Shiro学习之授权实现(二)

最新推荐文章于 2021-10-18 14:31:34 发布
最新推荐文章于 2021-10-18 14:31:34 发布
阅读量211 收藏
点赞数
分类专栏: Shiro框架总结

Shiro支持三种方式实现授权过程:

  • 编码实现
  • 注解实现
  • JSP Taglig实现

1、基于编码的授权实现

基于传统角色授权实现
当需要验证用户是否拥有某个角色时,可以调用Subject 实例的hasRole()方法验证

Subject currentUser = SecurityUtils.getSubject();  
if (currentUser.hasRole("administrator")) {  
    //show the admin button  
} else {  
    //don't show the button?  Grey it out?  
}

Subject方法 描述

1:hasRole(String roleName)
当用户拥有指定角色时,返回true

2:hasRoles(List<String> roleNames)
按照列表顺序返回相应的一个boolean值数组

3:hasAllRoles(Collection<String> roleNames)
如果用户拥有所有指定角色时,返回true

断言支持
Shiro还支持以断言的方式进行授权验证。断言成功,不返回任何值,程序继续执行;断言失败时,将抛出异常信息。使用断言,可以使我们的代码更加简洁。

Subject currentUser = SecurityUtils.getSubject();  
currentUser.checkRole("bankTeller");  
openBankAccount();

断言的相关方法: Subject方法 描述

checkRole(String roleName)  
断言用户是否拥有指定角色
checkRoles(Collection<String> roleNames)    
断言用户是否拥有所有指定角色
checkRoles(String... roleNames)
对上一方法的方法重载

基于权限角色授权实现
相比传统角色模式,基于权限的角色模式耦合性要更低些,它不会因角色的改变而对源代码进行修改,因此,基于权限的角色模式是更好的访问控制方式。
它的代码实现有以下几种实现方式:
1、基于权限对象的实现
创建org.apache.shiro.authz.Permission的实例,将该实例对象作为参数传递给Subject.isPermitted()进行验证。

Permission printPermission = new PrinterPermission("laserjet4400n", "print");  
Subject currentUser = SecurityUtils.getSubject();  
if (currentUser.isPermitted(printPermission)) {  
    //show the Print button  
} else {  
    //don't show the button?  Grey it out?  
}

相关方法如下: Subject方法 描述

isPermitted(Permission p)   
Subject拥有制定权限时,返回true

isPermitted(List<Permission> perms) 
返回对应权限的boolean数组

isPermittedAll(Collection<Permission> perms)    
Subject拥有所有制定权限时,返回true

2、 基于字符串的实现
相比笨重的基于对象的实现方式,基于字符串的实现便显得更加简洁。 

Subject currentUser = SecurityUtils.getSubject();  
if (currentUser.isPermitted("printer:print:laserjet4400n")) {  
    //show the Print button  
} else {  
    //don't show the button?  Grey it out?  
}

使用冒号分隔的权限表达式是org.apache.shiro.authz.permission.WildcardPermission默认支持的实现方式。
这里分别代表了 资源类型:操作:资源ID

类似基于对象的实现相关方法,基于字符串的实现相关方法:

isPermitted(String perm)
isPermitted(String... perms)
isPermittedAll(String... perms)

基于权限对象的断言实现 

Subject currentUser = SecurityUtils.getSubject();  

Permission p = new AccountPermission("open");  
currentUser.checkPermission(p);  
openBankAccount();

基于字符串的断言实现 

Subject currentUser = SecurityUtils.getSubject();    
currentUser.checkPermission("account:open");  
openBankAccount();

