SpringShiro每次请求的权限校验,都会调用一次doGetAuthorizationInfo的问题

最新推荐文章于 2023-06-02 11:29:31 发布
最新推荐文章于 2023-06-02 11:29:31 发布
阅读量1.8k 收藏 1
点赞数
文章标签: SpringShiro Authorization
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/come_on_ha/article/details/121632179
版权

        公司项目里用到SpringShiro权限校验,采用Redis做为SecurityManager的缓存管理。在doGetAuthorizationInfo方法打了断点,发现每次的请求,都会调用一次doGetAuthorizationInfo方法获取当前用户的权限数据。

         查看源码AuthorizingRealm的getAuthorizationInfo方法如下:

protected AuthorizationInfo getAuthorizationInfo(PrincipalCollection principals) {
    if (principals == null) {
        return null;
    }
    AuthorizationInfo info = null;
    if (log.isTraceEnabled()) {
        log.trace("Retrieving AuthorizationInfo for principals [" + principals + "]");
    }
    Cache<Object, AuthorizationInfo> cache = getAvailableAuthorizationCache();
    if (cache != null) {
        if (log.isTraceEnabled()) {
            log.trace("Attempting to retrieve the AuthorizationInfo from cache.");
        }
        Object key = getAuthorizationCacheKey(principals);
        info = cache.get(key);
        if (log.isTraceEnabled()) {
            if (info == null) {
                log.trace("No AuthorizationInfo found in cache for principals [" + principals + "]");
            } else {
                log.trace("AuthorizationInfo found in cache for principals [" + principals + "]");
            }
        }
    }

    if (info == null) {
        // Call template method if the info was not found in a cache
        info = doGetAuthorizationInfo(principals);
        // If the info is not null and the cache has been created, then cache the authorization info.
        if (info != null && cache != null) {
            if (log.isTraceEnabled()) {
                log.trace("Caching authorization info for principals: [" + principals + "].");
            }
            Object key = getAuthorizationCacheKey(principals);
            cache.put(key, info);
        }
    }
    return info;
}

发现:

Object key = getAuthorizationCacheKey(principals);

获取的key是principals的toString方法返回值,而SecurityUtils.getSubject().getPrincipal()方法每次返回的都是新的对象,所以key每次都是动态变化的。所以只要在AuthorizingRealm的实现类中复写getAuthorizationCacheKey方法,将其返回当前的sessionId即可: 

protected Object getAuthorizationCacheKey(PrincipalCollection principals) {
    return WebUtil.REQUEST.get().getSession().getId();
}

WebUtil.REQUEST.get(),是获取当前的HttpServletRequest的,项目里封装的方法。

        复写getAuthorizationCacheKey方法后,在getAuthorizationInfo方法中,同一个session就可以获取已经缓存起来的权限,不需要每次请求都调用一次doGetAuthorizationInfo方法了。不知道是不是还有其他更好的解决方案。

