【Shiro权限管理】15.Shiro授权流程分析
来源:互联网 发布:防网络尖兵方法 编辑:程序博客网 时间:2024/06/04 19:10
注:该系列所有测试均在之前创建的Shiro3的Web工程的基础上。
上一篇讲解了Shiro授权的相关基础知识,并实验了“roles”拦截器的效果。可惜的是没有给用户
进行授权工作,所以没有验证拥有角色后的权限校验工作。下面就来讲解一下Shiro的授权流程。
之前我们使用过认证的Realm,他是进行登录认证时提供认证数据的关键类,其继承了
AuthenticatingRealm父类,并实现了doGetAuthenticationInfo抽象方法提供认证数据。
那么我们的授权数据获取,继承AuthenticatingRealm是不够的,需要继承AuthenticatingRealm
的子类AuthorizingRealm,并实现其抽象方法doGetAuthorizationInfo。
因为AuthorizingRealm授权Realm是AuthenticatingRealm认证Realm的子类,所以AuthorizingRealm
既可以提供授权数据也可以提供认证数据,所以要实现认证与授权,只需要继承AuthorizingRealm
类即可。
这里写一个Test类,继承AuthorizingRealm:
doGetAuthenticationInfo、doGetAuthorizationInfo
上面两个方法分别用于为校验提供认证信息和授权信息。
因为Subject的login方法会调用Realm的doGetAuthenticationInfo获取认证信息进行密码比对,
而Subject的hasRole、hasPermission等方法会调用Realm的doGetAuthorizationInfo获取授权信息
进行权限判定。
这里需要注意的一点,当我们配置了多个Realm授权时,如何判定是授权通过呢?
我们通过Subject的hasRole源码可看到:
不同的类:
而其中的ModularRealmAuthorizer就是当有多个Realm时,securityManager继承的类。
此时securityManager的hasRole的实现为ModularRealmAuthorizer父类的实现:
可以从上面的方法中得知,当配置有多个Realm时,只要一个Realm有该权限,那么就直接通过。
下面我们来实现授权Realm:
之前在Shiro3工程中有一个认证Realm为ShiroRealm,其继承了AuthenticatingRealm父类
并实现了doGetAuthenticationInfo为系统的登录认证提供认证信息:
AuthorizingRealm类,并实现其doGetAuthorizationInfo方法用于提供授权信息:
添加admin角色。
记得上一篇我们在shiroFilter中配置了User.jsp与admin.jsp的访问权限:
然后主页list.jsp:
上一篇讲解了Shiro授权的相关基础知识,并实验了“roles”拦截器的效果。可惜的是没有给用户
进行授权工作,所以没有验证拥有角色后的权限校验工作。下面就来讲解一下Shiro的授权流程。
之前我们使用过认证的Realm,他是进行登录认证时提供认证数据的关键类,其继承了
AuthenticatingRealm父类,并实现了doGetAuthenticationInfo抽象方法提供认证数据。
那么我们的授权数据获取,继承AuthenticatingRealm是不够的,需要继承AuthenticatingRealm
的子类AuthorizingRealm,并实现其抽象方法doGetAuthorizationInfo。
因为AuthorizingRealm授权Realm是AuthenticatingRealm认证Realm的子类,所以AuthorizingRealm
既可以提供授权数据也可以提供认证数据,所以要实现认证与授权,只需要继承AuthorizingRealm
类即可。
这里写一个Test类,继承AuthorizingRealm:
package com.test.shiro.realms;import org.apache.shiro.authc.AuthenticationException;import org.apache.shiro.authc.AuthenticationInfo;import org.apache.shiro.authc.AuthenticationToken;import org.apache.shiro.authz.AuthorizationInfo;import org.apache.shiro.realm.AuthorizingRealm;import org.apache.shiro.subject.PrincipalCollection;public class TestRealm extends AuthorizingRealm{//用于授权的方法@Overrideprotected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {// TODO Auto-generated method stubreturn null;}//用于认证的方法@Overrideprotected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {// TODO Auto-generated method stubreturn null;}}可以看到,继承了AuthorizingRealm中之后,就要实现其两个方法:
doGetAuthenticationInfo、doGetAuthorizationInfo
上面两个方法分别用于为校验提供认证信息和授权信息。
因为Subject的login方法会调用Realm的doGetAuthenticationInfo获取认证信息进行密码比对,
而Subject的hasRole、hasPermission等方法会调用Realm的doGetAuthorizationInfo获取授权信息
进行权限判定。
这里需要注意的一点,当我们配置了多个Realm授权时,如何判定是授权通过呢?
