spring shiro权限注解方式验证;

最新推荐文章于 2024-07-04 13:16:43 发布
最新推荐文章于 2024-07-04 13:16:43 发布
阅读量3.6w 收藏 14
点赞数 3
分类专栏: spring shiro maven 文章标签: 自定义注解 注解权限 shiro权限 spring拦截权限验证 spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/huzheaccp/article/details/24807327
版权
spring 同时被 3 个专栏收录
5 篇文章 0 订阅
订阅专栏
shiro
2 篇文章 0 订阅
订阅专栏
maven
1 篇文章 0 订阅
订阅专栏

第一种使用shiro的注解方式:

 <bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator" depends-on="lifecycleBeanPostProcessor">
     		<property name="proxyTargetClass" value="true" /> 
    </bean>
<bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
	    <property name="securityManager" ref="securityManager"/>
	</bean>

配置上,在方法头上加上注解就可以了,网上资料很多,就不详说了


使用自定义注解

先上自定义注解:

package com.isoftstone.common.permission;

import java.lang.annotation.ElementType;
import java.lang.annotation.Retention;
import java.lang.annotation.RetentionPolicy;
import java.lang.annotation.Target;

@Retention(RetentionPolicy.RUNTIME) 
@Target({ElementType.METHOD})//适用的地方 有 方法上  类上等
public @interface CheckPermission {
   String [] permission();//可以传多个权限标示
}

注解使用: 


	/**
	 * 保存
	 * @param   基本用户信息
	 * @param   角色id
	 * @return
	 * @author {huzhe}
	 */
	@RequestMapping(value = "/saveUser")
	@CheckPermission(permission={BusinessPermissionLabel.permission_addChildAccount})
	public OperationPrompt saveUser(UserBasicInfo userbaseInfo,String addRoleIds) {

多个权限标示使用逗号隔开;


第二种:使用spring aop   方法验证   基于上边的自定义   

使用shiro验证是否标示是否有权限  

currentUser.isPermitted(per)

package com.isoftstone.common.permission;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authz.AuthorizationException;
import org.apache.shiro.subject.Subject;
import org.aspectj.lang.ProceedingJoinPoint;
import org.aspectj.lang.annotation.Around;
import org.aspectj.lang.annotation.Aspect;
import org.springframework.stereotype.Component;

@Aspect
@Component
//次方法根据spring aop贴入方法 进行权限验证
public class PermissionInterceptor {

	    @Around("execution(* com.isoftstone.dcf.portal..*(..)) && @annotation(checkPermission)")  
	    public Object doInterceptor(ProceedingJoinPoint pjp,CheckPermission checkPermission) throws Throwable{
	    	long time = new java.util.Date().getTime();
	    	boolean isPermissioin = false;
	    	Subject currentUser = SecurityUtils.getSubject();  
	    	 //没有获得注解  及不需要权限-- 则直接运行
	    	if(null!=checkPermission){
	    		String [] permission = checkPermission.permission();
	    		for(String per:permission){
	    			//当前登录人 具有权限
	    			if(currentUser.isPermitted(per)){
	    				isPermissioin = true;
	    				break;
	    			}
	    		}
	    	}else{
	    		isPermissioin = true;
	    	}
	    	
	    	System.out.println("(AOP)拦截到了:"+pjp.getSignature().getName()+"方法所用时间:"+time+"到"+new java.util.Date().getTime());
	        if(isPermissioin){
	        	//有执行方法或权限不拦截
	            return pjp.proceed();
	        }else{
	        	//抛出无权限异常
	        	throw new AuthorizationException();
	        }
	          
	    }  
}

需要在spring配置文件中开始aop注解: 


 <!-- 打开aop使用aop进行权限验证 -->
    <aop:aspectj-autoproxy />



方式3:使用spring mvc拦截所有url验证:

    <!-- 使用spring mvc拦截器进行权限验证 -->
    <mvc:interceptors>
            <bean class="com.isoftstone.common.permission.PermissionInterceptorAdapter" />
    </mvc:interceptors>


这个方法实现大致一样:

package com.isoftstone.common.permission;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authz.AuthorizationException;
import org.apache.shiro.subject.Subject;
import org.springframework.web.method.HandlerMethod;
import org.springframework.web.servlet.handler.HandlerInterceptorAdapter;
//次方法根据spring mvc拦截器进行权限验证
public class PermissionInterceptorAdapter extends HandlerInterceptorAdapter  {

