1. 全栈程序员必看首页

Shiro | 实现权限验证完整版

全栈程序员-站长 未分类 阅读 124

Shiro | 实现权限验证完整版

写在前面的话

提及权限,就会想到安全,是一个十分棘手的话题。这里只是作为学校Shiro的一个记录,而不是,权限就应该这样设计之类的。

Shiro框架

1、Shiro是基于Apache开源的强大灵活的开源安全框架。

2、Shiro提供了 认证授权企业会话管理安全加密缓存管理

3、Shiro与Security对比

Shiro与Security对比

4、Shiro整体架构

Shiro整体架构图

5、特性

Shiro特性

6、认证流程

Shiro认证流程

认证

当我们理解Shiro之后,我们就能比较容易梳理出认证流程,大概就是下面这样子。

Shiro认证流程

我们来看一段测试代码:

// 1.构建SecurityManager环境
DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager();
defaultSecurityManager.setRealm(simpleAccountRealm);

// 2.主体提交认证请求
SecurityUtils.setSecurityManager(defaultSecurityManager);
Subject subject = SecurityUtils.getSubject();

// 3.认证
UsernamePasswordToken token = new UsernamePasswordToken("admin", "admin");
subject.login(token);
System.out.println("是否认证:" + subject.isAuthenticated());

// 4.退出
subject.logout();
System.out.println("是否认证:" + subject.isAuthenticated());

我们发现Shiro真正帮我们做的就是认证这一步,那他到底是如何去认证的呢?

Shiro登录过程

我们把我们登录的代码完善一下:

/**
 * 登录操作,返回登录认证信息
 * @return 登录结果
 */
public String login() {
    try {
        DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager();
        defaultSecurityManager.setRealm(simpleAccountRealm);

        SecurityUtils.setSecurityManager(defaultSecurityManager);
        Subject subject = SecurityUtils.getSubject();

        UsernamePasswordToken token = new UsernamePasswordToken("admin", "admin");
        
        subject.login(token);
        if (subject.isAuthenticated())
            return  "登录成功";
    } catch (IncorrectCredentialsException e1) {
        e1.printStackTrace();
        return "密码错误";
    } catch (LockedAccountException e2) {
        e2.printStackTrace();
        return "登录失败,该用户已被冻结";
    } catch (AuthenticationException e3) {
        e3.printStackTrace();
        return "该用户不存在";
    } catch (Exception e) {
        e.printStackTrace();
    }
    return "登录失败";
}

Realm

1、IniReam

配置文件 user.ini

[users]
Mark=admin,admin
[roles]
admin=user:add,user:delete,user:update,user:select

测试代码

// IniRealm 测试
@Test
public void testAuthenticationIniRealm () {

    IniRealm iniRealm = new IniRealm("classpath:user.ini");

    DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager();
    defaultSecurityManager.setRealm(iniRealm);

    SecurityUtils.setSecurityManager(defaultSecurityManager);
    Subject subject = SecurityUtils.getSubject();

    UsernamePasswordToken token = new UsernamePasswordToken("admin", "123456");
    subject.login(token);

    System.out.println("是否认证:" + subject.isAuthenticated());

    subject.checkRole("admin");
    subject.checkPermission("user:delete");

}

2、JdbcRealm

这里有两种方案,使用Shiro为我们提供了SQL语句,或者我们自己写SQL语句。

第一种:

// JdbcRealm 测试 Shiro SQL
@Test
public void testAuthenticationShiroSQL() {

    JdbcRealm jdbcRealm = new JdbcRealm();
    jdbcRealm.setDataSource(druidDataSource);
    jdbcRealm.setPermissionsLookupEnabled(true);

    DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager();
    defaultSecurityManager.setRealm(jdbcRealm);

    SecurityUtils.setSecurityManager(defaultSecurityManager);
    Subject subject = SecurityUtils.getSubject();

    UsernamePasswordToken token = new UsernamePasswordToken("xfsy", "xfsy2018");
    subject.login(token);

    System.out.println("是否认证:" + subject.isAuthenticated());

    subject.checkRole("user");
    subject.checkPermission("user:select");

}

第二种:

// JdbcRealm 测试 Custom SQL
@Test
public void testAuthenticationCustomSQL() {

    JdbcRealm jdbcRealm = new JdbcRealm();
    jdbcRealm.setDataSource(druidDataSource);
    jdbcRealm.setPermissionsLookupEnabled(true);

    /**
     * @see org.apache.shiro.realm.jdbc.JdbcRealm
     */
    String sql = "select pwd from t_user where user_name = ?";
    jdbcRealm.setAuthenticationQuery(sql);

    DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager();
    defaultSecurityManager.setRealm(jdbcRealm);

    SecurityUtils.setSecurityManager(defaultSecurityManager);
    Subject subject = SecurityUtils.getSubject();

    UsernamePasswordToken token = new UsernamePasswordToken("test", "123");
    subject.login(token);

