【Shiro原理一】shiro:hasPermission 隐藏页面无权访问的资源

最新推荐文章于 2022-08-24 02:15:09 发布
最新推荐文章于 2022-08-24 02:15:09 发布
阅读量5.6k 收藏 2
点赞数 2
分类专栏: shiro 原理 文章标签: shiro原理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Jul_11th/article/details/82347546
版权

shiro:hasPermission 隐藏页面无权访问的资源,因为层层调用方法,下面可能有点儿乱,注意上下结合看方法名。

jsp:
organ_list.jsp

<shiro:hasPermission name="jigouxinxi-xinzeng">
    <button class="layui-btn layui-btn-primary" onclick="addOrgan()">
        <i class="fa fa-plus fa-fw" aria-hidden="true"></i>新增</button>
</shiro:hasPermission>

jsp引擎将其转成Java文件,jvm编译成.class文件
java
organ_001alist_jsp.java

补充:jsp解析
jsp的文件名中有下划线,将下划线替换为下划线加上一个三位数的数字和一个字母比如:_001a,将.jsp替换成_jsp,后面加上后缀名.java。
将替换后的文件名作为类名,继承org.apache.jasper.runtime.HttpJspBase,实现org.apache.jasper.runtime.JspSourceDependent
重写HttpJspBase类中的
void _jspInit()
void _jspService(HttpServletRequest paramHttpServletRequest, HttpServletResponse paramHttpServletResponse)
void _jspDestroy()
Map<java.lang.String,java.lang.Long> getDependants()

引用的标签函数将被解析成Java方法,在_jspService方法里调用。

// 1. 声明
private org.apache.jasper.runtime.TagHandlerPool _005fjspx_005ftagPool_005fshiro_005fhasPermission_0026_005fname;  

public void _jspInit() {
    // 2. 实例化
    _005fjspx_005ftagPool_005fshiro_005fhasPermission_0026_005fname = org.apache.jasper.runtime.TagHandlerPool.getTagHandlerPool(getServletConfig());
}  

public void _jspService(final javax.servlet.http.HttpServletRequest request, final javax.servlet.http.HttpServletResponse response)
        throws java.io.IOException, javax.servlet.ServletException {

    final javax.servlet.jsp.PageContext pageContext;
    javax.servlet.http.HttpSession session = null;
    final javax.servlet.ServletContext application;
    final javax.servlet.ServletConfig config;
    javax.servlet.jsp.JspWriter out = null;
    final java.lang.Object page = this;
    javax.servlet.jsp.JspWriter _jspx_out = null;
    javax.servlet.jsp.PageContext _jspx_page_context = null;


    try {
      response.setContentType("text/html; charset=UTF-8");
      pageContext = _jspxFactory.getPageContext(this, request, response,
                null, true, 8192, true);
      _jspx_page_context = pageContext;
      out = pageContext.getOut();
      _jspx_out = out;
      /* 省略 */
      out.write("...");
       // 3. 调用解析后的标签方法
       if (_jspx_meth_shiro_001ahasPermission_001a0(_jspx_page_context))
        return;
      /* 省略 */
      out.write("...");
    } catch (java.lang.Throwable t) {
      if (!(t instanceof javax.servlet.jsp.SkipPageException)){
        out = _jspx_out;
        if (out != null && out.getBufferSize() != 0)
          try { out.clearBuffer(); } catch (java.io.IOException e) {}
        if (_jspx_page_context != null) _jspx_page_context.handlePageException(t);
        else throw new ServletException(t);
      }
   } finally {
      _jspxFactory.releasePageContext(_jspx_page_context);
   }
 }

