权限概述

  • 认证: 系统提供的用于识别用户身份的功能, 通常登录功能就是认证功能; -- 让系统知道你是谁
  • 授权: 系统授予用户可以访问哪些功能的证书. -- 让系统知道你能做什么!

常见的权限控制方式

  • URL 拦截权限控制

    • 底层基于拦截器或过滤器实现

  • 方法注解权限控制

    • 我们框架会将加入注解的Action创建代理对象,由代理对象进行权限校验,如果校验通过,通过反射调用目标对象的方

      法,如果校验不通过,框架会抛出权限不足异常;
    • 底层基于代理技术实现,为 Action 创建代理对象,由代理对象进行权限校验;

创建权限数据模型

  • 权限表
  • 角色表(权限的集合), 引入角色表,是为了方便授权
  • 用户表
  • 角色权限关系表
  • 用户角色关系表

apache shiro 框架

  • 核心功能

    • 身份认证(Authentication): 简称"登录";
    • 授权(Authorization):给用户分配角色或者权限资源;
    • 会话管理(Session Management)
    • 加密

shiro 框架认证流程

1. 使用shiro框架的URL拦截进行权限控制(基于过滤器技术实现)

1.1 导入jar包: shiro-all;

1.2 在web.xml中配置一个由spring提供的过滤器,用于整合shiro框架(这个过滤器必须放在struts2 过滤器前)

<!-- 配置spring 框架提供的用于整合shiro框架的过滤器 -->

<filter>

    <filter-name>shiroFilter</filter-name>

    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>

</filter>

<filter-mapping>

    <filter-name>shiroFilter</filter-name>

    <url-pattern>/*</url-pattern>

</filter-mapping>

1.3 在spring配置文件中配置bean,id和上面的过滤器名称一致

<!-- 配置shiro框架的过滤器工厂对象 -->

<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">

    <!-- 注入安全管理器对象 -->

    <property name="securityManager" ref="securityManager"></property>

    <!-- 注入相关页面,访问URL -->

    <property name="loginUrl" value="/login.jsp"/>

    <property name="successUrl" value="/index.jsp"/>

    <property name="unauthorizedUrl" value="/unauthorized.jsp"/>

    <!-- 注入URL拦截规则 -->

    <property name="filterChainDefinitions">

        <value>

            /css/** = anon

            /js/** = anon

            /images/** = anon

            /validatecode.jsp* = anon

            /login.jsp = anon

            /userAction_login.action = anon

            /page_base_staff.action = perms["staff-list"]

            /* = authc

        </value>

    </property>

</bean>

<!-- 注册安全管理器对象 -->

<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">

    <property name="realm" ref="bosRealm"></property>

</bean>

<!-- 注册 realm -->

<bean id="bosRealm" class="cn.itcast.bos.realm.BOSRealm"></bean>

1.4 修改 UserAction 中的login方法,使用shiro框架提供的方式进行认证操作

// UserAction.java

public class UserAction extends BaseAction<User>{

    // 属性驱动,接收页面输入的验证码

    private String checkcode;

    public void setCheckcode(String checkcode){

        this.checkcode = checkcode;

    }

    // 使用shiro框架提供的方式,进行认证操作

    public String login(){

        // 从Session中获取生成的验证码

        String validatecode =

                (String)ServletActionContext.getRequest().getSession().getAttribute("key");

        //校验验证码是否正确

        if(StringUtils.isNotBlank(checkcode) && checkcode.equals(validatecode)){

            // 使用shiro框架提供的方式进行认证操作

            Subject subject = SecurityUtils.getSubject(); // 获取当前用户对象

            // 创建用户名,密码令牌对象

            AuthenticationToken token = new UsernamePasswordToken(model.getUsername(),

                                                    MD5Utils.md5(model.getPassword()));

            try{

                subject.login(token);

            }catch(Exception e){

                e.printStackTrace();

                return LOGIN;

            }

            // 登录成功,将user从当前线程中取出,放入session中

            User user = (User)subject.getPrincipal();

            ServletActionContext.getRequest().getSession().setAttribute("loginUser",user);

            return HOME;

        }else{

            // 输入的验证码错误,设置提示信息,跳转到登录页面

            this.addActionError("输入的验证码错误!");

            return LOGIN;

        }

    }

}

// 自定义realm类, BOSRealm.java

public class BOSRealm extends AuthorizingRealm{

    @Autowired

    private IUserDao userDao;

