关于shiro的haspermission标签三重权限验证失效

最新推荐文章于 2021-03-14 22:17:54 发布
最新推荐文章于 2021-03-14 22:17:54 发布
阅读量1k 收藏 2
点赞数
文章标签: shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/YouAreMyBunny/article/details/111476170
版权

最近改项目bug,用到了shiro权限,当时测试出一个bug,就是关于shiro权限失效的问题,记录一下Bug
在这里插入图片描述
如图所示,此时名称为aa:bb:cc的权限做判断,如果登录用户拥有此权限,selectDepartment应为true
否则为false,这时候就有一个问题,登录用户没有拥有权限,但是aa:bb:cc的权限判断为true。
在这里插入图片描述
贴上完整的页面权限判断,可以看见有aa:bb:xx和aa:bb:cc两个权限判断

这时候应该知道一个问题,就是shiro的权限判断不是根据字符串的,而是通过集合的包含关系判断的
而且通过debug发现权限的判断走的并不是aa:bb:cc或者aa:bb:xx,而是aa:bb,debug的具体位置在realm类的isPermitted方法,更加证明了权限的判断是根据包含关系来的(忘记说了,项目测试中登录的角色有aa:bb这个权限),总而言之就是坑。
误区来了,公司大佬说的是根据严格的字符串判断的,可能有什么误解吧,因为根据字符串判断的话就不会出现这个问题!

这是遇到一个坑,记录一下,每天一坑!

