shiro学习(4)-授权

原創 IT砖头 2020-06-23 17:56

概念

授权,又称作为访问控制,是对资源的访问管理的过程,即对于认证通过的用户,授予他可以访问某些资源的权限。

授权流程图

 

 

 

简单授权实现

在shiro-permession.ini文件中设置

[users]
#用户admin的密码是123456,此用户具有role2角色
coco=123456,role1
admin=123456,role1,role2

[roles]
#角色role1对资源user拥有create、update、delete权限
role1=user:create,user:update,user:delete
#角色role2对资源user拥有create权限
role2=user:create
#角色role3对资源user拥有select权
role3=user:select

验证角色和权限

@Test
	public void demoTree(){
		// 装入 INI 配置
		Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro-permession.ini");
		//创建SecurityManager对象
		SecurityManager instance = factory.getInstance();
		//使SecurityManager可以访问
		SecurityUtils.setSecurityManager(instance);
		//接受提交的用户名和密码: 
		UsernamePasswordToken tooken = new UsernamePasswordToken("admin","123456");
		//获取当前主体
		Subject subject = SecurityUtils.getSubject();
		try {
			subject.login(tooken);
		} catch (UnknownAccountException e) {
			System.out.println("用户名错误!");
		}
		 catch (IncorrectCredentialsException e) {
				System.out.println("密码错误!");
			}
		System.out.println("是否认证成功:" + subject.isAuthenticated());
		//粗颗粒度授权 ===> 角色验证
		System.out.println(subject.getPrincipal()+" 是否具有role1角色====> "+subject.hasRole("role1"));
		System.out.println(subject.getPrincipal()+" 是否具有role2角色====> "+subject.hasRole("role2"));
		System.out.println(subject.getPrincipal()+" 是否具有role3角色====> "+subject.hasRole("role3"));
		System.out.println(subject.getPrincipal()+" 是否具有role1和role2角色====> "+subject.hasAllRoles(Arrays.asList("role1","role2")));
		//subject.checkRole("role1");
		//细颗粒度授权 ===> 资源验证
		System.out.println(subject.getPrincipal()+" 是否具有user:create资源权限====> "+subject.isPermitted("user:create"));
		System.out.println(subject.getPrincipal()+" 是否具有user:delete资源权限====> "+subject.isPermitted("user:delete"));
		System.out.println(subject.getPrincipal()+" 是否具有user:delete,user:update资源权限====> "+subject.isPermittedAll("user:delete","user:update"));
		
	}

输出结果

是否认证成功:true
admin 是否具有role1角色====> true
admin 是否具有role2角色====> true
admin 是否具有role3角色====> false
admin 是否具有role1和role2角色====> true
admin 是否具有user:create资源权限====> true
admin 是否具有user:delete资源权限====> true
admin 是否具有user:delete,user:update资源权限====> true

注意

subject.checkRole("role1");
subject.checkPermission("user:create");

检查是否存在该角色和权限,如果不存在则会抛异常

自定义Realm授权

重写授权的方法

注意:这里认证方法中采用的是明文认证

public class ShiroRealmsOne extends AuthorizingRealm{
	/**
	 * 认证
	 */
	@Override
	protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
		String username =(String)token.getPrincipal();
		if(!"admin".equals(username)){
			return null;
		}
		//String pwd = "123456"; 密码
		//String salt = "copy"; 盐值
		//  acd1b8d62a8369c3d6278ea6f663407b  两次迭代加密后的密码
		String salt = "copy";
		ByteSource saltByte = ByteSource.Util.bytes(salt);
		String password = "123456";
		SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(username,password,this.getName());
		return info;
	}

	/**
	 * 授权
	 */
	@Override
	protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
		String username = (String)principals.getPrimaryPrincipal();
		List<String> list = new ArrayList<String>();
		list.add("project:create");
		list.add("user:delete");
		SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
		info.addStringPermissions(list);
		return info;
	}

	

}

 shiro-realms.ini文件

[main]
shiroUserRealm=com.sumeng.shiro.ShiroRealmsOne
securityManager.realms=$shiroUserRealm

测试

@Test
	public void demoTree(){
		// 装入 INI 配置
		Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro-realms.ini");
		//创建SecurityManager对象
		SecurityManager instance = factory.getInstance();
		//使SecurityManager可以访问
		SecurityUtils.setSecurityManager(instance);
		//接受提交的用户名和密码: 
		UsernamePasswordToken tooken = new UsernamePasswordToken("admin","123456");
		//获取当前主体
		Subject subject = SecurityUtils.getSubject();
		try {
			subject.login(tooken);
		} catch (UnknownAccountException e) {
			System.out.println("用户名错误!");
		}
		 catch (IncorrectCredentialsException e) {
				System.out.println("密码错误!");
			}
		System.out.println("是否认证成功:" + subject.isAuthenticated());
		//细颗粒度授权 ===> 资源验证
		System.out.println(subject.getPrincipal()+" 是否具有user:create资源权限====> "+subject.isPermitted("user:create"));
		System.out.println(subject.getPrincipal()+" 是否具有user:delete资源权限====> "+subject.isPermitted("user:delete"));
		System.out.println(subject.getPrincipal()+" 是否具有project:create资源权限====> "+subject.isPermitted("project:create"));
		System.out.println(subject.getPrincipal()+" 是否具有user:delete,project:create资源权限====> "+subject.isPermittedAll("user:delete","project:create"));
		
