2. 程式人生 > >【Shiro】Apache Shiro架構之許可權認證(Authorization)

【Shiro】Apache Shiro架構之許可權認證(Authorization)

阿新 發佈:2019-02-04

  
  上一篇博文總結了一下Shiro中的身份認證,本文主要來總結一下Shiro中的許可權認證(Authorization)功能,即授權。如下:
授權
  本文參考自Apache Shiro的官方文件:http://shiro.apache.org/authorization.html
  本文遵循以下流程:先介紹Shiro中的許可權認證,再通過一個簡單的例項來具體說明一下API的使用(基於maven)。

1. 許可權認證的核心要素

  許可權認證,也就是訪問控制,即在應用中控制誰能訪問哪些資源。在許可權認證中,最核心的三個要素是:許可權,角色和使用者:

許可權(permission):即操作資源的權利,比如訪問某個頁面,以及對某個模組的資料的新增,修改,刪除,檢視的權利;
角色(role):指的是使用者擔任的的角色,一個角色可以有多個許可權;
使用者(user):在Shiro 中,代表訪問系統的使用者,即上一篇博文提到的Subject認證主體。

  它們之間的的關係可以用下圖來表示:
關係
  一個使用者可以有多個角色,而不同的角色可以有不同的許可權,也可由有相同的許可權。比如說現在有三個角色,1是普通角色,2也是普通角色,3是管理員,角色1只能檢視資訊,角色2只能新增資訊,管理員都可以,而且還可以刪除資訊,類似於這樣。

2.1 基於角色的訪問控制

  也就是說,授權過程是通過判斷角色來完成的,哪個角色可以做這件事,哪些角色可以做這件事等等。它有如下API:

方法 作用
hasRole(String roleName) 判斷是否有該角色訪問權,返回boolen
hasRoles(List<String> roleNames)
 判斷是否有這些這些角色訪問權,返回boolean[]
hasAllRoles(Collection<String> roleNames) 判斷是否有這些這些角色訪問權,返回boolean

  對這三個API,做一下簡單的說明,第一個很簡單,傳入一個role即可,判斷是否擁有該角色訪問權,第二個方法是傳入一個role的集合,然後Shiro會根據集合中的每一個role做一下判斷,並且將每次的判斷結果放到boolean[]陣列中,順序與集合中role的順序一致;第三個方法也是傳入一個role的集合,不同的是,返回boolean型別,必須集合中全部role都有才為true,否則為false。
  用法如下:

Subject currentUser = SecurityUtils.getSubject();
if (currentUser.hasRole("administrator")) {
    //show the admin button or do administrator's things
} else {
    //don't show the button?  Grey it out? or others...
}

  除了這三個API外,Shiro還提供了check的API,與上面不同的是,has-xxx會返回boolean型別的資料,用來判斷,而check-xxx不會返回任何東西,如果驗證成功就繼續處理下面的程式碼,否則會丟擲一個異常,可以用來通過捕獲異常來處理。API如下:

方法 作用
checkRole(String roleName) 如果判斷失敗丟擲AuthorizationException異常
checkRoles(String... roleNames) 如果判斷失敗丟擲AuthorizationException異常
checkRoles(Collection<String> roleNames) 如果判斷失敗丟擲AuthorizationException異常

  類似的使用方法如下:

Subject currentUser = SecurityUtils.getSubject();
//guarantee that the current user is a bank teller and
//therefore allowed to open the account:
currentUser.checkRole("bankTeller");
openBankAccount();

2.2 基於許可權的訪問控制

  基於許可權的訪問控制和基於角色的訪問控制在原理上是一模一樣的,只不過API不同而已,我不再做過多的解釋,API如下:

方法 作用
isPermitted(String perm) 判斷是否有該許可權,返回boolen
isPermitted(List<String> perms) 判斷是否有這些這些許可權,返回boolean[]
isPermittedAll(Collection<String> perms) 判斷是否有這些這些許可權,返回boolean
checkPermission(String perm) 如果判斷失敗丟擲AuthorizationException異常
checkPermissions(String... perms) 如果判斷失敗丟擲AuthorizationException異常
checkPermissionsAll(Collection<String> perms) 如果判斷失敗丟擲AuthorizationException異常

3. 許可權認證示例程式碼

  不管是身份認證還是許可權認證,首先都需要建立SecurityManager工廠,SecurityManager,所以首先新建一個工具類專門做這個事情。

public class ShiroUtil {

    public static Subject login(String configFile, String username,
            String password) {