	@Override
	public boolean preHandle(HttpServletRequest request,
			HttpServletResponse response, Object handler) throws Exception {
		HandlerMethod handler2=(HandlerMethod) handler;
		CheckPermission checkPermission = handler2.getMethodAnnotation(CheckPermission.class);
		long time = new java.util.Date().getTime();
    	boolean isPermissioin = false;
    	Subject currentUser = SecurityUtils.getSubject();  
    	 //没有获得注解  及不需要权限-- 则直接运行
    	if(null!=checkPermission){
    		String [] permission = checkPermission.permission();
    		for(String per:permission){
    			//当前登录人 具有权限
    			if(currentUser.isPermitted(per)){
    				isPermissioin = true;
    				break;
    			}
    		}
    	}else{
    		isPermissioin = true;
    	}
    	
    	System.out.println("拦截到了mvc方法:"+handler2.getMethod()+"方法所用时间:"+time+"到"+new java.util.Date().getTime());
        if(isPermissioin){
        	//有执行方法或权限不拦截
            return true;
        }else{
        	//跑出无权限异常
        	throw new AuthorizationException();
        }
	}

}








 除了spring和shiro使用的包:

		<dependency>
		  <groupId>org.aspectj</groupId>
		  <artifactId>aspectjrt</artifactId>
		  <version>1.8.0</version>
		</dependency>
		<dependency>
		  <groupId>org.aspectj</groupId>
		  <artifactId>aspectjweaver</artifactId>
		  <version>1.8.0</version>
		</dependency>


spring自定义异常拦截:

package com.isoftstone.common.exception;

import java.io.IOException;
import java.sql.SQLException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.apache.shiro.authz.AuthorizationException;
import org.apache.shiro.authz.UnauthorizedException;
import org.springframework.stereotype.Component;
import org.springframework.web.servlet.HandlerExceptionResolver;
import org.springframework.web.servlet.ModelAndView;

import com.isoftstone.common.bo.PermissioinPage;

/**
 * 自定义权限异常处理
 * @author Administrator
 *
 */
@Component
public class MyHandlerExceptionResolver implements HandlerExceptionResolver  {

	@Override
	public ModelAndView resolveException(HttpServletRequest request,
			HttpServletResponse response, Object object, Exception exception) {
		//是否为ajax请求
	    String requestType = request.getHeader("X-Requested-With");
	     if(exception instanceof AuthorizationException){
			response.setStatus(413);//无权限异常  主要用于ajax请求返回
			response.addHeader("Error-Json", "{code:413,msg:'nopermission',script:''}");
			response.setContentType("text/html;charset=utf-8");
			if("XMLHttpRequest".equals(requestType)){
				return new ModelAndView();
			}
			return new ModelAndView("redirect:/html/413.html");
		}
		return null;
	}



马上下班了,写的比较着急,有问题的话,大家留言,互相讨论!

