2. 程式人生 > >深入淺出學Shiro(二)--授權認證

深入淺出學Shiro(二)--授權認證

阿新 發佈:2019-02-11

    授權即訪問控制,它將判斷使用者在應用程式中對資源是否擁有相應的訪問許可權。如,判斷一個使用者有檢視頁面的許可權,編輯資料的許可權,擁有某一按鈕的許可權,以及是否擁有列印的許可權等等。

    認證通過後接受 Shiro授權檢查,授權驗證時,需要判斷當前角色是否擁有該許可權。只有授權通過,才可以訪問受保護 URL 對應的資源,否則跳轉到“未經授權頁面”。

首先來結合一個例項來說明:

shiro認證成功後,跳轉到main.jsp頁面

Main.jsp頁面內容:

<body>
		<ul>
			<li>
				<h2>
					<a target="_self" href="user.do?myjsp">訪問myjsp頁面</a>
				</h2>
			</li>
			<li>
				<h2>
					<a target="_self" href="user.do?notmyjsp">訪問notmyjsp頁面(無權訪問)</a>
				</h2>
			</li>
			<li>
				<h2>
					<a target="_self" href="user.do?visitAdminPage">訪問admin頁面</a>
				</h2>
			</li>
			
			<li>
				<h2>
					<a target="_self" href="user.do?visitByAnnotation">通過註解訪問頁面(無權訪問)</a>
				</h2>
			</li>
		</ul>
	</body>

當點選頁面某個連結時,跳轉到相應的controller

@Controller
@RequestMapping(value="user")
public class UserController {
	/**
	 * 訪問myjsp頁面,有許可權
	 * @return
	 */
	@RequestMapping(params = "myjsp")
	public String home() {
		/*通過SecurityUtils工具類,獲取當前的使用者*/
		Subject currentUser = SecurityUtils.getSubject();
		
		// 回撥 doGetAuthorizationInfo,進行授權驗證
		if(currentUser.isPermitted("user.do?myjsp")){
			return "my";
		}else{
			return "error/noperms";
		}
	}

當程式執行到currentUser.isPermitted方法時,呼叫到publicclass DelegatingSubject implements Subject類的isPermitted方法。

附原始碼:

public boolean isPermitted(String permission) {
        return hasPrincipals() && securityManager.isPermitted(getPrincipals(), permission);
    }


通過上篇部落格我們知道,這時SecurityManager會委託給Realm,故接下來執行我們自定義的

Realm

@Service("monitorRealm")
public class MonitorRealm extends AuthorizingRealm {

	//獲取授權資訊 
	@Override
	protected AuthorizationInfo doGetAuthorizationInfo(
			PrincipalCollection principals) {
		/* 這裡編寫授權程式碼 */
		Set<String> roleNames = new HashSet<String>();
	    Set<String> permissions = new HashSet<String>();
	    roleNames.add("admin");
	    permissions.add("user.do?myjsp");
	    permissions.add("login.do?main");
	    permissions.add("login.do?logout");
	    //對比的過程
		SimpleAuthorizationInfo info = new SimpleAuthorizationInfo(roleNames);
	    info.setStringPermissions(permissions);
		return info;
	}
}

對比的過程中如果存在則正確返回,否則返回error

補充:

結合上篇部落格的配置還想要多說兩句

其一:SpringMVC攔截

這部分配置,是配置SpringMVC的攔截頁面,看了這個配置相信大家也就明白了為什麼我們訪問的頁面要加上.do(user.do?notmyjsp)吧!

<servlet-mapping>
		<servlet-name>springMvc</servlet-name>
		<!-- 只攔截帶do字尾的 -->
		<!-- <url-pattern>*.do</url-pattern> -->
		<!-- 將springmvc的匹配表示式修改為所有的頁面均攔截 -->
		<url-pattern>/</url-pattern> 

</servlet-mapping>

其二:ShiroFilter攔截

這部分配置是配置的ShiroFilter,也就是shiro攔截哪些頁面。

<!-- Shiro主過濾器本身功能十分強大,其強大之處就在於它支援任何基於URL路徑表示式的、自定義的過濾器的執行-->  
	<!-- Shiro Filter -->  
	<filter>
		<filter-name>shiroFilter</filter-name>
		<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
		<init-param>
			<param-name>targetFilterLifecycle</param-name>
			<param-value>true</param-value>
		</init-param>
	</filter>
	<!-- shiro只攔截如下的字尾 -->
	<filter-mapping>
		<filter-name>shiroFilter</filter-name>
		<url-pattern>*.action</url-pattern>
	</filter-mapping>
	<filter-mapping>
		<filter-name>shiroFilter</filter-name>
		<url-pattern>*.do</url-pattern>
	</filter-mapping>
	<filter-mapping>
		<filter-name>shiroFilter</filter-name>
		<url-pattern>*.jsp</url-pattern>
	</filter-mapping>