我们通过Subject的hasRole源码可看到:
不同的类:
而其中的ModularRealmAuthorizer就是当有多个Realm时,securityManager继承的类。
此时securityManager的hasRole的实现为ModularRealmAuthorizer父类的实现:
可以从上面的方法中得知,当配置有多个Realm时,只要一个Realm有该权限,那么就直接通过。
下面我们来实现授权Realm:
之前在Shiro3工程中有一个认证Realm为ShiroRealm,其继承了AuthenticatingRealm父类
并实现了doGetAuthenticationInfo为系统的登录认证提供认证信息:
package com.test.shiro.realms;import java.util.HashMap;import java.util.HashSet;import java.util.Iterator;import java.util.Map;import java.util.Set;import org.apache.shiro.authc.AuthenticationException;import org.apache.shiro.authc.AuthenticationInfo;import org.apache.shiro.authc.AuthenticationToken;import org.apache.shiro.authc.LockedAccountException;import org.apache.shiro.authc.SimpleAuthenticationInfo;import org.apache.shiro.authc.UnknownAccountException;import org.apache.shiro.authc.UsernamePasswordToken;import org.apache.shiro.crypto.hash.SimpleHash;import org.apache.shiro.realm.AuthenticatingRealm;import org.apache.shiro.util.ByteSource;import com.test.shiro.po.User;public class ShiroRealm extends AuthenticatingRealm{private static Map<String,User> userMap = new HashMap<String,User>();static{//使用Map模拟数据库获取User表信息 userMap.put("administrator", new User("administrator","5703a57069fce1f17882d283132229e0",false));//密码明文:aaa123userMap.put("jack", new User("jack","43e66616f8730a08e4bf1663301327b1",false));//密码明文:aaa123userMap.put("tom", new User("tom","3abee8ced79e15b9b7ddd43b95f02f95",false));//密码明文:bbb321userMap.put("jean", new User("jean","1a287acb0d87baded1e79f4b4c0d4f3e",true));//密码明文:ccc213}@Overrideprotected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {System.out.println("[ShiroRealm]");//1.把AuthenticationToken转换为UsernamePasswordTokenUsernamePasswordToken userToken = (UsernamePasswordToken) token;//2.从UsernamePasswordToken中获取usernameString username = userToken.getUsername();//3.调用数据库的方法,从数据库中查询Username对应的用户记录System.out.println("从数据看中获取UserName为"+username+"所对应的信息。");//Map模拟数据库取数据User u = userMap.get(username);//4.若用户不行存在,可以抛出UnknownAccountExceptionif(u==null){throw new UnknownAccountException("用户不存在");}//5.若用户被锁定,可以抛出LockedAccountExceptionif(u.isLocked()){throw new LockedAccountException("用户被锁定");}//7.根据用户的情况,来构建AuthenticationInfo对象,通常使用的实现类为SimpleAuthenticationInfo//以下信息是从数据库中获取的//1)principal:认证的实体信息,可以是username,也可以是数据库表对应的用户的实体对象Object principal = u.getUsername();//2)credentials:密码Object credentials = u.getPassword();//3)realmName:当前realm对象的name,调用父类的getName()方法即可String realmName = getName();//4)credentialsSalt盐值ByteSource credentialsSalt = ByteSource.Util.bytes(principal);//使用账号作为盐值SimpleAuthenticationInfo info = null; //new SimpleAuthenticationInfo(principal,credentials,realmName);info = new SimpleAuthenticationInfo(principal, credentials, credentialsSalt, realmName);return info;}public static void main(String[] args) {User u = null;Iterator<String> it = userMap.keySet().iterator();while(it.hasNext()){u = userMap.get(it.next());String hashAlgorithmName = "MD5";//加密方式Object crdentials = u.getPassword();//密码原值ByteSource salt = ByteSource.Util.bytes(u.getUsername());//以账号作为盐值int hashIterations = 1024;//加密1024次Object result = new SimpleHash(hashAlgorithmName,crdentials,salt,hashIterations);System.out.println(u.getUsername()+":"+result);}}}我们修改之前Shiro3工程中的ShiroRealm,将其原来继承的AuthenticatingRealm父类更换为
AuthorizingRealm类,并实现其doGetAuthorizationInfo方法用于提供授权信息:
