Shiro (三)之授权加注解式权限

最新推荐文章于 2024-10-16 10:00:24 发布
最新推荐文章于 2024-10-16 10:00:24 发布
阅读量873 收藏 3
点赞数 1
分类专栏: IntelliJ IDEA 文章标签: Shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cao_2000/article/details/85791805
版权

重点:

1.添加角色和权限的授权方法

  //根据username查询该用户的所有角色,用于角色验证
  Set<String> findRoles(String username);

代码分享:

select r.roleid  from t_shiro_user u,t_shiro_role r ,
t_shiro_user_role ur where u.userid=ur.userid
and ur.roleid=r.roleid  and u.username= ?

  //根据username查询他所拥有的权限信息,用于权限判断
  Set<String> findPermissions(String username);

代码分享:

select  p.permission  from t_shiro_user u,t_shiro_user_role ur ,t_shiro_role_permission rp,t_shiro_permission p 
where u.userid=ur.userid  and ur.roleid=rp.roleid and rp.perid=p.perid
and u.username = ?

2.自定义Realm配置Shiro授权认证
  
  1) 获取验证身份(用户名)
  2) 根据身份(用户名)获取角色和权限信息
  3) 将角色和权限信息设置到SimpleAuthorizationInfo
  SimpleAuthorizationInfo info=new SimpleAuthorizationInfo();
  info.setRoles(roles);
  info.setStringPermissions(permissions);

代码分享:


 @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        System.out.println("授权");
        //进入授权方法的时候,登录主体subject没有任何角色以及权限
        String username=principalCollection.getPrimaryPrincipal().toString();
        Set<String> roles = this.userService.queryRoleByName(username);
        Set<String> pers = this.userService.queryPersByName(username);
        //将角色以及权限赋给对应的登录主体
        SimpleAuthorizationInfo info=new SimpleAuthorizationInfo();
        info.setRoles(roles);
        info.setStringPermissions(pers);
 
        return info;

}

3.使用Shiro标签实现权限验证

  3.1 导入Shiro标签库

  <%@taglib prefix="shiro" uri="http://shiro.apache.org/tags" %>

  3.2 Shiro标签库

标签名称

标签条件(均是显示标签内容)

<shiro:authenticated>

登录之后

<shiro:notAuthenticated>

不在登录状态时

<shiro:guest>

用户在没有RememberMe时

<shiro:user>

用户在RememberMe时

<shiro:hasAnyRoles name="abc,123" >

在有abc或者123角色时

<shiro:hasRole name="abc">

拥有角色abc

<shiro:lacksRole name="abc">

没有角色abc

<shiro:hasPermission name="abc">

拥有权限资源abc

<shiro:lacksPermission name="abc">

没有abc权限资源

<shiro:principal> 

显示用户身份名称

 

  guest标签 :验证当前用户是否为“访客”,即未认证(包含未记住)的用户
  user标签 :认证通过或已记住的用户
  authenticated标签 :已认证通过的用户。不包含已记住的用户,这是与user标签的区别所在
  notAuthenticated标签 :未认证通过用户,与authenticated标签相对应。与guest标签的区别是,该标签包含已记住用户
  principal 标签 :输出当前用户信息,通常为登录帐号信息 
  hasRole标签 :验证当前用户是否属于该角色 
  lacksRole标签 :与hasRole标签逻辑相反,当用户不属于该角色时验证通过
  hasAnyRole标签 :验证当前用户是否属于以下任意一个角色
  hasPermission标签 :验证当前用户是否拥有指定权限
  lacksPermission标签 :与hasPermission标签逻辑相反,当前用户没有制定权限时,验证通过 

4.配置注解权限验证

  4.1 Shiro注解

  @RequiresAuthenthentication:表示当前Subject已经通过login进行身份验证;即 Subject.isAuthenticated()返回 true
  @RequiresUser:表示当前Subject已经身份验证或者通过记住我登录的
  @RequiresGuest:表示当前Subject没有身份验证或者通过记住我登录过,即是游客身份
  @RequiresRoles(value = {"admin","user"},logical = Logical.AND):表示当前Subject需要角色admin和user
  @RequiresPermissions(value = {"user:delete","user:b"},logical = Logical.OR):表示当前Subject需要权限user:delete或者user:b

