什么是shiro?

Shiro是apache旗下一个开源框架,它将软件系统的安全认证相关的功能抽取出来,实现用户身份认证,权限授权、加密、会话管理等功能,组成了一个通用的安全认证框架。

为什么要用shiro?

既然可以基于url实现权限的管理,为什么还要用shiro呢??

1.shiro将安全认证相关的功能抽取出来组成一个框架,使用shiro就可以非常快速的完成认证、授权等功能的开发,降低系统成本。最主要的就是方便了我们的开发。

2.shiro使用广泛,shiro可以运行在web应用,非web应用,集群分布式应用中越来越多的用户开始使用shiro。

shiro认证

认证流程:

实例:

1.创建一个Java工程,并加入shiro-core的jar包以及它的依赖包。

2.自定义realm

Shiro有自带的IniRealm,IniRealm从ini配置文件中读取用户的信息,大部分情况下需要从系统的数据库中读取用户信息,所以需要自定义realm。

  1. public class CustomRealm extends AuthorizingRealm {
  2. @Override
  3. public String getName() {
  4. return "customRealm";
  5. }
  6. // 用于认证
  7. @Override
  8. protected AuthenticationInfo doGetAuthenticationInfo(
  9. AuthenticationToken token) throws AuthenticationException {
  10. // token是用户输入的
  11. // 第一步从token中取出身份信息
  12. String userCode = (String) token.getPrincipal();
  13. // 第二步:根据用户输入的userCode从数据库中查询
  14. // 模拟从数据库查询到密码
  15. String password = "111111";
  16. // 如果查询到返回认证信息AuthenticationInfo
  17. SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo(
  18. userCode, password, this.getName());
  19. return simpleAuthenticationInfo;
  20. }
  21. }

3.配置shiro-realm.ini文件

  1. [main]
  2. #自定义realm
  3. customRealm=cn.itcast.shiro.realm.CustomRealm
  4. #将realm设置到securityManager,相当于spring中注入
  5. securityManager.realms=$customRealm

4.创建认证代码

  1. // 用户登录和退出
  2. @Test
  3. public void testCustomRealm() {
  4. // 创建securityManager工厂,通过ini配置文件创建securityManager工厂
  5. Factory<SecurityManager> factory = new IniSecurityManagerFactory(
  6. "classpath:shiro-realm.ini");
  7. // 通过工厂创建SecurityManager
  8. SecurityManager securityManager = factory.getInstance();
  9. // 将securityManager设置到运行环境中
  10. SecurityUtils.setSecurityManager(securityManager);
  11. // 创建一个Subject实例,该实例认证要使用上边创建的securityManager进行
  12. Subject subject = SecurityUtils.getSubject();
  13. // 创建token令牌,记录用户认证的身份和凭证即账号和密码
  14. UsernamePasswordToken token = new UsernamePasswordToken("zhangsan",
  15. "111111");
  16. try {
  17. // 用户登陆
  18. subject.login(token);
  19. } catch (AuthenticationException e) {
  20. // TODO Auto-generated catch block
  21. e.printStackTrace();
  22. }
  23. // 用户认证状态
  24. Boolean isAuthenticated = subject.isAuthenticated();
  25. System.out.println("用户认证状态:" + isAuthenticated);
  26. // 用户退出
  27. subject.logout();
  28. isAuthenticated = subject.isAuthenticated();
  29. System.out.println("用户认证状态:" + isAuthenticated);
  30. }

5.认证流程

(1)创建token令牌,token中有用户提交的认证信息即账号和密码

(2)执行subject.login(token),最终由securityManager通过Authenticator进行认证

(3)Authenticator的实现ModularRealmAuthenticator调用realm从数据库中取用户真实的账号和密码

(4)CustomRealm先根据token中的账号去数据库中找该账号,如果找不到则给ModularRealmAuthenticator返回null,如果找到则匹配密码,匹配密码成功则认证通过。

6.测试

登录时用户认证成功,退出时用户认证失败。

shiro授权

授权流程

授权方式

shiro支持三种方式的授权:

1.编程式

  1. Subject subject = SecurityUtils.getSubject();
  2. if(subject.hasPermission(“admin”)) {
  3. //有权限
  4. } else {
  5. //无权限
  6. }

