Shiro权限控制(三):Shiro注解权限验证

最新推荐文章于 2024-07-08 16:55:04 发布
最新推荐文章于 2024-07-08 16:55:04 发布
阅读量1.2w 收藏 33
点赞数 2
分类专栏: Shiro 文章标签: Shiro Shiro注解 Shiro权限验证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kity9420/article/details/89198613
版权

一、目标

权限配置在数据库中,通过注解Shiro的注解实现服务的权限验证

二、前言
在前面的一篇博文中《Shiro权限控制(二):自定义Filter》,我们的权限验证是配置在shiro配置文件中的,即在spring-shiro-web.xml中的ShiroFilterFactoryBean的filterChainDefinitions属性中,如下

    <!-- Shiro的web过滤器 -->
    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
    	<property name="securityManager" ref="securityManager"></property>
    	<property name="filters">
    		<map>
    			<entry key="authc" value-ref="loginCheckPermissionFilter"></entry>
    			<entry key="perms" value-ref="permissionsAuthorizationFilter"></entry>
    		</map>
    	</property>
    	<property name="filterChainDefinitions">
    		<value>
                /user/queryUserInfo = authc
                /user/deleteUser/** = perms[USER:DELETE]
    		</value>
    	</property>
    </bean>

如何通过注解的方式,实现权限的验证呢?请看下面的介绍

三、启用注解
1、必须在Spring MVC的配置文件中,增加以下配置,启用Shiro的权限注解功能

    <bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator"
	        depends-on="lifecycleBeanPostProcessor" />
	        
	<bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
	        <property name="securityManager" ref="securityManager" />
	</bean>

说明:我的Spring MVC的文件是spring-servlet.xml,该文件必须在web.xml文件中引入

   <servlet>
	 	<servlet-name>springmvc</servlet-name>
	 	<servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class>
	 	<init-param>
	 		<param-name>contextConfigLocation</param-name>
	 		<param-value>classpath:config/spring-servlet.xml</param-value>
	 	</init-param>
	</servlet>
	<servlet-mapping>
		<servlet-name>springmvc</servlet-name>
		<url-pattern>/*</url-pattern>
	</servlet-mapping>

2、在spring-shiro-web.xml文件中增加以下配置

    <bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"></bean>

通过上面的配置,Shiro的权限注解已经生效,下面来验证一下

三、验证

1.创建权限表
分别增加角色表sys_role_t,角色权限表sys_role_perm_t,用户角色权限关系表user_role_perm_t

在角色表sys_role_t中初始化三个角色,分别为系统管理员,普通用户,区域管理员在这里插入图片描述

在角色权限表sys_role_perm_t中初始化普通用户,区域管理员具有增、删、改、查权限
在这里插入图片描述
在用户角色权限关系表user_role_perm_t中配置user_id=1的用户,有普通用户角色的查询、编辑、新增权限;有区域管理员角色的删除权限
在这里插入图片描述

2.自定义UserShiroRealm
自定义UserShiroRealm,继承AuthorizingRealm,重写doGetAuthorizationInfo方法,在方法中查询用户的所有权限,并交给Shiro进行权限验证

    @Override
	protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
		String userName = (String)principals.getPrimaryPrincipal();
		if(userName == null) {
			throw new BugException("未登录");
		}
		SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
		Set<String> roles = new HashSet<String>();
		Set<String> stringPermissions = new HashSet<String>();
		List<UserPermissionVO> list = userService.queryUserPermission(userName);
		for (UserPermissionVO userPermissionVO : list) {
			roles.add(userPermissionVO.getRoleCode());
			stringPermissions.add(userPermissionVO.getPermCodes());
		}
		//roles.add("USER");
		//stringPermissions.add("USER:DELETE");//角色:删除权限
		info.setRoles(roles);
		info.setStringPermissions(stringPermissions);
		
		return info;
	}

3.编写服务
服务名称:增加用户
权限要求:普通用户角色的新增权限 或 区域管理员的新增权限才可访问

    @ResponseBody
	@RequiresPermissions(value = { "CUSTOMER_USER:ADD","AREA_MANAGER:ADD" },logical=Logical.OR)
	@RequestMapping(value="/addUser",method = RequestMethod.GET)
	public ResponseVO<String> addUser() {
		ResponseVO<String> response = new ResponseVO<String>();
		try {
			response.setMessage("add user success");
		} catch (Exception e) {
			logger.error("add user error:",e);
			response.setStatus(ResponseVO.failCode);
		}
		return response;
	}

