Java
javaDidacticiel
Utilisation d'Apache Shiro pour le contrôle des autorisations dans le développement d'API Java
Utilisation d'Apache Shiro pour le contrôle des autorisations dans le développement d'API Java
Utilisez Apache Shiro pour le contrôle des autorisations dans le développement d'API Java
Avec le développement de la technologie Internet, de plus en plus d'applications adoptent une architecture basée sur les API. Pour cette architecture, les données ou services sont exposés à des systèmes ou applications externes sous forme d'API. Dans ce cas, le contrôle des autorisations des utilisateurs est très important. Cet article explique principalement comment utiliser Apache Shiro pour gérer les problèmes d'autorisation dans l'API Java.
Présentation d'Apache Shiro
Apache Shiro est un framework open source d'Apache Software Foundation pour fournir des fonctions de base telles que l'authentification de sécurité, l'autorisation, la gestion des mots de passe et la gestion des sessions dans les applications. Apache Shiro est un framework de sécurité simple et facile à utiliser qui permet aux développeurs Java de se concentrer sur la logique métier sans se soucier des problèmes de sécurité.
Les principaux composants d'Apache Shiro incluent :
- Sujet : représente un utilisateur interagissant avec notre application, qui peut être une personne, un programme, un service, etc. Chaque sujet possède un ensemble de « principes » liés à la sécurité qui peuvent être utilisés pour représenter l'identité de l'utilisateur.
- SecurityManager : Utilisé pour gérer les opérations de sécurité des applications. Ses principales responsabilités sont l'authentification, l'autorisation, le cryptage, etc.
- Realm : utilisé pour obtenir des données d'application, telles que les utilisateurs, les rôles, les autorisations, etc. Les données peuvent être stockées dans des bases de données, des fichiers, etc.
- SessionManager : gérez les informations de session pour chaque utilisateur, y compris la création, l'invalidation, la maintenance, etc.
- Session : conservez les informations de session pour chaque utilisateur, y compris le statut de connexion de l'utilisateur, etc.
- Cryptographie : fournit des services de sécurité tels que des algorithmes de cryptage et de hachage.
Basé sur les composants ci-dessus, Shiro fournit un cadre de sécurité complet qui peut être utilisé pour développer des modules de sécurité dans des applications Java.
Utilisez Apache Shiro pour le contrôle des autorisations
Dans le processus de développement d'API Java, il est souvent nécessaire de contrôler les autorisations des utilisateurs. Shiro fournit une solution flexible et rationalisée pour implémenter cette fonction. La méthode d'implémentation spécifique est présentée ci-dessous :
- Présentation des packages de dépendances Shiro
Tout d'abord, vous devez ajouter les packages de dépendances pertinents de Shiro au projet. Par exemple, dans un projet Maven, vous pouvez ajouter le code suivant dans pom.xml :
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-core</artifactId>
<version>1.5.3</version>
</dependency> - Définir la classe Realm
Dans Shiro, Realm est responsable de la définition des données associées telles que les utilisateurs, les rôles et les autorisations, et en l'intégrant au framework Shiro. Par conséquent, la définition de la classe Realm est la première étape du contrôle des autorisations.
Nous pouvons personnaliser une classe Realm pour implémenter la fonction d'obtention d'informations relatives à l'utilisateur à partir de la base de données, comme indiqué ci-dessous :
public class MyRealm extends AuthorizingRealm {
// 根据用户名获取用户即其角色、权限等相关信息
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
// 获取当前用户的身份信息
String username = (String) principalCollection.getPrimaryPrincipal();
// 从数据库中查询用户及其角色
User user = userService.loadByUsername(username);
List<Role> roles = roleService.getRolesByUsername(username);
// 添加角色
List<String> roleNames = new ArrayList<>();
for (Role role : roles) {
roleNames.add(role.getName());
}
SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
info.addRoles(roleNames);
// 添加权限
List<String> permissionNames = new ArrayList<>();
for (Role role : roles) {
List<Permission> permissions = permissionService.getPermissionsByRoleId(role.getId());
for (Permission permission : permissions) {
permissionNames.add(permission.getName());
}
}
info.addStringPermissions(permissionNames);
return info;
}
// 根据用户名和密码验证用户
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
// 获取用户提交的身份信息
String username = (String) authenticationToken.getPrincipal();
String password = new String((char[]) authenticationToken.getCredentials());
// 根据用户名查询用户
User user = userService.loadByUsername(username);
if (user == null) {
throw new UnknownAccountException();
}
// 验证用户密码
String encodedPassword = hashService.hash(password, user.getSalt());
if (!user.getPassword().equals(encodedPassword)) {
throw new IncorrectCredentialsException();
}
// 如果验证成功,则返回一个身份信息
SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(username, password, getName());
return info;
}
}Dans le code ci-dessus, nous obtenons l'utilisateur en implémentant la méthode doGetAuthorizationInfo et la méthode doGetAuthenticationInfo fournies par AuthorizingRealm abstrait le rôle de classe et les informations d'autorisation, et vérifie l'identité de l'utilisateur. Ces méthodes appelleront UserService, RoleService, PermissionService et d'autres couches de service pour interroger les informations pertinentes dans la base de données afin d'obtenir des données utilisateur.
