2. 程式人生 > >【Shiro許可權管理】15.Shiro授權流程分析

【Shiro許可權管理】15.Shiro授權流程分析

阿新 發佈:2019-02-05
注:該系列所有測試均在之前建立的Shiro3的Web工程的基礎上。
上一篇講解了Shiro授權的相關基礎知識,並實驗了“roles”攔截器的效果。可惜的是沒有給使用者
進行授權工作,所以沒有驗證擁有角色後的許可權校驗工作。下面就來講解一下Shiro的授權流程。

之前我們使用過認證的Realm,他是進行登入認證時提供認證資料的關鍵類,其繼承了
AuthenticatingRealm父類,並實現了doGetAuthenticationInfo抽象方法提供認證資料。
那麼我們的授權資料獲取,繼承AuthenticatingRealm是不夠的,需要繼承AuthenticatingRealm
的子類AuthorizingRealm,並實現其抽象方法doGetAuthorizationInfo。

因為AuthorizingRealm授權Realm是AuthenticatingRealm認證Realm的子類,所以AuthorizingRealm
既可以提供授權資料也可以提供認證資料,所以要實現認證與授權,只需要繼承AuthorizingRealm
類即可。

這裡寫一個Test類,繼承AuthorizingRealm:
package com.test.shiro.realms;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
public class TestRealm extends AuthorizingRealm{


	//用於授權的方法
	@Override
	protected AuthorizationInfo doGetAuthorizationInfo(
			PrincipalCollection principals) {
		// TODO Auto-generated method stub
		return null;
	}


	//用於認證的方法
	@Override
	protected AuthenticationInfo doGetAuthenticationInfo(
			AuthenticationToken token) throws AuthenticationException {
		// TODO Auto-generated method stub
		return null;
	}


}
可以看到,繼承了AuthorizingRealm中之後,就要實現其兩個方法:
doGetAuthenticationInfo、doGetAuthorizationInfo
上面兩個方法分別用於為校驗提供認證資訊和授權資訊。
因為Subject的login方法會呼叫Realm的doGetAuthenticationInfo獲取認證資訊進行密碼比對,
而Subject的hasRole、hasPermission等方法會呼叫Realm的doGetAuthorizationInfo獲取授權資訊
進行許可權判定。

這裡需要注意的一點,當我們配置了多個Realm授權時,如何判定是授權通過呢?
我們通過Subject的hasRole原始碼可看到:


上面可以看到執行了securityManager的hasRole方法,而securityManager根據不同情況會繼承
不同的類:

而其中的ModularRealmAuthorizer就是當有多個Realm時,securityManager繼承的類。
此時securityManager的hasRole的實現為ModularRealmAuthorizer父類的實現:

可以從上面的方法中得知,當配置有多個Realm時,只要一個Realm有該許可權,那麼就直接通過。

下面我們來實現授權Realm:
之前在Shiro3工程中有一個認證Realm為ShiroRealm,其繼承了AuthenticatingRealm父類
並實現了doGetAuthenticationInfo為系統的登入認證提供認證資訊:
package com.test.shiro.realms;
import java.util.HashMap;
import java.util.HashSet;
import java.util.Iterator;
import java.util.Map;
import java.util.Set;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.LockedAccountException;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.crypto.hash.SimpleHash;
import org.apache.shiro.realm.AuthenticatingRealm;
import org.apache.shiro.util.ByteSource;
import com.test.shiro.po.User;
public class ShiroRealm extends AuthenticatingRealm{
	
	private static Map<String,User> userMap = new HashMap<String,User>();
	static{
		//使用Map模擬資料庫獲取User表資訊
	        userMap.put("administrator", new User("administrator","5703a57069fce1f17882d283132229e0",false));//密碼明文:aaa123
		userMap.put("jack", new User("jack","43e66616f8730a08e4bf1663301327b1",false));//密碼明文:aaa123
		userMap.put("tom", new User("tom","3abee8ced79e15b9b7ddd43b95f02f95",false));//密碼明文:bbb321
		userMap.put("jean", new User("jean","1a287acb0d87baded1e79f4b4c0d4f3e",true));//密碼明文:ccc213
	}