其三:Shiro過濾鏈的定義(是否需要登入認證)

以下這部分配置,是配置訪問的頁面是否需要驗證,即登入後才可以訪問。舉例說明:訪問字尾名為.action的頁面,我可以直接訪問到,那麼如果我訪問.do的頁面,則會自動跳轉到登入頁,需要我們首先登入後才可以訪問,這些就與我們配置的過濾鏈相關。

<property name="filterChainDefinitions">
			<value>
			 <!-- Shiro 過濾鏈的定義-->   
        <!--此處可配合這篇文章來理解各個過濾連的作用http://blog.csdn.net/jadyer/article/details/12172839-->
				<!-- 
					Anon:不指定過濾器 
					Authc:驗證,這些頁面必須驗證後才能訪問,也就是我們說的登入後才能訪問。
					-->
					 <!--下面value值的第一個'/'代表的路徑是相對於HttpServletRequest.getContextPath()的值來的 -->   
					<!--anon:它對應的過濾器裡面是空的,什麼都沒做,這裡.do和.jsp後面的*表示引數,比方說login.jsp?main這種 -->   
        <!--authc:該過濾器下的頁面必須驗證後才能訪問,它是Shiro內建的一個攔截器org.apache.shiro.web.filter.authc.FormAuthenticationFilter-->   
				
				/login.jsp* = anon
				/login.do* = anon
				/index.jsp*= anon
				/error/noperms.jsp*= anon
				/*.jsp* = authc
				/*.do* = authc
			</value>
		</property>

這些過濾器分為兩組,一組是認證過濾器,一組是授權過濾器。其中anon,authcBasic,auchc,user是第一組,

perms,roles,ssl,rest,port是第二組

可參考:http://blog.csdn.net/hxpjava1/article/details/7035724

擴充套件:

Shiro支援三種方式實現授權過程:

編碼實現

註解實現

JSPTaglig實現

程式設計式:通過寫if/else授權程式碼塊完成(以上例項即使用程式設計式完成): 

Subject subject = SecurityUtils.getSubject();  
if(subject.hasRole(“admin”)) {  
    //有許可權  
} else {  
    //無許可權  
}


註解式:通過在執行的Java方法上放置相應的註解完成:

@RequiresRoles("admin")  
public void hello() {  
    //有許可權  
}   

沒有許可權將丟擲相應的異常;

JSP標籤:在JSP/GSP頁面通過相應的標籤完成: 

<shiro:hasPermission name="user:create">  
	<a href="createUser.jsp">Create a new User</a>  
</shiro:hasPermission>


總結:

    無論是Shiro的登入認證還是授權,其實都是結合Subject,SecurityManager和Realms這三者的關係來實現的,理解了三者的關係Shiro也就學會了。Subject,當前使用者;SecurityManager,外觀的作用,其內部為我們封裝了實現好的功能;Realms,Shiro和真實Dao操作的橋樑,以下這張圖很形象的展示了三者的關係。

                   

相關推薦

深入淺出Shiro--授權認證

    授權即訪問控制,它將判斷使用者在應用程式中對資源是否擁有相應的訪問許可權。如,判斷一個使用者有檢視頁面的許可權,編輯資料的許可權,擁有某一按鈕的許可權,以及是否擁有列印的許可權等等。    認證

深入淺出Shiro--登入認證

ApacheShiro是一個強大易用的Java安全框架,提供了認證、授權、加密和會話管理等功能: Shiro為解決下列問題,提供了保護應用的API:   認證 - 使用者身份識別,常被稱為使用者“登入”;   授權 - 訪問控制;   密碼加密 - 保護或隱藏資料防止被

Apache Shiro——認證授權

Apache Shiro 是一個強大而靈活的開源安全框架,它乾淨利落地處理身份認證,授權,企業會話管理和加密。 Shiro 架構如下圖所示: 認證 身份認證 身份驗證:一般需要提供如身份 ID 等一些標識資訊來表明登入者的身份,如提供 email,使用者名稱/密碼來證明。在

Shiro——Shiro授權

一、程式碼 package first.ShiroTest; import org.apache.shiro.SecurityUtils; import org.apache.shiro.authc.UsernamePasswordToken; import org.apache.shi

Scala快筆記

double 元素 數據 sin ... 習題答案 javac cal hashtable 一,基本概念 1,映射 Map與HashMap與TreeMap,SotredMap等區別: 1、HashMap鍵無序,它根據鍵的HashCode值存儲數據,根據鍵可以直接獲取它

