我们需要实现Realms的Authentication 和 Authorization。其中 Authentication 是用来验证用户身份,Authorization 是授权访问控制,用于对用户进行的操作授权,证明该用户是否允许进行当前操作,如访问某个链接,某个资源文件等

Apache Shiro 核心通过 Filter 来实现,就好像SpringMvc 通过DispachServlet 来主控制一样。 
既然是使用 Filter 一般也就能猜到,是通过URL规则来进行过滤和权限校验,所以我们需要定义一系列关于URL的规则和访问权限。

通常情况下,在Realm中会直接从我们的数据源中获取Shiro需要的验证信息。可以说,Realm是专用于安全框架的DAO.

Shiro的认证过程最终会交由Realm执行,这时会调用Realm的getAuthenticationInfo(token)方法。
该方法主要执行以下操作:

1、检查提交的进行认证的令牌信息

2、根据令牌信息从数据源(通常为数据库)中获取用户信息

3、对用户信息进行匹配验证。

4、验证通过将返回一个封装了用户信息的AuthenticationInfo实例。

5、验证失败则抛出AuthenticationException异常信息。

而在我们的应用程序中要做的就是自定义一个Realm类,继承AuthorizingRealm抽象类,重载doGetAuthenticationInfo
(),重写获取用户信息的方法。


作者:z77z
链接:http://www.jianshu.com/p/672abf94a857
來源:简书
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。

链接权限的实现

shiro的权限授权是通过继承AuthorizingRealm抽象类,重载doGetAuthorizationInfo();

当访问到页面的时候,链接配置了相应的权限或者shiro标签才会执行此方法否则不会执行,所以如果只是简单的身份认证没有权限的控制的话,那么这个方法可以不进行实现,直接返回null即可。

在这个方法中主要是使用类:SimpleAuthorizationInfo

就是说如果在shiro配置文件中添加了filterChainDefinitionMap.put("/add", "perms[权限添加]");
就说明访问/add这个链接必须要有“权限添加”这个权限才可以访问,



如果在shiro配置文件中添加了filterChainDefinitionMap.put("/add", "roles[100002],perms[权限添加]");
就说明访问/add这个链接必须要有“权限添加”这个权限和具有“100002”这个角色才可以访问。


 


//实际开发,当前登录用户的角色和权限信息是从数据库来获取的


//实际开发,当前登录用户的角色和权限信息是从数据库来获取的


//实际开发,当前登录用户的角色和权限信息是从数据库来获取的

 这个账号的角色信息和权限信息从数据库查出来,放在SimpleAuthorizationInfo中,作为doGetAuthorizationInfo()的返回值



info.setStringPermissions(permissionSet);


 List<SysRole> roleList = sysRoleService.selectByMap(map);

    Set<String> roleSet = new HashSet<String>();

    for(SysRole role : roleList){

        roleSet.add(role.getType());

    }*/

    //实际开发,当前登录用户的角色和权限信息是从数据库来获取的,我这里写死是为了方便测试

    Set<String> roleSet = new HashSet<String>();

    roleSet.add("100002");

    info.setRoles(roleSet);


 


/**

* 授权

 */

@Override

protected AuthorizationInfo doGetAuthorizationInfo(

        PrincipalCollection principals) {

    System.out.println("权限认证方法:MyShiroRealm.doGetAuthenticationInfo()");

    SysUser token = (SysUser)SecurityUtils.getSubject().getPrincipal();

    String userId = token.getId();

    SimpleAuthorizationInfo info =  new SimpleAuthorizationInfo();

    //根据用户ID查询角色(role),放入到Authorization里。

    /*Map<String, Object> map = new HashMap<String, Object>();

    map.put("user_id", userId);

    List<SysRole> roleList = sysRoleService.selectByMap(map);

    Set<String> roleSet = new HashSet<String>();

    for(SysRole role : roleList){

        roleSet.add(role.getType());

    }*/

    //实际开发,当前登录用户的角色和权限信息是从数据库来获取的,我这里写死是为了方便测试

    Set<String> roleSet = new HashSet<String>();

    roleSet.add("100002");

    info.setRoles(roleSet);

    //根据用户ID查询权限(permission),放入到Authorization里。

    /*List<SysPermission> permissionList = sysPermissionService.selectByMap(map);

    Set<String> permissionSet = new HashSet<String>();

    for(SysPermission Permission : permissionList){

        permissionSet.add(Permission.getName());

    }*/

    Set<String> permissionSet = new HashSet<String>();

    permissionSet.add("权限添加");

    info.setStringPermissions(permissionSet);

       return info;

}




这个类的实现是完成了我们学习目标的第二个任务。


 
												


											
Shiro note的更多相关文章
	

    
								
  1. Spring整合Shiro并扩展使用EL表达式
		
    Shiro是一个轻量级的权限控制框架,应用非常广泛.本文的重点是介绍Spring整合Shiro,并通过扩展使用Spring的EL表达式,使@RequiresRoles等支持动态的参数.对Shiro的介 ...
    