     /**
     * 注解式shoir身份认证
     * @return
     */

    /**
    *     角色认证
    */
    @RequiresUser 表示当前Subject已经身份验证或者通过记住我登录的
    @RequestMapping("/passUser")
    @RequiresRoles(value = {"高级用户","管理员"},logical = Logical.AND)//表示当前Subject需要角色高级用户和管理员
    public String passUser(){
        return  "admin/addUser";
    }

    /**
    *    权限认证的注解
    *
    */
    @RequiresPermissions(value = {"user:update","user:view"},logical = Logical.OR)//表示当前Subject需要权限user:update或者user:vie
    @RequestMapping("/passRole")
    public String passRole(){

        return  "admin/listUser";
    }

  4.2 开启注解
  
  注:
  必须将Shiro注解的开启放置到spring-mvc.xml中(即放在springMVC容器中加载),不然Shiro注解开启无效!!!
  必须将Shiro注解的开启放置到spring-mvc.xml中(即放在springMVC容器中加载),不然Shiro注解开启无效!!!
  必须将Shiro注解的开启放置到spring-mvc.xml中(即放在springMVC容器中加载),不然Shiro注解开启无效!!!

  <bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator"
      depends-on="lifecycleBeanPostProcessor">
    <property name="proxyTargetClass" value="true"></property>
</bean>
<bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
    <property name="securityManager" ref="securityManager"/>
</bean>
  
  4.3 注解权限验证失败不跳转路径问题

  问题原因:由于我们架构是用springmvc框架来搭建的所以项目的路径跳转是由springmvc 来控制的,也就是说我们在shiro里面的配置没有用
  <!-- 身份验证成功,跳转到指定页面 -->
  <property name="successUrl" value="/index.jsp"/>                //没有用,达不到预期效果
  <!-- 权限验证失败,跳转到指定页面 -->
  <property name="unauthorizedUrl" value="/user/noauthorizeUrl"/> //没有用,达不到预期效果

  解决方案:
  springmvc中有一个org.springframework.web.servlet.handler.SimpleMappingExceptionResolver类就可以解决这个问题
  <bean id="exceptionResolver" class="org.springframework.web.servlet.handler.SimpleMappingExceptionResolver">
    <property name="exceptionMappings">
        <props>
            <prop key="org.apache.shiro.authz.UnauthorizedException">
                unauthorized
            </prop>
        </props>
    </property>
    <property name="defaultErrorView" value="unauthorized"/>
  </bean>

总结:

当调用controller的一个方法,由于该 方法加了 @RequiresPermissions(value = {"user:update","user:view"},logical = Logical.OR),shiro调用realm获取数据库中的权限信息,看在权限数据中存在权限user:update或者user:vie,如果不存在就拒绝访问,如果存在就授权通过。

 

当展示一个jsp页面时,页面中如果遇到<shiro:hasPermission name="user:update">,shiro调用realm获取数据库中的权限信息,看user:update是否在权限数据中存在,如果不存在就拒绝访问,如果存在就授权通过。

 

