shiro见招拆招(其一): (已解决)shiro权限注解@RequireRole和 @RequiresPermissions使用无效解决方案

最新推荐文章于 2023-05-19 11:46:26 发布
最新推荐文章于 2023-05-19 11:46:26 发布
阅读量2k 收藏 3
点赞数 2
分类专栏: 前车之鉴 文章标签: java shiro
你不知道是你,所以你是你
本文链接:https://blog.csdn.net/lkg5211314/article/details/107662612
版权

shiro见招拆招: @RequiresRoles和 @RequiresPermissions使用无效解决方案

前言

最近笔者在做 CMS系统 的时候, 针对安全框架进行选型, 其实说白了就是对shirosecurity进行筛选, 百度一圈, 知乎一圈敲定使用shiro作为安全框架, 和很多人一样, 第一次使用shiro 自然师从涛哥, 从shiro讲解上 涛哥无疑
NO.1(这真不是舔🐕, 谁用谁知道)

场景再现-- @RequiresRoles失效

经过2个小时的细心配置shiro核心文件, 终于可以使用shiro进行登录、非法用户拦截, 可惜, 好景不长 ,当我尝试使用权限注解@RequiresRoles@RequiresPermissions进行一些 细粒度权限控制时, 悲剧发生。。。

@Slf4j
@Controller
@RequiresRoles(value = "超级管理员")
public class AdminController extends BaseController {

上面我的控制器意图是 只有当前该登录用户拥有角色才可以访问, 使用后我心态崩了(一个游客手动输入url,tm都可以访问), 老规矩,求助度娘,度娘给出的方案是 未开启权限注解

于是乎我参考一份大家都给出的开启权限注解配置, 确实有效

<!-- 让RequiresRoles生效 -->
<bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator" depends-on="lifecycleBeanPostProcessor">
   <!--必须 否则shiro就无法解析权限url-->
   <property name="proxyTargetClass" value="true"/>
</bean>

不过, 遇到我这个人才,自然少不了走一些弯路,当时看到别人的解决方案时 立刻不加思索的绝对这个配置应该加载shiro的配置文件中(仔细想想都没毛病,和shiro相关当然放在spring-shiro.xml中)

<import resource="classpath:spring-shiro-cache.xml"/>
<import resource="classpath:spring-shiro.xml"/>

后来才发现 应该加在spring-mvc.xml的配置中, 因为权限注解是需要被拦截扫描的, 而我照搬涛哥的直接将shiro配置文件读取放在ApplicationContext.xml所以这里你就应该明白, 如果你将开启权限注解的代码放到spring-shiro.xml中, 肯定没有效果

重新添加到spring-mvc.xml中, 欧克可以使用

场景再现-- @RequiresPermissions失效

就当我以为 开启权限只需要注入上面那个bean就可以时, 我又被shiro玩弄了心态, 事情是这样的

@ResponseBody
@RequiresPermissions("selfset/pass/modify")
@RequestMapping("/selfset/pass/modify")
public String modifyPassword(@Valid AdminVo adminvo, BindingResult bindingResult, HttpServletResponse response) throws Exception

说明: RequiresPermissions(“selfset/pass/modify”)此处的格式我这里是不符合shiro标准的, 应该用冒号分割 第一次使用就随性了

正当我相对 权限在进一步细粒度的鉴权时, 又崩了(游客, 还是能修改密码), 于是乎又去百度(码农就是如此 每天都要和度娘进行近百次的运动, 咳咳 我说的是敲键盘)

解决方案: 再加启动@RequiresPermissions的配置

<!-- 让RequiresRoles生效 -->
<bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator" depends-on="lifecycleBeanPostProcessor">
   <!--必须 shiro就无法解析权限url-->
   <property name="proxyTargetClass" value="true"/>
</bean>

<!--让RequiredPermissions生效-->
<aop:config proxy-target-class="true"></aop:config>
<bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
   <property name="securityManager" ref="securityManager"/>
</bean>

