2. 程式人生 > >Java環境下shiro的測試-認證與授權

Java環境下shiro的測試-認證與授權

阿新 發佈:2019-01-05

Java環境下shiro的測試

1.匯入依賴的核心jar包

<dependency>
  <groupId>org.apache.shiro</groupId>
  <artifactId>shiro-core</artifactId>
  <version>1.3.2</version>
</dependency>

2.認證程式

2.1 構建users配置檔案 xxx.ini doGetAuthenticationInfo方法從該配置檔案中獲取資料與token中比對

[users]
test=123456
lisi=123456

測試程式

public class TestShiro {
    public static void main(String[] args) {
        //獲取安全管理器工廠
        IniSecurityManagerFactory iniSecurityManagerFactory = new IniSecurityManagerFactory("classpath:shiro.ini");
        //獲取安全管理器
        SecurityManager securityManager = iniSecurityManagerFactory.getInstance();
        //set認證器
        SecurityUtils.setSecurityManager(securityManager);
        //subject發起認證,獲取subject
        Subject subject = SecurityUtils.getSubject();
        AuthenticationToken authenticationToken = new UsernamePasswordToken("test","123456");

        //認證失敗會丟擲異常  密碼:CredentialsException   賬戶:UnknownAccountException
        try {
            subject.login(authenticationToken);
        } catch (AuthenticationException e) {
            e.printStackTrace();
        }

        //當前subject是否認證通過
        boolean authenticated = subject.isAuthenticated();
        System.out.println(authenticated);
    }
}

認證流程:

token攜帶身份和憑證資訊--->subject發起認證--->SimpleAccountRealm(doGetAuthenticationInfo)獲取配置檔案中的使用者資訊---->CredentialsMatcher介面的實現類SimpleCredentialsMatcher:doCredentialsMatch方法對配置檔案中的資訊與token攜帶的資訊進行比對--->認證成功或者失敗。

3.Shiro框架中的關鍵物件:

AuthenticatingRealm  //抽象類
    //3.關鍵屬性 該屬性為憑證匹配器
    CredentialsMatcher credentialsMatcher;
    //1.該方法為抽象方法 其作用使用來獲取資料
    protected abstract AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken var1) throws AuthenticationException;
 
SimpleAccountRealm
//2.實現了AuthenticatingRealm抽象方法,用來獲取配置檔案中的使用者資訊,該類不做資料比對
SimpleCredentialsMatcher
//4.shiro中預設的憑證匹配器
  public boolean doCredentialsMatch(AuthenticationToken token, AuthenticationInfo info) {
        Object tokenCredentials = this.getCredentials(token);
        Object accountCredentials = this.getCredentials(info);
        return this.equals(tokenCredentials, accountCredentials);
    }

必須要知道的類與介面,不然很難理解自定義Realm時屬性為什麼設定,使用哪種實現類方法等等:

以下程式碼或者截圖貼出最重要的地方.

類繼承關係

AuthenticatingRealm類

abstract class AuthenticatingRealm{
    //憑證匹配器 介面,其實現類做資料比對
    private CredentialsMatcher credentialsMatcher;
    //獲取配置檔案中的使用者資訊
    protected abstract AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken var1) throws AuthenticationException;
}

該抽象方法返回型別AuthenticationInfo介面:

AuthorizingRealm類 抽象方法後面測試授權時使用

abstract class AuthorizingRealm{
    //
    //該抽象方法  獲取資料  獲取授權的資料   
    protected abstract AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection var1);
}

該抽象方法返回型別AuthorizationInfo介面:

CredentialsMatcher憑證匹配器介面:

其中:SimpleCredentialsMatcher是shiro中預設的憑證匹配器,其子類Hashxxx等都是做加密認證時使用

4.開發自定義Realm

public class MyRealm extends AuthenticatingRealm {
    //實現抽象方法doGetAuthenticationInfo
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken)
            throws AuthenticationException {
        String principal =(String) authenticationToken.getPrincipal();
        //查庫取回User物件
        SqlSession sqlSession = null;
        try {
            sqlSession = MySqlSession.getSqlSession();
        } catch (IOException e) {
            e.printStackTrace();
        }
        UserMapper mapper = sqlSession.getMapper(UserMapper.class);
        User user = mapper.queryUserByUserName(principal);
        AuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(principal,user.getPassword(),this.getName());
        return authenticationInfo;
    }
}

