shiro授權

原創 安分_pingping 2020-02-22 15:22
一、Shiro授權

1.授權,也叫訪問控制,即在應用中控制誰訪問那些資源(如訪問頁面/編輯數據/頁面操作等)。在授權中需要了解的幾個關鍵對象:主體(Subject),資源(Resource),權限(Permission),角色(Role)。
2.主體(Subject):訪問應用的用戶,在Shiro中使用Subject代表該用戶。用戶只有授權後才允許訪問相應的資源。
3.資源(Resource):在應用中用戶可以訪問的url,比如訪問jsp頁面,查看/編輯某些數據,訪問某個業務方法,打印文本等等都是資源。用戶只有授權後才能訪問。
4.權限(Permission):安全策略中的原子授權單位,通過權限我們可以表示用戶在應用中用戶有沒有操作這個資源的權利。即權限表示在應用中能不能訪問某個資源,如:訪問用戶列表頁面查看/新增/修改/刪除用戶數據(很多時候都是CRUD式權限控制等)。權限代表了用戶有沒有操作某個資源的權利,即反映在某個資源上的操作允不允許。
5.shiro支持粗粒度權限(如用戶模塊的所有權限)和細粒度權限(操作某個用戶的權限,即實例級別的)

6.角色(Role):權限的集合,一般情況下會賦予用戶角色而不是權限,即這樣的用戶可以擁有一組權限,賦予權限時比較方便。典型的如:項目經理,技術總監,CTO,開發工程師等都是角色,不同的角色擁有一組不同的權限。

二、Shiro支持三種授權方式
    - 編程式:通過寫if/else授權代碼塊完成
    - 註解式:通過在執行的java方法上放置相應的註解完成,沒有權限將拋出相應的異常

    - jsp/GSP標籤:在JSP/GSP頁面通過相應的標籤完成

三、Shiro授權的Realm編寫
1).需要繼承自AuthorizingRealm類,並實現doGetAuthorizationInfo方法
2).AuthorizingRealm 類繼承自 AuthenticatingRealm ,但沒有實現 AuthenticatingRealm 的 doGetAuthenticationInfo 方法。所以認證和授權只需要繼承 AuthorizingRealm 就可以了,同時實現他的兩個抽象方法。

實例代碼:

package cn.com.shiro.realm;

import java.util.HashSet;
import java.util.Set;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.LockedAccountException;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.crypto.hash.SimpleHash;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.util.ByteSource;

public class ShiroRealm extends AuthorizingRealm {
     
    //用於認證的方法
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        
        System.out.println("info--> : FirstRealm is lodding");
        
        //1.把 token 轉化爲 UsernamePasswordToken 對象
        UsernamePasswordToken upToken = (UsernamePasswordToken)token;
        
        //2.從 UsernamePasswordToken 中獲取用戶名 username 
        String username = upToken.getUsername();
        
        //3.從數據庫中查詢 username 對應的記錄
        System.out.println("從數據庫中獲得username: " + username + " 所對應的用戶信息.");
        
        //4.若用戶不存在,則可以拋出 UnknownAccountException 異常
        if("unknown".equals(username)){
            throw new UnknownAccountException("用戶不存在!");
        }
        
        //5.根據用戶情況 ,決定是否拋出其他 AuthenticationException 異常
        if("monster".equals(username)){
            throw new LockedAccountException("用戶被鎖定!");
        }
        
        //6.根據用戶的情況,構建 AuthenticationInfo 對象並返回,通常使用的實現類是 SimpleAuthenticationInfo
        //一下信息是從數據庫中獲取的
        
        //1).principal:認證的實體信息,可以是username,也可以是實體類的對象
        Object principal = username;
        //2).credentials:數據庫中獲取的密碼
        Object credentials = null;//"fc1709d0a95a6be30bc5926fdb7f22f4";
        if(username.equals("admin")){
            credentials = "038bdaf98f2037b31f1e75b5b4c9b26e";
        }else if(username.equals("user")){
            credentials = "038bdaf98f2037b31f1e75b5b4c9b26e";
        }
        //3).realmName:當前realm對象的name, 調用父類對象的 getName()方法即可
        String realmName = getName();
        //4).鹽值
        ByteSource credentialsSalt = ByteSource.Util.bytes(username);
        SimpleAuthenticationInfo info = null;//new SimpleAuthenticationInfo(principal, credentials, realmName);
        info = new SimpleAuthenticationInfo(principal, credentials, credentialsSalt, realmName);
        return info;
    }
    
    public static void main(String[] args) {
        String algorithmName = "MD5";
        Object credentials = "123456";
        Object salt = ByteSource.Util.bytes("user");
        int hashIterations = 1024;
        Object result = new SimpleHash(algorithmName, credentials, salt, hashIterations);
        System.out.println(result);
    }
    
    //用於授權的方法
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        System.out.println("授權 --> doGetAuthorizationInfo...");
        
        //1.從PrincipalCollection中來獲取登錄用戶的信息
        Object principal = principals.getPrimaryPrincipal();
        
        //2.利用登錄的用戶信息來獲取當前用戶的角色或權限(可能需要查詢數據庫)
        Set<String> roles = new HashSet<>();
        roles.add("user");
        if(principal.equals("admin")){
            roles.add("admin");
        }
        