注: 顺序不能颠倒, 至于为什么 笔者的第三次心态崩了就是这, 我的理解是 RequiresPermissions的权限粒度应该来源于RequiresRoles, 如果开启顺序不对, 很有可能导致RequiresPermissions开启失败

其他原因

针对我在网上百度权限开启无效的解决方案 我又做了一个梳理

  • 确保你开启注解后 控制台不报错, 如果报错请先解决控制台报错原因
  • 确保你的shiro.xml 配置文件没有缺少必要配置: 安全管理器配置、Realm配置, 生命周期配置
  • 我给出一个新的思路:如果你上面所述情况你都不存在 那么你很有必要看看你自己写的Realm这个类
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection arg0) {
   log.debug("shiro 授权中...............");
   SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();

重点看看这 你是如何授权的,建议授权后,打印你的授权内容,看看注解指定的时候,是不是存在

未完待续

对于我这个犯错大王 ,shiro见招拆招: 其二也不远了, 啊哈哈哈哈哈哈

浮~沉
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
【记录踩坑】在使用Shiro时候注解@RequiresRoles失效问题(已解决
weixin_47201411的博客
09-14 517
解决使用Shiro时候注解@RequiresRoles失效问题
SpringBoot配置Shiro时@RequiresRoles不起作用
一生编程,快乐编程
03-22 314
在SpringBoot中配置Shiro,结果@RequiresRoles、@RequiresPermissions注解无效 解决方法: 在ShiroConfiguration中注入开启支持aop、代理的bean。具体如下: @Configuration public class ShiroConfiguration { /** * 开启shiro aop注解支持.否则...
Shiro @RequiresRoles注解不生效解决方案及相应设置
热门推荐
坤哥的博客
11-25 2万+
刚开始集成的时候@RequiresRoles和@RequiresPermissions注解一直不生效,只能进入方法之后在代码中判断 Subject subject= SecurityUtils.getSubject(); try { subject.checkPermissions("add","update"); }catch
Shiro @RequiresRoles注解不起作用的解决办法
飞起来的小猪的博客
03-08 4656
最近在学习SSM框架下集成Shiro,在使用Shiro注解使用发现并不起作用,并且也在applicationContext.xml中添加了Shiro开启注解的配置。 Shiro 开启注解的配置如下: &lt;!--Shiro配置--&gt; &lt;!-- 1.配置lifecycleBeanPostProcessor,可以在Spring IOC容器中调用shiro的生...
springboot使用shiro的@Requiresroles注解不起作用(解决方法)
weixin_45947759的博客
05-21 645
shiro的视频发现@Requiresroles不生效 解决方法:spring容器中 @Bean public DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator() { DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator = new DefaultAdvisorAutoProxyCreator(); advisorAutoProxyCreator.
基于Java和Redis的shiro缓存集中式解决方案设计源码
最新发布
05-31
shiro缓存集中式解决方案项目源码,共63个文件,全部采用Java语言编写,涉及多种文件类型如Java源代码、XML...该项目是一个基于Java和Redis的shiro缓存集中式解决方案设计,旨在提供一个高效、稳定的缓存管理解决方案
Spring配置shiro时自定义Realm中属性无法使用注解注入的解决办法
08-26
今天小编就为大家分享一篇关于Spring配置shiro时自定义Realm中属性无法使用注解注入的解决办法,小编觉得内容挺不错的,现在分享给大家,具有很好的参考价值,需要的朋友一起跟随小编来看看吧
Spring Boot 自定义 Shiro 过滤器无法使用 @Autowired问题及解决方法
08-25
Spring Boot 自定义 Shiro 过滤器无法使用 @Autowired 问题及解决方法 在 Spring Boot 中集成 Shiro使用 JWT 进行接口认证时,可能会遇到自定义 Shiro 过滤器无法使用 @Autowired 问题。下面将详细介绍该问题及...
SpringBoot 、Shiro、 自定义注解权限控制源码下载
04-06
