SpringShiro每次请求的权限校验,都会调用一次doGetAuthorizationInfo的问题

最新推荐文章于 2023-06-02 11:29:31 发布
最新推荐文章于 2023-06-02 11:29:31 发布
阅读量1.9k 收藏 1
点赞数
文章标签: SpringShiro Authorization
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/come_on_ha/article/details/121632179
版权

        公司项目里用到SpringShiro权限校验,采用Redis做为SecurityManager的缓存管理。在doGetAuthorizationInfo方法打了断点,发现每次的请求,都会调用一次doGetAuthorizationInfo方法获取当前用户的权限数据。

         查看源码AuthorizingRealm的getAuthorizationInfo方法如下:

protected AuthorizationInfo getAuthorizationInfo(PrincipalCollection principals) {
    if (principals == null) {
        return null;
    }
    AuthorizationInfo info = null;
    if (log.isTraceEnabled()) {
        log.trace("Retrieving AuthorizationInfo for principals [" + principals + "]");
    }
    Cache<Object, AuthorizationInfo> cache = getAvailableAuthorizationCache();
    if (cache != null) {
        if (log.isTraceEnabled()) {
            log.trace("Attempting to retrieve the AuthorizationInfo from cache.");
        }
        Object key = getAuthorizationCacheKey(principals);
        info = cache.get(key);
        if (log.isTraceEnabled()) {
            if (info == null) {
                log.trace("No AuthorizationInfo found in cache for principals [" + principals + "]");
            } else {
                log.trace("AuthorizationInfo found in cache for principals [" + principals + "]");
            }
        }
    }

    if (info == null) {
        // Call template method if the info was not found in a cache
        info = doGetAuthorizationInfo(principals);
        // If the info is not null and the cache has been created, then cache the authorization info.
        if (info != null && cache != null) {
            if (log.isTraceEnabled()) {
                log.trace("Caching authorization info for principals: [" + principals + "].");
            }
            Object key = getAuthorizationCacheKey(principals);
            cache.put(key, info);
        }
    }
    return info;
}

发现:

Object key = getAuthorizationCacheKey(principals);

获取的key是principals的toString方法返回值,而SecurityUtils.getSubject().getPrincipal()方法每次返回的都是新的对象,所以key每次都是动态变化的。所以只要在AuthorizingRealm的实现类中复写getAuthorizationCacheKey方法,将其返回当前的sessionId即可: 

protected Object getAuthorizationCacheKey(PrincipalCollection principals) {
    return WebUtil.REQUEST.get().getSession().getId();
}

WebUtil.REQUEST.get(),是获取当前的HttpServletRequest的,项目里封装的方法。

        复写getAuthorizationCacheKey方法后,在getAuthorizationInfo方法中,同一个session就可以获取已经缓存起来的权限,不需要每次请求都调用一次doGetAuthorizationInfo方法了。不知道是不是还有其他更好的解决方案。