逐知逐行
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Spring Boot集成Shiro 登录后访问请求执行Realm的授权doGetAuthorizationInfo方法
zuozhiyoulaisam的专栏
05-20 3227
springboot集成shiro的时候在注解方法访问没有经过授权的校验:aop:config在shiro权限注解中发挥的作用 产生的原因是:授权的注解没有进行生效 需要改正: 1.注入通知器: com.sml.shiro.config.ShiroConfig /** * 注入AuthorizationAttributeSourceAdvisor 实现了Meth...
shiro利用mysql动态授权_SpringBoot+Shiro学习之数据库动态权限管理和Redis缓存
weixin_31093677的博客
02-11 212
发现问题,需找解决思路。之前我们整合Shiro,完成了登录认证和权限管理的实现,登录认证没什么说的,需要实现AuthorizingRealm中的doGetAuthenticationInfo方法进行认证,但是我们在实现doGetAuthorizationInfo权限控制这个方法的时候发现以下两个问题:第一个问题:我们在ShiroConfig中配置链接权限的时候,每次只要有一个新的链接,或则权限需要...
CAS+Shiro 自定义 pac4jRealm 每次判断权限都要重复执行doGetAuthorizationInfo()两次
xiyafei122的博客
03-18 983
代码如下: public class UserRealm extends Pac4jRealm(){ @Override public AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { // TODO Auto-generated method stub System.out.println("Onece"); Set<String> roles=new
自定义realm出现doGetAuthorizationInfo多次重复调用
3k油:知道的越多,不知道的越多
10-09 1599
前言:此次排查的过程,主要是利用debug模式下,深入源码打断点才发现问题所在。 一、问题描述: 练习shiro认证授权,发现授权方法中相关的sql语句多次重复执行了。于是,各种排查,为什么有多次重复执行相同的sql查询,这岂不是很影响性能。于是有了下面的排查过程。 二、发现问题,截图如下: 三、排查过程 (过程1):肯定是先从shiro的配置文件逐个排查过了,没有任何发现,还是解决不了问题。 (过程2):既然是多次sql语句执行,那考虑到是某个方法重复调用了。于是定位到了下边的这个方法。 a)d.
shiro问题记录--doGetAuthorizationInfo重复执行以及关闭shiro自带的session
kevin的博客
06-02 521
shiro整合token实现续签的时候,调试发现了一个奇葩的情况,我的doGetAuthorizationInfo重复执行2次。
shiro权限验证方法 doGetAuthorizationInfo 重复执行的解决办法
进阶的球儿
10-10 2758
很简单,注释掉ShiroConfiguration 中的DefaultAdvisorAutoProxyCreator 即可。 /** * 加入下面2个 可以在controller层使用shiro注解 * 注释掉,解决权限验证多次循环的问题 * @return */ // @Bean(name = "advisorAutoProxyCreat...
完美解决request请求流只能读取一次问题
08-24
完美解决request请求流只能读取一次问题 在Web开发中,Request对象的InputStream只能读取一次,这是一个常见的限制。为了解决这个问题,我们可以自定义一个HttpServletRequestWrapper,覆写getInputStream()和...
Spring AOP实现功能权限校验功能的示例代码
08-28
Spring AOP实现功能权限校验功能的示例代码 本篇文章主要介绍了Spring AOP实现功能权限校验功能的示例代码,通过使用拦截器和AOP技术来实现未登录时跳转到登录界面的功能,以及在service层方法中抛异常来实现权限...
Spring请求参数校验功能实例演示
08-27
Spring请求参数校验功能是Spring MVC中用于确保输入数据有效性的关键特性,它遵循JSR 303标准,该标准定义了一套用于验证Java Bean属性的注解。在这个实例中,我们将探讨如何使用这些注解来实现参数校验。 首先,...
spring boot+shiro 权限认证管理案例
12-20
通过以上步骤,我们可以构建一个集成了 Spring Boot 和 Shiro权限认证管理系统,能够实现用户登录、权限校验话管理等功能,同时利用缓存提升系统性能。在实际开发中,还可以根据需求扩展 Shiro 功能,例如...
shiro执行授权方法 doGetAuthorizationInfo()
05-01
NULL 博文链接:https://rd-030.iteye.com/blog/2359792
shiro中session的共享问题与完成前后端权限校验
最新发布
07-11
本文将深入探讨Shiro中session的共享问题以及如何利用Shiro进行前后端权限校验。 首先,理解Shiro中的Session机制至关重要。Session是Web应用程序中用于跟踪用户状态的一种机制,它存储了用户登录后的相关信息,...
shiro配置多realm,执行多次授权操作即执行各个realm的doGetAuthorizationInfo方法
ITxiaofeixiang的博客
12-31 1098
shiro配置多realm,执行多次授权操作即执行各个realm的doGetAuthorizationInfo方法 查看原因 调用授权 Subject subject = SecurityUtils.getSubject(); subject.isPermitted("abc"); 进入isPermitted方法 进入Subject接口下的一个实现类DelegatingSubject其中方法: public boolean isPermitted(String permission)
shiro AuthorizationInfo doGetAuthorizationInfo 授权调用
q7410p123的博客
04-21 4125