    // 认证方法

    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token)

                                                        throws AuthenticationException {

        UsernamePasswordToken passwordToken = (UsernamePasswordToken)token;

        // 获取页面输入的用户名

        String username = passwordToken.getUsername();

        // 根据用户名查询数据库中的密码

        User user = userDao.findUserByUsername(username);

        if(user == null){

            // 如果页面输入的用户名不存在

            return null;

        }

        // 创建简单认证对象

        AuthenticationInfo info = new SimpleAuthenticationInfo(user,user.getPassword(),

                                                                        this.getName());

        // shiro框架负责比对数据库中的密码和页面输入的密码是否一致

        return info;

    }

    // 授权方法

    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection arg0) {

        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();

        // 为用户授权

        info.addStringPermission("staff-list");

        // 获取当前用户(两种方式)

        User user1 = (User)SecurityUtils.getSubject().getPrincipal();

        User user2 = (User)principals.getPrimaryPrincipal();

         // TODO 获取需要修改为根据当前登录用户查询数据库,获取实际对应的权限

        return info;

    }

}

2. 使用 shiro 的方法注解方式进行权限控制(基于代理技术实现)

2.1 在spring配置文件中开启shiro注解支持

<!-- 开启shiro框架注解支持  -->

<bean id="defaultAdvisorAutoProxyCreator"

        class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator">

    <!-- 强制使用cglib,创建Action的代理对象 -->

    <property name="proxyTargetClass" value="true"/>

</bean>

<!-- 配置shiro框架提供的切面类,用于创建代理对象 -->

<bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor"/>

2.2 在Action类中的方法上,使用shiro框架提供的注解,@RequiresPermissions("权限名称")

  • 在权限不足时,会抛出如下异常:

2.3 在 struts.xml 中配置全局异常捕获,当shiro框架抛出权限不足异常时,跳转到权限不足提示页面

<!-- 配置全局结果集 -->

<global-results>

    <result name="unauthorized">/unauthorized.jsp</result>

</global-results>

<!-- 配置全局异常处理 -->

<global-exception-mappings>

    <exception-mapping result="unauthorized"

                            exception="org.apache.shiro.authz.UnauthorizedException"/>

</global-exception-mappings>

3. 使用shiro提供的页面标签方式进行权限控制

3.1 在jsp页面中,引入shiro的标签库:

  • <%@ taglib prefix="shiro" uri="http://shiro.apache.org/tags"%>

3.2 使用shiro的标签控制页面元素的展示

<shiro:hasPermission name="权限名称">

    <!-- 页面中需要权限控制的元素 -->

    <input type="button" value="test"/>

</shiro:hasPermission>

使用 ehcache 缓存权限数据

1. 导入jar包: com.springsource.net.sf.ehcache

2. 在项目中提供 ehcache 的配置文件

<ehcache xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"

	               xsi:noNamespaceSchemaLocation="../config/ehcache.xsd">

    <diskStore path="java.io.tmpdir"/>

    <defaultCache

            maxElementsInMemory="10000"

            eternal="false"

            timeToIdleSeconds="120"

            timeToLiveSeconds="120"

            overflowToDisk="true"

            maxElementsOnDisk="10000000"

            diskPersistent="false"

            diskExpiryThreadIntervalSeconds="120"

            memoryStoreEvictionPolicy="LRU"

            />

</ehcache>

3. 在spring配置文件中配置缓存管理器对象,并注入给安全管理器对象

// applicationContext.xml

<!-- 注册安全管理器对象 -->

<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">

    <property name="realm" ref="bosRealm"></property>

    <!-- 注入缓存管理器 -->

    <property name="cacheManager" ref="cacheManager"></property>

</bean>

<!-- 注入缓存管理器 -->

<bean id="cacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager">

    <!-- 注入 ehcache 的配置文件 -->

    <property name="cacheManagerConfigFile" value="classpath:ehcache.xml"></property>

</bean>

权限认证与授权(Shrio 框架)的更多相关文章

  1. springboot中实现权限认证的两个框架

    web开发安全框架 提供认证和授权功能! 一.SpringSecurity 1.导入依赖 <dependency> <groupId>org.springframework.b ...

  2. shiro权限认证与授权

    什么是shiro? Shiro是apache旗下一个开源框架,它将软件系统的安全认证相关的功能抽取出来,实现用户身份认证,权限授权.加密.会话管理等功能,组成了一个通用的安全认证框架. 为什么要用sh ...