    System.out.println("是否认证:" + subject.isAuthenticated());
}

3、自定义Realm

在上面我们已经看过了 JdbcRealm,所以我们也可以依葫芦画瓢自定义Ramlm。

第一步:继承 AuthorizingRealm

第二步:实现认证方法

第三步:实现授权方法

通过AuthorizingRealm,我们完全按照自己的需求实现自己的业务逻辑。

import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;

/**
 * @author Wenyi Feng
 * @since 2018-10-22
 */
public class CustomRealmTest extends AuthorizingRealm {

    /**
     * Retrieves the AuthorizationInfo for the given principals from the underlying data store.  When returning
     * an instance from this method, you might want to consider using an instance of
     * {@link org.apache.shiro.authz.SimpleAuthorizationInfo SimpleAuthorizationInfo}, as it is suitable in most cases.
     *
     * @param principals the primary identifying principals of the AuthorizationInfo that should be retrieved.
     * @return the AuthorizationInfo associated with this principals.
     * @see org.apache.shiro.authz.SimpleAuthorizationInfo
     */
    // 授权
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        return null;
    }

    /**
     * Returns {@code true} if authentication caching should be utilized based on the specified
     * {@link AuthenticationToken} and/or {@link AuthenticationInfo}, {@code false} otherwise.
     * <p/>
     * The default implementation simply delegates to {@link #isAuthenticationCachingEnabled()}, the general-case
     * authentication caching setting.  Subclasses can override this to turn on or off caching at runtime
     * based on the specific submitted runtime values.
     *
     * @param token the submitted authentication token
     * @param info  the {@code AuthenticationInfo} acquired from data source lookup via
     *              {@link #doGetAuthenticationInfo(org.apache.shiro.authc.AuthenticationToken)}
     * @return {@code true} if authentication caching should be utilized based on the specified
     *         {@link AuthenticationToken} and/or {@link AuthenticationInfo}, {@code false} otherwise.
     * @since 1.2
     */
    // 认证
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token)
            throws AuthenticationException {
        return null;
    }
}

可能Shiro提供的Realm并不能满足我们的实际开发需求,所以真正弄明白自定义Realm还是有很大帮助的,你觉得呢?

4、安全加密

明文密码?

好吧,我们看看Shiro为我们提供的加密方法。

//  Md5Hash md5Hash = new Md5Hash("123456");

Md5Hash md5Hash = new Md5Hash("123456", "admin");
System.out.println(md5Hash.toString());

那我们该怎么使用了?

在Realm认证中设置盐值

// 使用admin对密码进行加密
authenticationInfo.setCredentialsSalt(ByteSource.Util.bytes("admin"));

我们只需要告诉我们的Realm,需要对密码进行加密就可以了。

CustomRealm customRealm = new CustomRealm();
HashedCredentialsMatcher matcher = new HashedCredentialsMatcher();
// 加密类型
matcher.setHashAlgorithmName("md5"); 
// 加密次数
matcher.setHashIterations(1); 
customRealm.setCredentialsMatcher(matcher);

权限

1、Shiro为我们提供的权限

名称 说明
anon 不校验
authc 作校验
roles 需要具有指定角色(一个或多个)才能访问
perms 需要具有指定角色(一个或多个)才能访问

2、配置

<!-- 从上往下开始匹配 -->
/login.html = anon
/subLogin = anon
<!--/testRole = roles["admin"]-->
<!--/testRole1 = roles["admin", "admin1"]-->
<!--/testPerms = perms["user:delete"]-->
<!--/testPerms1 = perms["user:delete", "user:update"]-->

3、自定义权限认证

import org.apache.shiro.web.filter.authz.AuthorizationFilter;

import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;

/**
 * @author Wenyi Feng
 * @since 2018-10-22
 */
public class CustomAuthorizationFilter extends AuthorizationFilter {
    
    protected boolean isAccessAllowed(ServletRequest request, 
                                      ServletResponse response, 
                                      Object mappedValue) throws Exception {
        return false;
    }
}

另外,看一下 Shiro Filter

Shiro Filter

会话管理(Session)

会话管理,就是拿到Session之后,我们怎么处理。什么意思?分布式系统,需要共享Session。

import org.apache.shiro.session.Session;
import org.apache.shiro.session.UnknownSessionException;
import org.apache.shiro.session.mgt.eis.AbstractSessionDAO;

import java.io.Serializable;
import java.util.Collection;

/**
 * 自定义Session操作接口
 * @author Wenyi Feng
 * @since 2018-10-22
 */
public class CustomSessionDAO extends AbstractSessionDAO {
    
    // 创建Session
    protected Serializable doCreate(Session session) {
        return null;
    }

    // 读session
    protected Session doReadSession(Serializable sessionId) {
        return null;
    }

    // 修改session
    public void update(Session session) throws UnknownSessionException {

    }

    // 删除session
    public void delete(Session session) {

    }

    // 获取当前活动的session
    public Collection<Session> getActiveSessions() {
        return null;
    }
}

缓存管理(Cache)

缓存管理同Session管理,可以这样说,session是一套系统的基础,缓存决定系统的优化级别,很重要。

缓存设计

另外,我们看一下,Shiro为我们设计的缓存接口。

package org.apache.shiro.cache;

import java.util.Collection;
import java.util.Set;

public interface Cache<K, V> {
    V get(K var1) throws CacheException;