private boolean _jspx_meth_shiro_001ahasPermission_001a0(javax.servlet.jsp.PageContext _jspx_page_context)
          throws java.lang.Throwable {
    javax.servlet.jsp.PageContext pageContext = _jspx_page_context;
    javax.servlet.jsp.JspWriter out = _jspx_page_context.getOut();
    //  4. shiro:hasPermission(强转)
    org.apache.shiro.web.tags.HasPermissionTag _jspx_th_shiro_001ahasPermission_001a0 = (org.apache.shiro.web.tags.HasPermissionTag) _001ajspx_001atagPool_001ashiro_001ahasPermission_0026_001aname.get(org.apache.shiro.web.tags.HasPermissionTag.class);
    _jspx_th_shiro_001ahasPermission_001a0.setPageContext(_jspx_page_context);
    _jspx_th_shiro_001ahasPermission_001a0.setParent(null);
    // /WEB-INF/view/blc_organ_list.jsp(28,12) name = name type = null reqTime = true required = true fragment = false deferredValue = false expectedTypeName = null deferredMethod = false methodSignature = null
    // 5. 赋值shiro 权限标识"jigouxinxi-xinzeng"
    _jspx_th_shiro_001ahasPermission_001a0.setName("jigouxinxi-xinzeng");
    // 6. 调用doStartTag() 下面详细说做了什么。
    int _jspx_eval_shiro_001ahasPermission_001a0 = _jspx_th_shiro_001ahasPermission_001a0.doStartTag();
    if (_jspx_eval_shiro_001ahasPermission_001a0 != javax.servlet.jsp.tagext.Tag.SKIP_BODY) {
      do {
        out.write("\n");
        out.write("\t\t\t\t            <button class=\"layui-btn layui-btn-primary\" onclick=\"addOrgan()\">\n");
        out.write("\t\t\t\t                <i class=\"fa fa-plus fa-fw\" aria-hidden=\"true\"></i>新增</button>\n");
        out.write("\t\t\t\t        ");
        int evalDoAfterBody = _jspx_th_shiro_001ahasPermission_001a0.doAfterBody();
        if (evalDoAfterBody != javax.servlet.jsp.tagext.BodyTag.EVAL_BODY_AGAIN)
          break;
      } while (true);
    }
    if (_jspx_th_shiro_001ahasPermission_001a0.doEndTag() == javax.servlet.jsp.tagext.Tag.SKIP_PAGE) {
      _001ajspx_001atagPool_001ashiro_001ahasPermission_0026_001aname.reuse(_jspx_th_shiro_001ahasPermission_001a0);
      return true;
    }
    _001ajspx_001atagPool_001ashiro_001ahasPermission_0026_001aname.reuse(_jspx_th_shiro_001ahasPermission_001a0);
    return false;
  }

核心:
doStartTag()

public int doStartTag() throws JspException {
    // 判断shiro 权限标识"jigouxinxi-xinzeng"是否为null
    verifyAttributes();
    return onDoStartTag();
}

PermissionTag.java

    private String name = null;

    public PermissionTag() {
    }

    public String getName() {
        return name;
    }

    public void setName(String name) {
        this.name = name;
    }
   protected void verifyAttributes() throws JspException {
        String permission = getName();

        if (permission == null || permission.length() == 0) {
            String msg = "The 'name' tag attribute must be set.";
            throw new JspException(msg);
        }
    }

    public int onDoStartTag() throws JspException {

        String p = getName();

        boolean show = showTagBody(p);
        if (show) {
            return TagSupport.EVAL_BODY_INCLUDE;
        } else {
            return TagSupport.SKIP_BODY;
        }
    }

复杂的调用过程:从上面【boolean show = showTagBody(p);】开始

org.apache.shiro.web.tags.HasPermissionTag extends PermissionTag
boolean showTagBody(String p){
    return isPermitted(p);
}

org.apache.shiro.web.tags.PermissionTag extends SecureTag
boolean isPermitted(String p){
    // 调用父类SecureTag里的 Subject getSubject(){ return SecurityUtils.getSubject(); }
    return getSubject() != null && getSubject().isPermitted(p);
}

org.apache.shiro.subject.support.DelegatingSubject implements Subject
boolean isPermitted(String permission){
    // 调用 boolean hasPrincipals()
    // securityManager.isPermitted接收了用户可访问的权限标识集合,和页面上的标签的权限标识
    // 他们是如何比较的呢?在最后详细展示。
    return hasPrincipals() && securityManager.isPermitted(getPrincipals(), permission);
}
protected boolean hasPrincipals() {
    return !CollectionUtils.isEmpty(getPrincipals());
}
public PrincipalCollection getPrincipals() {
    List<PrincipalCollection> runAsPrincipals = getRunAsPrincipalsStack();
    // 你可能会问为什么runAsPrincipals.get(0)?权限标识不是多个吗?
    // 看看shiro是怎么存的,就知道他为什么这么取。在下一个代码块说明。
    return CollectionUtils.isEmpty(runAsPrincipals) ? this.principals : runAsPrincipals.get(0);
}
private List<PrincipalCollection> getRunAsPrincipalsStack() {
    org.apache.shiro.session.Session session = getSession(false);
    if (session != null) {
        // 从session中取出shiro权限标识
        return (List<PrincipalCollection>) session.getAttribute(RUN_AS_PRINCIPALS_SESSION_KEY);
    }
        return null;
    }

