Shiro认证、授权案例讲解

一、认证

1、认证流程

2、用户密码已经加密、加盐的用户认证

（1）测试类

  // 用户登陆和退出，这里我自定了一个realm（开发肯定需要自定义realm获取数据库密码和权限）

    @Test

    public void testCustomRealmMd5() {

        // 创建securityManager工厂，通过ini配置文件创建securityManager工厂

        Factory<SecurityManager> factory = new IniSecurityManagerFactory(

                "classpath:shiro-realm-md5.ini");

        // 创建SecurityManager

        SecurityManager securityManager = factory.getInstance();

        // 将securityManager设置当前的运行环境中

        SecurityUtils.setSecurityManager(securityManager);

        // 从SecurityUtils里边创建一个subject

        Subject subject = SecurityUtils.getSubject();

        // 在认证提交前准备token（令牌）

        // 这里的账号和密码 将来是由用户输入进去

        UsernamePasswordToken token = new UsernamePasswordToken("zhangsan", "111111");

        try {

            // 执行认证提交

            subject.login(token);

        } catch (AuthenticationException e) {

            e.printStackTrace();

        }

        // 是否认证通过

        boolean isAuthenticated = subject.isAuthenticated();

        System.out.println("加密后是否认证通过：" + isAuthenticated);

        // 退出操作

        subject.logout();

        // 是否认证通过

          isAuthenticated = subject.isAuthenticated();

      System.out.println("退出后是否认证通过：" + isAuthenticated);

    }

（2）shiro-realm-md5.ini （有关散列加密下面会举例子）

我在ini配置了加密的规则，这个规则要和用户注册保存的密码加密规则一致。

[main]

#定义凭证匹配器

credentialsMatcher=org.apache.shiro.authc.credential.HashedCredentialsMatcher

#散列算法

credentialsMatcher.hashAlgorithmName=md5

#散列次数

credentialsMatcher.hashIterations=1

#将凭证匹配器设置到realm

customRealm=com.jincou.shiro.realm.CustomRealmMd5

customRealm.credentialsMatcher=$credentialsMatcher

securityManager.realms=$customRealm

（3)自定义CustomRealmMd5类

/**

 *自定义Realm特点

 *（1）继承AuthorizingRealm类

 *（2）重写AuthenticationInfo（认证）

 *     doGetAuthorizationInfo（授权）两个方法

 * 注意：

 * 1：这里password = "f3694f162729b7d0254c6e40260bf15c"肯定也是通过明文（这里指zhangsan）+盐（这里是qwerty）进行加密后的字符串

 * 2：实际应用是将盐和散列后的值存在数据库中，自动realm从数据库取出盐和加密后的值由shiro完成密码校验。

 * 3：这里要注意它们两的加密规则一定要一致，否则无法比较。

 */

public class CustomRealmMd5 extends AuthorizingRealm {

    // 设置realm的名称（任意和其它也无关联）

    @Override

    public void setName(String name) {

        super.setName("customRealmMd5");

    }

    // 用于认证

    @Override

    protected AuthenticationInfo doGetAuthenticationInfo(

            AuthenticationToken token) throws AuthenticationException {

         System.out.println("测试..自定义CustomRealmMd5方法里面......");

        // token是用户输入的

        // 第一步从token中取出身份信息

        String userCode = (String) token.getPrincipal();

        // 第二步：根据用户输入的userCode从数据库查询

        // ....

        //如果数据库查询不到zhangsan用户信息，则返回null

            /*if(user==null){

                    return null;

            }*/

        // 模拟从数据库查询到密码,散列值

        String password = "f3694f162729b7d0254c6e40260bf15c";

        // 从数据库获取salt

        String salt = "qwerty";

        //上边散列值和盐对应的明文：111111

        // 如果查询到返回认证信息AuthenticationInfo，这里的密码加密判断交给底层处理

        SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo(

                userCode, password, ByteSource.Util.bytes(salt), this.getName());

        return simpleAuthenticationInfo;

    }

    // 用于授权（后面写）

    @Override

    protected AuthorizationInfo doGetAuthorizationInfo(

            PrincipalCollection principals) {

        return null;

    }

}

运行效果：

结论：subject.login(token)我在提交认证，它就会去调用我自定义的CustomRealm，因为我在ini进行配置自定义CustomRealm

3、加密算法

因为在ini里面配置的加密规则，那我第一次用户注册的时候，肯定也需要按它的规则进行加密后，把密码保存到数据库

  /**

  * 加密算法

  */

public class MD5Test {

    public static void main(String[] args) {

        //原始 密码

        String source = "111111";

        //盐

        String salt = "qwerty";

        //散列次数（和ini中credentialsMatcher.hashIterations=1一致）

        int hashIterations = 1;