4.1通知shiro使用自定義realm

[main]
#自定義 realm
customRealm=com.nyist.test.MyRealm
#將realm設定到securityManager
securityManager.realms=$customRealm

注意:需要匯入一個jar

<dependency>
    <groupId>commons-logging</groupId>
    <artifactId>commons-logging</artifactId>
    <version>1.2</version>
</dependency>

5.shiro的加密認證方式

5.1.使用shiro提供的Md5Hash類為一個字串加密進行測試

public class TestMD5 {
    public static void main(String[] args) {
        Md5Hash hash = new Md5Hash("123456","salt",1024);
        String s = hash.toHex();
        System.out.println(s);
        //a18d2133f593d7b0e3ed488560404083
    }
}

5.2.修改配置檔案,加入憑證匹配器的相關配置

[main]
#自定義憑證匹配器
hashedCredentialsMatcher=org.apache.shiro.authc.credential.HashedCredentialsMatcher
#憑證匹配器通知AuthenticatingRealm,由於自定義realm繼承了AuthenticatingRealm,直接設定已有的MyRealm屬性即可

#自定義 realm
customRealm=com.nyist.test.MyRealm
customRealm.credentialsMatcher=$hashedCredentialsMatcher
hashedCredentialsMatcher.hashAlgorithmName=MD5
hashedCredentialsMatcher.hashIterations=1024

#將realm設定到securityManager .realms使用set方式賦值
securityManager.realms=$customRealm

坑:Caused by: java.lang.IllegalStateException: Required 'hashAlgorithmName' property has not been set. This is required to execute the hashing algorithm.

HashedCredentialsMatcher類中set方法非常規,set方法為:setHashAlgorithmName

為什麼這麼設定憑證匹配器?

自定義MyRealm extends AuthorizingRealm,實現兩個抽象方法

AuthenticationInfo doGetAuthenticationInfo()來自於AuthenticatingRealm類,獲取認證資料

AuthorizationInfo doGetAuthorizationInfo()來自於AuthorizingRealm類,獲取授權資料

public class MyRealm extends AuthorizingRealm {

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken)
            throws AuthenticationException {
        String principal =(String) authenticationToken.getPrincipal();
        //userDao.queryUserByUserName
        SqlSession sqlSession = null;
        try {
            sqlSession = MySqlSession.getSqlSession();
        } catch (IOException e) {
            e.printStackTrace();
        }
        UserMapper mapper = sqlSession.getMapper(UserMapper.class);
        User user = mapper.queryUserByUserName(principal);

        /*
        * ByteSource.Util.bytes("salt") 鹽欄位來自資料庫,憑證匹配器不能寫死鹽值
        * 安全管理器可以獲取到AuthenticationInfo中的鹽值 對使用者介面的憑證加密
        * */
        AuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(principal,user.getPassword(),ByteSource.Util.bytes("salt"),this.getName());
        return authenticationInfo;
    }

    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        //獲取身份資訊 Principal使用者名稱、手機號、郵箱地址等 一個主體可以有多個身份,但是必須有一個主身份(Primary Principal)
        String primaryPrincipal = (String) principalCollection.getPrimaryPrincipal();
        /*
        * 使用者----角色----許可權
        *   中間表   中間表
        * */
        //由primaryPrincipal查庫--->獲得角色info ---->獲取許可權info
        SqlSession sqlSession = null;
        try {
            sqlSession = MySqlSession.getSqlSession();
        } catch (IOException e) {
            e.printStackTrace();
        }
        UserMapper mapper = sqlSession.getMapper(UserMapper.class);
        User user = mapper.queryUserByUserName(primaryPrincipal);
        //測試基於角色的授權
        /*if (primaryPrincipal.equals(user.getUsername())){
            // class SimpleAuthorizationInfo implements AuthorizationInfo
            SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
            authorizationInfo.addRole("super");
            return authorizationInfo;
        }*/
        //測試基於資源的授權
        if(primaryPrincipal.equals(user.getUsername())){
            SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
            authorizationInfo.addStringPermission("user:delete");
            authorizationInfo.addStringPermissions(Arrays.asList("admin:delete","admin:add"));
            return authorizationInfo;
        }
        return null;
    }
}

