Shiro——授权

最新推荐文章于 2022-12-24 09:27:36 发布
最新推荐文章于 2022-12-24 09:27:36 发布
阅读量207 收藏
点赞数
分类专栏: shiro 文章标签: shiro 授权 认证 权限管理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fancheng614/article/details/83477345
版权
本文介绍了Shiro框架在授权方面的应用,包括授权方式如编程式、注解式和JSP标签,详细解析了默认拦截器的用法,并提供了具体的实现步骤,如配置Spring、SpringMVC和Shiro,以及 Realm 的创建和权限注解的使用。
摘要由CSDN通过智能技术生成

在实际项目中,每一个用户角色登录进系统看到的菜单可能会不一样,这样就涉及到了用户权限的问题,Shiro也是目前常用的权限框架。

源码下载

一、授权方式

shiro支持三种授权方式:

1、编程式(基本不用):通过写if/else授权代码块完成。

2、注解式:通过在执行的Java方法上防止相应的注解完成,没有权限将抛出相应的异常。

3、JSP标签:在JSP页面通过相应的标签完成。

二、默认拦截器

1、rest:例子/admins/user/**=rest[user],根据请求的方法,相当于/admins/user/**=perms[user:method] ,其中method为post,get,delete等。

2、port:例子/admins/user/**=port[8081],当请求的url的端口不是8081是跳转到schemal://serverName:8081?queryString,其中schmal是协议http或https等,serverName是你访问的host,8081是url配置里port的端口,queryString是你访问的url里的?后面的参数。

3、perms:例子/admins/user/**=perms[user:add:*],perms参数可以写多个,多个时必须加上引号,并且参数之间用逗号分割,例如/admins/user/**=perms["user:add:*,user:modify:*"],当有多个参数时必须每个参数都通过才通过,想当于isPermitedAll()方法。

4、roles:例子/admins/user/**=roles[admin],参数可以写多个,多个时必须加上引号,并且参数之间用逗号分割,当有多个参数时,例如/admins/user/**=roles["admin,guest"],每个参数通过才算通过,相当于hasAllRoles()方法。

5、anon:例子/admins/**=anon 没有参数,表示可以匿名使用。

6、authc:例如/admins/user/**=authc表示需要认证才能使用,没有参数

7、authcBasic:例如/admins/user/**=authcBasic没有参数表示httpBasic认证

8、ssl:例子/admins/user/**=ssl没有参数,表示安全的url请求,协议为https

9、user:例如/admins/user/**=user没有参数表示必须存在用户,当登入操作时不做检查

这些过滤器分为两组,一组是认证过滤器,一组是授权过滤器。其中anon,authcBasic,auchc,user是第一组,

perms,roles,ssl,rest,port是第二组。

三、Shiro标签

使用shiro标签之前要在jsp中引入标签库
<%@taglib prefix="shiro" uri="http://shiro.apache.org/tags"%>

shiro的几种标签:
shiro:guest:用户没有身份验证时显示的信息 ,即游客访问信息
shiro:user:用户登陆后显示的信息,通过RememberMe认证通过
shiro:principal:显示用户身份信息
shiro:authenticated:用户已经身份验证通过,即通过Subject.login登录成功,不是RememberMe登录的
shiro:notAuthenticated:用户未进行身份验证,即没有通过Subject.login登录,包括RememberMe自动登录的也属于未进行身份验证
shiro:hasRole name="admin":如果当前Subject有角色,将显示body体内容
shiro:hasAnyRoles name="admin,user":只要有body体内有任意一个角色,就会显示里面的内容
shiro:lacksRole name="admin":如果当前的Subject没有角色将显示标签内内容 
shiro:hasPermission name="user:create":如果当前Subject有权限就显示标签里的内容 
shiro:lacksPermission name="org:create":如果当前Subject没有权限将显示标签里的内容

四、权限注解

权限注解可以用在service和controller层
1、@RequiresAuthentication:表示当前Subject已经通过login进行了身份验证;即Subject.isAuthenticated()返回true
2、@RequiresUser:表示当前Subject已经身份验证或者通过RemmberMe登录的
3、@RequiresGuest:表示当前Subject没有身份验证或通过RemmberMe登录过,即游客身份
4、@RequiresRole(value={"admin","user"},logical=Logical.AND):表示当前Subject需要角色admin和Uuser
5、RequiresPermissions(value={"user:a","user:b"},logical=Logical.OR):表示当前Subject需要权限user:a或user:b