    V put(K var1, V var2) throws CacheException;

    V remove(K var1) throws CacheException;

    void clear() throws CacheException;

    int size();

    Set<K> keys();

    Collection<V> values();
}

自动登录

我们只需要为token设置RememberMe就可以了。

token.setRememberMe(user.getRememberMe());

链接

[1] Shiro安全框架入门

[2] 本次测试代码:ShiroLearn

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请联系我们举报,一经查实,本站将立刻删除。

发布者:全栈程序员-站长,转载请注明出处:https://javaforall.net/101356.html原文链接:https://javaforall.net

(0)
全栈程序员-站长的头像全栈程序员-站长
0 0


相关推荐

  • Matlab 2016a 安装包及破解教程

    Matlab 2016a 安装包及破解教程

    Matlab 2016a 安装包及破解教程Matlab-Matlab2016a安装破解教程本方法只是研究破解技术所用。如果要使用软件还是要用正版的。Matlab2016a安装包及破解教程百度云分享链接: 链接:https://pan.baidu.com/s/1i6BgD8p    密码:17gg Matlab安装教程: 1、下载文件,得到R2016a_win64.part1.rar、R2016a_…

    全栈程序员-站长的头像 全栈程序员-站长
    2022年5月1日
    268
  • pyQt5 时时输出显示(PyCharm QtDesigner PyUIC开发)

    pyQt5 时时输出显示(PyCharm QtDesigner PyUIC开发)

    pyQt5 时时输出显示(PyCharm QtDesigner PyUIC开发)用QtDesigner工具进行界面绘制,注意各种插件的命名,以免生成的代码自己都看不懂。绘制好之后,再利用PyUIC把.ui文件转为.py文件。PyCharm可以集成QtDesignerPyUIC这两种工具。func.py:#-*-coding:utf-8-*-#Formimplementationgeneratedfromreadinguifile…

    全栈程序员-站长的头像 全栈程序员-站长
    2022年8月28日
    5
  • 矩阵乘以其矩阵转置

    矩阵乘以其矩阵转置

    矩阵乘以其矩阵转置在推导公式和计算中,常常能碰到矩阵乘以其矩阵转置,在此做个总结。1.假设矩阵A是一个m∗nm∗nm*n矩阵,那么A∗ATA∗ATA*A^T得到一个m∗mm∗mm*m矩阵,AT∗AAT∗AA^T*A得到一个n∗nn∗nn*n的矩阵,这样我们就能得到一个方矩阵。看一个例子:Xθ=HXθ=HX\theta=H求解θθ\theta.XTXθ=XTHXTXθ=XT…

    全栈程序员-站长的头像 全栈程序员-站长
    2022年6月30日
    55
  • JAVA卸载与安装

    JAVA卸载与安装

    JAVA卸载与安装卸载JDK1、删除Java的安装目录电脑-属性-高级系统设置-环境变量-JAVA_HOME的值就是放主程序的目录,删掉2、删除环境变量里的JAVA_HOME电脑-属性-高级系统设置-环境变量-JAVA_HOME这一行删除3、删除path下关于Java的目录电脑-属性-高级系统设置-环境变量-path中删掉跟JAVA_HOME相关的4、Java-versionwin+rcmdJava-version找不到命令安装JDK1,百度搜索JDK8,找到下载地址2、

    全栈程序员-站长的头像 全栈程序员-站长
    2022年5月12日
    35
  • 带通滤波器电路图设计(转)

    带通滤波器电路图设计(转)

    带通滤波器电路图设计(转)转自:http://www.elecfans.com/dianlutu/187/20180224638878_a.html带通滤波器电路图设计(一)传统的带通滤波器设计方法中涉及了很多复杂的理论分析和计算。针对上述缺点,介绍一种使用EDA软件进行带通滤波器的设计方案,详细阐述了使用FilterPro软件进行有源带通滤波器电路的设计步骤,然后给出了在Proteus中对所设计的滤波器进行仿真分析和测试的方法。测试结果表明,使用该方法设计的带通滤波器具有性能稳定。设计难度小等优点,也为滤波器的设计提供了一个

    全栈程序员-站长的头像 全栈程序员-站长
    2022年5月29日
    41
  • 树莓派3b入门指南「建议收藏」

    树莓派3b入门指南「建议收藏」

    树莓派3b入门指南「建议收藏」近日,入手了树莓派3b,准备把它当一台防火墙用,配置如下:我买的套装是最简版的,只有一个电源线、一个塑料外壳,一个8GSD卡,几个散热片。捣鼓了几天,网上搜索了一些资料,在此记录下详细的过程,方便之后入手的朋友。一.烧写树莓派镜像(需要一个SD卡读写器)1.进入官网https://www.raspberrypi.org/downloads/下载页面,选择“RASP…

    全栈程序员-站长的头像 全栈程序员-站长
    2022年6月25日
    52

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注

关注全栈程序员社区公众号