        // 讀取配置檔案,初始化SecurityManager工廠
        Factory<SecurityManager> factory = new IniSecurityManagerFactory(configFile);
        // 獲取securityManager例項
        SecurityManager securityManager = factory.getInstance();
        // 把securityManager例項繫結到SecurityUtils
        SecurityUtils.setSecurityManager(securityManager);
        // 得到當前執行的使用者
        Subject currentUser = SecurityUtils.getSubject();
        // 建立token令牌,使用者名稱/密碼
        UsernamePasswordToken token = new UsernamePasswordToken(username, password);
        try{
            // 身份認證
            currentUser.login(token);   
            System.out.println("身份認證成功!");
        }catch(AuthenticationException e){
            e.printStackTrace();
            System.out.println("身份認證失敗!");
        }
        return currentUser;
    }
}

  提供一個靜態方法,返回當前使用者,在應用程式中我們直接呼叫這個類中的靜態方法即可返回當前認證的使用者了。
  maven中的pom.xml檔案內容和上一節一樣的,不再贅述。
  Shiro的配置檔案shiro.ini:

#使用者,role表示各個角色
[users]
csdn1=123,role1,role2,role3
csdn2=123,role1,role2

#定義不同角色都擁有哪些許可權
[roles]
role1=user:select
role2=user:add,user:update
role3=user.delete

角色認證:

public class RoleTest {

    @Test
    public void testHasRole() {

        String configFile = "classpath:shiro.ini";
        String username = "csdn2";
        String password = "123";
        Subject currentUser = ShiroUtil.login(configFile, username, password);

        //測試hasRole
        System.out.println(currentUser.hasRole("role2")? "有role2這個角色" : "沒有role2這個角色");

        //測試hasRoles
        boolean[] results = currentUser.hasRoles(Arrays.asList("role1","role2","role3"));
        System.out.println(results[0]? "有role1這個角色" : "沒有role1這個角色");
        System.out.println(results[1]? "有role2這個角色" : "沒有role2這個角色");
        System.out.println(results[2]? "有role3這個角色" : "沒有role3這個角色");

        //測試hasAllRoles     System.out.println(currentUser.hasAllRoles(Arrays.asList("role1","role2","role3")));

        currentUser.logout();
    }

    @Test
    public void testCheckRole() {

        String configFile = "classpath:shiro.ini";
        String username = "csdn2";
        String password = "123";
        Subject currentUser = ShiroUtil.login(configFile, username, password);

//      currentUser.checkRole("role3");//沒有返回值。有就不報錯,沒有就會報錯
//      currentUser.checkRoles(Arrays.asList("role1","role2","role3")); //同上
        currentUser.checkRoles(Arrays.asList("role1","role2")); //同上

        currentUser.logout();
    }
}

  許可權認證和角色認證的測試一樣的,我就不再贅述了。當然了,這裡只是單純的測試,實際中,認證完了後還要做一些具體的業務邏輯處理。

文末福利:“程式設計師私房菜”,一個有溫度的公眾號~
程式設計師私房菜

相關推薦

ShiroApache Shiro架構許可權認證Authorization

     上一篇博文總結了一下Shiro中的身份認證,本文主要來總結一下Shiro中的許可權認證(Authorization)功能,即授權。如下:   本文參考自Apache Shiro

ShiroApache Shiro架構身份認證Authentication

trac pretty asm 安全保障 軟件測試 釋放 model tac 讀取配置文件 Shiro系列文章: 【Shiro】Apache Shiro架構之權限認證(Authorization) 【Shiro】Apache Shiro架構之集成web

ShiroApache Shiro架構實際運用整合到Spring中)

寫在前面:前面陸陸續續對Shiro的使用做了一些總結,如題,這篇博文主要是總結一下如何將Shiro運用到實際專案中,也就是將Shiro整到Spring中進行開發。後來想想既然要整,就索性把

ShiroApache Shiro架構整合web

  前面兩節內容介紹了Shiro中是如何進行身份和許可權的認證,但是隻是單純的進行Shiro的驗證,簡單一點的話,用的是.ini配置檔案,也舉了個使用jdbc realm的例子,這篇博文主要來總結一下Shiro是如何整合web的,即如何用在web工程中。寫在前面:本文沒有使用

Apache Shiro 許可權認證1

Shiro的許可權認證 :   程式設計式授權 :                    

LinuxApache訪問控制虛擬主機配置

在上一次的測試中可以看到在訪問AWStats日誌分析系統時,並不需要提高賬號和密碼,只要知道對應的網址就可以獲知web站點的訪問情況,這給伺服器帶來了安全隱患。為了更好的控制對網站資源的訪問,可以待定的

linuxlinux 環境下 安裝禪道轉載 -- 跟web服務器無關,無視apache、nginx!!!

sdn php 修改 鏈接 net 壓縮 操作 tps 數據庫 參考文章 鏈接 :https://blog.csdn.net/xinxin19881112/article/details/46813991 講的非常完美、透徹,不像其他的文章,都是抄襲的,沒一點註意事項和自己