- Configurer Shiro Filter
Dans l'API Java, nous pouvons configurer Shiro Filter pour intercepter les requêtes et contrôler les autorisations des utilisateurs. Shiro Filter est un filtre Servlet qui peut être utilisé pour le filtrage des autorisations, la gestion des sessions, etc. dans les applications Web.
Lors de la configuration de Shiro Filter, nous devons configurer le gestionnaire de sécurité de Shiro, la classe Realm personnalisée, la page de connexion écrite, etc. Un exemple est le suivant :
@Configuration
public class ShiroConfig {
@Bean
public ShiroFilterFactoryBean shirFilter(SecurityManager securityManager) {
ShiroFilterFactoryBean shiroFilter = new ShiroFilterFactoryBean();
shiroFilter.setSecurityManager(securityManager);
// 设置登录URL
shiroFilter.setLoginUrl("/login");
// 设置无权访问的URL
shiroFilter.setUnauthorizedUrl("/unauthorized");
// 配置拦截器规则
Map<String,String> filterChainDefinitionMap = new LinkedHashMap<>();
filterChainDefinitionMap.put("/login", "anon");
filterChainDefinitionMap.put("/logout", "logout");
filterChainDefinitionMap.put("/home", "authc");
filterChainDefinitionMap.put("/admin/**", "roles[admin]");
filterChainDefinitionMap.put("/**", "authc");
shiroFilter.setFilterChainDefinitionMap(filterChainDefinitionMap);
return shiroFilter;
}
@Bean
public SecurityManager securityManager(MyRealm myRealm) {
DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
securityManager.setRealm(myRealm);
return securityManager;
}
@Bean
public MyRealm myRealm(HashService hashService,
UserService userService,
RoleService roleService,
PermissionService permissionService) {
return new MyRealm(userService, roleService, permissionService, hashService);
}
@Bean
public HashService hashService() {
return new SimpleHashService();
}
}Dans le code ci-dessus, nous utilisons l'annotation @Configuration pour définir une classe ShiroConfig pour configurer les paramètres liés à Shiro. Dans cette classe, nous définissons la méthode shirFilter(), la méthode securityManager() et la méthode myRealm() pour configurer les filtres Shiro, les gestionnaires de sécurité et les classes Realm personnalisées. Dans la méthode correspondante, nous pouvons utiliser des dépendances telles que UserService, RoleService, PermissionService, HashService, etc. pour injecter des services associés via l'injection de dépendances afin d'obtenir le contrôle des autorisations et la vérification des utilisateurs.
- Utilisez Shiro pour le contrôle des autorisations dans l'API Java
Après avoir terminé les étapes ci-dessus, nous pouvons utiliser Shiro pour le contrôle des autorisations dans l'API Java. Dans une implémentation spécifique, nous pouvons utiliser la classe Subject fournie par Shiro pour représenter l'utilisateur actuel. Nous pouvons vérifier si l'utilisateur dispose d'un certain rôle ou d'une certaine autorisation via hasRole(), isPerowed() et d'autres méthodes de cette classe. Voici un exemple :
@Controller
public class ApiController {
@RequestMapping("/api/test")
@ResponseBody
public String test() {
Subject currentUser = SecurityUtils.getSubject();
if (currentUser.hasRole("admin")) {
return "Hello, admin!";
} else if (currentUser.isAuthenticated()) {
return "Hello, user!";
} else {
return "Please login first!";
}
}
}Dans le code ci-dessus, nous définissons une classe ApiController et y définissons une méthode test(). Dans cette méthode, nous obtenons d'abord l'objet Sujet de l'utilisateur actuel, puis effectuons des jugements d'autorisation en appelant hasRole(), isPerowed() et d'autres méthodes.
Résumé
Le contrôle des autorisations est une question très importante dans le développement d'API Java. Apache Shiro fournit un cadre de sécurité pratique et facile à utiliser qui peut aider les développeurs Java à mettre en œuvre rapidement l'authentification des utilisateurs, l'autorisation, la gestion des mots de passe, la gestion des sessions et d'autres fonctions. Grâce à l'introduction de cet article, j'espère que les lecteurs pourront clairement comprendre comment utiliser Shiro pour implémenter des fonctions de contrôle d'autorisation dans le développement d'API Java.
