Shiro基础知识

最新推荐文章于 2022-06-01 22:39:24 发布
最新推荐文章于 2022-06-01 22:39:24 发布
阅读量480 收藏 1
点赞数
分类专栏: javaweb 文章标签: shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/newcih/article/details/75579738
版权

授权流程

  • 首先调用Subject.isPermitted*/hasRole*接口,其会委托给SecurityManager,而SecurityManager接着会委托给Authorizer
  • Authorizer是真正的授权者,如果我们调用如isPermitted(“user:view”),其首先会通过PermissionResolver把字符串转换成相应的Permission实例
  • 在进行授权之前,其会调用相应的Realm获取Subject相应的角色/权限用于匹配传入的角色/权限
  • Authorizer会判断Realm的角色/权限是否和传入的匹配,如果有多个Realm,会委托给ModularRealmAuthorizer进行循环判断,如果匹配如isPermitted*/hasRole*会返回true,否则返回false表示授权失败

ModularRealmAuthorizer进行多Relam匹配流程:
+ 首先检查相应的Realm是否实现了Authorizer
+ 如果实现了Authorizer,那么接着调用其相应的isPermitted*/hasRole*接口进行匹配
+ 如果有一个Realm匹配,那么将返回true,否则返回false

如果Realm进行授权的话,应该继承AuthorizingRealm,其流程是:
+ 如果调用hasRole*,则直接获取AuthorizationInfo.getRoles()与传入的角色比较即可
+ 首先如果调用如isPermitted(“user:view”),首先通过PermittedResolver将权限字符串转换成相应的Permission实例,默认使用WildcardPermissionResolver,即转换为通配符的WildcardPermission;
+ 通过AuthorizationInfo.getObjectPermissions()得到Permission实例整合;通过AuthorizationInfo.getStringPermisions()得到字符串集合并通过PermissionResolver解析为Permission实例;然后获取用户的角色,并通过RolePermissionResolver解析角色对应的权限集合(默认没有实现,可以自己提供)
+ 接着调用Permission.implies(Permission p)逐个与传入的权限比较,如果有匹配的则返回true,否则false

与Web集成

过滤器DelegatingFilterProxy的作用是自动到spring容器查找名字为shiroFilter(filter-name)的bean,并把所有Filter的操作委托给它。然后将ShiroFilter配置到Spring容器即可

ini配置

urls配置

格式是:url=拦截器[参数],拦截器[参数]
anon表示匿名访问,即不需要登录即可访问
authc拦截器表示需要身份认证通过后才能访问
roles[admin]拦截器表示需要有admin角色授权才能访问
perms[“user:create”]拦截器表示需要有”user:create”权限才能访问

url模式使用Ant风格模式,Ant路径通配符支持?, *, **,注意通配符匹配不包括目录分隔符/
+ ? 匹配一个字符
+ * 匹配零个或多个字符串
+ ** 匹配路径中的零个或多个路径

JSP标签

  • 导入标签库
<%@taglib prefix="shiro" uri="http://shiro.apache.org/tags" %>
  • guest标签,用户没有身份验证时显示相应信息,即游客访问信息
<shiro:guest>
    Welcome !! <a href="${pageContext.request.contextPath}/login.jsp">登录</a>
</shiro:guest>
  • user标签,用户已经身份验证/记住我登录后显示相应的信息
<shiro:user>
    Welcome [<shiro:principal/>]登录,<a href="${pageContext.request.contextPath}/logout.jsp">退出</a>
</shiro:user>
  • authenticated标签,用户已经身份验证通过,即Subject.login登录成功,不是记住我登录的
<shiro:authenticated>
    用户[<shiro:principal>]已身份认证通过
</shiro:authenticated>
  • notAuenticated标签,用户已经身份验证通过,即没有调用Subject.login登录,包括记住我自动登录的也属于未进身份验证
<shiro:notAuthenticated>
    未身份认证(包括记住我)
</shiro:notAuthenticated>
  • principal标签,显示用户身份信息,默认调用Subject.getPrincipal()获取
<shiro:principal/>

