shiro配置多realm,会执行多次授权操作即执行各个realm的doGetAuthorizationInfo方法

最新推荐文章于 2024-05-07 01:30:00 发布
最新推荐文章于 2024-05-07 01:30:00 发布
阅读量1k 收藏
点赞数 1
分类专栏: SpringBoot 文章标签: shiro java spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ITxiaofeixiang/article/details/112008166
版权

shiro配置多realm,会执行多次授权操作即执行各个realm的doGetAuthorizationInfo方法

查看原因

  1. 调用授权
  Subject subject = SecurityUtils.getSubject();
  subject.isPermitted("abc");
  1. 进入isPermitted方法
    会进入Subject接口下的一个实现类DelegatingSubject其中方法:
 public boolean isPermitted(String permission) {
        return hasPrincipals() && securityManager.isPermitted(getPrincipals(), permission);
    }
  1. 进入SecurityManager的isPermitted方法
    说明:Authorizer(授权器/者)下有很多实现类,如下图:
    在这里插入图片描述
  2. 进入ModilarRealmAuthorizer找到如下方法:
    public boolean isPermitted(PrincipalCollection principals, Permission permission) {
        assertRealmsConfigured();
        for (Realm realm : getRealms()) {
            if (!(realm instanceof Authorizer)) continue;
            //只要是Authorizer下的realm都会去认证,也就意味着多个realm都会认证。不知道能不能这样理解。如有错误,麻烦指正。
            if (((Authorizer) realm).isPermitted(principals, permission)) {
                return true;
            }
        }
        return false;
    }

解决方案

使用自定义的RealmAuthorizer

package com.finn.springboot002.common.config.shiro.config;

import com.finn.springboot002.common.config.shiro.realms.JwtRealm;
import org.apache.shiro.authz.Authorizer;
import org.apache.shiro.authz.ModularRealmAuthorizer;
import org.apache.shiro.realm.Realm;
import org.apache.shiro.subject.PrincipalCollection;

/**
 * 自定义授权器。
 * 解决授权使用ShiroRealm的doGetAuthorizationInfo问题
 */
public class CustomerAuthrizer extends ModularRealmAuthorizer {
    @Override
    public boolean isPermitted(PrincipalCollection principals, String permission) {
        assertRealmsConfigured();

        for (Realm realm : getRealms()) {
            if (!(realm instanceof Authorizer)) continue;
			//做一个类型判断
            if (realm instanceof JwtRealm) {
                return ((JwtRealm) realm).isPermitted(principals, permission);
            }
        }
        return false;
    }
}

然后需要在你的shiroConfig配置该bean

    @Bean
    public ModularRealmAuthorizer authorizer(){
        ModularRealmAuthorizer authorizer = new CustomerAuthrizer();
        return authorizer;
    }

继续在shiroConfig配置文件中,securityManager配置

    @Bean(value = "securityManager")
    public DefaultWebSecurityManager securityManager() {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        //1.使用自定义认证器
        securityManager.setAuthenticator(authenticator());
        //2.使用自定义授权器
        securityManager.setAuthorizer(authorizer());
		//更多配置
        return securityManager;
    }

这样会解决isPermitted的授权问题。其他的如:
checkPermission
hasRole
等策略,需要自行配置。

总结

我感觉不靠谱!!!不知道有没有其他解决方案。而且原因找的不是很令人信服。有大佬了解的话。感谢指导!!!