從零開始HTTP HTTP結構與基礎

現象 encode 伸縮 協議 for 服務端 例如 lis 格式 HTTP結構與基礎 這篇文章中,我們主要針對HTTP\1.1版本進行介紹 請求報文和響應報文 請求報文 請求報文由客戶端發出,其格式為: 請求方法 請求URI 協議版本 可選的請求首部字段和內容實體,

C語言老司機Python

append 設計 sta one list 老板 com oob als 標準數據類型: 共6種:Number(數字),String(字符串),List(列表),Tuple(元組),Sets(集合),Dictionary(字典) 本次學習主要是和數據類型混個臉熟,

小學生python

下劃線 spm div apu 數據 cno bgp idl pyc 上一節描述了跟python環境安裝相關的,這一節寫變量及命名。 python是用c語言寫的,所以很多c的思想在裏面。 基本的數據類型有整形,浮點型,字符型。 整形 int 浮點型 fl

從PRISM開始WPFPrism?

系列 forms 認識 rtu (六) resource sin agg AR 原文:從PRISM開始學WPF(二)Prism?目錄: 從PRISM開始學WPF(一)WPF? 從PRISM開始學WPF(二)Prism? 從PRISM開始學WPF(三)Prism-Reg

java基礎python-------------字串

字串 長度:len(string) 重複:*.     string*3== stringstringstring 成員運算子(判斷字串是否為另一個字串的子串):in 列舉字串的每一個成員:for 字串索引:從左往右是從下標0開始,從右往左是從下標-1開始,索引運算子:

深入淺出maven系列---maven初識和常規使用

      我記得在搞懂maven之前看了幾次重複的maven的教學視訊。不知道是自己悟性太低還是怎麼滴,就是搞不清楚,現在弄清楚了,基本上入門了。寫該篇博文,就是為了幫助那些和我一樣對於maven迷迷糊糊的人。有福了,看完基本上你就會發現

深入淺出javaEE系列---servlet詳解

       工作這麼久了,一直在開發web專案,servlet也是一直在用,但是對servlet核心的理解一直沒時間去做總結,這篇博文,深入淺出介紹了servlet的前前後後,希望給在java學習路上的各位同胞一個借鑑。 一、瞭解Servlet的概念

Cris SpringMVC:使用 servlet 原生 api 作為方法入參

程式碼測試 /* * 可以使用原生的 servlet 的api 作為目標方法的引數,具體支援以下型別 * * HttpServletRequst * HttpServletResponse * HttpSess

成長記錄貼之springboot+shiro {完成一個完整的許可權控制,詳細步驟}

       近一個月比較忙,公司接了一個新專案,領導要求用shiro進行安全管理,而且全公司只有我一個java,從專案搭建到具體介面全是一個人再弄。不過剛好前段時間大概學習了一下shiro的使用,還算順利。       &n

深入淺出外觀模式

分享一下我老師大神的人工智慧教程!零基礎,通俗易懂!http://blog.csdn.net/jiangjunshow 也歡迎大家轉載本篇文章。分享知識,造福人民,實現我們中華民族偉大復興!        

從零開始演算法選擇排序

從零開始學演算法(二)選擇排序 選擇排序 演算法介紹 演算法原理 演算法簡單記憶說明 演算法複雜度和穩定性 程式碼實現 選擇排序 程式碼是Javascript語言寫的(幾乎是虛擬碼) 演算

計算機圖形實驗—— 直線Bresenham演算法原始碼

 1. Bresenham演算法核心:(詳細原理見末尾) 理解光柵化:畫素點只能是整數點。 藉助決策變數 的正負號判斷下一個點座標,從而避免了計算直線斜率所用乘除法,只需要用加減法。 預設斜率絕對值在區間(0,1)時,即abs(dx)>abs(dy),步進方

小白Python----判斷語句

一、判斷語句 1、if判斷語句 <1> if判斷語句介紹 if語句是用來進行判斷的,其使用格式如下: if 要判斷的條件: 條件成立時,要做的事情 demo1:(demo的中文意思:演示、案例) age = 30 print("------if判斷開始------") if ag

從零開始caffe:caffe在win10下的安裝編譯

環境要求 作業系統:64位windows10 編譯環境:Visual Studio 2013 Ultimate版本 安裝流程 step1:檔案的下載 從GitHub新增連結描述中下載Windows版本的caffe,並進行解壓到電腦中。 step2:檔案修改 將壓縮包

大學生程式設計:如何選擇第一門程式語言?

第一篇講述了為什麼要選擇做一名程式設計師,從源頭上講述要想成為一名程式設計師需要很強的驅動力,因為程式設計相對而言算是比較難入門的一個職業。在入門之前必須有克服困難的勇氣,有成為一名程式設計師的決心 有了決心和信心了,剩下的就是加足馬力開幹了,問題又來了怎麼幹,選什麼樣子的程式語言適合自