	@Override
	protected AuthenticationInfo doGetAuthenticationInfo(
			AuthenticationToken token) throws AuthenticationException {
		System.out.println("[ShiroRealm]");
		//1.把AuthenticationToken轉換為UsernamePasswordToken
		UsernamePasswordToken userToken = (UsernamePasswordToken) token;
		
		//2.從UsernamePasswordToken中獲取username
		String username = userToken.getUsername();
		
		//3.呼叫資料庫的方法,從資料庫中查詢Username對應的使用者記錄
		System.out.println("從資料看中獲取UserName為"+username+"所對應的資訊。");
		//Map模擬資料庫取資料
		User u = userMap.get(username);
		
		//4.若使用者不行存在,可以丟擲UnknownAccountException
		if(u==null){
			throw new UnknownAccountException("使用者不存在");
		}
		
		//5.若使用者被鎖定,可以丟擲LockedAccountException
		if(u.isLocked()){
			throw new LockedAccountException("使用者被鎖定");
		}
		
		//7.根據使用者的情況,來構建AuthenticationInfo物件,通常使用的實現類為SimpleAuthenticationInfo
		//以下資訊是從資料庫中獲取的
		//1)principal:認證的實體資訊,可以是username,也可以是資料庫表對應的使用者的實體物件
		Object principal = u.getUsername();
		//2)credentials:密碼
		Object credentials = u.getPassword();
		//3)realmName:當前realm物件的name,呼叫父類的getName()方法即可
		String realmName = getName();
		//4)credentialsSalt鹽值
		ByteSource credentialsSalt = ByteSource.Util.bytes(principal);//使用賬號作為鹽值
		
		SimpleAuthenticationInfo info = null; //new SimpleAuthenticationInfo(principal,credentials,realmName);
		info = new SimpleAuthenticationInfo(principal, credentials, credentialsSalt, realmName);
		return info;
	}
	
	public static void main(String[] args) {
		User u = null;
		Iterator<String> it = userMap.keySet().iterator();
		while(it.hasNext()){
			u = userMap.get(it.next());
			String hashAlgorithmName = "MD5";//加密方式
			Object crdentials = u.getPassword();//密碼原值
			ByteSource salt = ByteSource.Util.bytes(u.getUsername());//以賬號作為鹽值
			int hashIterations = 1024;//加密1024次
			Object result = new SimpleHash(hashAlgorithmName,crdentials,salt,hashIterations);
			System.out.println(u.getUsername()+":"+result);
		}
	}
}
我們修改之前Shiro3工程中的ShiroRealm,將其原來繼承的AuthenticatingRealm父類更換為
AuthorizingRealm類,並實現其doGetAuthorizationInfo方法用於提供授權資訊:
//給Shiro的授權驗證提供授權資訊
@Override
protected AuthorizationInfo doGetAuthorizationInfo(
		PrincipalCollection principals) {
	//1.從principals中獲取登入使用者的資訊
	Object principal = principals.getPrimaryPrincipal();
	
	//2.利用登入使用者的資訊獲取當前使用者的角色(有資料庫的話,從資料庫中查詢)
	Set<String> roles = new HashSet<String>();//放置使用者角色的set集合(不重複)
	roles.add("user");//放置所有使用者都有的普通使用者角色
	if("administrator".equals(principal)){
		roles.add("admin");//當賬號為administrator時,新增admin角色
	}
	
	//3.建立SimpleAuthorizationInfo,並設定其roles屬性
	SimpleAuthorizationInfo info = new SimpleAuthorizationInfo(roles);
	
	//4.返回SimpleAuthorizationInfo物件
	return info;
}
由於這裡我們沒有資料庫,僅僅用資料模擬角色新增,設定當登入賬號為“adminstrator”時,為其
新增admin角色。

記得上一篇我們在shiroFilter中配置了User.jsp與admin.jsp的訪問許可權:
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
    <property name="securityManager" ref="securityManager"/>
    <property name="loginUrl" value="/login.jsp"/>
    <property name="successUrl" value="/list.jsp"/>
    <property name="unauthorizedUrl" value="/index.jsp"/>
    <!--  
    	配置哪些頁面需要受保護. 
    	以及訪問這些頁面需要的許可權. 
    	1). anon 可以被匿名訪問
    	2). authc 必須認證(即登入)後才可能訪問的頁面. 
    	3). logout 登出
    	4). roles 角色過濾器
    -->
    <property name="filterChainDefinitions">
        <value>
            /login.jsp = anon
            /userAuth/login = anon
            /userAuth/logout = logout
           