悲雨叹风
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Spring配置shiro时自定义Realm中属性无法使用注解注入的解决办法
08-26
Spring集成Shiro进行安全控制时,我们常常需要自定义Realm来实现权限验证与授权功能。然而,在实际操作中,可能遇到一个问题:当我们在自定义的Realm类中使用注解(@Autowired)尝试注入Spring管理的Bean时,这些...
shiro执行授权方法 doGetAuthorizationInfo()
05-01
总之,解决“Shiro执行授权方法 `doGetAuthorizationInfo()`”的问题,需要从配置、代码逻辑和日志等多个角度进行排查。确保 Shiro 的各个组件能够正确交互,才能确保权限控制的有效性。在实际应用中,遇到此类...
shiro框架多realm权限认证配置
秋雨 De Blog
11-03 605
我们做shiro框架经常遇到这种情况,用户数量很多,又不在同一个表里,比如管理员一个表,用户一个表,商家一个表。这时我们就需要用到多realm配置让他们用不同得realm来进行权限认证
shiro的权限验证方法doGetAuthorizationInfo执行了两次
大海无量的博客
03-02 7261
每次调用接口时,doGetAuthorizationInfo执行了两次。 // 权限配置(注解方式) /** * 下面的代码是添加注解支持 */ // @Bean // @DependsOn("lifecycleBeanPostProcessor") // public DefaultAdvisorAutoProxyCreator ...
Shiro——多个Realm的使用与实现
最新发布
程序员阿皓的博客
05-07 341
Shiro——多个Realm的使用与实现
shiro】问题记录--doGetAuthorizationInfo重复执行以及关闭shiro自带的session
kevin的博客
06-02 509
shiro整合token实现续签的时候,调试发现了一个奇葩的情况,我的doGetAuthorizationInfo重复执行2次。
关于shiro doGetAuthorizationInfo授权方法和doGetAuthenticationInfo登陆认证方法执行时机
weixin_43874015的博客
09-12 1840
1.默认情况下不关闭shiro自带的session 登陆时生成JESSIONID,执行doGetAuthorizationInfo的时机 1、subject.hasRole(“admin”) 或 subject.isPermitted(“admin”):自己去调用这个是否有什么角色或者是否有什么权限的时候; 2、@RequiresRoles(“admin”) :在方法上加注解的时候; 3、[@shiro.hasPermission name = “admin”][/@shiro.hasPermission]
shiro的权限验证方法 doGetAuthorizationInfo 重复执行的解决办法
进阶的球儿
10-10 2747
很简单,注释掉ShiroConfiguration 中的DefaultAdvisorAutoProxyCreator 即可。 /** * 加入下面2个 可以在controller层使用shiro注解 * 注释掉,解决权限验证多次循环的问题 * @return */ // @Bean(name = "advisorAutoProxyCreat...
自定义realm出现doGetAuthorizationInfo多次重复调用
3k油:知道的越多,不知道的越多
10-09 1588
前言:此次排查的过程,主要是利用debug模式下,深入源码打断点才发现问题所在。 一、问题描述: 练习shiro认证授权,发现授权方法中相关的sql语句多次重复执行了。于是,各种排查,为什么多次重复执行相同的sql查询,这岂不是很影响性能。于是有了下面的排查过程。 二、发现问题,截图如下: 三、排查过程 (过程1):肯定是先从shiro配置文件逐个排查过了,没有任何发现,还是解决不了问题。 (过程2):既然是多次sql语句执行,那考虑到是某个方法重复调用了。于是定位到了下边的这个方法。 a)d.
Shiro授权信息刷新 | doGetAuthorizationInfo()不执行
qq_32352777的博客
06-10 3155
1
Shiro基本使用详解以及多Realm使用和配置.rar
08-09
Shiro基本使用详解以及多Realm使用和配置,拿来可以直接使用,也可以在此基础上进行自己业务逻辑的添加和修改,如果希望进一步深入学习,可以查看我的博客,可以查看...或给我留言
shiro-realm案例
03-02
2. `doGetAuthorizationInfo`: 这个方法用于执行授权Shiro在用户登录成功后,调用此方法来获取用户的权限信息。你需要在这里实现从数据源加载用户角色和权限的逻辑。返回一个`AuthorizationInfo`对象,包含用户...
Apache Shiro 使用手册(四) Realm 实现
01-09
正如前文所提到的,Shiro的认证过程最终交由Realm执行,这时调用Realm的getAuthenticationInfo(token)方法。 该方法主要执行以下操作: 1、检查提交的进行认证的令牌信息 2、根据令牌信息从数据源(通常为数据库)...
Shiro的三种授权(十二)
qq_35222843的博客