        //3.創建SimpleAuthorizationInfo , 並設置其roles屬性
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo(roles);
        
        //4.返回 SimpleAuthorizationInfo 對象
        
        return info;
    }

}

安分_pingping
發佈了75 篇原創文章 · 獲贊 8 · 訪問量 4萬+
私信 關注
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

舊的Spring Security OAuth已停止維護,全面擁抱最新解決方案Spring SAS

Spring Authorization Server 替換 Shiro 指引 背景 Spring 團隊正式宣佈 Spring Security OAuth 停止維護,該項目將不會再進行任何的迭代 目前 Spring 生態中的 OA

原創 2024-03-01 13:24:07

JeecgBoot 框架升級Spring Boot 3.1.5步驟

JeecgBoot 框架升級 Spring Boot 3.1.5 步驟 Spring Boot 從 2.7.10升級到3.1.5有以下幾個點需要注意。 JDK版本支持從JDK 17-19版本 javax.servlet切換到jakarta

原創 2023-11-13 13:48:37

敲敲雲與JeecgBoot、明道雲、簡道雲 等低代碼平臺對比,那個更好用?

敲敲雲、JeecgBoot、明道雲和簡道雲都是目前市場上比較受歡迎的產品,它們都提供了一些相似的功能,但也有一些不同之處。下面將對這四款產品進行對比。 功能特點 敲敲雲 敲敲雲是一款雲端APaaS零代碼平臺,幫助企業快速搭建個性化業務應

原創 2023-11-02 01:59:58

shiro登錄過程

工作流程: 瀏覽器將用戶名、密碼、是否記住登錄等信息發送給登錄controller , new UsernamePasswordToken()獲取token,將用戶名、加密後的密碼、rememberMe,set到token中。Securit

原創 2023-02-10 11:53:38

122. springboot整合shiro

1.效果 2.說明 3.代碼 鏈接:https://pan.baidu.com/s/1RXSRglSym12d2WzWS08Eyg  提取碼:m1j6    

原創 2022-04-30 05:34:24

Shiro 使用 Token進行認證

引言 在一些老項目中,可能使用shiro進行權限認證和校驗,而shiro是基於cookie/session的, 在現在前後端分離開發的場景下,前端開發人員需要在本地和後端進行調試,勢必會遇到跨域的問題。 而現在隨着谷歌瀏覽器升級,已經禁止在

原創 2021-12-25 21:40:28

不會吧,你還不會用RequestId看日誌 ?

引言 在日常的後端開發工作中,最常見的操作之一就是看日誌排查問題,對於大項目一般使用類似ELK的技術棧統一搜集日誌,小項目就直接把日誌打印到日誌文件。那不管對於大項目或者小項目,查看日誌都需要通過某個關鍵字進行搜索,從而快速定位到異常日誌的

原創 2021-12-25 21:40:28

springboot整合shiro入門及學習筆記

入門demo index.html <!DOCTYPE html> <html lang="en" xmlns:th="http://www.thymeleaf.org"> <head> <meta charset="

原創 2021-12-25 21:28:20

OA 系統源碼模塊設計方案

1.模型管理    :web在線流程設計器、預覽流程xml、導出xml、部署流程 2.流程管理    :導入導出流程資源文件、查看流程圖、根據流程實例反射出流程模型、激活掛起 、自由跳轉 3.運行中流程:查看流程信息、當前任務節點、當前流程

原創 2021-12-25 21:14:34

springboot mybatis 後臺框架平臺模塊設計方案

1.模型管理    :web在線流程設計器、預覽流程xml、導出xml、部署流程 2.流程管理    :導入導出流程資源文件、查看流程圖、根據流程實例反射出流程模型、激活掛起 、自由跳轉 3.運行中流程:查看流程信息、當前任務節點、

原創 2021-10-18 21:12:31

java springboot spring cloud 設計方案

------------------------------------------- 系統模塊 1. 權限管理:點開二級菜單進入三級菜單顯示 角色(基礎權限)和按鈕權限 角色(基礎權限): 分角色組和角色,獨立分配菜單權限和增刪改查權限。

原創 2021-10-13 21:12:33

shiro+jwt 認證登錄

本文章主要用於shiro權限做登錄 運用到的技術: 多數據源、Redis、 mybatisplus、swagger、jwt、shiro 具體代碼 :https://gitee.com/git_yl/jwt-shiro-boot (含數據庫表

原創 2021-09-24 21:31:05

apache shiro 反序列化漏洞復現

一,環境搭建 使用docker搭建測試環境 docker pull medicean/vulapps:s_shiro_1 systemclt restart docker docker run -d -p 8081:8080 medicea

原創 2021-09-14 21:18:14

SpringBoot 整合 Shiro 實現登錄攔截

一、搭建一個SpringBoot 項目。 二、導入shiro 相關座標: <dependency> <groupId>org.apache.shiro</groupId>

原創 2021-09-13 21:12:17

Spring Boot + Vue + Shiro 實現前後端分離、權限控制

作者:_Yufan<br> 來源:www.cnblogs.com/yfzhou/p/9813177.html 本文總結自實習中對項目的重構。原先項目採用 Springboot+freemarker 模版,開發過程中覺得前端邏輯寫的實在噁心,

原創 2021-09-02 09:33:17