數學kd 樹演算法思路篇憂傷的小兔子

導語:kd 樹是一種二叉樹資料結構,可以用來進行高效的 kNN 計算。kd 樹演算法偏於複雜,本篇將先介紹以二叉樹的形式來記錄和索引空間的思路,以便讀者更輕鬆地理解 kd 樹。 圖較多,小心流量  作者:肖睿編輯:巨集觀經濟算命師本文由JoinQuant量化課堂推出,本文的難度屬於

Android 動畫動畫詳解屬性動畫

大家好,在前兩篇中,我們介紹了Android的補間動畫和插值器,這一篇,我們來說下屬性動畫。 【Android 動畫】動畫詳解之補間動畫(一) 【Android 動畫】動畫詳解之插值器(二) 前言 通過前兩篇,我們已經熟悉了對View進行移動、縮放、旋轉和

NLPjieba原始碼分析關鍵字提取TF-IDF/TextRank

【一】綜述 利用jieba進行關鍵字提取時,有兩種介面。一個基於TF-IDF演算法,一個基於TextRank演算法。TF-IDF演算法,完全基於詞頻統計來計算詞的權重,然後排序,在返回TopK個詞作為關鍵字。TextRank相對於TF-IDF,基本思路一致,也是基於統計的思想,只不過其計算詞的權

SpringMVC7.REST風格的CRUD實戰前期工作

一、什麼是REST和CRUD? 1.有關REST 有關REST的解釋我已近在之前的SpringMVC系列文章提到過,如果有興趣的同學可以翻看《【SpringMVC】3.REST表現層狀態轉換》進行檢視。 2.有關CRUD In comp

SpringMVC9.REST風格的CRUD實戰新增操作

##注意!!! URI:emp 請求方式:GET 顯示效果 ####新增員工資訊 URI:emp 請求方式:POST 顯示效果:完成新增,重定向到 list 頁面。 ##二、介面分析 顯示頁面的URL都是emp,但是請求方式分別是GET和POS

SpringMVC10.REST風格的CRUD實戰刪除操作

注意!!! 一、前情提要 刪除操作 URL:emp/{id} 請求方式:DELETE 刪除後效果:對應記錄從資料表中刪除 二、具體步驟 1.配置HiddenHttpMethodFilter 由於HTML只支援常見的Get和POST方法,而DELE

SpringMVC8.REST風格的CRUD實戰查詢操作

##注意!!! URI:emps 請求方式:GET 顯示效果 所以我們就圍繞這個需求來進行程式設計。 ##二、具體步驟 ###1.把Handler方法寫好 EmployeeHandler相關程式碼 package com.springmvc.cru

編譯原理語法制導翻譯屬性文法

最近對程式語言如何從 原始碼->位元組碼(or 機器碼)->執行 產生了興趣,為此從今天開始,給自己制定了一個學習計劃, 目的是能夠對Java原始碼如何到class檔案位元組碼,再如何在JVM上執行有比較深入的理解。 學習的第一步,就從難啃的編譯原理開始。 之前

uml-九種圖活動圖Activity Diagram

【簡介】      當已經畫完狀態圖之後,發現活動圖是狀態圖的一種特殊形式。其中所有或多數狀態都是活動狀態,而且所有或多數轉移都在源狀態中的活動完成時立即觸發。  【內容】  一:基本概念    活動

軟件工程需求分析思維導圖

軟件 導圖 程序員 編制 作者 軟工 學校 bubuko net 轉自:https://blog.csdn.net/Elsa15/article/details/83858342 最近軟工課程進行到需求分析部分,課程項目也進行到該階段,課本上的文字實在是太無聊了,在網上看

Gin-API系列Gin中介軟體日誌模組

日誌是程式開發中必不可少的模組,同時也是日常運維定位故障的最重要環節之一。一般日誌類的操作包括日誌採集,日誌查詢,日誌監控、日誌統計等等。本文,我們將介紹日誌模組在Gin中的使用。 ## Golang如何列印日誌 * 日誌列印需要滿足幾個條件 1. 重定向到日誌檔案 2. 區分日誌級別,一般有`DEBUG`,

Gin-API系列Gin中介軟體異常處理

本文我們介紹生產環境上如何通過捕捉異常`recovery`來完善程式設計和提高使用者體驗。 # Golang異常處理 > golang 的異常處理比較簡單,通常都是在程式遇到異常崩潰`panic`之後通過`defer`呼叫延遲函式捕捉異常,並對異常資訊進行輸出和記錄。 * 異常處理程式碼 ```gol

整理軟件工程復習提綱維護

評價 描述 nbsp 參考 操作 text 吸引 復習 組織 章魚小年糕整理,如果有錯誤歡迎提出,若要二次修改發布,請留言,謝謝^_^! 概念 軟件維護:軟件在已經交付使用之後,為了改正錯誤或滿足新的需求修改軟件的過程。 文檔:有關計算機程序功能、設計、編制、使用的文字或圖