2. 程式人生 > >shiro框架學習筆記

shiro框架學習筆記

阿新 發佈:2018-11-10

最近學習了 許可權框架shiro的知識,做一下 學習的筆記

使用ini

這是shiro 最簡單的用法,首先建立一個demo.ini檔案,裡面寫入如下的內容

[users]
xiezihao=123456,admin
[roles]
admin = user.insert,user.update

下面對上面的配置進行一下解釋
[users] 代表的是使用者,之後在程式碼中做登入的時候使用,比如這裡的配置中,的一是就是 ,使用者名稱是xiezihao,密碼是123456,擁有一個admin的角色。
[roles] 代表的是角色的意思,一個使用者可以對應有多個角色,這裡的一是是,admin這個角色擁有,user.insert 和 user.update 兩種操作的許可權

下面將通過示例程式碼演示,如何利用這個ini檔案實現登入,和許可權的認證

 public void t(){
        //設定使用的realm
        IniRealm iniRealm = new IniRealm("classpath:demo.ini");
        //新建一個安全管理器,並將realm設定到這個管理器中去
        DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager();
        defaultSecurityManager.setRealm
 
(iniRealm);
        //將設定好的 安全管理器放入安全工具類中,然後用 安全工具類來獲取subject
        SecurityUtils.setSecurityManager(defaultSecurityManager);
        Subject subject = SecurityUtils.getSubject();
        //建立登入用的token
        UsernamePasswordToken token = new UsernamePasswordToken();
        token.setUsername("xiezihao"
 
);
        token.setPassword("123456".toCharArray());
        //登入
        subject.login(token);
        if(subject.isAuthenticated()){
            System.out.println("登入成功");
        }

        if(subject.hasRole("admin")){
            System.out.println("擁有admin的身份");
        }

        if(subject.isPermitted("user.insert")){
            System.out.println("擁有 user.insert 的許可權");
        }
    }

後面的例子其實都和這個比較的相似,都是按照如下順序

  1. 拿到一個realm
  2. 用這個realm 設定出一個安全管理器
  3. 為安全工具類設定安全管理器,然後以此創建出subject
  4. 利用subject做後續的操作

自定義的realm

有的時候框架給出的realm不能滿足我們實際的需求,我們可以自定義realm,新建一個類,讓這個類去繼承 AuthorizingRealm

然後實現裡面的兩個方法:doGetAuthorizationInfo 授權、doGetAuthenticationInfo 登入認證

下面用一個實際的例子 來說明

public class DemoRealm extends AuthorizingRealm {
    //授權的時候執行
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        System.out.println("開始鑑權操作");
        SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
        HashSet<String> roles = new HashSet<>();
        HashSet<String> permissions = new HashSet<>();
        //將使用者的角色和許可權填入set集合  在實際的情況下這一步會從資料庫中獲取
        roles.add("admin");
        permissions.add("user.insert");
        
        //將使用者的角色集合和許可權集合放入到AuthorizationInfo中去
        simpleAuthorizationInfo.setRoles(roles);
        simpleAuthorizationInfo.setStringPermissions(permissions);
        return simpleAuthorizationInfo;
    }

    //登入時候執行
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        System.out.println("開始使用者登入操作");
        //獲取使用者登入的使用者名稱和密碼
        UsernamePasswordToken usernamePasswordToken = (UsernamePasswordToken) token;
        String username = usernamePasswordToken.getUsername();
        char[] password = usernamePasswordToken.getPassword();
        //這裡我們模擬一下許可權認證,實際情況上這裡會從資料庫拿資料
        if (username.equals("xiezihao") && new String(password).equals("123456")) {
            /**
             * 如果認證成功返回一個AuthenticationInfo物件,這三個引數分別是
             * 使用者名稱、密碼、和realm名字  realm的名字隨便取好了主要是用來區分的作用
             */
            return new SimpleAuthenticationInfo("xiezihao", "123456", "demoRealm");
        }
        //如果登入失敗就返回null
        return null;
    }
}