一張圖看懂認證授權關係:[待修改,圖太劣質]

授權的api

  • 基於角色

                //判斷當前主體是否包含此角色
            boolean b = subject.hasRole("super");
            List<String> list = Arrays.asList("super", "admin");
            //判斷當前主體是否包含某個角色
            boolean[] booleans = subject.hasRoles(list);
            //判斷當前主體是否包含全部的角色
            boolean b = subject.hasAllRoles(list);

  • 基於資源

                boolean b = subject.isPermitted("admin:delete");
            String[] strs={"admin:delete", "admin:add"};
            boolean[] permitted = subject.isPermitted(strs);
            boolean permittedAll = subject.isPermittedAll(strs);

資源許可權的識別符號

許可權字串的規則是:“資源識別符號:操作:資源例項識別符號”,意思是對哪個資源的哪個例項具有什麼操作,“:”是資源/操作/例項的分割符,許可權字串也可以使用*萬用字元。

例子:

  • 使用者建立許可權:user:create,或user:create:*
  • 使用者修改例項001的許可權:user:update:001
  • 使用者例項001的所有許可權:user:*:001

相關推薦

Java環境shiro測試-認證授權

Java環境下shiro的測試 1.匯入依賴的核心jar包 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> &l

shiro認證 授權

失敗 ole info 是否 eal ipa 認證 三種方式 nlog 1,什麽是shiro Shiro是apache旗下一個開源框架,它將軟件系統的安全認證相關的功能抽取出來,實現用戶身份認證,權限授權、加密、會話管理等功能,組成了一個通用的安全認證框架。 shiro

shiro認證授權

l  shiro框架的核心功能: 認證 授權 會話管理 加密 1.認證      shiro框架認證流程          applicationCode:應用程式程式碼,由開發人員負責開發     Subject:框架提供的介面,指當前使用者物件

Shiro集成web環境[Springboot]-認證授權

跳轉 anon cache action 過濾器 utf-8 tor def nbsp Shiro集成web環境[Springboot]--認證與授權 在登錄頁面提交登陸數據後,發起請求也被ShiroFilter攔截,狀態碼為302 <form action="${p

Shiro整合web環境[Springboot]-認證授權

Shiro整合web環境[Springboot]--認證與授權 在登入頁面提交登陸資料後,發起請求也被ShiroFilter攔截,狀態碼為302 <form action="${pageContext.request.contextPath}/user/login" method="post">

Apache Shiro(二)——認證授權

Apache Shiro 是一個強大而靈活的開源安全框架,它乾淨利落地處理身份認證,授權,企業會話管理和加密。 Shiro 架構如下圖所示: 認證 身份認證 身份驗證:一般需要提供如身份 ID 等一些標識資訊來表明登入者的身份,如提供 email,使用者名稱/密碼來證明。在

Shiro學習筆記(一)--- 認證授權

一、簡介 Apache Shiro是一個強大且易用的Java安全框架,執行身份驗證、授權、密碼和會話管理。使用Shiro的易於理解的API,您可以快速、輕鬆地獲得任何應用程式,從最小的移動應用程式到最大的網路和企業應用程式。 主要功能 三個核心元件:Subject, Security

python3環境的全形半形轉換程式碼和測試

       全形和半形轉換是文字預處理的常見工作之一,然而現在網上一搜python的相關程式碼,幾乎都是python2版本的,因此根據人角和半形的轉換規律,將其程式碼撰寫如下: 1、全形與半形之間的轉換規律 角字元unicode編碼從65281~65374 (十六進位制

