3.1shiro的权限解析配置及其说明

最新推荐文章于 2023-05-13 17:24:51 发布
最新推荐文章于 2023-05-13 17:24:51 发布
阅读量667 收藏
点赞数
分类专栏: shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/c_royi/article/details/80865465
版权

shiro的权限解析配置及其说明

1.流程

1.调用 Subject.isPermitted*/hasRole*接口,其会委托给 SecurityManager,而 SecurityManager 接着会委托给 Authorizer;
2.Authorizer 是真正的授权者,会通过 PermissionResolver 把字符串转换成相应的 Permission 实例;在进行授权之前,其会调用相应的 Realm 获取 Subject 相应的角色/权限用于匹配传入的角色/权限;
3.Authorizer 会判断 Realm 的角色/权限是否和传入的匹配,如果有多个 Realm,会委托给 ModularRealmAuthorizer 进行循环判断,如果匹配如 isPermitted*/hasRole* 会返回 true,否则返回 false 表示授权失败。

一.ModularRealmAuthorizer 进行多 Realm 匹配流程时:
首先检查相应的 Realm 是否实现了实现了 Authorizer;
如果实现了 Authorizer,那么接着调用其相应的 isPermitted*/hasRole* 接口进行匹配;如果有一个 Realm 匹配那么将返回 true,否则返回 false。

二.如果 Realm 进行授权的话,应该继承 AuthorizingRealm,其流程是:
如果调用 hasRole*,则直接获取 AuthorizationInfo.getRoles() 与传入的角色比较即可;首先如果调用如 isPermitted(“user:view”),首先通过 PermissionResolver 将权限字符串转换成相应的 Permission 实例,默认使用 WildcardPermissionResolver,即转换为通配符的 WildcardPermission
通过 AuthorizationInfo.getObjectPermissions() 得到 Permission 实例集合;通过 AuthorizationInfo.getStringPermissions() 得到字符串集合并通过 PermissionResolver 解析为 Permission 实例;然后获取用户的角色,并通过 RolePermissionResolver 解析角色对应的权限集合(默认没有实现,可以自己提供);
接着调用 Permission.implies(Permission p) 逐个与传入的权限比较,如果有匹配的则返回 true,否则 false。

2.Authorizer、PermissionResolver及RolePermissionResolver

1.PermissionResolver 用于解析权限字符串到 Permission 实例,而 RolePermissionResolver 用于根据角色解析相应的权限集合。

可以根据自己的需要配置解析方式。

2.自定义解析方式

shiro.ini文件

[main]
#自定义authorizer(多个realme解析)
authorizer=org.apache.shiro.authz.ModularRealmAuthorizer
#自定义permissionResolver
#permissionResolver=org.apache.shiro.authz.permission.WildcardPermissionResolver
permissionResolver=com.github.shiro.permission.MyPermissionResolver
authorizer.permissionResolver=$permissionResolver
#自定义rolePermissionResolver
rolePermissionResolver=com.github.shiro.permission.MyRolePermissionResolver
authorizer.rolePermissionResolver=$rolePermissionResolver

securityManager.authorizer=$authorizer

1.继承Permission接口并重写
boolean implies(Permission p);

2.继承PermissionResolver并重写
Permission resolvePermission(String permissionString);
3.继承RolePermissionResolver
Collection resolvePermissionsInRole(String roleString);