        //上边散列1次：f3694f162729b7d0254c6e40260bf15c

        //上边散列2次：36f2dfa24d0a9fa97276abbe13e596fc

        //第一个参数：散列算法

        //这里的散列算法是md5要和ini中credentialsMatcher.hashAlgorithmName=md5一致)

        //第二个参数：明文，原始密码

        //第三个参数：盐，通过使用随机数

        //第四个参数：散列的次数，比如散列两次，相当 于md5(md5(''))

        SimpleHash simpleHash = new SimpleHash("md5", source, salt, hashIterations);

        System.out.println(simpleHash.toString());

    }

}

  //这个结果：f3694f162729b7d0254c6e40260bf15c就是在自定义realm中的密文也就是该用户保存到数据库中的密文。

二、授权（基于资源的授权）

1、授权流程

2、授权方式

Shiro 支持三种方式的授权：
（1）编程式：通过写if/else 授权代码块完成：

Subject subject = SecurityUtils.getSubject();

if(subject.hasRole(“admin”)) {

//有权限

} else {

//无权限

}

（2）注解式：通过在执行的Java方法上放置相应的注解完成

@RequiresRoles("admin")

public void hello() {

//有权限

}

（3）JSP/GSP 标签：在JSP/GSP 页面通过相应的标签完成

<shiro:hasRole name="admin">

<!— 有权限—>

</shiro:hasRole>

这里授权测试使用第一种编程方式，实际与web系统集成使用后两种方式。

3、授权测试

（1）测试类

// 自定义realm进行资源授权测试

    @Test

    public void testAuthorizationCustomRealm() {

        // 创建SecurityManager工厂

        Factory<SecurityManager> factory = new IniSecurityManagerFactory(

                "classpath:shiro-realm.ini");

        // 创建SecurityManager

        SecurityManager securityManager = factory.getInstance();

        // 将SecurityManager设置到系统运行环境，和spring后将SecurityManager配置spring容器中，一般单例管理

        SecurityUtils.setSecurityManager(securityManager);

        // 创建subject

        Subject subject = SecurityUtils.getSubject();

        // 创建token令牌

        UsernamePasswordToken token = new UsernamePasswordToken("zhangsan",

                "111111");

        // 执行认证

        try {

            subject.login(token);

        } catch (AuthenticationException e) {

            // TODO Auto-generated catch block

            e.printStackTrace();

        }

        System.out.println("认证状态：" + subject.isAuthenticated());

        // 认证通过后执行授权

        // 基于资源的授权，调用isPermitted方法会调用CustomRealm从数据库查询正确权限数据

        // isPermitted传入权限标识符，判断user:create:1是否在CustomRealm查询到权限数据之内

        boolean isPermitted = subject.isPermitted("user:create:1");

        System.out.println("单个权限判断" + isPermitted);

        boolean isPermittedAll = subject.isPermittedAll("user:create:1",

                "user:create");

        System.out.println("多个权限判断" + isPermittedAll);

        // 使用check方法进行授权，如果授权不通过会抛出异常

        subject.checkPermission("items:add:1");

    }

（2）shiro-realm.ini

[main]

#自定义 realm

customRealm=com.jincou.shiro.realm.CustomRealm

#将realm设置到securityManager

securityManager.realms=$customRealm

（3）自定义CustomRealm类

public class CustomRealm extends AuthorizingRealm {

    // 用于认证（上面写过）

    @Override

    protected AuthenticationInfo doGetAuthenticationInfo(

            AuthenticationToken token) throws AuthenticationException {

        return null;

    }

    // 用于授权

    @Override

    protected AuthorizationInfo doGetAuthorizationInfo(

            PrincipalCollection principals) {

        //从 principals获取主身份信息

        //将getPrimaryPrincipal方法返回值转为真实身份类型（在上边的doGetAuthenticationInfo认证通过填充到SimpleAuthenticationInfo中身份类型），

        String userCode =  (String) principals.getPrimaryPrincipal();

        //根据身份信息获取权限信息

        //连接数据库...

        //模拟从数据库获取到数据

        List<String> permissions = new ArrayList<String>();

        permissions.add("user:create");//用户的创建

        permissions.add("items:add");//商品添加权限

        //....