下面我們利用一個測試類來測試一下。測試類的寫法可以參考 ini 這個測試的方法

@Test
    public void demoRealmT() {
        //	新建一個 我們自定義的realm
        DemoRealm demoRealm = new DemoRealm();
        //建立安全管理器
        DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager();
        defaultSecurityManager.setRealm(demoRealm);
        //構建 subject
        SecurityUtils.setSecurityManager(defaultSecurityManager);
        Subject subject = SecurityUtils.getSubject();
        UsernamePasswordToken usernamePasswordToken = new UsernamePasswordToken();
        usernamePasswordToken.setUsername("xiezihao");
        usernamePasswordToken.setPassword("123456".toCharArray());
        //登入
        subject.login(usernamePasswordToken);
        if(subject.isAuthenticated()){
            System.out.println("使用者已經成功登入");
        }

        if(subject.hasRole("admin")){
            System.out.println("使用者擁有admin角色");
        }

        if(subject.isPermitted("user.insert")){
            System.out.println("使用者擁有user.insert 操作的許可權");
        }
    }

最後輸出的結果如下

開始使用者登入操作
使用者已經成功登入
開始鑑權操作
使用者擁有admin角色
開始鑑權操作
使用者擁有user.insert 操作的許可權

jdbc realm

前面的操作中我們使用的都是寫死或者本地檔案中寫入使用者配置,但是在實際的過程中我們肯定是從資料庫中讀取的

shiro提供了一個JdbcRealm 的類用來查詢資料庫,但是這個類裡的sql 語句預設都是寫死的,我們可以進入到這個類的原始碼裡去看下

 /**
     * The default query used to retrieve account data for the user.
     */
    protected static final String DEFAULT_AUTHENTICATION_QUERY = "select password from users where username = ?";
    
    /**
     * The default query used to retrieve account data for the user when {@link #saltStyle} is COLUMN.
     */
    protected static final String DEFAULT_SALTED_AUTHENTICATION_QUERY = "select password, password_salt from users where username = ?";

    /**
     * The default query used to retrieve the roles that apply to a user.
     */
    protected static final String DEFAULT_USER_ROLES_QUERY = "select role_name from user_roles where username = ?";

    /**
     * The default query used to retrieve permissions that apply to a particular role.
     */
    protected static final String DEFAULT_PERMISSIONS_QUERY = "select permission from roles_permissions where role_name = ?";

在這個類的開頭定義了 這4個sql 語句,從上到下的用處分別是:

  • 使用者賬號密碼登入
  • 使用者帶salt的賬號密碼登入
  • 查詢使用者名稱下所有的角色
  • 查詢角色下所有的許可權
    所以我們只需要把資料庫的表按照這個sql 語句的形式來建立就可以了,但是這樣子做肯定是不行的,因為實際的業務欄位名可能不是這樣的,所有我們可以重新自定義sql 語句,按照剛才原始碼裡的格式 實際的操作請看下面的程式碼
@Test
    public void test(){
    	//設定一個數據庫連線池,這裡使用了阿里巴巴的druid連線池
        DruidDataSource source = new DruidDataSource();
        source.setUrl("jdbc:mysql://localhost:3306/rili");
        source.setUsername("root");
        source.setPassword("root");
        //建立一個jdbcrealm 並加你個連線池設定到這個realm中去
        JdbcRealm jdbcRealm = new JdbcRealm();
        jdbcRealm.setDataSource(source);
        //自定義登入sql
        String sql = "select password from user where user_name = ?";
        jdbcRealm.setAuthenticationQuery(sql);
        //自定義角色sql
        String sql2 = "select quan from role where name = ?";
        jdbcRealm.setUserRolesQuery(sql2);
        //自定義許可權sql
        String sql3= "select permission from permissions where juese = ?";
        jdbcRealm.setPermissionsQuery(sql3);
        /**
        * 這裡是很重要的一句!必須要設定他為true,原始碼裡的解釋是預設人false
        *  表示只有使用者名稱和角色關聯,如果要角色和許可權關聯必須設定為true
        */
        jdbcRealm.setPermissionsLookupEnabled(true);
       
