Shiro——权限

最新推荐文章于 2023-02-28 17:18:53 发布
最新推荐文章于 2023-02-28 17:18:53 发布
阅读量171 收藏
点赞数 1
分类专栏: shiro 文章标签: mybatis java spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hmj2181629495/article/details/126596761
版权

目录

  • 1. 编写支持服务
    • 1.1 Mapper
    • 1.2 mybatis sql的配置
    • 1.3 service(接口及实现类)
  • 2. 自定义Realm
  • 3. 权限标签
    • 3.1 引入标签库
    • 3.2 使用标签控制权限
  • 4. 使用注解控制权限
    • 4.1 springMVC配置
    • 4.2 注解权限验证失败不跳转路径问题

1. 编写支持服务

1.1 Mapper

 

1.2 mybatis sql的配置

 

1.3 service(接口及实现类)

接口:

 

 

实现类:

 

 

2. 自定义Realm

 

 

3. 权限标签

3.1 引入标签库

<%@taglib prefix="shiro" uri="http://shiro.apache.org/tags" %>

Shiro标签库
guest标签 :验证当前用户是否为“访客”,即未认证(包含未记住)的用户
user标签 :认证通过或已记住的用户
authenticated标签 :已认证通过的用户。不包含已记住的用户,这是与user标签的区别所在
notAuthenticated标签 :未认证通过用户,与authenticated标签相对应。与guest标签的区别是,该标签包含已记住用户
principal 标签 :输出当前用户信息,通常为登录帐号信息
hasRole标签 :验证当前用户是否属于该角色
lacksRole标签 :与hasRole标签逻辑相反,当用户不属于该角色时验证通过
hasAnyRole标签 :验证当前用户是否属于以下任意一个角色
hasPermission标签 :验证当前用户是否拥有指定权限
lacksPermission标签 :与hasPermission标签逻辑相反,当前用户没有制定权限时,验证通过

3.2 使用标签控制权限

注:只是用于演示权限标签,如果有权限则显示功能连接,否则不显示,所以并没有指定具体的链接。

 

<s:hasPermission name="bookmanager:book:add">    
    <li><a href="#">书本查询</a></li>
 </s:hasPermission>
 <s:hasPermission name="bookmanager:book:add">    
    <li><a href="#">书本新增</a></li>
 </s:hasPermission>
 <s:hasPermission name="bookmanager:book:edit">    
    <li><a href="#">书本修改</a></li>
 </s:hasPermission>
 <s:hasPermission name="bookmanager:book:del">    
    <li><a href="#">书本删除</a></li>
 </s:hasPermission>

4. 使用注解控制权限

常用注解:
@RequiresAuthenthentication:表示当前Subject已经通过login进行身份验证;即 Subject.isAuthenticated()返回 true
@RequiresUser:表示当前Subject已经身份验证或者通过记住我登录的
@RequiresGuest:表示当前Subject没有身份验证或者通过记住我登录过,即是游客身份
@RequiresRoles(value = {"admin","user"},logical=Logical.AND):表示当前Subject需要角色admin和user
@RequiresPermissions(value = {"user:delete","user:b"},logical = Logical.OR):表示当前Subject需要权限user:delete或者user:b

4.1 springMVC配置

开启注解,必须将Shiro注解的开启放置到spring-mvc.xml中(即放在springMVC容器中加载),否则Shiro注解开启无效

  <bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator"
      depends-on="lifecycleBeanPostProcessor">
    <property name="proxyTargetClass" value="true"></property>
</bean>
<bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
    <property name="securityManager" ref="securityManager"/>
</bean>

在Controller中加入用于演示的请求处理器:

 

 

在index.jsp中加入功能连接,用于演示权限控制。

 

4.2 注解权限验证失败不跳转路径问题

问题原因:由于我们架构是用springmvc框架来搭建的所以项目的路径跳转是由springmvc 来控制的,也就是说我们在shiro里面的配置没有用

 

解决
springmvc中有一个org.springframework.web.servlet.handler.SimpleMappingExceptionResolver类就可以解决这个问题

<bean id="exceptionResolver" class="org.springframework.web.servlet.handler.SimpleMappingExceptionResolver">
    <property name="exceptionMappings">
        <props>
            <prop key="org.apache.shiro.authz.UnauthorizedException">
                unauthorized
            </prop>
        </props>
    </property>
  </bean>

编写一个用于提示没有权限的页面,页面名称为unauthorized,与上面的配置文件中配置的保持一致,(资料中有该文件可以直接使用)

下次课准备工作
1)申请并[激活]一个Github帐号
2)在window中安装Git
版本要求:Git-2.22.0-64-bit.exe或以上版本,
安装路径:请不要安装在C盘(win10会有权限问题),建议安装在D盘(如:D:\software)