logical=Logical.OR 表示或,满足其中一个权限即可访问
logical=Logical.AND 表示与,满足所有权限才可访问

未登录,直接访问http://localhost:8080/bug.web/user/addUser,报如下错误,提示没有登录
在这里插入图片描述
登录成功后,再次访问http://localhost:8080/bug.web/user/addUser,请求成功,如果从数据库中删除用户的 CUSTOMER_USER:ADD权限和AREA_MANAGER:DELETE权限,再次请求时报如下错误,提示没有访问权限
在这里插入图片描述
上面的异常如何处理请看另一篇博文《Shiro权限控制之注解验证异常处理(四)》

上面只是用到了@RequiresPermissions注解,其他注解如下

四、其他注解说明
@RequiresAuthentication

验证用户是否登录,等同于方法subject.isAuthenticated() 结果为true时。

@RequiresUser

验证用户是否被记忆,user有两种含义:

一种是成功登录的(subject.isAuthenticated() 结果为true);

另外一种是被记忆的(subject.isRemembered()结果为true)。

@RequiresGuest

验证是否是一个guest的请求,与@RequiresUser完全相反。

换言之,RequiresUser == !RequiresGuest。

此时subject.getPrincipal() 结果为null.

@RequiresRoles

例如:@RequiresRoles(“aRoleName”);

void someMethod();

如果subject中有aRoleName角色才可以访问方法someMethod。如果没有这个权限则会抛出异常AuthorizationException。

@RequiresPermissions

例如: @RequiresPermissions({“file:read”, “write:aFile.txt”} )
void someMethod();

要求subject中必须同时含有file:read和write:aFile.txt的权限才能执行方法someMethod()。否则抛出异常AuthorizationException。