2.注解式

  1. @RequiresPermissions("admin")
  2. public void hello() {
  3. //有权限
  4. }

3.JSP/GSP标签

  1. <shiro:hasPermission name="admin">
  2. <!— 有权限—>
  3. </shiro:hasRole>

在web系统集成中使用后两种方式,我在这儿举个简单的例子就用第一种方式了。

实例

1.自定义realm

  1. // 用于授权
  2. @Override
  3. protected AuthorizationInfo doGetAuthorizationInfo(
  4. PrincipalCollection principals) {
  5. // 获取身份信息
  6. //将getPrimaryPrincipal方法返回值转为真实身份类型(在上边的doGetAuthenticationInfo认证通过填充到Simpl)
  7. String username = (String) principals.getPrimaryPrincipal();
  8. // 根据身份信息从数据库中查询权限数据
  9. // ....这里使用静态数据模拟
  10. List<String> permissions = new ArrayList<String>();
  11. permissions.add("user:create");
  12. permissions.add("user:delete");
  13. // 将权限信息封闭为AuthorizationInfo
  14. SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
  15. for (String permission : permissions) {
  16. simpleAuthorizationInfo.addStringPermission(permission);
  17. }
  18. return simpleAuthorizationInfo;
  19. }

2.配置shiro-realm.ini文件与上面认证配置文件相同

3.创建授权代码

  1. // 自定义realm进行资源授权测试
  2. @Test
  3. public void testAuthorizationCustomRealm() {
  4. // 从ini文件中创建SecurityManager工厂
  5. Factory<SecurityManager> factory = new IniSecurityManagerFactory(
  6. "classpath:shiro-realm.ini");
  7. // 创建SecurityManager
  8. SecurityManager securityManager = factory.getInstance();
  9. // 将securityManager设置到运行环境
  10. SecurityUtils.setSecurityManager(securityManager);
  11. // 创建主体对象
  12. Subject subject = SecurityUtils.getSubject();
  13. // 对主体对象进行认证
  14. // 用户登陆
  15. // 设置用户认证的身份(principals)和凭证(credentials)
  16. UsernamePasswordToken token = new UsernamePasswordToken("zhangsan",
  17. "111111");
  18. try {
  19. subject.login(token);
  20. } catch (AuthenticationException e) {
  21. // TODO Auto-generated catch block
  22. e.printStackTrace();
  23. }
  24. // 用户认证状态
  25. Boolean isAuthenticated = subject.isAuthenticated();
  26. System.out.println("用户认证状态:" + isAuthenticated);
  27. // 授权检测,失败则抛出异常
  28. // subject.checkRole("role22");
  29. // 基于资源授权
  30. System.out.println("是否拥有某一个权限:" + subject.isPermitted("user:delete"));
  31. System.out.println("是否拥有多个权限:"
  32. + subject.isPermittedAll("user:update", "user:delete"));
  33. // 检查权限
  34. subject.checkPermission("user:delete");
  35. }

4.授权流程

(1)执行subject.isPermitted("user:delete")

(2)securityManager通过ModularRealmAuthorizer进行授权

(3)ModularRealmAuthorizer调用realm获取权限信息

(4)ModularRealmAuthorizer再通过permissionResolver解析权限字符串,校验是否匹配

5.测试

表明该用户拥有delete权限但是不拥有update权限。

转载:http://blog.csdn.net/u010539352/article/details/51220276

shiro权限认证与授权的更多相关文章

  1. Shiro入门之一 -------- Shiro权限认证与授权

    一  将Shirojar包导入web项目 二 在web.xml中配置shiro代理过滤器 注意: 该过滤器需要配置在struts2过滤器之前 <!-- 配置Shiro的代理过滤器 -->  ...

  2. 使用Shiro实现认证和授权(基于SpringBoot)

    Apache Shiro是一个功能强大且易于使用的Java安全框架,它为开发人员提供了一种直观,全面的身份验证,授权,加密和会话管理解决方案.下面是在SpringBoot中使用Shiro进行认证和授权 ...

