一、入门程序

1.授权流程

    

 

2.授权的三种方式

(1)编程式: 通过写if/else 授权代码块完成。

Subject subject = SecurityUtils.getSubject();

if(subject.hasRole("admin")) {

     //有权限

} else {

     //无权限

}

(2)注解式: 通过在执行的Java方法上放置相应的注解完成。

@RequiresRoles("admin")

public void hello() {

     //有权限

}

(3)JSP/GSP 标签: 在JSP/GSP 页面通过相应的标签完成。

<shiro:hasRole name="admin">

     <!— 有权限—>

</shiro:hasRole>

 

3.ini文件

shiro-permission.ini

     在ini文件中用户、角色、权限的配置规则是:“用户名=密码,角色1,角色2...” “角色=权限1,权限2...”,首先根据用户名找角色,再根据角色找权限,角色是权限集合。

     权限字符串的规则是:“资源标识符:操作:资源实例标识符”,意思是对哪个资源的哪个实例具有什么操作,“:”是资源/操作/实例的分割符,权限字符串也可以使用*通配符。

例子:

用户创建权限: user:create,或user:create:*

用户修改实例001的权限: user:update:001

用户实例001的所有权限: user:*:001

 

4.测试代码

/*
* 授权的测试
*/
public class AuthorzationTest{ //角色授权、资源授权测试 @Test
public void testAuthorzation(){
//创建SecurityManager工厂
Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro-permission.ini"); //创建SecurityManager
SecurityManager securityManager = factory.getInstance(); //将SecurityManager设置到系统环境
SecurityUtils.setSecurityManager(securityManager); //创建Subject
Subject subject = SecurityUtils.getSubject(); //创建token令牌
UsernamePasswordToken token = new UsernamePasswordToken("zhangsan","123"); //执行认证
try{
subject.login(token);
}catch(AuthenticationException e){
e.printStackTrace();
} System.out.println("是否认认证通过: " + subject.isAuthenticated()); //基于角色的授权(角色标识)
boolean hasRole = subject.hasRole("role3");
System.out.println("基于角色的授权: " + hasRole); //基于资源的授权(权限标识符)
boolean permitted = subject.isPermitted("user:create");
System.out.println("基于资源的授权: " + permitted);
} }

结果:

       是否认认证通过: true

       基于角色的授权: false

       基于资源的授权: true

 

二、自定义Realm

1.shiro-realm.ini

     在shiro-realm.ini中配置自定义的realm,将realm设置到securityManager中。

    

 

2.实现代码

/*
* 自定义Realm
*/
public class CustomRealm extends AuthorizingRealm{ //设置Realm名称
@Override
public void setName(String name){
super.setName("customRealm");
} //用于认证
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException{ //1.从token取出用户身份信息
String userCode = (String)token.getPrincipal(); //2.根据用户userCode查询数据库
//模拟从数据库查询到的密码
String password = "123"; //3.查询到返回认证信息
SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(userCode,password,this.getName()); return info;
} //用于授权
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals){ //获取主身份信息
String userCode = (String)principals.getPrimaryPrincipal(); //根据身份信息获取权限信息
//模拟从数据库获取到数据
List<String> permissions = new ArrayList<String>();
permissions.add("user:create"); //用户的创建权限
permissions.add("items:add"); //商品的添加权限 //将查询到授权信息填充到对象中
SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
info.addStringPermissions(permissions); return info;
}
}

 

3.测试代码

	@Test
public void testCusRealm(){
//创建SecurityManager工厂
Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro-realm.ini"); //创建SecurityManager
SecurityManager securityManager = factory.getInstance(); //将SecurityManager设置到系统环境
SecurityUtils.setSecurityManager(securityManager); //创建Subject
Subject subject = SecurityUtils.getSubject(); //创建token令牌
UsernamePasswordToken token = new UsernamePasswordToken("zhangsan","123"); //执行认证
try{
subject.login(token);
}catch(AuthenticationException e){
e.printStackTrace();
} System.out.println("是否认认证通过: " + subject.isAuthenticated()); //基于资源的授权(权限标识符)
boolean permitted = subject.isPermitted("user:create");
System.out.println("基于资源的授权: " + permitted);
}

shiro基础学习(三)—shiro授权的更多相关文章

  1. shiro基础学习(四)—shiro与项目整合

    一.认证 1.配置web.xml   2.配置applicationContext.xml      在applicationContext.xml中配置一个bean,ID和上面的过滤器的名称一致. ...