longwentao1999
关注
  • 2
    点赞
  • 33
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
shiro权限注解和会话管理
qq_41644069的博客
10-28 726
1.shiro权限注解 注解可以放在controller对应的方法上,也可以放在service层对应的方法上。 @RequiresAuthentication:表示当前Subject已经通过login进行了身份验证;即Subject.isAuthenticated()返回true。 @RequiresUser:表示当前Subject已经身份验证或者通过记住我登录的。 @RequiresGuest:表示当前Subject没有身份验证或通过记住我登录过,即是游客身份。 @RequiresRoles(v
vue与shiro结合实现权限按钮
12-15
Vue.js作为一个轻量级的前端框架,搭配Apache Shiro这样的安全管理框架,可以有效地实现前端的细粒度权限管理,如按钮级别的权限控制。本文将详细介绍如何在Vue项目中结合Shiro实现这一功能,以及所需的前置技术。 ...
Shiro权限管理】17.Shiro权限注解
程序猿之洞
12-10 9518
注:该系列所有测试均在之前创建的Shiro3的Web工程的基础上。 前面我们讲解了Shiro的标签属性,下面我们来讲解Shiro的有关权限注解属性。 Shiro注解是使用在相应的Java类的方法上,当用户不满足注解的要求时,是无法执行 方法内部逻辑的。这相当于在代码层做了权限校验Shiro注解可以放置在Controller层对应的方法上,也可以放置在Service层对应的方法
Shiro框架2——shiro的认证+shiro的授权
最新发布
qq_64064246的博客
07-08 1206
通过分析源码可得:认证:1.最终执行用户名比较是 在SimpleAccountRealm类 的 doGetAuthenticationInfo 方法中完成用户名校验2.最终密码校验是在 AuthenticatingRealm类 的 assertCredentialsMatch方法 中总结:认证realm授权realm自定义Realm的作用:放弃使用.ini文件,使用数据库查询。
shiro注解权限控制-5个权限注解
adai1682的博客
01-25 221
RequiresAuthentication: 使用该注解标注的类,实例,方法在访问或调用时,当前Subject必须在当前session中已经过认证 RequiresGuest: 使用该注解标注的类,实例,方法在访问或调用时,当前Subject可以是“gust”身份,不需要经过认证或者在原先的session中存在记录。 Require...
spring shiro权限注解方式验证
热门推荐
huzheaccp的专栏
04-30 3万+
第一种使用shiro注解方式:
shiro 的5个权限注解
weixin_43564627的博客
03-19 280
shiro注解权限控制-5个权限注解 Shiro共有5个注解,接下来我们就详细说说吧 RequiresAuthentication: 使用该注解标注的类,实例,方法在访问或调用时, 当前Subject必须在当前session中已经过认证。 RequiresGuest: 使用该注解标注的类,实例,方法在访问或调用时, 当前Subject可以是“gust”身份,不需要经过认证或者在原先的session中存在记录。 RequiresPermissions: 当前Subject需要拥有某些特定的权限时,才能执行
SpringBoot 、Shiro、 自定义注解权限控制源码下载
04-06
这在描述中提到的"自定义注解权限控制"就是指这一功能。 MyBatis Plus则是在MyBatis的基础上扩展的一套轻量级框架,它简化了数据库的基本操作,如增删改查、条件查询等。MyBatis Plus提供了丰富的API,开发者无需...
springboot整合shiro实现权限控制.zip
02-04
5. **安全控制器**:在Spring Boot的控制器中,我们可以通过Shiro注解来实现权限控制,如`@RequiresAuthentication`表示需要用户已登录,`@RequiresPermissions`表示需要具有特定的权限。 6. **启动Shiro**:在...
shiro-spring-support:提供shiro权限控制支持
04-30
"shiro-spring-support" 模块则是 Shiro 与 Spring 框架集成的一个支持包,使得在 Spring 应用中使用 Shiro 进行权限控制变得更加方便。 Shiro 的核心组件包括: 1. **身份认证 (Authentication)**:这是验证用户...
pringmvc整合shiro权限控制的实例教程共15页
11-21
SpringMVC与Shiro整合是Java Web开发中常见的权限管理框架组合,它们的结合能够帮助开发者轻松实现用户登录验证权限控制以及会话管理等功能。本教程将详细讲解如何将SpringMVC与Apache Shiro进行整合,以实现一个...
spingmvc集成shiro实现权限注解
08-31
spingmvc集成shiro实现权限注解,通过注解的方式实现权限管理
shiro权限注解
Vick C的博客
02-24 623
【原文】http://blog.csdn.net/w_stronger/article/details/73109248shiro的5个权限注解1.RequiresAuthentication:使用该注解标注的类、实例、方法在访问或调用时,当前Subject必须在当前session中已经过认证。2.RequiresGuest:使用该注解标注的类、实例、方法在访问或调用时,当前Subject可以是“...
Shiro权限注解
张育嘉的博客
09-05 399
Shiro 提供了相应的注解用于权限控制,如果使用这些注解就需要使用AOP 的功能来进行判断,如Spring AOP;Shiro 提供了Spring AOP 集成用于权限注解的解析和验证。 @RequiresAuthentication 表示当前Subject已经通过login 进行了身份验证;即Subject. isAuthenticated()返回true。 @RequiresUs...
Shiro权限注解
qq_41184777的博客
03-09 309
Shiro权限注解(可以用在Controller层对应的方法上/Service层对应的方法上) 1》@RequiresAuthentication:表示当前Subject已经通过login进行了身份验证;即Subject.isAuthenticated()返回true。 2》@RequiresUser:表示当前Subject已经身份验证或者通过记住我登录的。 3》@RequiresGuest:表...
shiro 实现自己定义权限规则校验
weixin_33711647的博客
07-26 114
&lt;span style="font-family: Arial, Helvetica, sans-serif;"&gt;在系统中使用shiro进行权限管理,当用户訪问没有权限的资源时会跳转到指定的登录url。&lt;/span&gt; 可是假设系统中支持手机app。手机訪问时没有使用session进行登录凭证管理。而是使用token,有两种解决方法: 1:支持手机client訪问...
Shiro注解权限验证方式
AsShadow的博客
02-25 435
Shiro验证权限 shiro常用的注解验证权限方式 @RequiresAuthentication 表示当前Subject已经通过login 进行了身份验证;即Subject. isAuthenticated()返回true。 @RequiresUser 表示当前Subject已经身份验证或者通过记住我登录的。 @RequiresGuest 表示当前Subject没有身份验证或通过记住我登...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值