shan桔梗
关注
专栏目录
权限验证框架之Shiro
小明同学的博客
08-21 779
总结起来,Realm、AuthenticationFilter和AuthorizationFilter需要进行定义或配置,并由SecurityManager进行管理,以确保Shiro能够正确地进行身份验证和授权操作。将数据转换为不可读的形式,以保护数据的安全性。会话是指用户在与应用程序交互期间的一段时间。是整个Shiro安全体系的核心。因为它没有依赖于特定的框架。配置相应的加密算法和密钥。代表当前执行操作的用户。是所有安全操作的入口点。基于Cookie的会话。用于管理用户的会话信息。基于URL重写的会话。
shiro权限注解和会话管理
qq_41644069的博客
10-28 744
1.shiro权限注解 注解可以放在controller对应的方法上,也可以放在service层对应的方法上。 @RequiresAuthentication:表示当前Subject已经通过login进行了身份验证;即Subject.isAuthenticated()返回true。 @RequiresUser:表示当前Subject已经身份验证或者通过记住我登录的。 @RequiresGuest:表示当前Subject没有身份验证或通过记住我登录过,即是游客身份。 @RequiresRoles(v
shiro验证注解
qq_34321710的博客
06-28 464
@RequiresAuthentication 验证用户是否登录,等同于方法subject.isAuthenticated() 结果为true时。 @RequiresUser 验证用户是否被记忆,user有两种含义: 一种是成功登录的(subject.isAuthenticated() 结果为true); 另外一种是被记忆的(subject.isRemembered()结果为true)。 @RequiresGuest 验证是否是一个guest的请求,与@RequiresUser完全相反。 换言之,Requi
org.apache.shiro.authz.UnauthorizedException: Subject does not have permission [inst_system_setting_
最新发布
luckywuxn的博客
07-04 324
通过断点跟踪发现realm里的权限存的是权限的id,而注解上写的是权限的编码。今日在进行项目迁移代码的时候,第一次使用shiro做鉴权,遇到的如下的错误,
Shiro 权限注解
苏凯的博客
09-14 2664
Shiro 权限注解 Shiro 提供了相应的注解用于权限控制,如果使用这些注解就需要使用 AOP 的功能来进行判断,如 Spring AOP;Shiro 提供了 Spring AOP 集成用于权限注解的解析和验证。 为了测试,此处使用了 Spring MVC 来测试 Shiro 注解,当然 Shiro 注解不仅仅可以在 web 环境使用,在独立的 JavaSE 中也是可以用的,此处只是以 w...
Spring项目使用Shiro权限验证
在下GuiChun
06-18 211
项目使用: IDEA开发工具 MySQL数据库 Spring框架 Shiro框架 操作步骤: 配置xml <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager"> <property name="realm" ref="Shiro...
Shiro权限管理】17.Shiro权限注解
程序猿之洞
12-10 9544
注:该系列所有测试均在之前创建的Shiro3的Web工程的基础上。 前面我们讲解了Shiro的标签属性,下面我们来讲解Shiro的有关权限注解属性。 Shiro注解是使用在相应的Java类的方法上,当用户不满足注解的要求时,是无法执行 方法内部逻辑的。这相当于在代码层做了权限校验。 Shiro注解可以放置在Controller层对应的方法上,也可以放置在Service层对应的方法
SpringBoot 、Shiro自定义注解权限控制源码下载
04-06
4. **Shiro权限控制**:掌握如何使用Shiro注解进行权限判断,如@RequiresPermissions、@RequiresRoles等。 5. **MyBatis Plus的使用**:学习如何创建实体类、Mapper接口,以及如何编写Mapper XML文件来实现数据...
Shiro集成Spring注解示例详解
08-27
在本文中,我们将深入探讨如何将ShiroSpring集成,并利用注解进行权限控制。 首先,要启用Shiro注解支持,我们需要在Spring的web配置文件`spring-web.xml`中添加以下内容: ```xml <bean class="org.apache....
Spring配置shiro时自定义Realm中属性无法使用注解注入的解决办法
08-26
Spring集成Shiro进行安全控制时,我们常常需要自定义Realm来实现权限验证与授权功能。然而,在实际操作中,可能会遇到一个问题:当我们在自定义的Realm类中使用注解(@Autowired)尝试注入Spring管理的Bean时,这些...
Shiro授权&&Shiro注解式开发
qq_63492318的博客
08-28 917
Shiro授权的代码实现、注解式开发实现Shiro授权...
spingmvc集成shiro实现权限注解
08-31
spingmvc集成shiro实现权限注解,通过注解方式实现权限管理
shiro 权限认证以及授权demo
09-10
shiro 权限认证以及授权demo
shiro 实现自己定义权限规则校验
weixin_33711647的博客
07-26 119
&lt;span style="font-family: Arial, Helvetica, sans-serif;"&gt;在系统中使用shiro进行权限管理,当用户訪问没有权限的资源时会跳转到指定的登录url。&lt;/span&gt; 可是假设系统中支持手机app。手机訪问时没有使用session进行登录凭证管理。而是使用token,有两种解决方法: 1:支持手机client訪问...
Shiro-权限注解
weixin_34301307的博客
01-08 81
2019独角兽企业重金招聘Python工程师标准>>> ...
Shiro权限注解
qq_41184777的博客
03-09 311
Shiro权限注解(可以用在Controller层对应的方法上/Service层对应的方法上) 1》@RequiresAuthentication:表示当前Subject已经通过login进行了身份验证;即Subject.isAuthenticated()返回true。 2》@RequiresUser:表示当前Subject已经身份验证或者通过记住我登录的。 3》@RequiresGuest:表...
Shiro权限注解
张育嘉的博客
09-05 402
Shiro 提供了相应的注解用于权限控制,如果使用这些注解就需要使用AOP 的功能来进行判断,如Spring AOP;Shiro 提供了Spring AOP 集成用于权限注解的解析和验证。 @RequiresAuthentication 表示当前Subject已经通过login 进行了身份验证;即Subject. isAuthenticated()返回true。 @RequiresUs...
shiro权限注解
magicproblem的博客
02-03 2346
一、注解解释 @RequiresAuthentication 表示subject已经通过登录验证,才可使用 @RequiresUser 表示subject已经身份验证或者通过记住我登录,才可使用 @RequiresGuest 表示subject没有身份验证或通过记住我登录过,即是游客身份,才可使用 @RequiresRoles(value={“admin”, “user”}, logical=Logical.AND) 表示subject需要xx(value)角色,才可使用 @RequiresPermissi
Shiro全攻略:身份验证、授权与Spring集成详解
12. **Spring集成**:针对Java SE和Web应用分别介绍了Shiro如何与Spring框架无缝集成,包括权限注解的使用。 通过这份教程,读者将能够系统地学习Shiro,并在实际项目中灵活运用它的权限管理和安全性功能。无论是...
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值