断言实现的相关方法 Subject方法 说明

checkPermission(Permission p)   
断言用户是否拥有制定权限

checkPermission(String perm)    
断言用户是否拥有制定权限

checkPermissions(Collection<Permission> perms)  
断言用户是否拥有所有指定权限

checkPermissions(String... perms)   
断言用户是否拥有所有指定权限

转自博客:https://blog.csdn.net/xiaoliuliu2050/article/details/54911480

更好的自己520
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringBoot Shiro授权实现过程解析
08-25
SpringBoot Shiro授权实现过程解析 在SpringBoot项目中,Shiro是一个非常流行的授权框架,它提供了完善的授权机制,可以帮助开发者轻松实现授权功能。在本文中,我们将详细介绍SpringBoot Shiro授权实现过程解析,...
CAS+Shiro实现认证授权
11-15
本文将深入探讨如何使用Apache Shiro和Central Authentication Service(CAS)来实现高效的用户认证与授权。这两个工具都是在Java环境中广泛使用的安全框架,它们能帮助开发者构建安全、健壮的Web应用。 首先,...
关于 项目中用到shiro如何通过token鉴权登录,模拟登录,代码直接登录的问题!
热门推荐
zl386119974的专栏
09-10 6万+
1.今天遇到了一个棘手的问题,在此写下博客记录下来,用于提醒自己,以及帮助以后会遇到这样的问题的人 shiro框架中如何通过用户名密码在代码中直接登录? 首先在网上找了下,找到了这种方式: Subject currentUser = SecurityUtils.getSubject(); UsernamePasswordToken token = new...
shiro:sessionManager配置
拒绝熬夜啊的博客
10-18 1903
shiro:sessionManager配置 1.使用session Subject currentUser = SecurityUtils.getSubject(); Session session = currentUser.getSession(); session.setAttribute("someKey", someValue); //subject.getSession()方法是调用 currentUser.getSubject(true)的快捷方式
shiro 学习笔记
u012068294的专栏
04-02 259
权限系统: 分配权限(把对某些安全实体的某些权限分配给某些人员的过程) 验证权限(判断某个人员或程序对某个安全实体是否拥有某个或某些权限的过程) 安全实体:比如数据,资源。 权限:比如查看,修改 权限的继承性:安全实体的包含性,比如大楼里面的房间。 权限最近匹配原则:和包含类似,里面没有权限控制,像外层找,找到最近的。 shiro 的作用:认证,授权,加密,会话。 subj...
org.apache.shiro.SecurityUtils.getSubject().getSession()
bitree1的博客
01-11 1万+
Shiro的Session管理 概述和配置使用 1.概述   Shiro提供安全框架界独一无的东西:一个完整的企业级Session 解决方案,可以为任意的应用提供session支持,包括web和非web应用,并且无需部署你的应用程序到Web 容器或使用EJB容器。 2.基本使用   可以通过与当前执行的Subject 交互来获取Session: Subject currentUser...
shiroshiro详解
牧小农
11-24 2939
一、HelloWorld 在类路径下加入如下 jar 包 在类路径下加入如下配置文件: samples\quickstart\src\main\resources*。 在 src 下加入 samples\quickstart\src\main\java\ Quickstart.java 修改 log4j.properties,只保留如下部分 Shiro 配置基础:users1、Shiro 被设计
shiro学习笔记
04-03
这份"Shiro学习笔记"可能包含了以下主题: - Shiro的安装与配置 - Shiro基本概念详解 - Realm的创建与使用 - 登录与登出流程 - 权限控制机制 - 缓存管理和会话管理 - Shiro与Spring的整合 - Shiro的Filter链配置 - ...
shiro学习示例
02-07
在"shiro学习示例"中,我们可以深入理解Shiro的核心概念和实际应用。 1. **Shiro基本概念** - **认证**:确认用户身份的过程,即用户输入用户名和密码,系统通过验证来确认用户的身份。 - **授权**:确定用户是否...
Apache Shiro 使用手册(三)Shiro 授权
kdboy的专栏