1. 在   @Controller 上加入  @RequiresRoles("admin") 2.手工调用subject.hasRole(“admin”) 或 subject.isPermitted(“admin”) 3.页面标签调用shiro:hasPermission>
shiro权限验证方法doGetAuthorizationInfo执行了两次
大海无量的博客
03-02 7262
每次调用接口时,doGetAuthorizationInfo执行了两次。 // 权限配置(注解方式) /** * 下面的代码是添加注解支持 */ // @Bean // @DependsOn("lifecycleBeanPostProcessor") // public DefaultAdvisorAutoProxyCreator ...
解决:shiro中重写doGetAuthenticationInfo,结果首次登录先执行doGetAuthenticationInfo执行login的问题
一勺菠萝丶的博客
12-20 1万+
前提: Springboot整合Shiro后,启动项目,首次进入登录页面输入用户账号密码点击登录,却先执行AuthRealm类(继承AuthorizingRealm类)中的重写的方法doGetAuthenticationInfo(),token为登录的用户信息,该方法执行后页面报404。手动退回登录页面第二次登录输入用户账号密码点击登录, 此次流程没问题,首先执行login()方法,再次执行do...
关于何时执行shiro AuthorizingRealm 里的 doGetAuthenticationInfo与doGetAuthorizationInfo
热门推荐
fj200821的专栏
01-18 2万+
1.doGetAuthenticationInfo执行时机如下 当调用Subject currentUser = SecurityUtils.getSubject(); currentUser.login(token); 2.doGetAuthorizationInfo执行时机有三个,如下: 1、subject.hasRole(“admin”) 或
shiro 登录不执行授权回调方法doGetAuthorizationInfo
Flyer的后花园
01-30 1万+
转载自:http://blog.csdn.net/qq_31759675/article/details/72268141 这 是 什 么 鬼 ! 登录页面跳转业务处理 SpringMVC控制器 Shiro配置文件 [html] view
shiro一次认证多次授权
weixin_38040972的博客
10-18 2541
shiro一次认证多次授权 springboot整合shiro(使用@Bean注解的形式配置javabean) 1.先在pom文件中引入shiro的jar包; &lt;dependency&gt; &lt;groupId&gt;org.apache.shiro&lt;/groupId&gt; &lt;artifactId&gt;shiro-all&lt;/artifactId&gt; ...
帮我用springsecurity写一段权限校验代码
03-22
好的,以下是一个简单的使用 Spring Security 进行权限校验的代码示例: 首先,需要在 pom.xml 文件中添加 Spring Security 的依赖: ```xml <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-web</artifactId> <version>5.4.2</version> </dependency> ``` 然后,在 Spring 的配置文件中配置 Spring Security: ```xml <security:http auto-config="true"> <security:intercept-url pattern="/admin/**" access="ROLE_ADMIN" /> <security:form-login login-page="/login" default-target-url="/home" authentication-failure-url="/login?error" /> <security:logout logout-success-url="/login?logout" /> </security:http> <security:authentication-manager> <security:authentication-provider> <security:user-service> <security:user name="admin" password="{noop}admin" authorities="ROLE_ADMIN" /> <security:user name="user" password="{noop}user" authorities="ROLE_USER" /> </security:user-service> </security:authentication-provider> </security:authentication-manager> ``` 上面的配置中,我们定义了两个用户:admin 和 user,分别具有 ROLE_ADMIN 和 ROLE_USER 两种角色。我们还定义了一个拦截规则,即访问 /admin/** 的 URL 必须具有 ROLE_ADMIN 角色才能访问。 最后,我们可以在代码中使用 Spring Security 进行权限校验: ```java @RequestMapping("/admin") public String adminPage() { Authentication authentication = SecurityContextHolder.getContext().getAuthentication(); String currentPrincipalName = authentication.getName(); return "Hello, " + currentPrincipalName + ", welcome to admin page!"; } ``` 在上面的代码中,我们首先获取当前用户的认证信息,然后获取当前用户的用户名,最后返回一个欢迎页面。 希望这个示例能够帮助你理解如何使用 Spring Security 进行权限校验
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值