       //之後的操作步驟就是和之前的一樣就不再做複述了
        DefaultSecurityManager securityManager = new DefaultSecurityManager();
        securityManager.setRealm(jdbcRealm);
        SecurityUtils.setSecurityManager(securityManager);
        Subject subject = SecurityUtils.getSubject();
        UsernamePasswordToken token = new UsernamePasswordToken("xiezihao","12345");
        subject.login(token);
        if(subject.isAuthenticated()){
            System.out.println("login ok");
        }
        subject.checkRoles("admin");
        subject.checkPermissions("user.update");

spring 整合shiro

到上面為止,介紹了shiro的基本使用方法,下面講解的是如何將shiro和spring進行整合。

引入依賴

<dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring</artifactId>
            <version>1.3.2</version>
        </dependency>

建立一個基本的springboot工程,引入必要的web依賴,這裡關於springboot就不再做描述了

編寫自定義realm

public class MyRealm extends AuthorizingRealm {
    //授權
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
        //獲取登入的使用者名稱
        String username = (String) principalCollection.getPrimaryPrincipal();
        //授權操作,模擬從資料庫獲取授權資訊
        if (username.equals("admin")) {
            simpleAuthorizationInfo.addRole("admin");
            simpleAuthorizationInfo.addStringPermission("user:insert");
        } else {
            simpleAuthorizationInfo.addRole("default");
        }
        return simpleAuthorizationInfo;
    }

    //登入認證
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        //獲取登入的使用者名稱和密碼
        UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken;
        String username = token.getUsername();
        String password = new String(token.getPassword());
        //認證,這裡應該從資料庫獲取,為了簡便就直接寫了
        if (username.equals("admin") && password.equals("12345")) {
            return new SimpleAuthenticationInfo("admin", "12345", "MyRealm");
        } else {
            return null;
        }
    }
}

編寫shiro 配置類

這裡是重要的一步,定義一個類進行授權的配置

相關推薦

shiro框架學習筆記

最近學習了 許可權框架shiro的知識,做一下 學習的筆記 使用ini 這是shiro 最簡單的用法,首先建立一個demo.ini檔案,裡面寫入如下的內容 [users] xiezihao=123456,admin [roles] admin = user.inse

shiro框架學習筆記(3)---使用shiro完成登陸認證

  在shiro框架中,未登入就是未認證,登陸了才算認證,認證後只能使用一些基本許可權,使用更多的許可權需要授權,認證和授權是不同的概念。 一、UserAction中的相關程式碼 public String login(){ //從Session中獲取生成的

shiro安全框架學習筆記

   現在才發現原來安全其實是比較有趣的一個話題。  由於之前已經練過了spring-security的相關內容。所以這裡的shiro只是作為一個知識補充,用作對比學習理解。   由於這個框架相較而言內容比較多一點,所以希望學習的相對詳細一點。&nb

php laravel框架學習筆記 (二) 數據庫操作

true 數據 mar sql show top 一行 ati del 原博客鏈接:http://www.cnblogs.com/bitch1319453/p/6810492.html mysql基本配置 你可用通過配置環境變量,使用cmd進入mysql,當然還有一種東

JavaSE中Collection集合框架學習筆記(1)——具有索引的List

alt 很快 存取 array 架構圖 一是 第一個元素 技術 發現 前言:因為最近要重新找工作,Collection(集合)是面試中出現頻率非常高的基礎考察點,所以好好惡補了一番。 復習過程中深感之前的學習不系統,而且不能再像剛畢業那樣死背面試題,例如:String是

JavaSE中Collection集合框架學習筆記(2)——拒絕重復內容的Set和支持隊列操作的Queue

%d eof 是否 face 出錯 can 3.2 lean als 前言:俗話說“金三銀四銅五”,不知道我要在這段時間找工作會不會很艱難。不管了,工作三年之後就當給自己放個暑假。 面試當中Collection(集合)是基礎重點.我在網上看了

