Shiro权限

最新推荐文章于 2024-05-01 06:09:37 发布
最新推荐文章于 2024-05-01 06:09:37 发布
阅读量4.3k 收藏 23
点赞数
分类专栏: 【Java】-- 技术类 【框架】-- Shiro 文章标签: shiro 授权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ldb987/article/details/83788781
版权

什么是授权

授权就是在认证的基础上给用户进行角色和权限的授予。权限定义了一个用户是否可以执行某个操作。角色是一组权限的集合,我们通常把一组权限绑定到一种角色上,再吧一个或者多个角色赋给一个用户,这样就是实现了权限的控制。

Shiro授权核心概念

权限 : 即操作资源的权利,比如访问某个页面,以及对某个模块的数据的添加,修改,删除,查看的权利
角色 : 是权限的集合,一种角色可以包含多种权限
用户 : 在 Shiro 中,代表访问系统的用户,即Subject

Shiro授权流程

Shiro授权就是对subject主体进行授权,subject委托给SecurityManager执行授权,而SecurityManager又通过ModelarRealmAuthorizer调用doGetAuthorizationInfo方法执行自定义Realm从数据库查询权限数据,然后ModelarRealmAuthorizer又调用PermissionResolver进行权限串比对,如果“permission串”再realm查询到的权限数据数据汇总,说明用户访问permission串有权限否则没有权限,抛出异常。

Shiro授权三种方式

编程式:通过写if/else 授权代码块完成:
Subject subject = SecurityUtils.getSubject();
if(subject.hasRole(“admin”)) {
//有权限
} else {
//无权限
}

注解式:通过在执行的Java方法上放置相应的注解完成:
@RequiresRoles("admin")
public void hello() {
//有权限
}

JSP/GSP 标签:在JSP/GSP 页面通过相应的标签完成:
<shiro:hasRole name="admin">
<!— 有权限—>
</shiro:hasRole>

自定义Realm

Shiro身份认证这篇文章中的自定义Realm(myRealm)中重写了方法doGetAuthenticationInfo用于身份认证;为了实现授权,现在需要重写doGetAuthorizationInfo方法。

/**
 * 授权
 */
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
   SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
   String sysUserId = ((SysUser)principals.getPrimaryPrincipal()).getId();
   
   // 根据用户ID查询角色(role),放入到Authorization里
   Result<List<SysRole>> rolesResult = sysUserService.getRolesByUserId(sysUserId);
   if(!ResultConstants.RESULT_CODE_SUCCESS.equals(rolesResult.getResultCode())) {
      throw new RuntimeException(ResultConstants.RESULT_CDESC_FAILED);
   }
   authorizationInfo.setRoles(rolesResult.getResultData().stream().map(SysRole::getRoleName).collect(Collectors.toSet()));
   
  // 根据用户ID查询权限(permission),放入到Authorization里。
   Result<List<SysMenu>> menuResult = sysUserService.getMenusByUserId(sysUserId);
   if(!ResultConstants.RESULT_CODE_SUCCESS.equals(menuResult.getResultCode())) {
      throw new RuntimeException(ResultConstants.RESULT_CDESC_FAILED);
   }
   authorizationInfo.setStringPermissions(menuResult.getResultData().stream().map(SysMenu::getShiroFlag).filter(StringUtils::isNotBlank).collect(Collectors.toSet()));

   return authorizationInfo;
}

编程方式

项目中实际上没有用到编程方式授权,所以还有待学习,编程方式实现shiro授权可以参考:添加链接描述
附上shiro授权demo:链接:https://pan.baidu.com/s/1aq8LHoXTxtTYzyFXS-BL7Q 密码:81q9

注解方式

@RequiresAuthentication 验证用户是否登录
@RequiresUser 当前用户已经验证过了或则记住我了
@RequiresGuest 是否是游客身份
@RequiresRoles 判断subject中有aRoleName角色才可以访问方法someMethod: @RequiresRoles({“admin”})
@RequiresPermissions需要拥有权限:@RequiresPermissions({“file:read”, “write:aFile.txt”} )
例子1:
@RequiresRoles注解要求当前subject具有所指定的admin角色才可以执行,否则不会执行改方法并抛出AuthorizationException。

@RequiresRoles("administrator")
public void deleteUser(User user) {
    //此方法仅由管理员调用  
}

使用@RequiresRoles注解的方式大致等同于以下编码方式实现的逻辑:

public void deleteUser(User user) {
    Subject currentUser = SecurityUtils.getSubject();
    if (!subject.hasRole("administrator")) {
        throw new AuthorizationException(...);
    }

    //主体保证在这里是“管理员”
    ...
}

例子2:
@RequiresPermissions注解要求当前subject具有"account:create"创建account许可

@RequiresPermissions("account:create")
public void createAccount(Account account) {
    //此创建帐户的方法仅由主体“允许创建帐户”可调用
}