<!-- 显示用户身份,默认调用Subject.getPrincipal()获取,即Primary Principal -->
<shiro:principal type="java.lang.String"/>
<shiro:principal property="username"/>
  • hasRole标签,如果当前Subject有角色将显示body内容
<shiro:hasRole name="admin">
    用户[<shiro:principal/>]拥有角色admin<br/>
</shiro:hasRole>
  • hasAnyRoles标签,如果当前Subject有任意一个角色(或的关系)将显示body体内容
<shiro:hasAnyRoles name="admin, user">
    用户[<shiro:principal/>]拥有角色admin或user <br/>
</shiro:hasAnyRoles>
  • lacksRole标签,如果当前Subject没有角色将显示body体内容
<shiro:lacksRole name="abc">
    用户[<shiro:principal/>]没有角色abc <br/>
</shiro:lacksRole>
  • lacksPermission标签,如果当前Subject没有权限将显示body体内容
<shiro:lacksPermission name="org:create">
    用户[<shiro:principal/>]没有权限org:create <br/>
</shrio:lacksPermission>

Spring注解

  • @RequiresAuthentication
    表示当前Subject已经通过login进行了身份认证,即Subject.isAuthenticated()返回true

  • @RequiresUser
    表示当前Subject已经身份验证或者通过记住我登录的

  • @RequiresGuest
    表示当前Subject没有身份验证或通过记住我登录过,即是游客身份

  • @RequiresRoles(value={“admin”, “user”}, logical=Logical.AND)
    表示当前Subject需要角色admin和user

  • @RequiresPermissions(value={“user:a”, “user:b”}, logical=Logical.OR)
    表示当前Subject需要权限user:a或user:b