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!
Outils d'IA chauds
Undresser.AI Undress
Application basée sur l'IA pour créer des photos de nu réalistes
AI Clothes Remover
Outil d'IA en ligne pour supprimer les vêtements des photos.
Undress AI Tool
Images de déshabillage gratuites
Clothoff.io
Dissolvant de vêtements AI
Video Face Swap
Échangez les visages dans n'importe quelle vidéo sans effort grâce à notre outil d'échange de visage AI entièrement gratuit !
Article chaud
Outils chauds
Bloc-notes++7.3.1
Éditeur de code facile à utiliser et gratuit
SublimeText3 version chinoise
Version chinoise, très simple à utiliser
Envoyer Studio 13.0.1
Puissant environnement de développement intégré PHP
Dreamweaver CS6
Outils de développement Web visuel
SublimeText3 version Mac
Logiciel d'édition de code au niveau de Dieu (SublimeText3)
Nombre parfait en Java
Aug 30, 2024 pm 04:28 PM
Guide du nombre parfait en Java. Nous discutons ici de la définition, comment vérifier le nombre parfait en Java ?, des exemples d'implémentation de code.
Weka en Java
Aug 30, 2024 pm 04:28 PM
Guide de Weka en Java. Nous discutons ici de l'introduction, de la façon d'utiliser Weka Java, du type de plate-forme et des avantages avec des exemples.
Numéro de Smith en Java
Aug 30, 2024 pm 04:28 PM
Guide du nombre de Smith en Java. Nous discutons ici de la définition, comment vérifier le numéro Smith en Java ? exemple avec implémentation de code.
Questions d'entretien chez Java Spring
Aug 30, 2024 pm 04:29 PM
Dans cet article, nous avons conservé les questions d'entretien Java Spring les plus posées avec leurs réponses détaillées. Pour que vous puissiez réussir l'interview.
Break or Return of Java 8 Stream Forach?
Feb 07, 2025 pm 12:09 PM
Java 8 présente l'API Stream, fournissant un moyen puissant et expressif de traiter les collections de données. Cependant, une question courante lors de l'utilisation du flux est: comment se casser ou revenir d'une opération FOREAK? Les boucles traditionnelles permettent une interruption ou un retour précoce, mais la méthode Foreach de Stream ne prend pas directement en charge cette méthode. Cet article expliquera les raisons et explorera des méthodes alternatives pour la mise en œuvre de terminaison prématurée dans les systèmes de traitement de flux. Lire plus approfondie: Améliorations de l'API Java Stream Comprendre le flux Forach La méthode foreach est une opération terminale qui effectue une opération sur chaque élément du flux. Son intention de conception est
Horodatage à ce jour en Java
Aug 30, 2024 pm 04:28 PM
Guide de TimeStamp to Date en Java. Ici, nous discutons également de l'introduction et de la façon de convertir l'horodatage en date en Java avec des exemples.
Programme Java pour trouver le volume de la capsule
Feb 07, 2025 am 11:37 AM
Les capsules sont des figures géométriques tridimensionnelles, composées d'un cylindre et d'un hémisphère aux deux extrémités. Le volume de la capsule peut être calculé en ajoutant le volume du cylindre et le volume de l'hémisphère aux deux extrémités. Ce tutoriel discutera de la façon de calculer le volume d'une capsule donnée en Java en utilisant différentes méthodes. Formule de volume de capsule La formule du volume de la capsule est la suivante: Volume de capsule = volume cylindrique volume de deux hémisphères volume dans, R: Le rayon de l'hémisphère. H: La hauteur du cylindre (à l'exclusion de l'hémisphère). Exemple 1 entrer Rayon = 5 unités Hauteur = 10 unités Sortir Volume = 1570,8 unités cubes expliquer Calculer le volume à l'aide de la formule: Volume = π × r2 × h (4
Créer l'avenir : programmation Java pour les débutants absolus
Oct 13, 2024 pm 01:32 PM
Java est un langage de programmation populaire qui peut être appris aussi bien par les développeurs débutants que par les développeurs expérimentés. Ce didacticiel commence par les concepts de base et progresse vers des sujets avancés. Après avoir installé le kit de développement Java, vous pouvez vous entraîner à la programmation en créant un simple programme « Hello, World ! ». Une fois que vous avez compris le code, utilisez l'invite de commande pour compiler et exécuter le programme, et « Hello, World ! » s'affichera sur la console. L'apprentissage de Java commence votre parcours de programmation et, à mesure que votre maîtrise s'approfondit, vous pouvez créer des applications plus complexes.