	}

输出结果

是否认证成功:true
admin 是否具有user:create资源权限====> false
admin 是否具有user:delete资源权限====> true
admin 是否具有project:create资源权限====> true
admin 是否具有user:delete,project:create资源权限====> true

 

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

记录一次cnvd事件型证书漏洞挖掘

事件起因是因爲要搞畢設了,在爲這個苦惱,突然負責畢設的老師說得到cnvd下發的證書結合你的漏洞挖掘的過程是可以當成畢設的,當時又學習了一段時間的web滲透方面的知識,於是踏上了廢寢忘食的cnvd證書漏洞挖掘的日子。 前言:聽羣友們說,一般可

原創 2024-05-28 11:16:19

旧的Spring Security OAuth已停止维护,全面拥抱最新解决方案Spring SAS

Spring Authorization Server 替換 Shiro 指引 背景 Spring 團隊正式宣佈 Spring Security OAuth 停止維護,該項目將不會再進行任何的迭代 目前 Spring 生態中的 OA

原創 2024-03-01 13:24:07

JeecgBoot 框架升级Spring Boot 3.1.5步骤

JeecgBoot 框架升級 Spring Boot 3.1.5 步驟 Spring Boot 從 2.7.10升級到3.1.5有以下幾個點需要注意。 JDK版本支持從JDK 17-19版本 javax.servlet切換到jakarta

原創 2023-11-13 13:48:37

敲敲云与JeecgBoot、明道云、简道云 等低代码平台对比,那个更好用?

敲敲雲、JeecgBoot、明道雲和簡道雲都是目前市場上比較受歡迎的產品,它們都提供了一些相似的功能,但也有一些不同之處。下面將對這四款產品進行對比。 功能特點 敲敲雲 敲敲雲是一款雲端APaaS零代碼平臺,幫助企業快速搭建個性化業務應

原創 2023-11-02 01:59:58

shiro登录过程

工作流程: 瀏覽器將用戶名、密碼、是否記住登錄等信息發送給登錄controller , new UsernamePasswordToken()獲取token,將用戶名、加密後的密碼、rememberMe,set到token中。Securit

原創 2023-02-10 11:53:38

122. springboot整合shiro

1.效果 2.說明 3.代碼 鏈接:https://pan.baidu.com/s/1RXSRglSym12d2WzWS08Eyg  提取碼:m1j6    

原創 2022-04-30 05:34:24

Shiro 使用 Token进行认证

引言 在一些老項目中,可能使用shiro進行權限認證和校驗,而shiro是基於cookie/session的, 在現在前後端分離開發的場景下,前端開發人員需要在本地和後端進行調試,勢必會遇到跨域的問題。 而現在隨着谷歌瀏覽器升級,已經禁止在

原創 2021-12-25 21:40:28

不会吧,你还不会用RequestId看日志 ?

引言 在日常的後端開發工作中,最常見的操作之一就是看日誌排查問題,對於大項目一般使用類似ELK的技術棧統一搜集日誌,小項目就直接把日誌打印到日誌文件。那不管對於大項目或者小項目,查看日誌都需要通過某個關鍵字進行搜索,從而快速定位到異常日誌的

原創 2021-12-25 21:40:28

springboot整合shiro入门及学习笔记

入門demo index.html <!DOCTYPE html> <html lang="en" xmlns:th="http://www.thymeleaf.org"> <head> <meta charset="

原創 2021-12-25 21:28:20

OA 系统源码模块设计方案

1.模型管理    :web在線流程設計器、預覽流程xml、導出xml、部署流程 2.流程管理    :導入導出流程資源文件、查看流程圖、根據流程實例反射出流程模型、激活掛起 、自由跳轉 3.運行中流程:查看流程信息、當前任務節點、當前流程

原創 2021-12-25 21:14:34

springboot mybatis 后台框架平台模块设计方案

1.模型管理    :web在線流程設計器、預覽流程xml、導出xml、部署流程 2.流程管理    :導入導出流程資源文件、查看流程圖、根據流程實例反射出流程模型、激活掛起 、自由跳轉 3.運行中流程:查看流程信息、當前任務節點、

原創 2021-10-18 21:12:31

java springboot spring cloud 设计方案

------------------------------------------- 系統模塊 1. 權限管理:點開二級菜單進入三級菜單顯示 角色(基礎權限)和按鈕權限 角色(基礎權限): 分角色組和角色,獨立分配菜單權限和增刪改查權限。

原創 2021-10-13 21:12:33

shiro+jwt 认证登录

本文章主要用於shiro權限做登錄 運用到的技術: 多數據源、Redis、 mybatisplus、swagger、jwt、shiro 具體代碼 :https://gitee.com/git_yl/jwt-shiro-boot (含數據庫表

原創 2021-09-24 21:31:05

apache shiro 反序列化漏洞复现

一,環境搭建 使用docker搭建測試環境 docker pull medicean/vulapps:s_shiro_1 systemclt restart docker docker run -d -p 8081:8080 medicea

原創 2021-09-14 21:18:14

SpringBoot 整合 Shiro 实现登录拦截

一、搭建一個SpringBoot 項目。 二、導入shiro 相關座標: <dependency> <groupId>org.apache.shiro</groupId>

原創 2021-09-13 21:12:17