newcih
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
shiro学习笔记
12-20
本资源详细的介绍了有关shiro基础知识,并与spring等相关框架的整合。还有相关的例子供参考。
shiro——授权原理(源码流程)
dgh112233的博客
08-29 928
目录 1. 授权入口 2. 源码追踪 1. 授权入口 subject.isPermitted(url); 这就是入口,如果用户有这个url权限,那么就返回true,如果没有,则返回false。 2. 源码追踪 由于我们的Subject默认是由DelegatingSubject 类实现的,所以调用的是DelegatingSubject类的isPermitted(String url...
Apache Shiro的用户授权isPermitted过程,导致jeesite授权失败
freedom
12-04 4051
在使用jeesite快速开发平台时,出现权限授权失败。 开发项目中有个用户模块,取包名 user 模块。通过自动生成代码后,controller层自动添加了如下权限 @RequiresPermissions("user:bjUser:view") @RequestMapping(value = {"list", ""}) public String list(BjUser ...
Shiro入门学习四
了凡
11-02 304
Shiro入门学习四授权授权流程 授权流程参考官网Authorization Sequence,也可参阅第三章 授权——《跟我学Shiro》流程如下: 首先调用Subject.isPermitted*/hasRole*接口,其会委托给SecurityManager,而SecurityManager接着会委托给Authorizer; Authorizer是真正的授权者,如果我们调用如isPermit
shiro详解-shiro史上最全学习笔记
m0_55613022的博客
04-08 1514
1.shiro简介 1.1.基本功能点 Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在 JavaSE 环境,也可以用在 JavaEE 环境。Shiro 可以帮助我们完成:认证、授权、加密、会话管理、与 Web 集成、缓存等。其基本功能点如下图所示: Authentication:身份认证 / 登录,验证用户是不是拥有相应的身份; Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角色。或者细粒度的验
Shiro源码分析 -- Subject.isPermitted(permission)已登陆用户判断是否具有某权限
TragedyXD的专栏
10-28 1万+
这行代码用来判断已登陆用户是否具有某权限 subject.isPermitted(permission.getPermission());假设登陆用户已有权限:system 我们需要判断的权限:    system:role:add 问题在于,此时shiro会判断用户具有system:role:add权限。 通过单步跟踪找到: WildcardPermission.impli
shiro-jwt-wx:微信小程序登录,使用shiro+JWT(Token)
05-14
Shiro基础知识 JWT以及Token 项目的流程 调用 wx.login() 获取 临时登录凭证code ,并回传到开发者服务器。 访问login接口,并将code给后台 被JwtShirioFilter拦截(在shiro配置中配置的),查看有没有token在Header...
SpringBoot.Shiro.Mybatis快速整合教程
06-19
课程掌握后可以使用Shiro搭建权限项目,掌握Shiro的核心知识,包括认证、授权、会话管理、加密等 课程简介 SpringBoot越来越火了,SpringBoot集成其他技术目前是比较热门的课题,根据收到的网友反馈希望能有相关课程...
使用Apache Shiro保护你的WEB应用
04-04
Apache Shiro是一个Apache项目,旨在简化身份验证和授权。与JAAS和Spring Security比较,Apache Shiro在保持强大功能的同时,还在简单性...本文介绍了Apache Shiro基础知识和核心架构,同时给出了一个典型使用示例。
spring spring mvc shiro maven学生宿舍管理系统.zip
最新发布
04-03
JavaWeb 基于fslayui mybatis spring spring mvc ...总的来说,毕业设计是高等教育中的一项重要环节,通过此过程,学生不仅能够巩固所学知识,还能培养独立思考和解决问题的能力,为将来的职业发展奠定坚实的基础。
shiro之授权(三)授权流程(*)
weixin_42408447的博客
11-17 194
流程如下: 1.首先调用Subject.isPermitted*/hasRole*接口,其会委托给SecurityManager,而SecurityManager接着会委托给Authorizer; 2.Authorizer是真正的授权者,如果我们调用如isPermitted(“user:view”),其首先会通过PermissionResolver把字符串转换成相应的Permission实例; 3.在进行授权之前,其会调用相应的Realm获取Subject相应的角色/权限用于匹配传入的角色/权限; 4.A.
权限解决方案:Shiro自定义Permission、AOP + Shiro
qq_45716444的博客
06-01 2579
权限解决方案 Shiro自定义Permission Shiro授权扩展 Shiro AuthorizerRealm重写isPermitted AOP + Shiro AOP 加 Shiro
shiro框架了解
ABestRookie的博客
06-28 437
shiro框架
Shiro---授权源码分析
Apple_Andy的博客
09-14 348
一.步骤总结 1.首先调用Subject.isPermitted/hasRole接口,其会委托给SecurityManager,而SecurityManage接着委托给Authorizer 2.Authorizer是真正的授权者,如果我们调用如.isPermitted(“user:view”),其首先会通过PermissionResolver把字符串换成相应的permission实例 3.在进行授权之前,其会调用相应的realm获取Subject相应的角色/权限用于匹配传入的角色/权限 4.Authoriz
Shiro系列十:授权源码解析
苍穹尘的博客
06-07 1137
一、授权流程   1、首先调用 Subject.isPermitted或hasRole 接口,其会委托给 SecurityManager,而 SecurityManager 接着会委托给 Authorizer;   2、Authorizer是真正的授权者,如果调用如 isPermitted(“user:view”),其首先会通过 PermissionResolver 把字符串转换成相应的 Per...
Shiro之授权流程篇
qq_43654581的博客
10-29 355
了解Shiro的授权流程,并debug演示
Shiro权限判断异常之命名导致的subject.isPermitted 异常
weixin_33757911的博客
05-05 2051
2019独角兽企业重金招聘Python工程师标准>>> ...
SSM + Shiro 整合 (5)- 自定义过滤器及权限解析器、介绍权限匹配流程
热门推荐
李威威的博客
09-25 1万+
关于 Shiro 的权限匹配器和过滤器上一节,我们实现了自定义的 Realm,方式是继承 AuthorizingRealm 这个抽象类,分别实现认证的方法和授权的方法。这一节实现的代码的执行顺序 1、过滤器,在过滤器中执行 Subject 对象的判断是否具有某项权限的方法 isPermitted() 传入某一个跟当前登录对象相关的特征值(这里是登录对象正在访问的 url 连接) 2、程序到自定义
shiroconfig
08-10
- *3* [Shiro基础知识](https://blog.csdn.net/m0_46979453/article/details/121029363)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

newcih

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值