1. shiro默认自带的realm和常见使用方法

  • realm作用:Shiro 从 Realm 获取安全数据
  • 默认自带的realm:idae查看realm继承关系,有默认实现和自定义继承的realm
  • 两个概念
    • principal : 主体的标示,可以有多个,但是需要具有唯一性,常见的有用户名,手机号,邮箱等
    • credential:凭证, 一般就是密码
    • 所以一般我们说 principal + credential 就账号 + 密码
  • 开发中,往往是自定义realm , 即集成 AuthorizingRealm,重写AuthorizingRealm的getAuthorizationInfo方法

2.  Shiro内置 ini realm 操作

在springboot的resources资源目录下创建shiro.ini 配置文件,将下面内容复制进去

 [users]

 # 格式 name=password,role1,role2,..roleN

 jack = 456, user

 xdclass = 123, root, admin

 # 格式 role=permission1,permission2...permissionN   也可以用通配符

 # 下面配置user的权限为所有video:find,video:buy,如果需要配置video全部操作crud 则 user = video:*

 [roles]

 user = video:find,video:buy

 # 下面定义了游客角色具有商品模块的查询,购买权限以及评论模块的所有权限

 visitor= good:find,good:buy,comment:*

 # 'admin' role has all permissions, indicated by the wildcard '*'

 admin = *
xdclass = 123, root, admin  表示,xdclass这个用户密码是123,具有 root 和admin两个角色,
user = video:find,video:buy 表示,普通用户角色具有视频的查看,购买权限,
admin = *  表示admin角色具有所有的权限

测试代码:

 package net.xdclass.xdclassshiro;

 import org.apache.shiro.SecurityUtils;

 import org.apache.shiro.authc.UsernamePasswordToken;

 import org.apache.shiro.config.IniSecurityManagerFactory;

 import org.apache.shiro.mgt.DefaultSecurityManager;

 import org.apache.shiro.mgt.SecurityManager;

 import org.apache.shiro.realm.SimpleAccountRealm;

 import org.apache.shiro.subject.Subject;

 import org.apache.shiro.util.Factory;

 import org.junit.Before;

 import org.junit.Test;

 /**

  * iniRealm操作

  */

 public class QuicksStratTest5_2 {

     @Test

     public void testAuthentication() {

         //通过配置文件创建SecurityManager工厂

         Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini");

        // 获取SecurityManager实例

         SecurityManager securityManager = factory.getInstance();

         //设置当前上下文

         SecurityUtils.setSecurityManager(securityManager);

         //获取当前subject(application应用的user)

         Subject subject = SecurityUtils.getSubject();

         // 模拟用户输入

         UsernamePasswordToken usernamePasswordToken = new UsernamePasswordToken("jack","456");

         //

         subject.login(usernamePasswordToken);

         System.out.println("认证结果(是否已授权):" + subject.isAuthenticated());  //认证结果(是否已授权):true

         //最终调用的是org.apache.shiro.authz.ModularRealmAuthorizer.hasRole方法

         System.out.println("是否有对应的角色:" + subject.hasRole("root"));  //是否有对应的角色:false

         //获取登录 账号

         System.out.println("getPrincipal():" + subject.getPrincipal());  //getPrincipal():jack

         //校验角色,没有返回值,校验不通过,直接跑出异常

         subject.checkRole("user");

         // user jack有video的find权限,执行通过

         subject.checkPermission("video:find");

         // 是否有video:find权限:true

         System.out.println("是否有video:find权限:" + subject.isPermitted("video:find"));

         //   是否有video:delete权限:false

         System.out.println("是否有video:delete权限:" + subject.isPermitted("video:delete"));

         //user jack没有video的删除权限,执行会报错:org.apache.shiro.authz.UnauthorizedException: Subject does not have permission [video:delete]

         subject.checkPermission("video:delete");

 //        subject.logout();

 //        System.out.println("logout后认证结果:" + subject.isAuthenticated());

     }

     @Test

     public void testAuthentication2() {

         //通过配置文件创建SecurityManager工厂

         Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini");

         // 获取SecurityManager实例

         SecurityManager securityManager = factory.getInstance();

         //设置当前上下文

         SecurityUtils.setSecurityManager(securityManager);

         //获取当前subject(application应用的user)

         Subject subject = SecurityUtils.getSubject();

         // 模拟用户输入

         UsernamePasswordToken usernamePasswordToken = new UsernamePasswordToken("xdclass","123");

         subject.login(usernamePasswordToken);

         System.out.println("认证结果(是否已授权):" + subject.isAuthenticated()); // 认证结果(是否已授权):true

         //最终调用的是org.apache.shiro.authz.ModularRealmAuthorizer.hasRole方法

         System.out.println("是否有admin角色:" + subject.hasRole("admin")); //是否有admin角色:true

         System.out.println("是否有root角色:" + subject.hasRole("root"));  //是否有root角色:true

         //获取登录 账号

         System.out.println("getPrincipal():" + subject.getPrincipal());  //getPrincipal():xdclass

         // admin角色具有所有权限

         subject.checkPermission("video:find");

         // 是否有video:find权限:true

         System.out.println("是否有video:find权限:" + subject.isPermitted("video:find"));  //是否有video:find权限:true

         //   是否有video:delete权限:true

         System.out.println("是否有video:delete权限:" + subject.isPermitted("video:delete")); // 是否有video:find权限:true

         // 结果为true,如果subject.checkPermission校验不通过,则抛出异常

         subject.checkPermission("video:delete");

     }

 }

shiro框架学习-3- Shiro内置realm的更多相关文章

  1. shiro框架学习-6-Shiro内置的Filter过滤器及数据加解密

    1.  shiro的核心过滤器定义在枚举类DefaultFilter 中,一共有11个 ,配置哪个路径对应哪个拦截器进行处理 // // Source code recreated from a .c ...