shiro是这么存权限标识的:
还记得你自定义的Realm类吗?登录时,你根据登录用户查询了他可访问的权限标识list or set

    /**
     * 授权
     */
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {

        logger.info("开始授权");

        // 1. 获取当前用户对象用户名
        AuthUser authUser = (AuthUser) principals.fromRealm(getName()).iterator().next();
        String username = authUser.getUsername();

        // 2. 查询根据用户名查询 permission
        List<String> permissionList = authUserSrv.queryPermissionListByUsername(username);

        // 3. 权限串集合在shiro内部进行比较
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        // 看这里你把值给了这个对象,那么他又做了什么呢?看下面的代码块。
        info.addStringPermissions(permissionList); 
        return info; 
    }

经过层层调用调用了下面的方法:(SimpleAuthorizationInfo 对象把权限标识集合给了PrincipalCollection 对象)

private void pushIdentity(PrincipalCollection principals) throws NullPointerException {
        if (CollectionUtils.isEmpty(principals)) {
            String msg = "Specified Subject principals cannot be null or empty for 'run as' functionality.";
            throw new NullPointerException(msg);
        }
        List<PrincipalCollection> stack = getRunAsPrincipalsStack();
        if (stack == null) {
            stack = new CopyOnWriteArrayList<PrincipalCollection>();
        }
        // 看这里
        stack.add(0, principals);
        Session session = getSession();
        session.setAttribute(RUN_AS_PRINCIPALS_SESSION_KEY, stack);
    }

private List<PrincipalCollection> getRunAsPrincipalsStack() {
        Session session = getSession(false);
        if (session != null) {
            return (List<PrincipalCollection>) session.getAttribute(RUN_AS_PRINCIPALS_SESSION_KEY);
        }
        return null;
    }

比较 securityManager.isPermitted(PrincipalCollection principals, Permission permission)

org.apache.shiro.realm.AuthorizingRealm
    public boolean isPermitted(PrincipalCollection principals, Permission permission) {
        AuthorizationInfo info = getAuthorizationInfo(principals);
        return isPermitted(permission, info);
    }

    //changed visibility from private to protected for SHIRO-332
    protected boolean isPermitted(Permission permission, AuthorizationInfo info) {
        Collection<Permission> perms = getPermissions(info);
        if (perms != null && !perms.isEmpty()) {
            for (Permission perm : perms) {
                if (perm.implies(permission)) {
                    return true;
                }
            }
        }
        return false;
    }
org.apache.shiro.authz.permission.WildcardPermission implements Permission  
// 更多详情请看从源码中找这个类。
public boolean implies(Permission p) {
        // By default only supports comparisons with other WildcardPermissions
        if (!(p instanceof WildcardPermission)) {
            return false;
        }

        WildcardPermission wp = (WildcardPermission) p;

        List<Set<String>> otherParts = wp.getParts();

        int i = 0;
        for (Set<String> otherPart : otherParts) {
            // If this permission has less parts than the other permission, everything after the number of parts contained
            // in this permission is automatically implied, so return true
            if (getParts().size() - 1 < i) {
                return true;
            } else {
                Set<String> part = getParts().get(i);
                if (!part.contains(WILDCARD_TOKEN) && !part.containsAll(otherPart)) {
                    return false;
                }
                i++;
            }
        }