逐知逐行
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Spring Boot集成Shiro 登录后访问请求执行Realm的授权doGetAuthorizationInfo方法
zuozhiyoulaisam的专栏
05-20 3236
springboot集成shiro的时候在注解方法访问没有经过授权的校验:aop:config在shiro权限注解中发挥的作用 产生的原因是:授权的注解没有进行生效 需要改正: 1.注入通知器: com.sml.shiro.config.ShiroConfig /** * 注入AuthorizationAttributeSourceAdvisor 实现了Meth...
shiro 权限校验
qq_3297的博客
02-06 446
applicationContext 中配置  <!-- 用户授权信息Cache:缓存控制器,来管理如用户、角色、权限等的缓存的; 因为这些数据基本上很少去改变,放到缓存中后可以提高访问的性能 --> <!-- 这里主要是设置自定义的单Realm应用,若有多
CAS+Shiro 自定义 pac4jRealm 每次判断权限都要重复执行doGetAuthorizationInfo()两次
xiyafei122的博客
03-18 994
代码如下: public class UserRealm extends Pac4jRealm(){ @Override public AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { // TODO Auto-generated method stub System.out.println("Onece"); Set<String> roles=new
自定义realm出现doGetAuthorizationInfo多次重复调用
3k油:知道的越多,不知道的越多
10-09 1633
前言:此次排查的过程,主要是利用debug模式下,深入源码打断点才发现问题所在。 一、问题描述: 练习shiro认证授权,发现授权方法中相关的sql语句多次重复执行了。于是,各种排查,为什么有多次重复执行相同的sql查询,这岂不是很影响性能。于是有了下面的排查过程。 二、发现问题,截图如下: 三、排查过程 (过程1):肯定是先从shiro的配置文件逐个排查过了,没有任何发现,还是解决不了问题。 (过程2):既然是多次sql语句执行,那考虑到是某个方法重复调用了。于是定位到了下边的这个方法。 a)d.
shiro问题记录--doGetAuthorizationInfo重复执行以及关闭shiro自带的session
最新发布
kevin的博客
06-02 560
shiro整合token实现续签的时候,调试发现了一个奇葩的情况,我的doGetAuthorizationInfo重复执行2次。
shiro权限验证方法 doGetAuthorizationInfo 重复执行的解决办法
进阶的球儿
10-10 2779
很简单,注释掉ShiroConfiguration 中的DefaultAdvisorAutoProxyCreator 即可。 /** * 加入下面2个 可以在controller层使用shiro注解 * 注释掉,解决权限验证多次循环的问题 * @return */ // @Bean(name = "advisorAutoProxyCreat...
shiro权限案例demo
07-18
例如,`shiro-filter.xml`配置文件中定义了哪些URL需要进行权限校验,以及相应的处理方式。 总结起来,这个"shiro权限案例demo"是一个全面展示如何使用Apache Shiro实现在Java应用程序中进行用户权限管理的实例。它...
spring集成shiro实现权限认证和自动登录
KGLegolas的博客
05-31 955
个站链接:http://www.legolas94.top/article/get/1003 首先在登录入口类中得到shiro的Subject然后调用 UsernamePasswordToken token = new UsernamePasswordToken(phone, password); 创建用户名/密码身份验证Token。然后调用subject.login(token);此时Secur...
Shiro 权限处理(自我学习版)
m0_56532446的博客
05-06 1212
Shiro初步学习了解基础理论以及和SpringBoot整合
shiro配置多realm,执行多次授权操作即执行各个realm的doGetAuthorizationInfo方法
ITxiaofeixiang的博客
12-31 1126
shiro配置多realm,执行多次授权操作即执行各个realm的doGetAuthorizationInfo方法 查看原因 调用授权 Subject subject = SecurityUtils.getSubject(); subject.isPermitted("abc"); 进入isPermitted方法 进入Subject接口下的一个实现类DelegatingSubject其中方法: public boolean isPermitted(String permission)
shiro执行授权方法 doGetAuthorizationInfo()
05-01
NULL 博文链接:https://rd-030.iteye.com/blog/2359792
shiro AuthorizationInfo doGetAuthorizationInfo 授权调用
q7410p123的博客
04-21 4135
1. 在   @Controller 上加入  @RequiresRoles("admin") 2.手工调用subject.hasRole(“admin”) 或 subject.isPermitted(“admin”) 3.页面标签调用shiro:hasPermission>
shiro权限验证方法doGetAuthorizationInfo执行了两次
大海无量的博客
03-02 7281
每次调用接口时,doGetAuthorizationInfo执行了两次。 // 权限配置(注解方式) /** * 下面的代码是添加注解支持 */ // @Bean // @DependsOn("lifecycleBeanPostProcessor") // public DefaultAdvisorAutoProxyCreator ...
解决:shiro中重写doGetAuthenticationInfo,结果首次登录先执行doGetAuthenticationInfo执行login的问题
一勺菠萝丶的博客
12-20 1万+
前提: Springboot整合Shiro后,启动项目,首次进入登录页面输入用户账号密码点击登录,却先执行AuthRealm类(继承AuthorizingRealm类)中的重写的方法doGetAuthenticationInfo(),token为登录的用户信息,该方法执行后页面报404。手动退回登录页面第二次登录输入用户账号密码点击登录, 此次流程没问题,首先执行login()方法,再次执行do...
关于何时执行shiro AuthorizingRealm 里的 doGetAuthenticationInfo与doGetAuthorizationInfo
热门推荐
fj200821的专栏
01-18 2万+
1.doGetAuthenticationInfo执行时机如下 当调用Subject currentUser = SecurityUtils.getSubject(); currentUser.login(token); 2.doGetAuthorizationInfo执行时机有三个,如下: 1、subject.hasRole(“admin”) 或
shiro 登录不执行授权回调方法doGetAuthorizationInfo
Flyer的后花园
01-30 1万+
转载自:http://blog.csdn.net/qq_31759675/article/details/72268141 这 是 什 么 鬼 ! 登录页面跳转业务处理 SpringMVC控制器 Shiro配置文件 [html] view
shiro一次认证多次授权
weixin_38040972的博客
10-18 2578
shiro一次认证多次授权 springboot整合shiro(使用@Bean注解的形式配置javabean) 1.先在pom文件中引入shiro的jar包; &lt;dependency&gt; &lt;groupId&gt;org.apache.shiro&lt;/groupId&gt; &lt;artifactId&gt;shiro-all&lt;/artifactId&gt; ...
触发shiro中重写realm中doGetAuthorizationInfo 授权方法的几种方式
taiguolaotu的博客
10-20 571
shiro 标签 controller接口上的权限注解 等等 还有就是 清空用户授权信息缓存getAuthorizationCache() 看源码 清空shiro缓存 ,重新走realm中重写的doGetAuthorizationInfo方法从数据看查询数据权限 参考链接 这辈子坚持与不坚持都不可怕,怕的是独自走在坚持的道路上!!! ...
shiroSpring整合使用注解时没有执行realm的doGetAuthorizationInfo回调方法的解决(XML配置)...
weixin_30488085的博客
04-11 157
在使用Shiro框架进行项目整合时,使用注解在使用Shiro框架进行项目整合时,使用注解在使用Shiro框架进行项目整合时,使用注解@RequiresPermissions为方法提供是需要的权限,但是根本没有进行验证,后面发现在自己的Realm中只执行了doGetAuthenticationInfo(登录验证)方法而没有执行doGetAuthorizationInfo权限验证)的方法。 查看相...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值