  3. Shiro入门之一 -------- Shiro权限认证与授权

    一  将Shirojar包导入web项目 二 在web.xml中配置shiro代理过滤器 注意: 该过滤器需要配置在struts2过滤器之前 <!-- 配置Shiro的代理过滤器 -->  ...

  4. Asp.net Core 系列之--5.认证、授权与自定义权限的实现

    ChuanGoing 2019-11-24 asp.net core系列已经来到了第五篇,通过之前的基础介绍,我们了解了事件订阅/发布的eventbus整个流程,初探dapper ORM实现,并且简单 ...

  5. 1、 Shiro框架:认证,授权(验权 2. Shiro框架实现权限控制方式:

    1. Shiro框架:认证,授权(验权) a) 认证逻辑:applicationCode—>通过工具类获取subject对象,调用login方法参数令牌信息->安全管理器------> ...

  6. Java权限管理(授权与认证)

    CRM权限管理 有兴趣的同学也可以阅读我最近分享的:Shiro框架原理分析   (PS : 这篇博客里面介绍了使用Shiro框架的方式实现权限管理) https://www.cnblogs.com/y ...

  7. SpringMVC整合Shiro,Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能

    SpringMVC整合Shiro,Shiro是一个强大易用的Java安全框架,提供了认证.授权.加密和会话管理等功能. 第一步:配置web.xml <!-- 配置Shiro过滤器,先让Shiro ...

  8. .Net Core权限认证基于Cookie的认证&授权.Scheme、Policy扩展

    在身份认证中,如果某个Action需要权限才能访问,最开始的想法就是,哪个Action需要权限才能访问,我们写个特性标注到上面即可,[TypeFilter(typeof(CustomAuthorize ...

  9. shiro太复杂?快来试试这个轻量级权限认证框架!

    前言 在java的世界里,有很多优秀的权限认证框架,如Apache Shiro.Spring Security 等等.这些框架背景强大,历史悠久,其生态也比较齐全. 但同时这些框架也并非十分完美,在前 ...

随机推荐

  1. Log4j容器深入探究

    1.思考 容器是什么? 水壶是容器,水壶中存放着水,等我们需要水了,直接用 Spring中的ApplicationContext是容器,里面存放着各种Bean,等我们需要了直接用,并且可以创建管理Be ...

  2. sama5d36 OUT0-OUT3 对应关系 带光模块的系统

    ARM-IO9      PA8     OUT0 ARM-IO10    PA1     OUT1 ARM-IO11    PA3     OUT2 ARM-IO12    PA9     OUT3

  3. SenCha Touch HTML 5 应用程序缓存

    http://www.cnblogs.com/qidian10/p/3292876.html https://developer.mozilla.org/zh-CN/docs/HTML/Using_t ...

  4. hive表支持中文设置

    默认创建表时说明中带有中文字段时会显示如下乱码信息: 解决方案: 在hive的元数据库中执行以下SQL语句,然后重新创建刚才的表即可 . ) character set utf8; ) charact ...

  5. SSIS 自测题-文件操作类

    说明:以下是自己的理解答案,不是标准的答案,如有不妥烦请指出.         有些题目暂时没有答案,有知道的请留言,互相学习,一起进步. 1.什么是控制流,什么是数据流,控制流和数据流之间的关系是什 ...

  6. 关于Unity中的.meta文件

    .meta文件是用于辅助管理Unity资源文件的文件,删除后,Unity会自动生成,里面记录了各个资源Inspector的信息,属性等等,Unity是不会改变源资源文件的,没有意义,它是靠.meta文 ...

  7. css -- hover伪类

    CSS代码: .btn-setDefaultGateway{display: none;} .netDiv:hover span .btn-setDefaultGateway { display: i ...

  8. Cocos2d-X中的Slider控件

    Slider控件事实上就是滑块控件.经常使用于音乐中的音量控制,在Windows编程中开发音乐播放器就须要用到滑块控件控制音量 首先在project文件夹下的Resource文件夹中放 在Skider ...

  9. wifi的web 认证。

    wifi的web 认证.wifidog+authpuppy+php 或者Wiwiz Auth API

  10. CImage类提供了GetBits()函数原理及实现

    CImage类提供了GetBits()函数来读取数据区,GetBits()函数返回的是图片最后一行第一个像素的地址,网上有人说返回指针的起始位置是不同的,有些图片返回的是左上角像素的地址,有些是左下角 ...