Shiro认证流程和授权流程
Emma_Joans的博客
10-12 1万+
认证:身份验证,即在应用中谁能证明他就是他本人。一般提供如他们的身份ID一些标识信息来表明他就是他本人,如提供身份证,用户名/密码来证明。 在shiro中,用户需要提供principals (身份)和credentials(证明)给shiro,从而应用能验证用户身份: principals:身份,即主体的标识属性,可以是任何东西,如用户名、邮箱等,唯一即可。一个主体可以有多个principals
shiro() 授权注解开发
遥是此间桃花庵
12-02 115
文章目录shiro授权注解开发 shiro授权: 承接上一篇博客的内容,我们这回来做shiro授权: 首先我们要新增两个sql: ShiroUserMapper.xml中新增: <!--通过用户名查询用户对应的角色 用户表->用户角色中间表->角色表 --> <select id="getRolesByUserId" resultType="java.la...
Shiro权限框架认证和授权原理介绍
热门推荐
IT飞岳的博客
06-12 1万+
1、简介shiro是一个安全框架,是Apache的一个子项目。shiro提供了:认证、授权密、会话管理、与web集成、缓存等模块。   1.1、模块介绍Authentication:用户身份识别,可以认为是登录;Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是...
shiro授权和认证(一)
weixin_46403305的博客
10-28 513
shiro是什么 shiro一个授权和认证的这样一个框架 简单的给你说、就是以前咋们认证和授权的所有代码、shiro都给咋们写好了、而且封装好了、我们只需要按照这个框架提供的API来简单的集成到咋们的项目中就可以了 1、shiro能干什么 认证、授权、Cache的管理、Session的管理、rememberMe功能的实现、登陆、退出… 2、shiro的整体架构是什么 3、shiro的第一个helloworld程序 3.1、导包 <!--导入shiro的包--> <de
Shiro | 实现权限验证完整版
冯文议技术博客
10-22 7981
写在前面的话 提及权限,就会想到安全,是一个十分棘手的话题。这里只是作为学校Shiro的一个记录,而不是,权限就应该这样设计之类的。 Shiro框架 1、Shiro是基于Apache开源的强大灵活的开源安全框架。 2、Shiro提供了 认证,授权,企业会话管理、安全密、缓存管理。 3、Shiro与Security对比 4、Shiro整体架构 5、特性 6、认证流程 认证 当我们理解Shi...
Shiro 认证(Authentication)
2401_82806976的博客
10-15 880
自定义Realm需要继承AuthorizingRealm类,该类封了很多方法,且继承自Realm类。继承AuthorizingRealm类后,我们需要重写以下两个方法:doGetAuthenticationlnfo() 方法:获取身份信息doGetAuthorizationlnfo() 方法:获取权限信息(角色和权限)@Resource@Override。
shiro注解授权
taiguolaotu的博客
12-19 105
自定义的公共异常处理器
Shiro授权&注解
qq_66924116的博客
08-26 715
(value = {"user:delete","user:b"},logical = Logical.OR):表示当前Subject需要权限user:delete或者user:b。value = {"admin","user"},logical = Logical.AND):表示当前Subject需要角色admin和user。@RequiresGuest:表示当前Subject没有身份验证或者通过记住我登录过,即是游客身份。:表示当前Subject已经身份验证或者通过记住我登录的。.........
Shiro(五)权限注解
weixin_44788545的博客
08-07 244
权限注解 • @RequiresAuthentication:表示当前Subject已经通过login 进行了身份验证; 即 Subject. isAuthenticated() 返回 true • @RequiresUser:表示当前 Subject 已经身份验证或者通过记住我登录的。 • @RequiresGuest:表示当前Subject没有身份验证或通过记住我登录过,即是游客身份。 • @RequiresRoles(value={“admin”, “user”}, logical= Logical.
shiro授权角色,权限注解开发(
what_where的博客
10-15 325
文章目录1、shiro授权角色、权限2、Shiro注解开发 1、shiro授权角色、权限 授权,首先我们来看一下图 在ShiroUserMapper.xml中新增内容 <select id="getRolesByUserId" resultType="java.lang.String" parameterType="java.lang.Integer"> select r.r...
极简入门,Shiro的认证与授权流程解析
java思维导图
05-08 481
小Hub领读:接下来的几天,我们开讲Shiro,从入门到分析、集成、单点登录整合等几篇。今天我们先来认识一下Shiro吧~其实Shiro框架并不难,我梳理了一下,你只需要学会以下内容基本...
Shiro的认证和授权过程
weixin_44736853的博客
07-30 2318