        //查到权限数据，返回授权信息(要包括 上边的permissions)

        SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();

        //将上边查询到授权信息填充到simpleAuthorizationInfo对象中

        simpleAuthorizationInfo.addStringPermissions(permissions);

        return simpleAuthorizationInfo;

    }

}

运行结果：

想太多，做太少，中间的落差就是烦恼。想没有烦恼，要么别想，要么多做。少校【5】

【shiro】(4)---Shiro认证、授权案例讲解的更多相关文章

SpringBoot整合Shiro 四：认证+授权
搭建环境见: SpringBoot整合Shiro 一:搭建环境 shiro配置类见: SpringBoot整合Shiro 二:Shiro配置类 shiro整合Mybatis见:SpringBoot整合 ...
5、Shiro之jdbcRealm认证授权
登录认证: 注意,下面我是以连接orcal数据库为例的依赖,如果各位同仁使用的是骑她数据库,可以换成对应数据库的依赖(数据源不用换) Pom.xml增加依赖: <!--引入连接orcal的jar ...
springboot系列（十）springboot整合shiro实现登录认证
关于shiro的概念和知识本篇不做详细介绍,但是shiro的概念还是需要做做功课的要不无法理解它的运作原理就无法理解使用shiro: 本篇主要讲解如何使用shiro实现登录认证,下篇讲解使用shiro ...
Shiro 核心功能案例讲解基于SpringBoot 有源码
Shiro 核心功能案例讲解基于SpringBoot 有源码从实战中学习Shiro的用法.本章使用SpringBoot快速搭建项目.整合SiteMesh框架布局页面.整合Shiro框架实现用身份认 ...
SpringBoot整合shiro实现用户的认证授权
* 项目环境搭建 * 配置ShiroConfig,用于shiro的基本配置和注入自定义规则 * 实现自定义的realm,继承AuthorizingRealm * 编写测试controller和页面基 ...
Java环境下shiro的测试-认证与授权
Java环境下shiro的测试 1.导入依赖的核心jar包 <dependency> <groupId>org.apache.shiro</groupId> < ...
1、 Shiro框架：认证，授权（验权 2. Shiro框架实现权限控制方式：
1. Shiro框架:认证,授权(验权) a) 认证逻辑:applicationCode—>通过工具类获取subject对象,调用login方法参数令牌信息->安全管理器------> ...
Shiro身份认证授权原理
shiro在应用程序中的使用是用Subject为入口的, 最终subject委托给真正的管理者ShiroSecurityMannager Realm是Shiro获得身份认证信息和来源信息的地方(所以这 ...
SpringMVC整合Shiro，Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能
SpringMVC整合Shiro,Shiro是一个强大易用的Java安全框架,提供了认证.授权.加密和会话管理等功能. 第一步:配置web.xml <!-- 配置Shiro过滤器,先让Shiro ...

随机推荐

python3 第三十一章 - 模块
1.什么是模块如果从Python解释器退出并再次输入,您所做的定义(函数和变量)将丢失.因此,如果要编写一个稍长的程序,最好使用文本编辑器为解释器准备输入,并以该文件作为输入运行它.这称为创建脚本. ...
SOP - Validation
Table of Contents目录表1 Roles and Responsibilities related to validation与验证相关的1个角色和职责2 Introduction2引言 ...
python 机器学习
十分钟搞定pandas http://www.cnblogs.com/chaosimple/p/4153083.html dummies 哑变量,将变量重新编码,便于二分类,例如男.女,变为0,1等 ...
vue 图片下载到本地，图片保存到本地
必须同源(访问的网站域名与服务器域名一致)才能下载 downs() { var alink = document.createElement("a"); alink.href = ...
Codeforces Round #532 (Div. 2) F 线性基(新坑) + 贪心 + 离线处理
https://codeforces.com/contest/1100/problem/F 题意一个有n个数组c[],q次询问,每次询问一个区间的子集最大异或和题解单问区间子集最大异或和,线性基 ...
1003 Emergency Dijkstra
这题做的心很累,我用的还是 1018的思路做的,但是使用dfs 求最大人数对于某些有问题(现在也不知道错哪了), 看了别人的代码后才发现,其实完全不用这么麻烦,只需设置一个点的权重,一遍DJ(自创简 ...
恢复git撤销commit的代码
使用git reset --hard 是将磁盘文件也删除时候使用Git工作得小心翼翼,特别是涉及到一些高级操作,例如 reset, rebase 和 merge.甚至一些很小的操作,例如删除一个分支 ...
servlet概述（作业11）
1.什么是servlet. Servlet(Server Applet)是Java Servlet的简称,称为小服务程序或服务连接器,用Java编写的服务器端程序,具有独立于平台和协议的特性,主要功能 ...
html文件上传保存-（.html and string translate into .html ）
//上传h5编辑器编辑的html内容 uploadHtml(newsId?: any) { const news = newsId !== undefined ? newsId : 'new'; le ...
【CF486E】LIS of Sequence题解
[CF486E]LIS of Sequence题解题目链接题意: 给你一个长度为n的序列a1,a2,...,an,你需要把这n个元素分成三类:1,2,3: 1:所有的最长上升子序列都不包含这个元素 ...

【shiro】(4)---Shiro认证、授权案例讲解