hmj2181629495
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Shiro之授权&注解
qq_66924116的博客
08-26 681
(value = {"user:delete","user:b"},logical = Logical.OR):表示当前Subject需要权限user:delete或者user:b。value = {"admin","user"},logical = Logical.AND):表示当前Subject需要角色admin和user。@RequiresGuest:表示当前Subject没有身份验证或者通过记住我登录过,即是游客身份。:表示当前Subject已经身份验证或者通过记住我登录的。.........
Shiro整合JWT – 通过URL控制权限
果酱 の 博客
07-28 1566
权限控制是保护Web应用中敏感资源的关键。Shiro是一个功能强大且易于使用的Java安全框架,提供了身份验证、授权、加密和会话管理等功能。而JWT是一种轻量级的身份验证和授权机制,通过使用JSON格式的令牌来传递安全凭据。
shiro标签
m0_60380883的博客
02-28 136
shiro常用标签
Shiro的使用(一)
yankun01的博客
10-18 1845
shiro第一天 基于url权限管理 shiro基础     1       课程目标: 1、了解基于资源的权限管理方式 2、掌握权限数据模型 3、掌握基于url的权限管理(不使用shiro实现权限管理) 4、shiro实现用户认证 5、shiro实现用户授权 6、shiro与企业web项目整合开发的方法   2       课程安排 整个课程是系统架构设计相关的课程。
Shiro权限控制
一个死宅的不屈
06-27 2517
shiro权限验证框架
【基于shiro权限管理系统——分布式版】.zip
03-03
一个用springmybatis、redis和shiro开发的分布式权限管理系统 Java是一种高性能、跨平台的面向对象编程语言。它由Sun Microsystems(现在是Oracle Corporation)的James Gosling等人在1995年推出,被设计为一种...
Spring Boot 2.0.4 & Shiro1.4.0 权限管理系统
03-08
Spring Boot 2.0.4 & Shiro1.4.0 权限管理系统。 文章地址:https://xttblog.blog.csdn.net/article/details/88353878 FEBS是一个简单高效的后台权限管理系统。项目基础框架采用全新的Java Web开发框架 —— Spring ...
java 后台权限管理系统
02-21
是一个简单高效的后台权限管理系统。...安全框架采用时下流行的Apache Shiro,可实现对按钮级别的权限控制;前端页面使用Bootstrap构建,主题风格为时下Google最新设计语言Material Design,并提供多套配色以供选择。
管理系统系列--【基于shiro权限管理系统——分布式版】一个用springmybatis、redis和shir.zip
02-25
管理系统系列--【基于shiro权限管理系统——分布式版】一个用springmybatis、redis和shir
Apache Shiro中文开发文档.pdf
12-06
Shiro 视图在所有应用程序环境下实现这些目标——从最简单的命令行应用程序到最大的企业应用,不强制依赖其 他第三方框架,容器,或应用服务器。当然,该项目的目标是尽可能地融入到这些环境,但它能够在任何环境下...
spring-boot-shiro.rar
11-09
3.登录情况访问api接口:访问api接口--->shiro配置拦截——->跳转到shiro权限验证方法doGetAuthorizationInfo--------》【不通过跳转到shiro配置的 shiroFilterFactoryBean.setUnauthorizedUrl("/noPermission");...
ApacheShiro权限框架理论介绍
03-01
Shiro拥有易于理解的API,你可以快速且容易地使用它来保护任何应用程序——从最小的移动应用程序到最大的web和企业应用程序。安全实体:就是被权限系统保护的对象,比如工资数据。 权限:就是需要被校验的行为,...
myshiro:提供一套基于SpringBoot+layui+Shiro+tk_mybatis权限管理思路.前后端都加以控制,做到按钮接口级别的权限管理系统 ,在线地址:http
05-14
安全框架采用Shiro,可实现对按钮级别的权限控制,前端页面使用LayUI构建,主题风格小清新简洁, ,使用activiti实现业务流程的管理。 系统模块(已完成) 请假模块 (已完成) 演示环境账号密码: 账号 密码 权限 ...
shiro-core-1.6.0.zip
05-14
Apache Shiro 权限绕过漏洞分析 Apache Shiro Apache Shiro 版本中cookie值rememberMe通过AES-128-CBC模式加密,容易受到Padding Oracle攻击。攻击者可以通过以下步骤完成攻击: 1、登录Shiro网站,获取持久化...
采用SpringBoot2.0、MyBatis-plus、Shiro框架,开发的一套权限系统
最新发布
03-08
采用SpringBoot2.0、MyBatis-plus、Shiro框架,开发的一套权限系统,敏捷开发代码生成器 基于人人开源二次封装改造,内置生成JSP,HTML,VUE,AVUE样板.zip 适合学习/练手、毕业设计、课程设计、期末/期中/大作业、...
shiro进行权限控制的四种方式
热门推荐
力挽狂澜的POWER
08-19 4万+
我们使用shiro进行权限控制 有以下几种方式 1.  URL拦截权限控制:基于filter过滤器实现 我们在spring配置文件中配置shiroFilter时配置 &lt;!--指定URL级别拦截策略  --&gt; &lt;property name="filterChainDefinitions"&gt;  &lt;value&gt; /css/ = anon /js/ = anon /im...
Shiro权限管理框架详解
WGH100817的博客
01-25 1537
1 权限管理1.1 什么是权限管理 基本上涉及到用户参与的系统都要进行权限管理,权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。 权限管理包括用户身份认证和授权两部分,简称认证授权。对于需要访问控制的资源用户首先经过身份认证,认证通过后用户具有该资源的访问权限方可访问。 1.2 用户身份认证1.2...
Shiro(1) 身份与权限验证
u010478214的博客
06-19 2169
Apache Shiro 是一个轻量级的开源安全框架,用于身份认证,授权,会话管理和加密。 下图描述了Shiro的基本功能: Authentication:有时也简称为“登录”,这是一个证明用户是他们所说的他们是谁的行为。 Authorization:访问控制的过程,即角色与权限控制。 Session Management:管理用户特定的会话,支持非 Web应用,因为Shiro自己实现了一整套的Session
shiro权限控制
10-10
Shiro是一个用于Java应用程序的强大且灵活的安全框架,可以用于实现权限控制。它提供了身份验证、授权、加密、会话管理等功能,可以帮助开发人员轻松地添加安全性到他们的应用程序中。 要使用Shiro进行权限控制,你...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值