认证:是一个身份验证的过程,要证明他们的身份,需要提供principals(身份)和credentials(凭证)。身份有多种,包括邮箱,账号等能表示subject身份的信息,凭证有密码,指纹,数字证书等。一般就是登录,获取账号和密码。 认证过程主要分为步: step1:收集subject的principals(身份)和credentials(凭证) 1.首先拿到当前currentUser, Subject currentUser = SecurityUtils.getSubject(); 1.1利用c
Shiro认证
weixin_66202611的博客
08-25 349
的,这样使得没办法使用Spring里面的@Autowired注解,同时也没办法直接交给Spring进行管理,所以我们需要通过实现类里的@Service里面添标记(biz中的属性名)首先在方法中随机生成盐 ,拿到用户和密码,然后拿到密码进行盐密,得到的是一个密过后的盐,再获取长度,最后拿到密后的密码和盐以及最初的密码进行比较,返回的是true则密成功。(1)shiro载的时候,Spring上下文还没有记载完毕,所以Component与@autowised是不能使用的。4.对应mapper编写。.
authc过滤器 shiro_shiro 安全框架(2)
weixin_39946460的博客
12-19 124
Shiro-与Spring整合实现登录认证之配置文件编写Shiro-与Spring整合实现登录认证有哪些操作步骤?实现步骤 A.新建web项目B.导入shiro相关jar包(shiro-all 以及shiro-spring)C.在web.xml中添DelegatingFilterProxy配置 D.编写spring-shiro.xml E.编写mapper接口及mapper.xml F.编写se...
Shiro进行权限认证
零度的博客
09-12 1200
背景介绍 Apache Shiro是Java的一个安全框架。目前,使用Apache Shiro的人越来越多,因为它相当简单,对比Spring Security,可能没有Spring Security做的功能强大,但是在实际工作时可能并不需要那么复杂的东西,所以使用小而简单的Shiro就足够了。 知识剖析 1.常用的几个概念 Subject 主体,代表了当前“用户”,这个用户不一定是一个具体的人,与...
Shiro授权Shiro授权角色、权限&&Shiro注解开发
m0_58525944的博客
12-22 894
今日目标: shiro授权角色、权限 Shiro注解开发 本篇博客是在上一篇博客的基础上在进行编程的 shiro认证之md5盐密&&shiro认证&&shiro密的测试----shiro与SSM整合_m0_58525944的博客-CSDN博客 一,Shiro授权角色,权限 表结构权限分析图 1在ShiroUserMapper.xml中新增内容 <!--授权的方法--> <select id="getRolesB..
六、Shiro之通过注解配置授权
panchang199266的博客
09-08 1062
一、添POM依赖   一定要注意aop与aspectjweaver的版本兼容问题,否则会报java.lang.NoClassDefFoundError:org/springframework/aop/aspectj/autoproxy/AspectJAwareAdvisorAutoProxyCreator$PartiallyComparableAdvisorHolder错误! ...
shiro 的认证,授权密(ssm+shiro
qq_58003121的博客
01-26 2390
1、shiro 是什么 shiro 是一个功能强大和易于使用的Java安全框架,为开发人员提供一个直观而全面的解决方案的认证,授权密,会话管理。 2、Shiro四大核心功能:Authentication,Authorization,Cryptography,Session Management 3.Shiro个核心组件:Subject, SecurityManager 和 Realms.   Subject:主体,代表了当前“用户”,这个用户不一定是一个具体的人,与当前应用交互的任何东西都是S
Shiro认证(Authentication)
最新发布
gghfzs1的博客
10-16 856
Shiro 是一个强大而灵活的 Java 安全框架,主要用于解决认证(Authentication)、授权(Authorization)、密和会话管理等问题。认证()、授权()、会话管理()、密()被Shiro框架的开发团队称之为应用安全的四大基石,详细功能如下身份认证/登录,验证用户是不是拥有相应的身份确定用户是否有权执行特定的操作,通过定义角色和权限Shiro 可以控制用户对系统资源的访问。例如,某些用户可能被允许访问特定的页面或执行特定的操作,而其他用户则不可以。
shiro框架 02使用shiro进行用户的认证和用户权限控制
qq_38757863的博客
06-29 503
instanceof是Java的一个保留关键字,左边是对象,右边是类,返回类型是Boolean类型。它的具体作用是测试左边的对象是否是右边类或者该类的子类创建的实例对象,是,则返回true,否则返回false。在此对象中定义相关方法,处理客户端的登陆请求,例如获取用户名,密码等然后提交该 shiro 框架进行认证。在用户数据层对象 SysUserDao 中,按特定条件查询用户信息,并对其进行封装。本模块的业务在 Realm 类型的对象中进行实现,我们编写 realm 时,要继承。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值