五、具体实现

1、在web.xml中配置Spring、springmvc、shiro。

<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://java.sun.com/xml/ns/javaee" xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_3_0.xsd" id="WebApp_ID" version="3.0">
  <display-name>shiro-2</display-name>
  <welcome-file-list>
    <welcome-file>index.jsp</welcome-file>
  </welcome-file-list>
  
  <!-- 1、配置Spring环境 -->
  <context-param>
  	<param-name>contextConfigLocation</param-name>
  	<param-value>classpath:applicationContext.xml</param-value>
  </context-param>
  <listener>
  	<listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
  </listener>
  
  <!-- 2、配置SpringMVC环境 -->
  <servlet>
  	<servlet-name>spring</servlet-name>
  	<servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class>
  	<init-param>
       <param-name>contextConfigLocation</param-name>
       <param-value>classpath:spring-servlet.xml</param-value>
    </init-param>
  	<load-on-startup>1</load-on-startup>
  </servlet>
  <servlet-mapping>
  	<servlet-name>spring</servlet-name>
  	<url-pattern>/</url-pattern>
  </servlet-mapping>
  
  <!-- 
  3、配置shiro 的 shiroFilter
  DelegatingFilterProxy实际上是Filter的一个代理对象,默认情况下。
  Spring会到IOC容器中查找和<filter-name>相应的filter bean。
      也可以通过targetBeanName的初始化参数来配置filter bean 的id
  -->
  <filter>
      <filter-name>shiroFilter</filter-name>
      <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
      <init-param>
          <param-name>targetFilterLifecycle</param-name>
          <param-value>true</param-value>
      </init-param>
  </filter>

  <filter-mapping>
      <filter-name>shiroFilter</filter-name>
      <url-pattern>/*</url-pattern>
  </filter-mapping>
</web-app>