08-23 348
授权即访问控制,它将判断用户在应用程序中对资源是否拥有相应的访问权限。 如,判断一个用户有查看页面的权限,编辑数据的权限,拥有某一按钮的权限,以及是否拥有打印的权限等等。 [size=large][b][color=darkblue]一、授权的三要素[/color][/b][/size] 授权有着三个核心元素:权限、角色和用户。 [color=darkblue][b]权限[/b...
ShiroSubject对象详解
和我一起学习吧
03-29 4万+
什么是Subject对象通常我们会将Subject对象理解为一个用户,同样的它也有可能是一个三方程序,它是一个抽象的概念,可以理解为任何与系统交互的“东西”都是Subject。如何获得Subject对象首先创建一个初始化文件shiro.ini[users] root=123,admin,person manage=123,campaign [roles] admin=* person = xia...
SecurityUtils.getSubject()是怎么获取到当前用户信息的?
narutots的博客
08-15 6万+
项目中我们习惯直接使用SecurityUtils.getSubject() 获取当前登录用户的信息 /** * 获取当前登录者对象 */ public static Principal getPrincipal(){ try{ Subject subject = SecurityUtils.getSubject(); Principal principal = (P...
Shiro登录身份认证(从SecurityUtils.getSubject().login(token))到Realm的doGetAuthenticationInfo
╃緣分天空╃
06-23 4万+
ssm框架下,controller接收到登录请求交给Service并开始处理流程:1.Service的login方法:@Service public class SysUserServiceImpl implements SysUserService { @Autowired SysUserMapper mapper; @Override public Login...
Web应用安全————Shiro 解决会话固定漏洞
Morty的技术乐园
09-21 2745
引言 承接上一篇《Web应用安全————账号冻结与 Session 实时失效》关于 session 的学习,本篇博客聚焦如何通过 shiro 解决会话固定导致的漏洞问题。 首先,没怎么接触过应用安全方面的小伙伴可能会发起疑问 - 什么是会话固定? 简单来说,系统在登录前和登录后使用同一个 session id,就是会话固定,默认的session 管理机制都是会话固定的。会话固定可能会造成“会...
Apache Shiro Subject学习笔记
Varus学习笔记
11-07 1万+
Shirosubject实质上是当前执行用户的
Apache Shiro(七)——Shiro的RememberMe功能
传臣、的博客
10-28 9424
一、概述 Shiro 提供了记住我(RememberMe)的功能,比如访问如淘宝等一些网站时,关闭了浏览器,下次再打开时还是能记住你是谁,下次访问时无需再登录即可访问,基本流程如下: 1、首先在登录页面选中 RememberMe 然后登录成功;如果是浏览器登录,一般会把 RememberMe 的Cookie 写到客户端并保存下来; 2、关闭浏览器再重新打开;会发现浏览器还是记住你的; 3、访问一般...
关于shirosubject.getPrincipal()方法
依木前行的博客
11-23 6万+
1、说明上一篇文章说明了 principal,而subject.getPrincipal();是用来干嘛的,他就是来获取你存储的principal,内部是怎么获取的那,多个principal怎么指定获取哪一个那。2、解释1)subject.getPrincipal();最后调用的是下面这个方法public Object getPrimaryPrincipal() { if (isEm
shiro SecurityUtils.getSubject()深度分析
ahua186186的专栏
01-12 6324
1.总的来说,SecurityUtils.getSubject()是每个请求创建一个Subject, 并保存到ThreadContext的resources(ThreadLocal)变量中,也就是一个http请求一个subject,并绑定到当前线程。 问题来了:.subject.login()登陆认证成功后,下一次请求如何知道是那个用户的请求呢? 友情提示:本文唯一可以读一下的就是分析...
Shiro框架详解:从入门到精通,实现安全认证与授权
Shiro框架详解文档深入介绍了Apache开源Java安全框架Shiro的工作原理、架构设计和关键实现步骤。该文档共分为六个部分: 1. **Shiro安全框架简介**: - Shiro是Apache的一款重要安全框架,主要关注用户身份认证、...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值