都可以提供全面的安全管理服务,对比Spring Security,可能没有Spring Security功能强大,但是我们在实际工作中可能并不需要那么复杂的功能,所以使用简单易用的Shiro就已经足够了。本教程也只介绍基本的Shiro使用,不会过多分析源码等,重在使用。
Shiro自定义Realm示例教程:查询数据验证与Web集成
一个应用可以有多个 Realm,Shiro 会根据它们来查询、验证和获取与当前操作相关的用户信息。 ### 知识点二:自定义 Realm 的步骤 1. 继承 `AuthorizingRealm` 类:这是最常用的 Realm 基类,因为它既支持身份验证...
Shiro
weixin_30487701的博客
09-28 287
Shiro简介 SpringMVC整合Shiro,Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能。 Authentication:身份认证/登录,验证用户是不是拥有相应的身份; Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角色。或者细粒度的验证某个...
Shiro第二十一章-授予身份及切换身份
测试
04-30 491
使用场景 比如某个领导因故不能登录网站进行一些操作,他想把网站上的工作委托给他的秘书,但却不想把账号、密码告诉她。此时我们可以使用Shiro的RunAs功能,即允许一个用户假装成另一个用户的身份进行访问。 示例 示例基于第十六章,主要功能是用户、公司、角色和资源之间关系的调整,如修改用户所属公司、所有角色,资源所需权限、角色所有资源等。 数据库:新增user_runas...
十二.shiro更改用户信息同时更改subject中的信息
u014203449的博客
08-21 8333
当更改用户信息的时候,发现subject.却还是原来的信息, 没有直接的办法更改,只能给当前用户切换身份,切换一个认证信息给安全管理器。 当更改用户信息后,调用setUser方法,UserInfo是原来放在SimpleAuthenticationInfo中的对象,realName是原来realm的名字 public class ShiroUtils { public stati...
Java 客户端中使用 JAAS 身份验证
ndscyanfly的专栏
03-23 1180
[quote]Java 客户端中使用 JAAS 身份验证 本部分包含下列主题: JAAS 和 WebLogic Server JAAS 身份验证开发环境 使用 JAAS 身份验证编写客户端应用程序 使用 JNDI 身份验证 Java 客户端 JAAS 身份验证代码示例 这些部分引用了可从 BEA 的 dev2dev 网站联机获得的示例代码,WebLogic Serv...
9.Subject(用户安全操作门面)
浪子
09-12 3850
Subject几乎代理了所有有关用户的Security的操作。如:验证、授权、session管理..,它也可以说是用户安全相关安全操作的门面。通常我们可以通过SecurityUtils.getSubject()来获取一个Subject。 我们知道在基于WEB的应用中,shiro在生成Session后,然后把SessionID保存在客户端浏览器的cookie value中。当请求再次过来时,根据c
shiro的登录 subject.login(token)中执行逻辑和流程
qq_41358574的博客
11-02 8712
今天登录的时候一直没有记录当前用户信息下来,执行security.getsubject()时结果一直为空,遂看了下源码 使用subject.login的登录场景: (controller层) @GetMapping public Result userLogin(@ApiParam(name="userId",value="用户学号",required=true) @RequestParam(value = "userId",requir
shiro 调用 subject.login(token)方法后
scoreclass的博客
10-17 2716
在UserController中调用subject.login(token)方法 package com.woniuxy.controller; import java.util.ArrayList; import java.util.Arrays; import java.util.List; import javax.servlet.http.HttpServletRequest; import org.apache.shiro.SecurityUtils; import org.apache.s
Shiro学习笔记
shenxiaomo1688的博客
07-13 293
1.Shiro提供checkRole/checkRoles和hasRole/hasAllRoles方法用于判断用户是否拥有某个角色,返回值为boolean,用法: //判断拥有角色:role1 Subject subject=SecurityUtils.getSubject(); boolean b1= subject.checkRole("role1...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值