Shiro (三)之授权加注解式权限

最新推荐文章于 2023-07-11 20:42:20 发布
最新推荐文章于 2023-07-11 20:42:20 发布
阅读量842 收藏 3
点赞数 1
分类专栏: IntelliJ IDEA 文章标签: Shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cao_2000/article/details/85791805
版权

重点:

1.添加角色和权限的授权方法

  //根据username查询该用户的所有角色,用于角色验证
  Set<String> findRoles(String username);

代码分享:

select r.roleid  from t_shiro_user u,t_shiro_role r ,
t_shiro_user_role ur where u.userid=ur.userid
and ur.roleid=r.roleid  and u.username= ?

  //根据username查询他所拥有的权限信息,用于权限判断
  Set<String> findPermissions(String username);

代码分享:

select  p.permission  from t_shiro_user u,t_shiro_user_role ur ,t_shiro_role_permission rp,t_shiro_permission p 
where u.userid=ur.userid  and ur.roleid=rp.roleid and rp.perid=p.perid
and u.username = ?

2.自定义Realm配置Shiro授权认证
  
  1) 获取验证身份(用户名)
  2) 根据身份(用户名)获取角色和权限信息
  3) 将角色和权限信息设置到SimpleAuthorizationInfo
  SimpleAuthorizationInfo info=new SimpleAuthorizationInfo();
  info.setRoles(roles);
  info.setStringPermissions(permissions);

代码分享:


 @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        System.out.println("授权");
        //进入授权方法的时候,登录主体subject没有任何角色以及权限
        String username=principalCollection.getPrimaryPrincipal().toString();
        Set<String> roles = this.userService.queryRoleByName(username);
        Set<String> pers = this.userService.queryPersByName(username);
        //将角色以及权限赋给对应的登录主体
        SimpleAuthorizationInfo info=new SimpleAuthorizationInfo();
        info.setRoles(roles);
        info.setStringPermissions(pers);
 
        return info;

}

3.使用Shiro标签实现权限验证

  3.1 导入Shiro标签库

  <%@taglib prefix="shiro" uri="http://shiro.apache.org/tags" %>

  3.2 Shiro标签库

标签名称

标签条件(均是显示标签内容)

<shiro:authenticated>

登录之后

<shiro:notAuthenticated>

不在登录状态时

<shiro:guest>

用户在没有RememberMe时

<shiro:user>

用户在RememberMe时

<shiro:hasAnyRoles name="abc,123" >

在有abc或者123角色时

<shiro:hasRole name="abc">

拥有角色abc

<shiro:lacksRole name="abc">

没有角色abc

<shiro:hasPermission name="abc">

拥有权限资源abc

<shiro:lacksPermission name="abc">

没有abc权限资源

<shiro:principal> 

显示用户身份名称

 

  guest标签 :验证当前用户是否为“访客”,即未认证(包含未记住)的用户
  user标签 :认证通过或已记住的用户
  authenticated标签 :已认证通过的用户。不包含已记住的用户,这是与user标签的区别所在
  notAuthenticated标签 :未认证通过用户,与authenticated标签相对应。与guest标签的区别是,该标签包含已记住用户
  principal 标签 :输出当前用户信息,通常为登录帐号信息 
  hasRole标签 :验证当前用户是否属于该角色 
  lacksRole标签 :与hasRole标签逻辑相反,当用户不属于该角色时验证通过
  hasAnyRole标签 :验证当前用户是否属于以下任意一个角色
  hasPermission标签 :验证当前用户是否拥有指定权限
  lacksPermission标签 :与hasPermission标签逻辑相反,当前用户没有制定权限时,验证通过 

4.配置注解权限验证

  4.1 Shiro注解

  @RequiresAuthenthentication:表示当前Subject已经通过login进行身份验证;即 Subject.isAuthenticated()返回 true
  @RequiresUser:表示当前Subject已经身份验证或者通过记住我登录的
  @RequiresGuest:表示当前Subject没有身份验证或者通过记住我登录过,即是游客身份
  @RequiresRoles(value = {"admin","user"},logical = Logical.AND):表示当前Subject需要角色admin和user
  @RequiresPermissions(value = {"user:delete","user:b"},logical = Logical.OR):表示当前Subject需要权限user:delete或者user:b

     /**
     * 注解式shoir身份认证
     * @return
     */

    /**
    *     角色认证
    */
    @RequiresUser 表示当前Subject已经身份验证或者通过记住我登录的
    @RequestMapping("/passUser")
    @RequiresRoles(value = {"高级用户","管理员"},logical = Logical.AND)//表示当前Subject需要角色高级用户和管理员
    public String passUser(){
        return  "admin/addUser";
    }

    /**
    *    权限认证的注解
    *
    */
    @RequiresPermissions(value = {"user:update","user:view"},logical = Logical.OR)//表示当前Subject需要权限user:update或者user:vie
    @RequestMapping("/passRole")
    public String passRole(){

        return  "admin/listUser";
    }

  4.2 开启注解
  
  注:
  必须将Shiro注解的开启放置到spring-mvc.xml中(即放在springMVC容器中加载),不然Shiro注解开启无效!!!
  必须将Shiro注解的开启放置到spring-mvc.xml中(即放在springMVC容器中加载),不然Shiro注解开启无效!!!
  必须将Shiro注解的开启放置到spring-mvc.xml中(即放在springMVC容器中加载),不然Shiro注解开启无效!!!