05-11 510
前提就是在Realm授权方法中查询出权限并返回List<String>形式 @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { // 从 principals获取主身份信息 // 将getPrimaryPrincipal方法返回值转为真实身份类型(在上边的doGetAuthentication...
shiro篇---配置多个realmrealms】
m0_67393157的博客
04-07 605
securityManager的配置 当调用SecurityUtils. getSubject().login( token); 即subject的login 方法;默认调用realm里面的 doGetAuthenticationInfo方法进行身份验证。但上面设置了配置使用自定义认证器 进入这个,再决定进入哪个realm. 验 证成功后进入当前realm的 doGetAuthorizationInfo 方法进行授权 ...
触发shiro中重写realm中doGetAuthorizationInfo 授权方法的几种方式
taiguolaotu的博客
10-20 557
shiro 标签 controller接口上的权限注解 等等 还有就是 清空用户授权信息缓存getAuthorizationCache() 看源码 清空shiro缓存 ,重新走realm中重写的doGetAuthorizationInfo方法从数据看查询数据权限 参考链接 这辈子坚持与不坚持都不可怕,怕的是独自走在坚持的道路上!!! ...
CAS+Shiro 自定义 pac4jRealm 每次判断权限都要重复执行doGetAuthorizationInfo()两次
xiyafei122的博客
03-18 980
代码如下: public class UserRealm extends Pac4jRealm(){ @Override public AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { // TODO Auto-generated method stub System.out.println("Onece"); Set<String> roles=new
SpringShiro每次请求的权限校验,都调用一次doGetAuthorizationInfo的问题
逐知逐行的专栏
11-30 1871
公司项目里用到SpringShiro做为权限校验,采用在doGetAuthorizationInfo方法打了断点,发现每次的请求,都调用一次doGetAuthorizationInfo方法获取当前用户的权限数据。 查看源码AuthorizingRealm的getAuthorizationInfo方法如下: protected AuthorizationInfo getAuthorizationInfo(PrincipalCollection principals) ...
Shiro_授权doGetAuthorizationInfo
qq_37432174的博客
07-16 1297
授权流程 shiro支持三种方式的授权: shiro支持三种方式的授权 代码触发 注解触发 标签触发 代码触发 简单授权实现 Shiro.ini [users] #用户root的密码是zsl,此用户具有role1和role2两个角色 root = zsl,role1,role2 #账号为root 密码是 zsl [roles] #角色role1对资源user拥有create、updat...
shiro多个realm
09-02
Shiro 支持在一个应用程序中同时使用多个 Realm 来进行身份认证和授权。这种情况通常发生在应用程序中存在多个身份验证和授权的方式,或者需要与多个用户存储系统进行交互的情况下。 要配置多个 Realm,你可以在 Shiro配置文件中指定每个 Realm 的详细信息。在配置文件中,你可以使用 `securityManager.realms` 属性来指定多个 Realm 的实现类,并为每个 Realm 配置相应的属性。 以下是一个示例配置文件中配置两个 Realm 的例子: ```ini [main] # ... securityManager.realms = $myRealm1, $myRealm2 myRealm1 = com.example.realm.MyRealm1 myRealm1.someProperty = someValue1 myRealm2 = com.example.realm.MyRealm2 myRealm2.someProperty = someValue2 ``` 在上面的示例中,`securityManager.realms` 属性指定了两个 Realm:`myRealm1` 和 `myRealm2`。对应的类名分别为 `com.example.realm.MyRealm1` 和 `com.example.realm.MyRealm2`。 每个 Realm 都可以配置自己的属性,例如 `someProperty`。你可以根据自己的需求配置每个 Realm 的属性。 配置完成后,Shiro按照配置文件中定义的顺序依次尝试每个 Realm 进行身份验证和授权操作。 希望这个简单的示例能够帮助你理解 Shiro 多个 Realm配置和使用。如有更多疑问,请随时继续提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值