  3. 学习Spring Boot:(十三)配置 Shiro 权限认证

    经过前面学习 Apache Shiro ,现在结合 Spring Boot 使用在项目里,进行相关配置. 正文 添加依赖 在 pom.xml 文件中添加 shiro-spring 的依赖: <d ...

  4. 权限认证与授权(Shrio 框架)

    权限概述 认证: 系统提供的用于识别用户身份的功能, 通常登录功能就是认证功能; -- 让系统知道你是谁 授权: 系统授予用户可以访问哪些功能的证书. -- 让系统知道你能做什么! 常见的权限控制方式 ...

  5. ssm整合shiro—实现认证和授权

    1.简述 1.1    Apache Shiro是Java的一个安全框架.是一个相对简单的框架,主要功能有认证.授权.加密.会话管理.与Web集成.缓存等. 1.2   Shiro不会去维护用户.维护 ...

  6. Spring Boot 整合 Shiro实现认证及授权管理

    Spring Boot Shiro 本示例要内容 基于RBAC,授权.认证 加密.解密 统一异常处理 redis session支持 介绍 Apache Shiro 是一个功能强大且易于使用的Java ...

  7. 在web项目中使用shiro(认证、授权)

    一.在web项目中实现认证 第一步,在web项目中导入shiro依赖的包 第二步,在web.xml中声明shiro拦截权限的过滤器 <filter> <filter-name> ...

  8. Shiro的认证与授权

    shiro实战教程 一.权限管理 1.1什么是权限管理 基本上涉及到用户参与的系统都需要进行权限管理,权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以 ...

  9. shiro权限认证Realm的四大用法

    一.SimpleAccountRealm public class AuthenticationTest {          SimpleAccountRealm sar=new SimpleAcc ...

随机推荐

  1. windows docker 安装cloudera/quickstart

    最近需要写一个大数据的项目,但是公司没有测试环境,真是cao蛋,没办法,只能自己搭建一个测试环境,所以就在本地电脑装一个cloudera/quickstart,这个是一个单节点的大数据平台, 是clo ...

  2. 最详细的springmvc-mybatis教程

    链接:http://blog.csdn.net/qq598535550/article/details/51703190

  3. webpack入门指南-step03

    一.webpack 的使用 webpack简单点来说就就是一个配置文件,所有的魔力都是在这一个文件中发生的. 这个配置文件主要分为三大块 entry 入口文件 让webpack用哪个文件作为项目的入口 ...

  4. Arithmatic项目修改总结

    Arithmatic项目修改总结 github仓库 arithmatic3.0 一. 修改介绍 修改后类图: 1.关于类的合并 ==可以发现相比右边(旧)的类,左边(新)的类少了很多,这是我这次大改的 ...

  5. iOS开发学习-NSUserDefaults的介绍和用法

    NSUserDefaults类提供了一个与默认系统进行交互的编程接口.NSUserDefaults对象是用来保存,恢复应用程序相关的偏好设置,配置数据等等.默认系统允许应用程序自定义它的行为去迎合用户 ...

  6. 修复webpack自动刷新页面慢的问题

    新建.babelrc文件,配置如下 { "presets": [ "es2015" ], "ignore":[ "react-ro ...

  7. quartusII13.0使用教程

    1.新建工程项目,填写项目存储路径和工程名,不要出现中文路径 2.添加已存在文件(可选),在[File name]下选择已经存在的工程项目,利用[Add]或[Add all]命令添加文件到新工程,点击 ...

  8. 处理Git不能上传大于100M文件问题

    记录一下自己工作遇到的问题,免得下次再遇到了还到处网上查资料解决. 自己的项目的版本控制用的是Git,代码仓库在github托管.项目里用到了百度导航SDK,由于百度导航SDK有了新版本,于是就更新到 ...

  9. js作用域相关笔记

    1.js引擎.编译器.作用域. 引擎:负责JS全过程的编译和执行: 编译器:负责语法分析和代码生成: 作用域:负责收集并维护声明组成的查询,以及当前执行代码对这些变量的访问权限(简言之,作用域就是用于 ...

  10. grunt入门讲解5:创建插件,安装Grunt以及常见问题

    创建插件 创建插件主要有以下几个步骤: (1)通过 npm install -g grunt-init 命令安装 grunt-init .(2)通过 git clone git://github.co ...