plumblum
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro权限管理实例
06-18
shiro权限管理实例,内含sql脚本,运行sql 导入maven项目即可启动
Shiro权限说明
t0404的博客
07-11 1759
"Shiro权限说明": 关键词:shiro 权限 说明 http://www.infoq.com/cn/articles/apache-shiro http://www.ibm.com/developerworks/cn/opensource/os-cn-shiro/,官网http://shiro.apache.org/   shiro 是一个强
shiro权限配置
sl4379的博客
06-20 387
package com.rquest.riskmaster.config;import java.util.LinkedHashMap;import java.util.Map;import org.apache.shiro.spring.LifecycleBeanPostProcessor;import org.apache.shiro.spring.security.interceptor.A...
Shiro权限相关配置文件
star_zongke的专栏
04-24 2684
Shiro权限框架 开发系统中,少不了权限,目前java里的权限框架有SpringSecurity和Shiro(以前叫做jsecurity),对于SpringSecurity:功能太过强大以至于功能比较分散,使用起来也比较复杂,跟Spring结合的比较好。对于初学Spring Security者来说,曲线还是较大,需要深入学习其源码和框架,配置起来也需要费比较大的力气,扩展性也不是特别强。 对
shiro权限配置
qq_39162772的博客
07-15 682
Permission 字符串通配符权限 规则:“资源标识符:操作:对象实例 ID” 即对哪个资源的哪个实例可以进行什么操作。其默认支持通配符权限字符串,“:”表示资源/操作/实例的分割;“,”表示操作的分割;“*”表示任意资源/操作/实例。 1、单个资源单个权限 subject().checkPermissions("system:user:update"); 用户拥有资源“system...
shiro用户教程pdf
07-24
#### 12.3 Shiro权限注解 Shiro提供了与Spring框架兼容的权限注解,可以方便地在控制器或服务层方法上声明所需的权限。 ### 第十三章:RememberMe #### 13.1 RememberMe配置 RememberMe功能允许用户在关闭浏览器...
jfinal-3.1-all
07-14
《JFinal 3.1 全面解析》 JFinal 是一个基于 Java 语言的轻量级 Web 开发框架,其核心设计目标是开发迅速、代码量少、学习简单、性能优异、足够灵活。JFinal 3.1 版本是在前代基础上的又一次优化与提升,为开发者...
SpringBoot整合Shiro完整源码(含sql脚本).rar
04-12
三、Shiro权限控制 3.1 认证:Shiro通过Subject进行用户登录验证,通常在登录接口中调用`subject.login(token)`,其中token是包含用户名和密码的凭证。 3.2 授权:Shiro通过注解或配置文件实现权限控制,例如`@...
基于SpringBoot+Spring+SpringMvc+Mybatis开发分布式REST服务源码+数据库+项目说明.zip
最新发布
07-02
基于SpringBoot+Spring+SpringMvc+Mybatis开发分布式REST服务源码+数据库+项目说明.zip 【1】项目代码完整且功能都验证ok,确保稳定可靠运行后才上传。欢迎下载使用!在使用过程中,如有问题或建议,请及时私信沟通...
renren-fast开源框架开发文档2.0_完整版.zip
12-23
3.1 Shiro与JWT:Renren-Fast采用Apache Shiro进行权限控制,结合JSON Web Tokens(JWT)实现无状态认证,确保系统安全性。 3.2 角色与权限:文档涵盖了如何定义角色、分配权限,以及如何在前端实现动态菜单和按钮...
SpringSecurity和Shiro---权限设置
JEREMY的博客
05-13 843
安全虽然属于应用的非功能性需求,但是应该在应用开发的初期就考虑进来。如果在应用开发的后期才考虑安全的问题,就可能陷入一个两难的境地:一方面,应用存在严重的安全漏洞,无法满足用户的要求,并可能造成用户的隐私数据被攻击者窃取;Spring Security 是针对Spring项目的安全框架,也是Spring Boot底层安全模块默认的技术选型,他可以实现强大的Web安全控制,对于安全控制,我们仅需要引入 spring-boot-starter-security 模块,进行少量的配置,即可实现强大的安全管理!
shiro权限 的基本配置
weixin_45341195的博客
04-28 596
1.编写一个自定义权限类(继承AuthorizingRealm ) package com.zking.test.shiro; import com.zking.test.biz.IUserBiz; import com.zking.test.model.User; import org.apache.shiro.authc.*; import org.apache.shiro.authc.cr...
shiro用户加密默认方式_Shiro入门(用户权限控制)
weixin_39888807的博客
12-31 279
简单的介绍,简单的配置,简单的扩展一、shiro简介Apache Shiro是一个强大而灵活的开源安全框架,它能够干净利落地处理身份认证,授权,企业会话管理和加密。以下是你可以用Apache Shiro所做的事情:1.验证用户2.对用户执行访问控制,如:判断用户是否拥有角色admin。判断用户是否拥有访问的权限3.在任何环境下使用Session API。例如CS程序。4.可以使...
shiro--权限管理框架--基于MVC配置
m0_57379221的博客
08-31 208
MVC中使用配置文件配置Shrio
使用Shiro实现权限验证
热门推荐
YanMonarch博客
01-17 10万+
《使用Shiro实现权限验证》 1. Shiro入门 ApacheShiro是一个功能强大且易于使用的Java安全框架,提供了认证,授权,加密,和会话管理。 Shiro有三大核心组件: Subject:即当前用户,在权限管理的应用程序里往往需要知道谁能够操作什么,谁拥有操作该程序的权利,shiro中则需要通过Subject来提供基础的当前用户信息,Subject 不仅仅代表某个用户,与当前
shiro进行权限控制的四种方式
xf的博客
03-02 9965
我们使用shiro进行权限控制 有以下几种方式1.  URL拦截权限控制:基于filter过滤器实现 我们在spring配置文件中配置shiroFilter时配置 <!--指定URL级别拦截策略  --> <property name="filterChainDefinitions">  <value> /css/ = anon /js...
Shiro权限控制(二)
weixin_38297879的博客
09-03 5921
之前写过Shiro的文章,但是当回过头来整理的时候,发现缺了好多东西,今天重新整理一下。 我们都知道Shiro和secitity都是安全的框架,但是相对于Shiro来说,比较入门简单,所需要的功能基本上都能满足,理解起来也会比较容易。 Shiro是一个有许多特性的全面的安全框架,下面一幅图进行介绍。 可以看出Shiro除了基本的认证、授权、会话管理、加密之外还有许多特性。 Shiro架...
shiro权限定义的三种方法
GoodIdea
08-08 533
1.在配置文件中定义 <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean"> <property name="securityManager" ref="securityManager"/> <proper...
Shiro权限管理深度解析:身份认证与授权流程
Shiro权限管理框架详解深入探讨了在现代软件开发中至关重要的用户权限管理。权限管理是确保系统安全的核心组成部分,它负责控制用户能够访问的系统资源,根据预设的安全策略执行访问控制。权限管理主要由两个核心...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值