shiro授权

最新推荐文章于 2022-08-27 14:45:55 发布
置顶 最新推荐文章于 2022-08-27 14:45:55 发布
阅读量1.2k 收藏
点赞数
分类专栏: 单点登录SSO+Shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hanxuemin12345/article/details/45246515
版权

一、什么是授权

  授权——即访问控制,判断用户是否对资源有访问权限。例如:用户是否有查看某页面的权限,用户是否有操作某按钮的权限等。

 

二、名词

 权限、角色、用户

 

三、授权内部处理机制


  1、调用授权验证方法(SubjectisPermitted* hasRole*)

  2Subject的实例通常是DelegatingSubject类(或子类)的实例对象,在认证开始时,

委托应用程序设置的securityManager实例调用相应的 isPermitted* hasRole*方法。

  3、接下来 SecurityManager会委托内置的 Authorizer的实例(默认是

ModularRealmAuthorizer类的实例,类似认证实例,它同样支持一个或多个 Realm实例认

证)调用相应的授权方法。

  4、每一个 Realm将检查是否实现了相同的 Authorizer接口。然后,将调用 Reaml自己的

相应的授权验证方法。

当使用多个 Realm时,不同于认证策略处理方式,授权处理过程中:

  1、当调用 Realm出现异常时,将立即抛出异常,结束授权验证。

  2、只要有一个 Realm验证成功,那么将认为授权成功,立即返回,结束认证。

 

四,代码示例

  自定义 Realm中,重载doGetAuthorizationInfo()方法,重写获取用户权限的方法:

 

 protected AuthorizationInfo doGetAuthorizationInfo(
 PrincipalCollectionprincipals) {
 
String permissionName;
try{
SimpleAuthorizationInfo author = new SimpleAuthorizationInfo();
 
String username = (String) principals.getPrimaryPrincipal();
 
System.out.println(username);
 
List<String> lstPermission = permissionMgr
.queryUserPermission(username);
Iterator<String> it = lstPermission.iterator();
 
while(it.hasNext()) {
permissionName= it.next().toString();
author.addStringPermission(permissionName);
}
return author; //返回权限集合
 
}catch (Exception e) {
e.printStackTrace();
returnnull;
}
}

  

 

五,总结

认证、授权都是通过Realm来处理的,在Realm中访问数据源获取验证信息及授权信息。可以说, Realm 是专用于安全框架 DAO




 