使用@RequiresPermissions注解大致等同于以下用编程方式实现的逻辑

public void createAccount(Account account) {
    Subject currentUser = SecurityUtils.getSubject();
    if (!subject.isPermitted("account:create")) {
        throw new AuthorizationException(...);
    }

    //保证在这里允许主体
}

JSP标签

> 这里是引用

需求:利用shiro的jsp标签实现对操作按钮的控制
jsp页面

{{if delHidden}}
    <shiro:hasPermission name="event:register:edit">
        <input type="button" class="gray_btn mr10" onclick="toEdit('{{:id}}','edit')" value="编辑">
    </shiro:hasPermission>
    <shiro:hasPermission name="event:register:del">
        <input type="button" class="gray_btn mr10" onclick="toDelete('{{:id}}')" value="删除">
    </shiro:hasPermission>
{{else}}
     <shiro:hasPermission name="event:register:look">
        <input type="button" class="gray_btn mr10" onclick="toEdit('{{:id}}','look')" value="查看">
    </shiro:hasPermission>
{{/if}}

数据库设计
在这里插入图片描述
利用shiro:hasPermission标签,从数据库查询数据,如果数据库存在相应的标签name,此操作按钮显示,如果不存在,操作按钮隐藏

木子松的猫
关注
  • 0
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
shiro权限分配
weixin_44744094的博客
07-29 645
编写html // 登录后的链接 <a th:href="@{|/admin/test|}">需要有admin角色的功能</a><br> <a th:href="@{|/admin/test01|}">需要有admin角色的功能test01</a><br> <a th:href="@{|/admin/add|}">需要有admin角色的功能add</a><br> <a th:href="@{|/
shiro:hasPermission name=“...“>咋用啊
m0_59834108的博客
07-27 3958
如有错误欢迎指正 shiro:haspermission这个标签,对应的是官网给出的一个类,可以判断是否有操作权限,name属性呢,可以理解为名为sys:menu:add的一个操作,传入标签以后,标签来判断一下这个sys:menu:add操作有没有权限运行 如有错误欢迎指正 ...
2024年最全Shiro安全框架——【快速入门、登录拦截、用户认证
最新发布
05-01 302
);} else {”);//注销//退出三、SpringBoot 集成 Shiro1.编写测试环境1.在刚刚的父项目中新建一个 springboot 模块2.导入 SpringBoot 和 Shiro 整合包的依赖SpringBoot 和 Shiro 整合包1.4.1下面是编写配置文件Shiro 三大要素用户 -> ShiroFilterFactoryBean管理所有用户 -> DefaultWebSecurityManager连接数据。
spingsecurity中haspermission用法以及配置自定义PermissionEvaluator
热门推荐
xmj_0422的博客
08-13 1万+
一、原理剖析 先看一段官方文档对haspermission的描述(文档链接:https://docs.spring.io/spring-security/site/docs/5.2.7.BUILD-SNAPSHOT/reference/htmlsingle/#el-permission-evaluator) 开头的意思是haspermission的注解会委托给PermissionEvaluator接口,而这个接口默认实现是DenyAllPermissionEvaluator(源码如下) 这个类的两个
Shiro 权限验证原理
PinkCoder
02-14 2086
Shiro 权限验证原理
@shiro.hasPermission 使用
ywb201314的专栏
10-26 3343
在页面上加上@shiro.hasPermission 如下用.ftl为例子: 当加上shiro标签后,会与后台代码结合使用: 需要继承AuthorizingRealm 下的protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection)进行业务的处理。 关系点:@shiro.hasPermission name=的值要与authorizatio...
Shiro介绍以及各功能的使用
weixin_43967582的博客
12-18 997
Shiro学习 官方文档 什么是shiro Apache Shiro 是一个强大而灵活的开源安全框架,可是实现身份验证、授权、企业会话管理和加密。 整体框架 Subject:当前与软件交互的实体(用户、第 3 方服务、cron 作业等)的特定于安全的“视图”。 SecurityManager: 是 Shiro 的心脏;所有具体的交互都通过 SecurityManager 进行拦截并控制;它管理着所有 Subject、且负责进行认证和授权、及会话、缓存的管理 Authenticator:认证
shiro权限案例demo
07-18
在这个"shiro权限案例demo"中,我们将深入探讨Shiro如何实现用户权限的管理。 首先,让我们了解Shiro的核心组件: 1. **Subject**:是Shiro的中心概念,代表了当前“安全的用户”。它提供了进行认证、授权、会话...