2、配置springmvc配置文件:spring-servlet.xml

<?xml version="1.0" encoding="UTF-8"?>
<beans
	xmlns="http://www.springframework.org/schema/beans"
	xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
	xmlns:p="http://www.springframework.org/schema/p"
	xmlns:context="http://www.springframework.org/schema/context"
	xmlns:mvc="http://www.spring
最低0.47元/天 解锁文章
下半夜的雨
关注
专栏目录
shiro授权管理方式详解
wonabi的博客
11-24 1019
一.概述  1.授权,又称作为访问控制,是对资源的访问管理的过程。换句话说,控制谁有权限在应用程序中做什么, 通过使用shiro授权功能,能够完成细粒度的权限控制。 2.授权的三要素   授权有着三个核心元素:权限、角色和用户 。   我们需要在应用程序中对用户和权限建立关联,通常的做法就是将权限分配给某个角色,然后将这个角色关联一个或多个用户。 二.s
shiro框架的三种授权方式
java初级学习
03-28 630
Shiro 支持三种方式授权: 编程式:通过写if/else 授权代码块完成: Subject subject = SecurityUtils.getSubject(); if(subject.hasRole(“admin”)) { //有权限 } else { //无权限 } 注解式:通过在执行的Java方法上放置相应的注解完成:...
Shiro的三种授权
Kobe561的博客
01-04 669
前提就是在Realm的授权方法中查询出权限并返回List&lt;String&gt;形式 @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { // 从 principals获取主身份信息 // 将getP...
Shiro授权的三种方式
xiaosun_swz的博客
06-22 601
shiro授权的三种方式
shiro授权
热门推荐
分享牛
05-22 1万+
shiro授权shiro授权,分享牛系列,分享牛专栏,分享牛。shiro授权原理,shiro授权分析。shiro授权1.1 授权流程 1.2 授权方式Shiro 支持三种方式授权: 编程式:通过写if/else 授权代码块完成:Subject subject = SecurityUtils.getSubject();if(subject.hasRole(“admin”)) {//有权限} e
shiro——授权原理(源码流程)
dgh112233的博客
08-29 1010
目录 1. 授权入口 2. 源码追踪 1. 授权入口 subject.isPermitted(url); 这就是入口,如果用户有这个url权限,那么就返回true,如果没有,则返回false。 2. 源码追踪 由于我们的Subject默认是由DelegatingSubject 类实现的,所以调用的是DelegatingSubject类的isPermitted(String url...
shiro——认证
08-05
Apache Shiro 是一个强大且易用的Java安全框架,提供了身份验证、授权、加密和会话管理功能,可以简化开发人员的安全实现。在本主题中,我们将深入探讨Shiro认证过程,即验证用户身份的过程。 认证是任何安全系统...
LayUI+Spring Boot+MySQL+JPA+Shiro——科研信息管理系统.zip
最新发布
03-04
5. **Shiro**:Apache Shiro是一个轻量级的安全框架,用于身份认证授权和会话管理。在科研信息管理系统中,Shiro负责用户的登录验证、权限控制以及会话管理,确保只有授权用户能访问特定资源,保障系统的安全性。 ...
shiro——会话管理
m0_62019369的博客
09-11 741
Shiro提供了完整的企业级会话管理功能,不依赖于底层容器(如Tomcat、WebLogic),不管是J2SE还是J2EE环境都可以使用,提供了会话管理,会话事件监听,会话存储/持久化,容器无关的集群,失效/过期支持,对Web的透明支持,SSO单点登录的支持等特性。 所谓会话,即用户访问应用时保持的连接关系,在多次交互中应用能够识别出当前访问的用户是谁,且可以在多次交互中保存一些数据。如访问一些网站时登录成功后,网站可以记住用户,且在退出之前都可以识别当前用户是谁。
Shiro框架:授权流程、授权方式Shiro授权入门程序、自定义Realm进行授权
张维鹏的博客
07-31 4409
一、Shiro授权: 1、授权与权限: (1)授权:访问控制,必须具有该资源的访问权限才可以访问该资源。 (2)权限模型:标准权限数据模型包括 :用户、角色、权限(包括资源和权限)、用户角色关系、角色权限关系。 (3)权限分配:通过UI界面方便给用户分配权限,对上边权限模型进行增、删、改、查操作。 (4)权限控制: 第一种:基于角色的权限控制:根据角色判断是否有操作权限,因为角色的变化...
Shiro授权
qq_57907966的博客
12-24 1245
在controller层创建接口使用shiro中的注解@RequiresRoles指定能访问的角色名称在自定义的MyRealm自定义授权方法其中的service层dao层数据库表role角色表角色用户关系表。
Shiro系列-Shiro的怎么进行授权操作
初学者
10-31 2752
导语   之前的分享中,提到了Shiro的简单介绍,知道了Shiro是什么,作用是什么,以及用户身份认证。那么完成用户身份认证之后又需要干点啥呢?在用户身份认证之后接下来就要要根据用户身份角色信息进行授权操作,也就是说那些资源或者那些操作是用户可以访问的,那些资源是不可以使用的。那么接下来就来看看Shiro授权怎么实现 文章目录Shiro授权概念主体(Subject)资源(Resource)权...
Shiro学习随笔【三】授权方式
OceanSky的专栏
09-14 396
角色:角色代表了操作集合,可以理解为权限的集合,一般情况下我们会赋予用户角色而不是权限,即这样用户可以拥有一组权限,赋予权限时比较方便。典型的如:项目经理、技术总监、CTO、开发工程师等都是角色,不同的角色拥有一组不同的权限。 隐式角色:即通过角色直接控制用户的权限; 显式角色:在程序中通过权限控制谁能访问某个资源,角色聚合一组权限集合;这样假设哪个角色不能访问某个资源,只需要从角色代表的权限...
Shiro实现授权
史天航的博客
12-10 7155
shiro实现授权 授权,也叫做访问控制,即在应用中控制谁能访问哪些资源(如访问页面、编辑数据、页面操作等)。在授权中需要了解几个关键对象:主体(Subject)、资源(Resource)、权限(Permission)、角色(Role)。 授权的概念 主体: 主体,即访问应用的用户,在Shiro中使用Subject代表用户。用户只有授权后才允许访问相应的资源。 资源: 在应用中用户可以...
shiroshiro授权
weixin_42687829的博客
01-05 306
1、添加角色和权限的授权方法 表设计如下: 用户表: 角色表: 用户-角色中间表: 权限表: 权限-角色中间表: 根据username查询该用户的所有角色的方法,用于角色验证: /** * 根据用户名查询角色 * @author LJ * @Date 2019/1/4 * @Time 11:16 * @...
Shiro权限管理详解教程——实践篇
该书共分为12章,涵盖了从Shiro简介、身份验证、授权、配置、编码/加密、REALM及相关对象、Web集成、拦截器机制、JSP标签、会话管理、缓存机制以及Spring集成等内容。 1. **第一章:SHIRO简介** - 介绍了Shiro的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值