  <bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator"
      depends-on="lifecycleBeanPostProcessor">
    <property name="proxyTargetClass" value="true"></property>
</bean>
<bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
    <property name="securityManager" ref="securityManager"/>
</bean>
  
  4.3 注解权限验证失败不跳转路径问题

  问题原因:由于我们架构是用springmvc框架来搭建的所以项目的路径跳转是由springmvc 来控制的,也就是说我们在shiro里面的配置没有用
  <!-- 身份验证成功,跳转到指定页面 -->
  <property name="successUrl" value="/index.jsp"/>                //没有用,达不到预期效果
  <!-- 权限验证失败,跳转到指定页面 -->
  <property name="unauthorizedUrl" value="/user/noauthorizeUrl"/> //没有用,达不到预期效果

  解决方案:
  springmvc中有一个org.springframework.web.servlet.handler.SimpleMappingExceptionResolver类就可以解决这个问题
  <bean id="exceptionResolver" class="org.springframework.web.servlet.handler.SimpleMappingExceptionResolver">
    <property name="exceptionMappings">
        <props>
            <prop key="org.apache.shiro.authz.UnauthorizedException">
                unauthorized
            </prop>
        </props>
    </property>
    <property name="defaultErrorView" value="unauthorized"/>
  </bean>

总结:

当调用controller的一个方法,由于该 方法加了 @RequiresPermissions(value = {"user:update","user:view"},logical = Logical.OR),shiro调用realm获取数据库中的权限信息,看在权限数据中存在权限user:update或者user:vie,如果不存在就拒绝访问,如果存在就授权通过。

 

当展示一个jsp页面时,页面中如果遇到<shiro:hasPermission name="user:update">,shiro调用realm获取数据库中的权限信息,看user:update是否在权限数据中存在,如果不存在就拒绝访问,如果存在就授权通过。

 