JavaSE中線程與並行API框架學習筆記——線程為什麽會不安全?

pub 學習 學校 技術 顯示 iter tle 另一個 生命周期 前言:休整一個多月之後,終於開始投簡歷了。這段時間休息了一陣子,又病了幾天,真正用來復習準備的時間其實並不多。說實話,心裏不是非常有底氣。 這可能是學生時代遺留的思維慣性——總想著做好萬全準備才去做事。

Java集合框架學習筆記

引用 dex set集合 第一次 5.4 sof oid code over 本文為學習筆記,學習課程為慕課網Java入門第三季中的集合框架部分,若需要研究文中的代碼,可前往下載。http://www.imooc.com/learn/110 1. List(Collec

Shiro學習筆記(1)——身份驗證

wan param import println cal 類型 classname zhang ets Shiro——學習筆記(1) 1.核心概念 1.Shiro不會自己去維護用戶、維護權限;這些需要我們自己去設計/提供;然後通過相應的接口註入給Shiro。2.應用代碼直接

分布式服務框架學習筆記

per zookeeper dao med utm 詳解 href .html bsp 基於Zookeeper的服務註冊與發現 http://mobile.51cto.com/news-502394.htm zookeeper編程入門系列之zookeeper實現

hibernate框架學習筆記1:搭建與測試

for this ble action 1.7 turn yiq targe cts hibernate框架屬於dao層,類似dbutils的作用,是一款ORM(對象關系映射)操作 使用hibernate框架好處是:操作數據庫不需要寫SQL語句,使用面向對象的方式完成

hibernate框架學習筆記2:配置文件詳解

格式化 version validate ret root 主鍵生成策略 -m color 格式 實體類: package domain; public class Customer { private Long cust_id; priva

hibernate框架學習筆記4:主鍵生成策略、對象狀態

alt rri gen 線程安全 理論 微軟 unit conf lose 創建一個實體類: package domain; public class Customer { private Long cust_id; private Stri

hibernate框架學習筆記5:緩存

很好 close nts oid img 關閉資源 次方 兩個 res 緩存不止存在與程序中,電腦硬件乃至於生活中都存在緩存 目的:提高效率 比如IO流讀寫字節,如果沒有緩存,讀一字節寫一字節,效率低下 hibernate中的一級緩存:提高操作數據庫的效率 示例:

hibernate框架學習筆記6:事務

isolation -c blog 重復 .config rollback pre ont .com MySQL的事務、JDBC事務操作: 詳細見這篇文章:比較詳細 http://www.cnblogs.com/xuyiqing/p/8430214.html 如何在hi

hibernate框架學習筆記7:HQL查詢、Criteria查詢

import res ber return org close 返回 closed 所有 HQL查詢:hibernate獨有的查詢語言 適用於不復雜的多表查詢 示例: 實體類: package domain; public class Customer {

hibernate框架學習筆記8:一對多關系案例

列名 let cas 同時 end update 數據庫驅動 測試 nsa 兩個實體類:客戶與聯系人,一個客戶可以有多個聯系人 客戶類: package domain; import java.util.HashSet; import java.util.Set;

hibernate框架學習筆記9:多對多關系案例

ola 元數據 none _id Coding property turn 線程 rop 員工與角色案例: 一個員工可以是多種角色(總監,經理),一種角色可以是多個員工(保潔) 這裏發現無法使用外鍵表達關系,多對多總是創建第三張表來維護關系 這張表至少兩列,都是外鍵,分別引

hibernate框架學習筆記11:Criteria查詢詳解

code 關系 style 獲得 排序 void 技術 private lap 創建實體類對象: package domain; import java.util.HashSet; import java.util.Set; //客戶實體 public class

hibernate框架學習筆記12:查詢優化

不發送 方法 加載策略 單表查詢 lazy action private 對象 建議 類級別查詢優化: 創建一個實體類: package domain; import java.util.HashSet; import java.util.Set; //客戶實體 p