扩展:
关于自定义标签的参考文章

朱赤墨黑
关注
专栏目录
Shiro原理
baidu_32872293的博客
06-17 881
功能简介 Authentication:身份认证/登录,验证用户是不是拥有相应的身份; Authorization:授权,及权限验证,验证某个已认证的用户是否是拥有某个权限;即判断用户是否能进行什么操作,如:验证用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具有某个权限; Session Manager:会话管理,即用户登录后就是一次会话,在没有退出之前,他的所有信息都在...
SpringBoot+Mybatis-plus+shiro
xin_xin_jie的博客
04-08 455
首先创建springboot项目,引入相关依赖 一、引入依赖(pox.xml) <dependencies> <dependency> <groupId>com.alibaba</groupId> <artifactId>druid-spring-boot-starter</artifactId> <version>1.1.21&
shiro:hasPermission 标签 :验证当前用户是否拥有指定权限
热门推荐
dxyzhbb的博客
10-11 2万+
1、这些值是存在数据库里的,在哪里找呢?sys_menu 中的permission列。 <shiro:hasPermission name=“cms:article:edit”> 他是怎么入库的呢?非菜单项的权限是怎么加入,怎么取出来使用的? 取出来的sql: SELECT a.id , a.parent_id AS "parent.id" , a.paren...
用thymeleaf给shiro:hasPermission拼接权限字符串
qq_44381427的博客
09-23 1149
问题描述 前几天的一个项目里有几张逻辑表结构相同,就整合一张表来存,通过一个类型字段区分。于是这几张表同样用一个页面来展示数据。页面上的一些操作按钮通过shiro:hasPermission判断权限是否显示,于是就出现了一个问题。不同类型的数据要配置不同的字符串区分。 <div shiro:hasPermission="haveXXXPermission">xx操作</div> 比如一个苹果表,一个香蕉表。我想让苹果表显示xx操作,香蕉表不显示xx操作。就需要给haveXXXPer
@shiro.hasPermission 使用
ywb201314的专栏
10-26 3433
页面上加上@shiro.hasPermission 如下用.ftl为例子: 当加上shiro标签后,会与后台代码结合使用: 需要继承AuthorizingRealm 下的protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection)进行业务的处理。 关系点:@shiro.hasPermission name=的值要与authorizatio...
shiro:hasPermission name=“...“>咋用啊
m0_59834108的博客
07-27 4073
如有错误欢迎指正 shiro:haspermission这个标签,对应的是官网给出的一个类,可以判断是否有操作权限,name属性呢,可以理解为名为sys:menu:add的一个操作,传入标签以后,标签来判断一下这个sys:menu:add操作有没有权限运行 如有错误欢迎指正 ...
Shiroshiro:hasPermission >标签不生效,shiro权限不生效原因
cristianoxm的博客
12-01 3007
第一个可能配置文件:shiroConfig.java没加这个 /** * 开启Shiro的注解(如@RequiresRoles,@RequiresPermissions),需借助SpringAOP扫描使用Shiro注解的类,并在必要时进行安全逻辑验证 * 配置以下两个bean(DefaultAdvisorAutoProxyCreator和AuthorizationAttributeSourceAdvisor)即可实现此功能 * @return */ @Bean @ConditionalO
Shiro 作为应用的权限基础 三:基于注解实现的授权认证过程.docx
02-22
授权,即访问控制,是 Shiro 的核心功能之一,用于决定用户是否能够访问特定的资源。在 Shiro 中,用户权限通常由三个主要实体组成:LoginAccount(用户信息)、Role(角色)和 Permission(权限)。LoginAccount ...
shiro登录拦截校验demo
07-19
- 如果用户无权访问Shiro会重定向到错误页面或返回相应的HTTP状态码。 6. **会话管理**: - Shiro可以方便地管理会话,包括创建、读取、更新和删除会话。 - 自动会话超时和跨域会话支持也是Shiro的特性。 7. ...
Shiro框架-史上详解
qq_46416934的博客
08-02 588
权限管理概述某个拥有什么,被允许做什么事情()用户登录—>分配角色---->(权限关联映射)---->鉴权(拥有什么什么权限)
Shiro权限管理
ycfxhsw的博客
04-25 731
Apache Shiro是Java的一个安全框架。目前,使用Apache Shiro的人越来越多,相比Spring Security而言相当简单, 可能没有Spring Security做的功能强大,但是在实际工作时可能并不需要那么复杂的东西, 所以使用小而简单的Shiro就足够了。对于它俩到底哪个好,这个不必纠结,能更简单的解决项目问题就好了。 本文只介绍基本的Shiro使用,不会过多分析源码等,重在使用。 Shiro架构 Shiro可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以