shiro 权限 ssm
08-18
在这个"shiro 权限 ssm"的例子中,我们将探讨如何在基于SpringMVC、Spring和MyBatis(SSM)的环境中集成Shiro来实现用户登录和权限控制。 首先,Shiro的核心组件包括Subject(主体,通常代表用户)、...
shiro权限代码
04-08
在本项目中,"shiro权限代码"主要涉及到如何利用Shiro实现用户的身份验证与权限控制。 首先,我们来了解一下Shiro的基本概念: 1. 身份验证(Authentication):验证用户身份的过程,即用户是谁。 2. 授权...
shiro权限管理示例
01-11
本示例将深入讲解Shiro权限管理中的应用。 首先,我们要理解Shiro的核心概念。`认证`是验证用户身份的过程,通常涉及用户名和密码的匹配。`授权`则是确定用户是否拥有执行特定操作的权限,即权限管理。Shiro通过...
shiro权限所需5表
04-08
在描述中提到的"shiro权限所需5表"是实现基于角色的权限控制(RBAC)的基础数据结构,通常包括用户(User)、角色(Role)、权限(Permission)、角色与权限的关系以及用户与角色的关系这五个核心元素。下面将详细...
【SaaS - Export项目】24 - Shiro授权shiro授权校验,查看用户是否拥有访问权限,无权限拦截请求
m0_67391870的博客
04-11 905
文章目录 Shiro授权功能介绍 通过邮箱查询用户的权限 在中给用户授权 授权校验的几种实现方式 1. 硬编码方式(拦截方法) 2. 配置xml过滤器方式【***推荐使用】 配置用户没有权限访问时的跳转页面 3. 注解方式 4. 使用shiro提供的标签(拦截页面元素:按钮,表格等) Shiro授权功能介绍 1)什么是授权 授权,也叫做授权访问校验,比如在登陆认证后,系统校验用户是否有权限访问资源,就叫授权。 2)实现授权步骤 登陆认证成功后,获取用户的权限
shiro
qq_32295383的博客
04-29 181
Shiro核心api subject: 用户主体(把操作交给SecurityManager) SecurityManager:安全管理器(关联Realm) Realm:shiro连接数据库的桥梁 --------------------------------用户认证 1.Controller //使用shiro编写认证 Subject subject=SecurityUtils.ge...
shiro框架了解
ABestRookie的博客
06-28 440
shiro框架
SpringSecurity页面按钮权限控制
自知的博客
08-11 2802
页面按钮权限的控制,其实就是利用RBAC1权限控制和sec:authorize标签。 一、引入pom依赖 <dependency> <groupId>org.thymeleaf.extras</groupId> <artifactId>thymeleaf-extras-springsecurity5</artifactId> </dependency> 此处使用spring-boot-starter-parent:2
4.Shiro基本表设计
相互学习 共同进步
06-28 2067
Shiro五张表 在Web应用中,对安全的控制主要有角色、资源、权限(什么角色能访问什么资源)几个概念,一个用户可以有多个角色,一个角色也可以访问多个资源,也就是角色可以对应多个权限 数据库设计,至少需要建5张表:用户表、用户-角色表、角色表、角色-资源表、资源表 ①一个用户对应一个或者多个角色。 ②一个角色对应一个或者多个权限。 ③一个权限对应能够访问对应的API或URL资源。 (1)用户表 用户表中至少包含以上的字段,主键id、用户名username、密码password、盐值salt(因为密码
Shiro haspermission 权限验证问题
gong_xucheng的专栏
10-11 1万+
Shiro haspermission 权限验证问题 &lt;shiro:hasPermission name="info:link:edit"&gt; !!! &lt;/shiro:hasPermission&gt; 呵呵,今天调试这个permission问题,发现 hasPermission的继承效果 如果定义权限组 group1  有权限 info 那么他自动拥有 info**** 的权限 ...
java global edit_Java PermissionService.hasPermission方法代碼示例
weixin_31414515的博客
02-16 263
本文整理匯總了Java中org.kuali.rice.kim.api.permission.PermissionService.hasPermission方法的典型用法代碼示例。如果您正苦於以下問題:Java PermissionService.hasPermission方法的具體用法?Java PermissionService.hasPermission怎麽用?Java PermissionS...
shiro权限管理好处
05-31
Shiro权限管理的好处有以下几点: 1. 安全性高:Shiro提供了一套完善的权限管理机制,可以对用户进行认证和授权,确保只有授权的用户才能访问系统中的资源,从而保证系统的安全性。 2. 灵活性强:Shiro权限管理机制非常灵活,可以根据系统的实际需求进行配置,支持多种认证和授权方式,包括基于角色、资源、权限等多种方式。 3. 集成性好:Shiro可以与多种框架进行集成,包括Spring、Struts2、Hibernate等,同时也支持多种安全协议,如OAuth、OpenID等。 4. 易于使用:Shiro的API简单易用,可以快速地集成到项目中,同时也提供了丰富的文档和示例代码,方便开发人员快速上手。 5. 可扩展性强:Shiro可以根据系统的需求进行扩展,支持自定义Realm、Session管理、加密算法等,使得系统的权限管理更加灵活和可扩展。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

木子松的猫

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值