cjl_2020
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro注解
10-28
-- 异常处理,权限注解会抛出异常,根据异常返回相应页面 --> class="org.springframework.web.servlet.handler.SimpleMappingExceptionResolver"> <prop key="org.apache.shiro.authz....
Shiro - Shiro简介;Shiro与Spring Security区别;Spring Boot集成Shiro
MinggeQingchun的博客
08-27 3万+
以下引自百度百科Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。个核心组件:Subject,SecurityManager 和 Realms。...
shiro入门
trasewell的博客
09-25 789
目录: 1.pom.xml 2.applicationContext.xml 3.applicationContext-mybatis.xml 4.SpringBaseTest 5.优化分页 1.pom.xml <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4...
Shiro简介
hmj2181629495的博客
08-30 5482
shiro是apache的一个开源框架,是一个权限管理的框架,实现 用户认证、用户授权。spring中有spring security (原名Acegi),是一个权限框架,它和spring依赖过于紧密,没有shiro使用简单。 shiro不依赖于spring,shiro不仅可以实现 web应用的权限管理,还可以实现c/s系统,分布系统权限管理,shiro属于轻量框架,越来越多企业项目开始使用shiro。...
shiro权限
天地无名
09-30 607
一、权限框架介绍 1.什么说权限框架? 权限说简单点就是我们字面理解的意思,项目中,例如普通用户和超级管理园 权限管理包括用户身份认证和授权两部分,简称认证授权。对于需要访问控制的资源用户首先经过身份认证,认证通过后用户具有该资源的访问权限方可访问。 1.1 用户身份认证 身份认证,就是判断一个用户是否为合法用户的处理过程。最常用的简单身份认证方是系统通过核对用户输入的用户名和口令,看其是否与系统中存储的该用户的用户名和口令一致,来判断用户身份是否正确。对于采用指纹等系统,则出示指纹;对于硬件K
Shiro
小牧的博客
08-03 573
Shiro Apache旗下的一款安全权限框架 shiro可以完成:认证,密,授权,会话管理,以及web集成, 什么是shiro Shiro是apache旗下一个开源框架,它将软件系统的安全认证相关的功能抽取出来,实现用户身份认证,权限授权密、会话管理等功能,组成了一个通用的安全认证框架。 Apache Shiro 特性 Apache Shiro是一个全面的、蕴含丰富功能的安全框架 什么是权限管理 基本上涉及到用户参与的系统都要进行权限管理,权限管理属于系统安全的范畴,权限管理实现`对用户访问系统的
Shiro 作为应用的权限基础 :基于注解实现的授权认证过程.docx
02-22
。。。
Shiro 作为应用的权限基础 :基于注解实现的授权认证过程.pdf
11-13
。。。
springMVC shiro 认证-授权 结合示例
01-15
本demo 采用的shirodemo 演变而来(第3个连接): 1、其中添了与数据库交互,数据分布设置的是用户-权限-资源 2、添了验证码验证 3、纠正了无权限跳转BUG ...5、由shirodemo硬编码转换成注解控制授权
注释最全,一步步详解 shiro-ssm登录认证权限授予验证案例.zip
09-04
shiro-ssm整合案例,对登录认证和权限授予进行详细的讲解,对权限验证的种方:编程方注解、JSP标签方进行案例说明,很详细的讲解
Shiro权限控制+整合shiro
Armymans的博客
03-02 1万+
Shiro权限控制 0.1传统的权限认证方 特点:为每个人单独的分配权限模块,能够实现权限控制,但是当公司人员庞大之后,非常难管理 上述权限控制如何设计表? 关系:员工和菜单权限的关系:多对多 员工id 菜单名称 1 取派管理 2 快递员管理 2 运单管理 好处:可以方便的 实现权限控制 缺陷:比如当修改权限的时候,公司统一的给组长级别的人 一个“计算工资”权限,...
Shiro教程(一):入门概述与基本使用
最新发布
WwLK123的博客
07-11 2491
Shiro入门概述与基本使用
Shiro进行权限认证
零度的博客
09-12 1103
背景介绍 Apache Shiro是Java的一个安全框架。目前,使用Apache Shiro的人越来越多,因为它相当简单,对比Spring Security,可能没有Spring Security做的功能强大,但是在实际工作时可能并不需要那么复杂的东西,所以使用小而简单的Shiro就足够了。 知识剖析 1.常用的几个概念 Subject 主体,代表了当前“用户”,这个用户不一定是一个具体的人,与...
什么是Shiro
星空椰
02-16 2366
Shiro是一款功能强大且易于使用的 Java 安全框架,是实现安全认证和权限控制的必选框架之一一、Shiro是什么?使用Shiro的好处?
Shiro的authc过滤器的执行流程
likunpeng6656201的博客
07-30 3171
1.先执行isAccessAllowed(),通过subject.isAuthenticated()判断当前session中的subject是否已经登陆过。如果在当前session即会话中已经登陆过,返回true,authc过滤器放行请求到loginUrl。 问题? 这里会有一个问题,如果我登陆成功后,再次访问loginUrl,会执行isAccessAllowed()并返回true放行,那么我访问...
shiro 简介
快乐的小三菊的博客
04-29 2037
shiro 简介
授权 - Spring Security简单案例
个人纪录、总结!
10-21 524
Spring Security简单案例 文章目录Spring Security简单案例一、简介二、身份认证方2.1、入依赖和编写安全配置类添`Spring Security`依赖编写安全配置类2.2、 HttpBasic 和HttpForm 认证方HttpBasic认证方HttpForm 表单认证方、身份认证实践3.1、指定登录跳转地址3.2、用户名和密码的默认名称3.3、将配置更改为动态配置3.4、实现成功处理类3.5、实现失败处理类 一、简介 Spring Security 是基于 Spr
Shiro过滤器配置(ShiroFilterFactoryBean)
热门推荐
霓虹深处
03-30 4万+
这篇博客就是记录一下shiro过滤器的配置和一些注意事项 /** * Shiro过滤器配置 */ @Bean(name = "shiroFilter") public ShiroFilterFactoryBean shiroFilter() { ShiroFilterFactoryBean shiroFilter = new Shir...
authc过滤器 shiro_Shiro过滤器
weixin_39609071的博客
01-26 1160
Shiro内置过滤器认证相关过滤器:anon(不需要任何认证直接可以访问),authBasic(也就是httpBasic),authc(需要认证之后才可以访问),user(需要当前存在用户才可以访问),logout(退出)授权相关的过滤器:perms(后面跟[ ] 里面参数,表示具备一些权限才可以访问),roles(与前者相似),ssl(要求是安全的协议才可以访问,比如https),port(后...
shiro怎么实现授权
05-05
可以使用Shiro提供的Configuration API来定义角色和权限,也可以使用注解来定义。 2. 认证用户身份:在进行授权之前,需要先对用户进行身份认证。Shiro提供了多种认证方,例如基于表单、HTTP Basic、OAuth等方...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值