shiro受权及自定义realm受权(七)
1.受权流程
2. 三种受权方法
Shiro 支持三种方式的受权:java
编程式:经过写if/else 受权代码块完成:spring
Subject subject = SecurityUtils.getSubject();数据库
if(subject.hasRole(“admin”)) {apache
//有权限编程
} else {app
//无权限ide
}测试
注解式:经过在执行的Java方法上放置相应的注解完成:ui
@RequiresRoles("admin")this
public void hello() {
//有权限
}
JSP/GSP 标签:在JSP/GSP 页面经过相应的标签完成:
<shiro:hasRole name="admin">
<!— 有权限—>
</shiro:hasRole>
3.shiro-permission.ini
#用户
[users]
#用户zhang的密码是123,此用户具备role1和role2两个角色
zhangsan=123,role1,role2
wang=123,role2
#权限
[roles]
#角色role1对资源user拥有create、update权限
role1=user:create,user:update
#角色role2对资源user拥有create、delete权限
role2=user:create,user:delete
#角色role3对资源user拥有create权限
role3=user:create
权限标识符号规则:资源:操做:实例(中间使用半角:分隔)
user:create:01 表示对用户资源的01实例进行create操做。
user:create:表示对用户资源进行create操做,至关于user:create:*,对全部用户资源实例进行create操做。
user:*:01 表示对用户资源实例01进行全部操做。
4.程序
@Test public void testActhorization() { // 1.建立securityManager工厂 Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro-permission.ini"); // 2.建立securityManager SecurityManager securityManager = factory.getInstance(); // 3.将securityManager绑定到运行环境 SecurityUtils.setSecurityManager(securityManager); // 4.建立主体 Subject subject = SecurityUtils.getSubject(); // 5.建立token用于认证 UsernamePasswordToken token = new UsernamePasswordToken("zhangsan", "123"); // 6.登陆(认证) try { subject.login(token); } catch (AuthenticationException e) { // TODO Auto-generated catch block e.printStackTrace(); } System.out.println("认证状态:" + subject.isAuthenticated()); // 7.受权 基于角色受权 基于资源的受权 // 7.1基于角色受权 // 受权单个 boolean permitted = subject.hasRole("role1"); System.out.println("这是受权单个:" + permitted); boolean hasAllRoles = subject.hasAllRoles(Arrays.asList("role1", "role2", "role3")); System.out.println("这是多个受权:" + hasAllRoles); // 使用check方法进行受权,若是受权不经过会抛出异常 // subject.checkRole("role13"); // 7.2 基于资源的受权 // isPermitted传入权限标识符 boolean isPermitted = subject.isPermitted("user:create:1"); System.out.println("单个权限判断" + isPermitted); boolean isPermittedAll = subject.isPermittedAll("user:create:1", "user:delete"); System.out.println("多个权限判断" + isPermittedAll); // 使用check方法进行受权,若是受权不经过会抛出异常 subject.checkPermission("items:create:1"); }
------------------------------------------------------自定义realm受权--------------------------------------------------------------------------------------------------
在原来自定义的realm中,修改doGetAuthorizationInfo方法。
package cn.qlq.realm; import java.util.ArrayList; import java.util.List; import org.apache.shiro.authc.AuthenticationException; import org.apache.shiro.authc.AuthenticationInfo; import org.apache.shiro.authc.AuthenticationToken; import org.apache.shiro.authc.SimpleAuthenticationInfo; import org.apache.shiro.authz.AuthorizationInfo; import org.apache.shiro.authz.SimpleAuthorizationInfo; import org.apache.shiro.realm.AuthorizingRealm; import org.apache.shiro.subject.PrincipalCollection; /** * 自定义realm。根据上面穿下来的token去数据库查信息,查到返回一个SimpleAuthenticationInfo,查不到返回null * * @author: qlq * @date : 2017年7月28日下午8:45:52 */ public class CustomRealm extends AuthorizingRealm { // 设置realm的名称 @Override public void setName(String name) { super.setName("customRealm"); } // 用于认证 @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException { // token是用户输入的 // 第一步从token中取出身份信息(token表明用户输入的传下来的信息) String userCode = (String) token.getPrincipal(); // 第二步:根据用户输入的userCode从数据库查询 // ....