            /User.jsp = roles[user]
            /admin.jsp = roles[admin]
           
            # everything else requires authentication:
            /** = authc
        </value>
    </property>
</bean>

然後主頁list.jsp:
<%@ page language="java" import="java.util.*" pageEncoding="UTF-8"%>
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
  <head>
    <title>首頁</title>
  </head>
  <body>
     登入成功!歡迎訪問首頁O(∩_∩)O
   <a href="userAuth/logout">登出</a>
   <br/><br/>
   <a href="admin.jsp">Admin Page</a>
   <br/><br/>
   <a href="User.jsp">User Page</a>
  </body>
</html>
User.jsp:
<%@ page language="java" import="java.util.*" pageEncoding="ISO-8859-1"%>
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
  <head>
    <title>user page</title>
  </head>
  
  <body>
    This is User page. <br>
  </body>
</html>
admin.jsp:
<%@ page language="java" import="java.util.*" pageEncoding="ISO-8859-1"%>
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
  <head>
    <title>admin page</title>
  </head>
  
  <body>
    This is Admin page. <br>
  </body>
</html>
無許可權時unauthorizedUrl指向的index.jsp頁面:
<%@ page language="java" import="java.util.*" pageEncoding="utf-8"%>
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
  <head>
    <title>提示</title>
  </head>
  <body>
    抱歉,沒有許可權訪問該資源!<br>
  </body>
</html>

下面使用jack普通使用者登入:


然後點選User Page,發現可以進入:


然後點選Admin Page,發現沒有許可權:


接下來換administrator賬號登入,然後點選User Page,發現可以進入:



再去點選Admin Page,發現也可以進入:

至此,我們實現了Shiro的一個完整的授權流程。

相關推薦

Shiro許可權管理15.Shiro授權流程分析

注:該系列所有測試均在之前建立的Shiro3的Web工程的基礎上。 上一篇講解了Shiro授權的相關基礎知識,並實驗了“roles”攔截器的效果。可惜的是沒有給使用者 進行授權工作,所以沒有驗證擁有角色後的許可權校驗工作。下面就來講解一下Shiro的授權流程。 之前我們使用

Shiro許可權管理1.Shiro簡介

一、簡介 在Web系統中我們經常要涉及到許可權問題,例如不同角色的人登入系統,他操作的功能、按鈕、選單是各不相同的,這就是所謂的許可權。 Apache Shiro是Java的一個安全(許可權)框架,Shiro可以完成認證、授權、加密、會話管理、Web整合、快取等功能。適用於JavaSE和JavaEE

Shiro許可權管理3.Shiro整合 Spring

下面來說一下如何在Web下使用Shiro。 在大部分Web開發環境下,都是使用Spring與Shiro進行整合,所以下面直接來講解Shiro與Spring整合的方式。 一、準備環境 (1)加入Spring和Shiro的jar包 首先在MyEclipse中新建一個Web工程:

Shiro許可權管理19.Shiro會話管理

注:該系列所有測試均在之前建立的Shiro3的Web工程的基礎上。 下面我們來說一下Shiro裡面的會話管理,這個“會話”與JavaWeb裡面的HttpSession 是一致的,都是表示客戶端與伺服器的一次會話。 Shiro會話的特點: Shiro提供了完整的企業級會話管理

Shiro許可權管理17.Shiro許可權註解

注:該系列所有測試均在之前建立的Shiro3的Web工程的基礎上。 前面我們講解了Shiro的標籤屬性,下面我們來講解Shiro的有關許可權的註解屬性。 Shiro的註解是使用在相應的Java類的方法上,當用戶不滿足註解的要求時,是無法執行 方法內部邏輯的。這相當於在程式碼

Shiro許可權管理22.Shiro之記住我

注:該系列所有測試均在之前建立的Shiro3的Web工程的基礎上。 在我們登入一些網站的時候,在登入輸入框的下側一般都會有一個“記住我”的勾選框,選擇之後,我們 下次進入網站的時候就會自動進行登入操作,無需我們再次輸入密碼。而在訪問一些敏感資訊的時候,還是需要 進行登入操作