ShiroshirohasPermission 标签不生效,shiro权限不生效原因
m0_54850467的博客
08-24 811
第一层级权限为:【b2b:contract】,第二层级为:【b2b:contract:view】,第三层级为:【b2b:contract:add】,这个使用坑就出现了。当你使用【b2b:contract】权限时,意味着后面包含b2b:contract的都有权限了,只修改了 就好了。供应商合同 b2b:contract:view。添加 b2b:contract:add。删除 b2b:contract:del。
Shiro haspermission 权限验证问题
gong_xucheng的专栏
10-11 1万+
Shiro haspermission 权限验证问题 &lt;shiro:hasPermission name="info:link:edit"&gt; !!! &lt;/shiro:hasPermission&gt; 呵呵,今天调试这个permission问题,发现 hasPermission的继承效果 如果定义权限组 group1  有权限 info 那么他自动拥有 info**** 的权限 ...
shiro
qq_32295383的博客
04-29 200
Shiro核心api subject: 用户主体(把操作交给SecurityManager) SecurityManager:安全管理器(关联Realm) Realm:shiro连接数据库的桥梁 --------------------------------用户认证 1.Controller //使用shiro编写认证 Subject subject=SecurityUtils.ge...
Shiroshiro:hasPermission 标签不生效,shiro权限不生效原因
ZGIT的博客
07-16 7431
第一个可能配置文件:shiroConfig.java没加这个 /** * 开启Shiro的注解(如@RequiresRoles,@RequiresPermissions),需借助SpringAOP扫描使用Shiro注解的类,并在必要时进行安全逻辑验证 * 配置以下两个bean(DefaultAdvisorAutoProxyCreator和AuthorizationAttributeSourceAdvisor)即可实现此功能 * @return */ @Bean @ConditionalO
【前端 VUE】vue 角色权限使用 hasPermission
悟空—
08-12 6415
main.js设置全局变量 Vue.prototype.$hasPer=hasPermission; 设置权限函数 exportfunctionhasPermission(perm){ letpermissionBtns=store.getters.btnPermissions?JSON.parse(store.getters.btnPermissions):[] letbtnName=permissionBtns.map(res=>{...
java global edit_Java PermissionService.hasPermission方法代碼示例
weixin_31414515的博客
02-16 288
本文整理匯總了Java中org.kuali.rice.kim.api.permission.PermissionService.hasPermission方法的典型用法代碼示例。如果您正苦於以下問題:Java PermissionService.hasPermission方法的具體用法?Java PermissionService.hasPermission怎麽用?Java PermissionS...
spring 权限PermissionEvaluator
Alice_whj的博客
03-18 3053
Spring Security——基于表达式的权限控制 Spring Security允许我们在定义URL访问或方法访问所应有的权限时使用Spring EL表达式,在定义所需的访问权限时如果对应的表达式返回结果为true则表示拥有对应的权限,反之则无。 通过表达式控制方法权限 Spring Security中定义了四个支持使用表达式的注解,分别是@PreAuthorize、@PostAuthor...
shiro:hasPermission
最新发布
08-03
shiro:hasPermission是Apache Shiro框架中的一个标签,用于在JSP页面中进行权限控制。[1]当展示一个JSP页面时,如果遇到shiro:hasPermission标签,Shiro会调用Realm获取数据库中的权限信息,然后判断该权限是否在权限数据中存在。如果权限存在,则授权通过,允许用户访问相应的内容;如果权限不存在,则拒绝用户访问。[2] 关于权限标识的名字,一般情况下不是乱取的。通常,权限标识的名字是根据实际业务需求和系统设计来定义的,用于标识不同的权限操作。在使用shiro:hasPermission标签时,需要确保该权限标识的名字在权限数据中存在,才能执行相应的操作。[3]具体的判断逻辑由Shiro框架内部实现,开发者无需手动判断权限标识的存在与否。 总结来说,shiro:hasPermission标签用于在JSP页面中进行权限控制,通过判断权限标识的名字是否在权限数据中存在来决定是否授权通过。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值