葵歌小妖
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 15
    评论
专栏目录
Shiro授权&&Shiro的注解式开发
qq_63492318的博客
08-28 662
Shiro授权的代码实现、注解式开发实现Shiro授权...
Shiro授权
m0_60385807的博客
12-25 2274
一、shiro授权角色、权限 思路: 给用户授予角色 给用户授予权限 做法: 1、拿到账号 2、通过用户账号查询对应的能够看到的那些菜单 3、将这些权限交给shiro管理 授予角色做法: 1、拿到账号 2、通过用户账号查询对应的能够看到的那些角色 3、将这些权限交给shiro管理 mapper.xml Mapper.java Service.java Mapper.xml <!--添加通过账号查询用户信息--> <select id="queryByName" resul
shiro 授权
快乐的小三菊的博客
05-14 1811
shiro 授权源码探究
Shiro授权流程
k393393的博客
01-14 815
shiro是如何进行权限验证的呢? 1、
shiro授权无效的原因
m0_67390379的博客
03-28 653
问题 在一个shiro的demo中,设计共有两个页面,add页面和update页面,add页面只能具有user:add字段的用户可以访问,update页面只能具有user:update字段的用户去访问,如果某用户访问add页面,但是没有user:add字段的话,则会呈现用户:未经授权不得访问 这样的一个页面。 代码如下: @RequestMapping("/noauth") @ResponseBody public String unauthorized(){ return
Shiro授权以及注解开发
最新发布
weixin_66202611的博客
08-27 607
(value = {"user:delete","user:b"},logical = Logical.OR):表示当前Subject需要权限user:delete或者user:b --------(权限配置)(value = {"admin","user"},logical = Logical.AND):表示当前Subject需要角色admin和user --------(角色认证):表示当前Subject已经身份验证或者通过记住我登录的 ------(身份认证)......
Shiro】3. Shiro授权流程
xiaoyuan_27的博客
12-20 760
授权 授权,即访问控制,控制谁能访问哪些资源。主体进行身份认证后需要分配权限方可访问系统的资源,对于某些资源没有权限是无法访问的。 授权的关键对象 授权可简单理解为Who对What / Which进行How操作。 Who:主体(Subject),主体需要访问系统中的资源。 What / Which:资源(Resource),如系统菜单、页面、按钮、类方法、系统商品信息等。资源包括资源类型和资源实例,比如商品信息为资源类型,类型为Type01的商品为资源实例,编号为001的商品信息也属于资源实例。
Shiro授权流程图
weixin_36894490的博客
11-11 530
Shiro授权流程Shiro授权流程图Shiro授权流程文字说明 Shiro授权流程图 参考:https://www.w3cschool.cn/shiro/skex1if6.html 根据Shiro授权流程文字说明,绘制流程图如下: Shiro授权流程文字说明 流程如下: 首先调用 Subject.isPermitted*/hasRole接口,其会委托给 SecurityManager,而 SecurityManager 接着会委托给 Authorizer; Authorizer 是真正的授权者,如果我
Shiro授权Shiro授权角色、权限&&Shiro的注解式开发
m0_58525944的博客
12-22 862
今日目标: shiro授权角色、权限 Shiro的注解式开发 本篇博客是在上一篇博客的基础上在进行编程的 shiro认证之md5盐加密&&shiro认证&&shiro加密的测试----shiro与SSM整合_m0_58525944的博客-CSDN博客 一,Shiro授权角色,权限 表结构权限分析图 1在ShiroUserMapper.xml中新增内容 <!--授权的方法--> <select id="getRolesB..
shiro授权的实现原理
08-29
Shiro 授权的实现原理 Shiro 授权的实现原理是指在应用中控制谁能访问哪些资源的机制。这个机制主要涉及到四个关键对象:主体(Subject)、资源(Resource)、权限(Permission)、角色(Role)。 1. 主体...
shiro授权.pdf
08-13
shiro 授权 #资源达人分享计划 # 技术文档
SpringBoot Shiro授权实现过程解析
08-25
SpringBoot Shiro授权实现过程解析 在SpringBoot项目中,Shiro是一个非常流行的授权框架,它提供了完善的授权机制,可以帮助开发者轻松实现授权功能。在本文中,我们将详细介绍SpringBoot Shiro授权实现过程解析,...
shiro授权类图关系简化版
04-13
shiro授权类图关系简化版
CAS数据库查询认证(xml配置)
葵歌小妖
01-27 4702
上篇博客介绍的CAS的Demo,登录界面用户名、密码并没有通过数据库查询认证。本博客,将介绍如何通过xml配置,进行CAS登录数据库查询认证。 所需数据库sso_cas,库中的表:tb_user,表中字段:Id、username、password;   数据库查询认证(通过xml配置) 1,修改cas服务端配置 tomcat下webapps/cas/WEB_INF
单点登录CAS-Demo
葵歌小妖
01-27 4447
1,安全证书配置 CAS默认使用HTTPS协议,如果对安全要求不高,可使用HTTP协议。 修改为HTTP协议的步骤如下: 修改deployerConfigContext.xml  增加参数p:requireSecure="false",意为:不需要安全验证。        <beanclass="org.jasig.cas.authentication.handler.support.H
单点SSO实现原理
葵歌小妖
01-26 1806
所谓单点登录,简单来说就是:一个登录入口,可访问多个系统,得到多个系统的信任。 用户的一次完整操作可能会涉及到多个系统,如果每次都要登录,用户必然会不耐烦,甚至发火,不仅用户,每个系统都要设计登录,做登录的授权认证,也是很啰嗦了。比如:用户逛淘宝,有时候一个链接就可以直接访问到天猫,但是到了天猫,不再需要登录;选择好要买的东西后,加入到购物车结算,选择结算方式--支付宝/建行/农行/工行….跳转
shiro认证
葵歌小妖
04-22 1693
一,什么是认证     认证——验证用户身份合法性。认证过程中,用户需要提供principals(身份实体信息)、credentials(凭据实体信息)。常用的是“实体/凭证”组合,即“用户名/密码”组合。   二、名词解释:     principal:身份(主体的标识属性),如:用户名、手机号、邮箱等(唯一)。     credentials:凭证(只有主体知道的安全值),如密码/
shiro与spring集成
葵歌小妖
04-28 1633
Shiro 应用程序需要一个具有单例SecurityManager 实例的应用程序。请注意, 这不会是一个静态的单例,但应该只有一个应用程序能够使用的实例,无论它是 否是静态单例的。    在Spring 应用程序中启用应用程序单例SecurityManager的最简单配置: <bean class="org.springframework.beans.factory.confi
Apache Shiro授权机制详解
"Apache Shiro是一个强大的Java安全框架,用于实现身份验证、授权、会话管理和缓存等功能。本文将深入探讨Shiro授权机制,包括其核心组件、权限分配和授权流程。" Apache Shiro授权机制是其功能的重要组成部分...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 15
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值