TFS許可權管理vs2013 修改TFS已經登入的使用者方法

每次vs2013就預設自動用那個帳號登入了,想換個帳號都沒辦法,百度了以下找到了幾篇文章,特整理下,方便需要的朋友 TFS2013 我個人初次使用覺得不爽的是用一個帳號登入後,每次vs2013就預設自動用那個帳號登入了,想換個帳號都沒辦法。 今天終於用谷歌搜到網易的一個

TFS許可權管理TFS使用者組說明和使用者許可權配置過程

一、TFS預設使用者組的說明 伺服器級別使用者組: 1、TFS伺服器/Team Foundation Valid Users:可以訪問TFS伺服器。 2、TFS伺服器/Team Foundation Licensed Users:可以連線TFS伺服器。這個組只在 Team

TFS許可權管理管理 TFS 中使用者或組

來源:https://msdn.microsoft.com/zh-cn/library/dd547204.aspx 對於有權訪問 Team Foundation Server (TFS) 中的團隊專案的使用者,你需要向他們授予訪問許可權。 如果你是小團隊的管理員,限制

ClickHouse學習系列之二使用者許可權管理

背景       最近花了些時間看了下ClickHouse文件,發現它在OLAP方面表現很優異,而且相對也比較輕量和簡單,所以準備入門瞭解下該資料庫系統。在安裝完之後首先做的應該如何設定使用者密碼以及許可權控制。因為和MySQL、MongoDB等資料庫的使用者管理完全不一樣,為方

ShiroSpringMVC+Shiro許可權管理

<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"    xsi:schemaLocation="http://maven.apache.org/

SSM整合shiro許可權管理

這幾天在學習了shiro許可權管理框架,在剛開始的時候學的時候因為這個配置問題困擾了我很長時間,所以在這篇文章我整合了自己用SSM搭建shiro許可權框架的過程。   1.配置   1.1jar包 在專案配置開始前需要先匯入shiro的相關jar包,下載地址:ht

Springboot2.x+shiro+redis整合填坑 (一)redis只做快取的情況 Springboot2.0 整合shiro許可權管理

主要記錄關鍵和有坑的地方 前提: 1、SpringBoot+shiro已經整合完畢,如果沒有整合,先查閱之前的Springboot2.0 整合shiro許可權管理 2、redis已經安裝完成 3、redis客戶端使用Lettuce,這也是sprinboot2.0後預設的,與jedis的區別,自行百度

SpringBoot整合Shiro許可權管理框架

專案目錄結構 1.pom.xml <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://

Spring Boot shiro 許可權管理 小例子

1.引入基本依賴 <project xmlns="http://maven.apache.org/POM/4.0.0"xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"   xsi:schema

springboot配置shiro許可權管理,網搜搜採集網站許可權控制程式碼

import outshine.shiro.authc.AccountSubjectFactory; import outshine.shiro.filter.AuthenticatedFilter; import outshine.shiro.realm.AccountRealm; import or

Shiro許可權管理框架(1)

許可權管理:  1.什麼是許可權管理:基本上涉及到使用者參與的系統都要進行許可權管理,許可權管理屬於系統安全範疇,許可權管理實現對使用者訪問系統的控制,按照安全規則或者安全策略可以訪問而且只能訪問自己被授權的資源。    許可權管理包括使用者身份認證和授權兩

詳解spring整合shiro許可權管理與資料庫設計

現在基本上所有的後臺系統都逃不過許可權管理這一塊,這算是一個剛需了。現在我們來整合shiro來達到顆粒化許可權管理,也就是從連線選單到頁面功能按鈕,都進行許可權都驗證,從前端按鈕的顯示隱藏,到後臺具體功能方法的許可權驗證。 首先要先設計好我們的資料庫,先來看一張比較粗糙的資

Spring Boot Shiro許可權管理1

原文地址:https://412887952-qq-com.iteye.com/blog/2299732 (1). Shiro簡單介紹 (2). 整合Shiro核心分析 (3). 無Shiro的Spring Boot (4). 整合Shiro 進行使用者授權

Spring Boot Shiro許可權管理2

原文地址:https://412887952-qq-com.iteye.com/blog/2299777  整合shiro大概分這麼一個步驟: (a) pom.xml中新增Shiro依賴; (b) 注入Shiro Factory和SecurityManager。 (c) 身份認證 (d