从数据库查数据 // 若是查询不到返回null // 数据库中用户帐号是zhangsansan /* * if(!userCode.equals("zhangsansan")){// return null; } */ // 模拟从数据库查询到密码 String password = "111111"; // 若是查询到返回认证信息AuthenticationInfo SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo(userCode, password, this.getName()); return simpleAuthenticationInfo; } // 用于受权 @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { // 从 principals获取主身份信息 // 将getPrimaryPrincipal方法返回值转为真实身份类型(在上边的doGetAuthenticationInfo认证经过填充到SimpleAuthenticationInfo中身份类型), String userCode = (String) principals.getPrimaryPrincipal(); // 根据身份信息获取权限信息 // 链接数据库... // 模拟从数据库获取到数据 List<String> permissions = new ArrayList<String>(); permissions.add("user:create");// 用户的建立 permissions.add("items:add");// 商品添加权限 // .... // 查到权限数据,返回受权信息(要包括 上边的permissions) SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo(); // 将上边查询到受权信息填充到simpleAuthorizationInfo对象中 simpleAuthorizationInfo.addStringPermissions(permissions); return simpleAuthorizationInfo; } }
ini文件
测试:
// 自定义realm进行资源受权测试 @Test public void testAuthorizationCustomRealm() { // 建立SecurityManager工厂 Factory<SecurityManager> factory = new IniSecurityManagerFactory( "classpath:shiro-realm.ini"); // 建立SecurityManager SecurityManager securityManager = factory.getInstance(); // 将SecurityManager设置到系统运行环境,和spring后将SecurityManager配置spring容器中,通常单例管理 SecurityUtils.setSecurityManager(securityManager); // 建立subject Subject subject = SecurityUtils.getSubject(); // 建立token令牌 UsernamePasswordToken token = new UsernamePasswordToken("zhangsan", "111111"); // 执行认证 try { subject.login(token); } catch (AuthenticationException e) { // TODO Auto-generated catch block e.printStackTrace(); } System.out.println("认证状态:" + subject.isAuthenticated()); // 认证经过后执行受权 // 基于资源的受权,调用isPermitted方法会调用CustomRealm从数据库查询正确权限数据 // isPermitted传入权限标识符,判断user:create:1是否在CustomRealm查询到权限数据以内 boolean isPermitted = subject.isPermitted("user:create:1"); System.out.println("单个权限判断" + isPermitted); boolean isPermittedAll = subject.isPermittedAll("user:create:1", "user:create"); System.out.println("多个权限判断" + isPermittedAll); // 使用check方法进行受权,若是受权不经过会抛出异常 subject.checkPermission("items:add:1"); }
总结受权流程:
一、对subject进行受权,调用方法isPermitted("permission串")
二、SecurityManager执行受权,经过ModularRealmAuthorizer执行受权
三、ModularRealmAuthorizer执行realm(自定义的CustomRealm)从数据库查询权限数据
调用realm的受权方法:doGetAuthorizationInfo
四、realm从数据库查询权限数据,返回ModularRealmAuthorizer
五、ModularRealmAuthorizer调用PermissionResolver进行权限串比对
六、若是比对后,isPermitted中"permission串"在realm查询到权限数据中,说明用户访问permission串有权限,不然 没有权限,抛出异常。
相关文章
- 1. shiro受权,自定义realm实现受权,shiro与项目集成,在项目中实现认证及受权
- 2. Shiro入门(七)自定义Realm的受权
- 3. shiro中自定义Realm的认证和受权信息
- 4. Shiro第三篇【受权、自定义reaml受权】
- 5. SpringBoot+Shiro学习(四):Realm受权
- 6. springboot shiro 多realm配置认证、受权
- 7. Shrio00 Shiro角色受权、Shiro权限受权、开启Shiro缓存
- 8. shiro受权
- 9. Shiro-受权(RBAC)
- 10. shiro 之受权
- 更多相关文章...
- • 自定义TypeHandler - MyBatis教程
- • Rust 所有权 - RUST 教程
- • RxJava操作符(十)自定义操作符
- • Flink 数据传输及反压详解
相关标签/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
欢迎关注本站公众号,获取更多信息