//给Shiro的授权验证提供授权信息@Overrideprotected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {//1.从principals中获取登录用户的信息Object principal = principals.getPrimaryPrincipal();//2.利用登录用户的信息获取当前用户的角色(有数据库的话,从数据库中查询)Set<String> roles = new HashSet<String>();//放置用户角色的set集合(不重复)roles.add("user");//放置所有用户都有的普通用户角色if("administrator".equals(principal)){roles.add("admin");//当账号为administrator时,添加admin角色}//3.创建SimpleAuthorizationInfo,并设置其roles属性SimpleAuthorizationInfo info = new SimpleAuthorizationInfo(roles);//4.返回SimpleAuthorizationInfo对象return info;}由于这里我们没有数据库,仅仅用数据模拟角色添加,设置当登录账号为“adminstrator”时,为其
添加admin角色。
记得上一篇我们在shiroFilter中配置了User.jsp与admin.jsp的访问权限:
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean"> <property name="securityManager" ref="securityManager"/> <property name="loginUrl" value="/login.jsp"/> <property name="successUrl" value="/list.jsp"/> <property name="unauthorizedUrl" value="/index.jsp"/> <!-- 配置哪些页面需要受保护. 以及访问这些页面需要的权限. 1). anon 可以被匿名访问 2). authc 必须认证(即登录)后才可能访问的页面. 3). logout 登出 4). roles 角色过滤器 --> <property name="filterChainDefinitions"> <value> /login.jsp = anon /userAuth/login = anon /userAuth/logout = logout /User.jsp = roles[user] /admin.jsp = roles[admin] # everything else requires authentication: /** = authc </value> </property></bean>
然后主页list.jsp:
<%@ page language="java" import="java.util.*" pageEncoding="UTF-8"%><!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"><html> <head> <title>首页</title> </head> <body> 登录成功!欢迎访问首页O(∩_∩)O <a href="userAuth/logout">登出</a> <br/><br/> <a href="admin.jsp">Admin Page</a> <br/><br/> <a href="User.jsp">User Page</a> </body></html>User.jsp:
<%@ page language="java" import="java.util.*" pageEncoding="ISO-8859-1"%><!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"><html> <head> <title>user page</title> </head> <body> This is User page. <br> </body></html>admin.jsp:
<%@ page language="java" import="java.util.*" pageEncoding="ISO-8859-1"%><!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"><html> <head> <title>admin page</title> </head> <body> This is Admin page. <br> </body></html>无权限时unauthorizedUrl指向的index.jsp页面:
<%@ page language="java" import="java.util.*" pageEncoding="utf-8"%><!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"><html> <head> <title>提示</title> </head> <body> 抱歉,没有权限访问该资源!<br> </body></html>
下面使用jack普通用户登录:
然后点击User Page,发现可以进入:
然后点击Admin Page,发现没有权限:
接下来换administrator账号登录,然后点击User Page,发现可以进入:
再去点击Admin Page,发现也可以进入:
至此,我们实现了Shiro的一个完整的授权流程。
转载请注明出处:http://blog.csdn.net/acmman/article/details/78695303
阅读全文
0 0
- 【Shiro权限管理】15.Shiro授权流程分析
- 【Shiro权限管理】14.Shiro授权
- Shiro源码分析----授权流程
- 【Shiro权限管理】4. Shiro工作流程
- 基于shiro的权限管理-002授权
- 源码分析shiro认证授权流程
- 源码分析shiro认证授权流程
- 源码分析shiro认证授权流程
- 源码分析shiro认证授权流程
- shiro认证授权流程源码分析
- shiro认证授权流程
- 【Shiro权限管理】7.实现Shiro认证流程
- 【Shiro】SpringMVC+Shiro权限管理
- Shiro入门9:Shiro授权流程和三种授权方式和权限标识符规则
- 【Shiro权限管理】6.Shiro认证思路分析
- shiro权限框架详解05-shiro授权
- Shiro源码分析-----认证流程/授权流程----------Subject
- Shiro源码分析-----认证流程/授权流程----------Subject
- 64位驱动相对偏移的计算E8call
- 吴恩达关于dev / test sets的形象解释
- shiro配置
- 导出带有多个标签页的Excel表格代码
- 生成简单的Excel表格示例
- 【Shiro权限管理】15.Shiro授权流程分析
- WARN OgnlValueStack:68
- hashmap hash后得出下标的方法
- springMVC 简易运行流程
- Python基础
- LeetCode 442.Find All Duplicates in an Array
- 数据库事务特性和隔离级别
- SonarQube的安装、配置与使用
- viewController被POP后不调用dealloc的问题