  2. shiro基础学习(二)—shiro认证

    一.shiro简介      shiro是apache旗下一个开源框架,它将软件系统的安全认证相关的功能抽取出来,实现用户身份认证.权限授权.加密.会话管理等功能,组成了一个通用的安全认证框架. 以下 ...

  3. Shiro:学习笔记(2)——授权

    Shiro:学习笔记(2)——授权 Shiro的三种授权方式 编程式: Subject subject = SecurityUtils.getSubject(); if(subject.hasRole ...

  4. Shiro笔记(三)授权

    Shiro笔记(三)授权 一.授权方式 1.编程式: Subject subject=SecurityUtils.getSubject(); if(subject.hasRole("root ...

  5. Python入门基础学习 三

    Python入门基础学习 三 数据类型 Python区分整型和浮点型依靠的是小数点,有小数点就是浮点型. e记法:e就是10的意思,是一种科学的计数法,15000=1.5e4 布尔类型是一种特殊的整形 ...

  6. Python基础学习三

    Python基础学习三 1.列表与元组 len()函数:可以获取列表的元素个数. append()函数:用于在列表的最后添加元素. sort()函数:用于排序元素 insert()函数:用于在指定位置 ...

  7. Django基础学习三_路由系统

    今天主要来学习一下Django的路由系统,视频中只学了一些皮毛,但是也做下总结,主要分为静态路由.动态路由.二级路由 一.先来看下静态路由 1.需要在project中的urls文件中做配置,然后将匹配 ...

  8. Shiro基础学习(一)—权限管理

    一.基本概念 1.权限管理      只要有用户参与的系统一般都要有权限管理,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源.     权限管理 ...

  9. Java基础学习(三)—面向对象(上)

    一.理解面向对象       面向对象是一种思想,是基于面向过程而言的,就是说面向对象是将功能等通过对象来实现,将功能封装进对象之中,让对象去实现具体的细节:这种思想是将数据作为第一位,而方法或者说是 ...

随机推荐

  1. Linux下自动备份MySQL

    使用expect和mysqldump备份 expect expect是一个免费的编程工具语言,用来实现自动和交互式任务进行通信,而无需人的干预. 例如,执行shell脚本的过程中,需要输入用户名.密码 ...

  2. 计算机网络之HTTP(上)基础知识点

    计算机网络,应该是我们编程开发.产品上线到正常的运行维护需要考虑的基本条件之一.之前我记录了一篇很简单的计算机的组成(http://www.cnblogs.com/zhangxiongcn/p/636 ...

  3. Spring Boot 相关文章目录

    目录 监控 SpringBoot之旅 -- SpringBoot 项目健康检查与监控

  4. Single Number leetcode

    Given an array of integers, every element appears twice except for one. Find that single one. Note:Y ...

  5. KoaHub.JS用于Node.js的cron作业调度程序代码

    node-schedule A cron-like and not-cron-like job scheduler for Node. Node Schedule     Announcement:  ...

  6. JavaGUI版本销售管理系统

    不知不觉中,本科阶段已经走过两个年头,诸多感慨,诸多向往,周遭的人和事物在不断的改变着,自己的目标也在不断改变,总之,世界一直在快速的发生着变化,快到我们无法捕捉,总的来说,过得很潇洒,就等考上研究生 ...

  7. JavaScript 再认识(一):Function调用模式对this的影响

    近来,学习了一下<JavaScript精粹>,读到了函数这章,理清了JavaScript中this在不同调用模式下的指向. 1.Function调用模式:Function是JavaScri ...

  8. 分享一些自己写的前端库,并骗骗 star(库都是在实际项目中大量运用过的)

    最近一两年在一些项目上,通过实际需求出发,编写了一些库在项目中使用,现在将这些项目都稍微整理了一下开源了出来,也许也有刚好能够你也用得上的,顺便也骗一下star.均在项目的README中加了相关的说明 ...

  9. 使用Func<>和Action简化委托

    /// <summary> /// 入口 /// </summary> public void Run() { TestDelegate t = test; t(); Acti ...

  10. 腾讯QQ会员技术团队:以手机QQ会员H5加速为例,为你揭开sonic技术内幕

    目前移动端越多越多的网页开始H5化,一方面可以减少安装包体积,另一方面也方便运营.但是相对于原生界面而言,H5的慢速问题一定被大家所诟病,针对这个问题,目前手Q存在几种方案,最常见的便是离线包方案,但 ...