  2. shiro框架学习-5-自定义Realm

    1. 自定义Realm基础 步骤: 创建一个类 ,继承AuthorizingRealm->AuthenticatingRealm->CachingRealm->Realm 重写授权方 ...

  3. shiro框架学习-1-shiro基本概念

    1. 什么是权限控制 基本上涉及到用户参与的系统都要进行权限管理,权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源, ...

  4. shiro基础学习(二)—shiro认证

    一.shiro简介      shiro是apache旗下一个开源框架,它将软件系统的安全认证相关的功能抽取出来,实现用户身份认证.权限授权.加密.会话管理等功能,组成了一个通用的安全认证框架. 以下 ...

  5. Python学习第二阶段day1 内置函数,序列化,软件目录开发规范

    内置函数 1.abs()  求绝对值 2.all()    所有元素为真才返回真 all( [1,1,2,3,-1] ) 值为True 3.any()   所有元素为假才返回假  any([0,0,0 ...

  6. shiro基础学习(四)—shiro与项目整合

    一.认证 1.配置web.xml   2.配置applicationContext.xml      在applicationContext.xml中配置一个bean,ID和上面的过滤器的名称一致. ...

  7. python自动化测试学习笔记-4内置函数,处理json

    函数.全局变量 写代码时注意的几点事项: 1.一般写代码的时候尽量少用或不用全局变量,首先全局变量不安全,大家协作的情况下,代码公用容易被篡改,其次全局变量会一直占用系统内容. 2.函数里如果有多个r ...

  8. js学习---常用的内置对象(API)小结 :

    内置对象(API): 日期 Date: getFullYear() 返回完整的4位的年份  如:2016 getMonth()    返回月份,从0开始 getDate()   返回当前月的第几天,当 ...

  9. 学习笔记——Maven 内置变量

    Maven内置变量说明: ${basedir} 项目根目录(即pom.xml文件所在目录) ${project.build.directory} 构建目录,缺省为target目录 ${project. ...

随机推荐

  1. C#学习笔记二 (资源托管,泛型,数组和元组,运算符和类型强制转换)

     托管和非托管资源 1.托管资源是指GC管理的内存空间,非托管资源是指文件句柄,网络连接,数据库连接等. 2.方法中临时申请的变量,被存放在栈中.栈存储非对象成员的值数据.例如在方法中有B b=new ...

  2. P3367 【模板】并查集

    喵呜~~(题面) 这题其实很早就过了,但是呢,以前过的时候真的基本上是CtrlC+CtrlV,这次把代码重新码了一遍,对并查集也有了一个基本清晰的认识 #include<iostream> ...

  3. C#静态调用带有SoapHeader验证的WebServices

    转自:http://blog.csdn.net/u012995964/article/details/54562111 本文记录带有SoapHeader验证的WebServices服务创建.部署及C# ...

  4. [转帖]Linux下inotify监控文件夹状态,发生变化后触发rsync同步

    Linux下inotify监控文件夹状态,发生变化后触发rsync同步 https://www.cnblogs.com/fjping0606/p/6114123.html 1.安装工具--inotif ...

  5. oracle sid_name service_name

    在工作中也遇到了这种情况,使用oracle这么长时间一直使用的都是SID的概念.也是给自己扩充了一下知识,所以后面在配置oracle数据库连接的时候需要确认拿到的是service还是sid再进行相应的 ...

  6. windows环境下搭建mysql主从

    参考 windows环境下mysql主从配置 1. 环境 参数 说明 主库所在的操作系统 win7 主库的版本 mysql-5.6.46-winx64 主库的ip地址 127.0.0.1 主库的端口 ...

  7. mysql联合索引如何创建

    例如: CREATE TABLE `test` ('aaa' varchar(16) NOT NULL default '', 'bbb' varchar(16) NOT NULL default ' ...

  8. RabbitMQ入门教程(十七):消息队列的应用场景和常见的消息队列之间的比较

    原文:RabbitMQ入门教程(十七):消息队列的应用场景和常见的消息队列之间的比较 分享一个朋友的人工智能教程.比较通俗易懂,风趣幽默,感兴趣的朋友可以去看看. 这是网上的一篇教程写的很好,不知原作 ...

  9. C# 从集合A中取出集合B中不包含的数据(根据ID判断),并添加到集合B中

    从一个集合A中取出另一个集合B中不包含的数据,并添加到集合B中 private void button2_Click(object sender, EventArgs e) { var ListA = ...

  10. npm学习(七)之如何发布包、更新发布包、删除发布包

    前言 我们经常使用npm来下载别人的模块或者说包,那么我们如何将自己写的模块上传到npm呢? 了解npm政策 在开始之前,最好回顾一下npm的政策,以防您对站点礼仪.命名.许可或其他指导原则有疑问. ...