shiro原始碼篇 - shiro認證授權,你值得擁有

前言   開心一刻      我和兒子有個共同的心願,出國旅遊。昨天兒子考試得了全班第一,我跟媳婦合計著帶他出國見見世面,吃晚飯的時候,一家人開始了討論這個。我:“兒子,你的心願是什麼?”,兒子:“吃漢堡包”,我:“往大了說”,兒子:“變形金剛”,我:“今天你爹說了算,想想咱倆共同的心願”,兒子怯生生的瞅

shiro源碼篇 - shiro認證授權,你值得擁有

erb filters obj ash 三種 isl cit constant 用戶 前言   開心一刻      我和兒子有個共同的心願,出國旅遊。昨天兒子考試得了全班第一,我跟媳婦合計著帶他出國見見世面,吃晚飯的時候,一家人開始了討論這個。我:“兒子,你

WEB安全性測試之 -認證授權、SessionCookie、DDOS拒絕服務攻擊

WEB安全性測試之          ---認證與授權、Session與Cookie、DDOS拒絕服務攻擊  來自視訊的筆記整理 1、認證與授權 1)認證:是否可以直接登入    2)授權:是否有許可權刪除等 3)避免未經授權的頁面可以直接訪問 2、Session與Coo

Shiro認證授權原始碼分析

這裡使用官方提供的demo進行除錯,進入原始碼分析。 public class Quickstart { private static final transient Logger log = LoggerFactory.getLogger(

Win7配置"JAVA環境變數"---JDK的安裝配置

一.JDK的安裝       JDK安裝過程很簡單,可以均選擇預設設定,直接點選"下一步"即可;安裝目錄可自定義到自己想安裝的資料夾中,這裡,我選擇的安裝目錄為:E:\Program Files (x86)\Java\jdk1.7.0(JDK安裝目錄)。 二.安裝完JDK

springboot整合shiro 認證授權記住密碼密碼錯過鎖定次數

                                                                       Spring Boot + Shiro總結 背景:最近領導要完成使用者管理、選單管理,角色管理等系統功能,上家公司的時候想過用了sh

Spring Security技術棧開發企業級認證授權(一)環境搭建

Spring Security是一個能夠為基於Spring的企業應用系統提供宣告式的安全訪問控制解決方案的安全框架。它提供了一組可以在Spring應用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反轉Inversion of Contr

Win10在java環境Eclipse+Tomcat的安裝配置

首先在官網上下載Eclipse Mars 2: 這個是現在最新的版本,注意請點選第一個Eclipse IDE for java EE Developers【用於寫web程式】,而不是第二個Eclipse IDE for java Developers【用於

Spring Security技術棧開發企業級認證授權

iyu 復雜 sha 日誌 開發app 一個 核心概念 並發 自動 Spring Security技術棧開發企業級認證與授權網盤地址:https://pan.baidu.com/s/1mj8u6JQ 密碼: 92rp備用地址(騰訊微雲):https://share.weiy

詳解K8SRancher 2.0內的身份認證授權

Rancher Kubernetes 身份認證和授權 Rancher 2.0正式版已全面發布。Rancher 2.0是一個開源的Kubernetes管理平臺,為企業用戶提供Kubernetes-as-a-Service (Kubernetes即服務),並且能夠實現多Kubernetes集群的統一納

.Net Core Cookie-Based認證授權

現在 技術分享 tar mvc 技術 bsp http image In .Net Core的其中一種認證與授權模式是基於Cookie的,首先我們先創建一個.Net Core MVC 項目: 然後增加對頁面訪問的權限控制,對要訪問的頁面Conytroller增加Aut

ubuntu 環境pycharm的 安裝激活教程

目錄 ins abs 下載 1.3 安裝程序 sm3 權限 wid 1. 基本安裝:   1.1 打開Ubuntu的應用市場,並在搜索欄搜索pycharm,結果如下圖所示   1.2 選擇pro版本進行安裝,結果如下圖所示:   1.3打開安裝後的pycharm,如果出