		
    2. 
						
  2. [shiro学习笔记]第三节 使用myeclipse导入apache shiro中的QuikStart example例子
		
    本文地址:http://blog.csdn.net/sushengmiyan/article/details/40149131 shiro官网:http://shiro.apache.org/ shi ...
    
		
    3. 
						
  3. [Shiro] tutorial 1 :SecurityManager and Subject
		
    SecurityManager是Shiro的绝对核心,不同于java.lang.SecurityManager,每个应用程序都要有一个SecurityManager. 所以我们第一件事就是配置一个Se ...
    
		
    4. 
						
  4. [shiro] - 加入rememberMe功能
		
    shiro不加入rememberMe没事,一加入就出错. RememberMeAuthenticationToken : public interface RememberMeAuthenticati ...
    
		
    5. 
						
  5. Java 权限框架 Shiro 实战二:与spring集成、filter机制
		
    转自:https://www.cnblogs.com/digdeep/archive/2015/07/04/4620471.html Shiro和Spring的集成,涉及到很多相关的配置,涉及到shi ...
    
		
    6. 
						
  6. Shiro 设置session超时时间
		
    通过api:Shiro的Session接口有一个setTimeout()方法 //登录后,可以用如下方式取得session SecurityUtils.getSubject().getSession( ...
    
		
    7. 
						
  7. Shiro+SpringMVC 实现更安全的登录(加密匹配&登录失败超次数锁定帐号)
		
    原文:http://blog.csdn.net/wlwlwlwl015/article/details/48518003 前言 初学shiro,shiro提供了一系列安全相关的解决方案,根据官方的介绍 ...
    
		
    8. 
						
  8. shiro设置session超时
		
    通过api:Shiro的Session接口有一个setTimeout()方法 //登录后,可以用如下方式取得session SecurityUtils.getSubject().getSession( ...
    
		
    9. 
						
  9. spring-boot整合shiro作权限认证
		
    spring-shiro属于轻量级权限框架,即使spring-security更新换代,市场上大多数企业还是选择shiro 废话不多说  引入pom文件 <!--shiro集成spring--& ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. HDU 4281 (状态压缩+背包+MTSP)
			
    Judges' response Time Limit: 2000/1000 MS (Java/Others)    Memory Limit: 32768/32768 K (Java/Others) ...
    
			
    2. 
						
  2. pagehelper 分页
			
    分页jar包: <dependency> <groupId>com.github.pagehelper</groupId> <artifactId>pa ...
    
			
    3. 
						
  3. SQA定义、质量模型、SQA与测试的关系
			
    
			
    4. 
						
  4. const函数的使用
			
    const知道吗?解释其作用. 1.const 修饰类的成员变量,表示成员常量,不能被修改. 2.const修饰函数承诺在本函数内部不会修改类内的数据成员,不会调用其它非 const 成员函数. 3. ...
    
			
    5. 
						
  5. 如何移除不再插入Windows设备的信息
			
    Howto: Remove devices from Windows that are not connected to the system anymore 如何移除不再插入Windows设备的信息 ...
    
			
    6. 
						
  6. syntax error : missing ';' before identifier
			
    原文解决方案 #include "string.h" #include "stdafx.h" #include "Chapter 01 MyVersi ...
    
			
    7. 
						
  7. Web前端技术体系大全搜索
			
    一.前端技术框架 1.Vue.js 官网:https://cn.vuejs.org/ Vue CLI:https://cli.vuejs.org/ 菜鸟教程:http://www.runoob.com ...
    
			
    8. 
						
  8. 深入Linux内核架构——进程管理和调度(下)
			
    五.调度器的实现 调度器的任务是在程序之间共享CPU时间,创造并行执行的错觉.该任务可分为调度策略和上下文切换两个不同部分. 1.概观 暂时不考虑实时进程,只考虑CFS调度器.经典的调度器对系统中的进 ...
    
			
    9. 
						
  9. (二十二)python 3  sort()与sorted()
			
    Python list内置sort()方法用来排序,也可以用python内置的全局sorted()方法来对可迭代的序列排序生成新的序列 一,最简单的排序 1.使用sort排序 my_list = [3 ...
    
			
    10. 
						
  10. 十二.GUI
			
    tkinter模块(tkinter是一个跨平台的PythonGUI工具包): #Tkinter是一个跨平台的Python GUI工具包 import tkinter top=tkinter.Tk()  ...
    
			
    11.