YouAreMyBunny
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
vue与shiro结合实现权限按钮
12-15
vue+shiro实现前端细颗粒按钮级权限,并且可以实现删除和禁用两种不同模式,里面需要的前置技术包括 :vue\vue的自定义指令\vue的自定义插件\vuex
Shiro(3)——授权
Ascend2015的博客
10-14 880
授权,也就是访问控制,即在应用中控制谁能访问哪些资源,比如页面访问、数据编辑等等操作的权限。在授权操作中需要这样几个关键对象:主体(Subject)、资源(Resources)、权限(Permission)、角色(Role)。主体主体也就是当前的用户,在Shiro中使用Subject代表当前用户。该用户只有被授权之后才能访问相应的资源资源应用中的图片、打印、页面、一些业务方法等等一切可以被访问的东西
shiro权限比对的一些坑
逝水流年染轻尘的博客
04-04 2368
  最近在做shiro权限控制的时候,搭建完了环境给同事使用,同事使用的时候发现了一个bug,让我看看,bug是这样的,       在freemarke中使用shiro标签,<@shiro.hasPermission name="sys:user:1111"></@shiro.hasPermission>发现标签不起作用,而这个权限在数据库是没有配置,查询出来的授权管理的...
SpringBoot shiro添加多角色or关系权限管理
qq727580714的博客
09-27 2623
使用shiro时遇到一个问题,想为多个角色分配同一权限,也就是只要满足其中一个角色,就可以获得该权限,多角色之间是or关系而非and,但是shiro自带的方法同一权限只能分配一个角色。 // 使用如下Shiro自带的方法实现多角色权限分配,无法实现 filterChainDefinitionMap.put("/user/**", "roles[admin]"); filterChainDefini...
Shiro权限
Brooks Lv
11-06 4307
什么是授权 授权就是在认证的基础上给用户进行角色和权限的授予。权限定义了一个用户是否可以执行某个操作。角色是一组权限的集合,我们通常把一组权限绑定到一种角色上,再吧一个或者多个角色赋给一个用户,这样就是实现了权限的控制。 Shiro授权核心概念 权限 : 即操作资源的权利,比如访问某个页面,以及对某个模块的数据的添加,修改,删除,查看的权利 角色 : 是权限的集合,一种角色可以包含多种权限 用户 ...
shiro @RequiresPermissions多权限
afdasfggasdf的博客
08-30 4609
一、RequirePermissions多权限 权限值value用数组代替,再设置logical 多选一:logical = Logical.OR 例如:@RequiresPermissions(value = { "product_create", "product_edit" }, logical = Logical.OR) 必须全部符合:logical = Logical.AND ...
shiro:hasPermission 标签验证当前用户是否拥有指定权限
热门推荐
dxyzhbb的博客
10-11 2万+
1、这些值是存在数据库里的,在哪里找呢?sys_menu 中的permission列。 <shiro:hasPermission name=“cms:article:edit”> 他是怎么入库的呢?非菜单项的权限是怎么加入,怎么取出来使用的? 取出来的sql: SELECT a.id , a.parent_id AS "parent.id" , a.paren...
shiro JSP标签判断多个权限标识 hasAnyPermissions hasPermission
辛晨V的博客
08-23 1万+
&lt;customTag:hasAllRoles name="admin,user"&gt; 拥有admin和user角色 &lt;/customTag:hasAllRoles&gt; &lt;customTag:hasAllPermissions name="user:create,user:update"&gt; 拥有user:create和user:update权限 &l...
Shiro权限管理框架详解
WGH100817的博客
01-25 1547
1 权限管理1.1 什么是权限管理 基本上涉及到用户参与的系统都要进行权限管理,权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。 权限管理包括用户身份认证和授权两部分,简称认证授权。对于需要访问控制的资源用户首先经过身份认证,认证通过后用户具有该资源的访问权限方可访问。 1.2 用户身份认证1.2...
shiro权限分配
weixin_44744094的博客
07-29 640
编写html // 登录后的链接 <a th:href="@{|/admin/test|}">需要有admin角色的功能</a><br> <a th:href="@{|/admin/test01|}">需要有admin角色的功能test01</a><br> <a th:href="@{|/admin/add|}">需要有admin角色的功能add</a><br> <a th:href="@{|/
关于shiro中部分SpringCache失效问题的解决方法
08-27
主要给大家介绍了关于shiro中部分SpringCache失效问题的解决方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
springMVC+shiro实现动态权限验证.zip
07-13
springMVC+shiro实现动态权限验证,实现动态设置用户角色,根据角色来决定哪些url可以访问 抱歉了各位需要修改下配置文件(org.eclipse.wst.common.component) <?xml version="1.0" encoding="UTF-8"?> ...
shiro-freemarker权限控制标签
06-13
shiro freemarker整合 使用权限控制
SpringBoot + shiro Demo 简单登录验证权限验证
02-08
SpringBoot ,Shiro 密码加密,登录验证权限控制demo
Shiroshiro:hasPermission >标签不生效,shiro权限不生效原因
cristianoxm的博客
12-01 2889
第一个可能配置文件:shiroConfig.java没加这个 /** * 开启Shiro的注解(如@RequiresRoles,@RequiresPermissions),需借助SpringAOP扫描使用Shiro注解的类,并在必要时进行安全逻辑验证 * 配置以下两个bean(DefaultAdvisorAutoProxyCreator和AuthorizationAttributeSourceAdvisor)即可实现此功能 * @return */ @Bean @ConditionalO
Shiro 权限验证原理
PinkCoder
02-14 2059
Shiro 权限验证原理
shiro 学习笔记
Fire_Sky_Ho的博客
03-14 336
认证 认证 身份认证,判断传进来的用户名和密码是否和数据库中的一致 认证的开发 引入shiro配置文件 配置文件:名称随意,以 .ini 结尾,放在 resources 目录下 注意:在实际的项目开发中并不会使用这种方式,这种方法可以用来初学时练手 [users] zs=123456 ls=123456 //1.创建安全管理器对象 DefaultSecurityManager securityManager = new DefaultSecurityManager();
Shiro原理一】shiro:hasPermission 隐藏页面无权访问的资源
朱赤墨黑
09-03 5425
shiro:hasPermission 隐藏页面无权访问的资源,因为层层调用方法,下面可能有点儿乱,注意上下结合看方法名。 jsp: organ_list.jsp &lt;shiro:hasPermission name="jigouxinxi-xinzeng"&gt; &lt;button class="layui-btn layui-btn-primary" onclick="a...
用thymeleaf给shiro:hasPermission拼接权限字符串
qq_44381427的博客
09-23 1090
问题描述 前几天的一个项目里有几张逻辑表结构相同,就整合一张表来存,通过一个类型字段区分。于是这几张表同样用一个页面来展示数据。页面上的一些操作按钮通过shiro:hasPermission判断权限是否显示,于是就出现了一个问题。不同类型的数据要配置不同的字符串区分。 <div shiro:hasPermission="haveXXXPermission">xx操作</div> 比如一个苹果表,一个香蕉表。我想让苹果表显示xx操作,香蕉表不显示xx操作。就需要给haveXXXPer
shiro:hasPermission
最新发布
08-03
shiro:hasPermission是Apache Shiro框架中的一个标签,用于在JSP页面中进行权限控制。[1]当展示一个JSP页面时,如果遇到shiro:hasPermission标签Shiro会调用Realm获取数据库中的权限信息,然后判断该权限是否在...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值