4. **Shiro权限控制**:掌握如何使用Shiro注解进行权限判断,如@RequiresPermissions、@RequiresRoles等。 5. **MyBatis Plus的使用**:学习如何创建实体类、Mapper接口,以及如何编写Mapper XML文件来实现数据...
shiro和spring整合,使用权限注解
08-31
Shiro和Spring的整合是企业级应用中常见的安全框架组合,它们共同构建了一个强大的权限管理解决方案。本文将深入探讨如何在Spring AOP(面向切面编程)环境中集成Shiro,以及如何通过权限注解实现细粒度的访问控制。...
shiro注解@RequiresRoles()、@RequiresPermissions()不生效,以及静态资源被拦截
weixin_46303407的博客
02-16 1456
shiro使用前需要配置,其中就会有一个名叫ShiroConfig的类 ··· import org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor; import org.apache.shiro.spring.web.ShiroFilterFactoryBean; import org....
@RequiresPermissions的作用
gys9895的博客
09-11 260
@RequiresPermissions的作用
ssm整合shiro过程中 @RequiresPermissionsshiro注解不生效解决办法
weixin_44363422的博客
01-22 854
前言 shiro内置了几个注解,比如最常用之一的 @RequiresPermissions,这个注解可以规定哪些用户可以访问哪些接口。 但是好多小伙伴在controller层里使用shiro注解的时候,发现这些注解并没有生效,关于这个问题在这篇博客中会有所讲述。 正文 在上一篇博客中所配置的项目中,使用qiu这个用户登录,如下图可以得知,qiu这个用户他有三个权限功能。 在controller层...
Spring Boot Shiro权限控制
笙箫的博客
07-17 851
在《Spring-Boot-shiro用户认证》中,我们通过继承AuthorizingRealm抽象类实现了doGetAuthenticationInfo()方法完成了用户认证操作。接下来继续实现doGetAuthorizationInfo()方法完成Shiro权限控制功能。 授权也称为访问控制,是管理资源访问的过程。即根据不同用户的权限判断其是否有访问相应资源的权限。在Shiro中,权限控制有三个核心的元素:权限,角色和用户。 库模型设计 在这里,我们使用RBAC(Role-Based Acces
Shiro @RequiresRoles注解不生效解决方案(针对spring boot2.0)
AinUser的博客
08-17 1394
/** * @author: tianyong * @time: 2018/8/14 17:09 * @description:开启代码权限注解支持 */ @Bean public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityMana...
.Net Core6.0 WebAPI项目框架搭建五:JWT权限验证
yigu4011的博客
05-19 3889
在SetUp文件夹里面新建注册方法AuthorizationSetup.cs。这里就不过多的阐述了,直接上代码。在HomeController中新建Login接口来获取Token。在appsettings.json中配置jwt参数的值。上面我们是用的Admin的权限,所以会提示403错误。在program.cs里面注册服务,开启服务。SecretKey必须大于16个字符。新建JwtHelper.cs帮助类。解析出来的role是Admin。
@requirespermissions 无效问题原因
weixin_33901641的博客
03-14 4127
为什么80%的码农都做不了架构师?>>> ...
Shiro中@RequiresRoles和@RequiresPermissions使用
weixin_44967580的博客
05-10 4911
@RequiresRoles("user") //具有user角色可以访问 @RequiresRoles(value = {"admin","user"},logical = Logical.AND)//用来判断是否拥有角色 同时具有admin 和 user角色才能访问 @RequiresRoles(value = {"admin","user"},logical = Logical.OR)//用来判断是否拥有角色 具有admin 或 user其中一角色才能访问 @RequiresPermiss
shiro中@RequiresPermissions注解不生效的解决办法
半城山半城水
05-17 5942
shiro中@RequiresPermissions注解不生效的解决办法 项目采用springboot和shiro,需要对用户的访问权限进行控制,就在controller层的方法上加上@RequiresPermissions(“AUTH_USER”)注解,发现并没有生效。查阅一些资料后才明白,原来是没有开启shiro注解支持,需要在ShiroConfiguration 配置类中,加上开启注解的代...
shiro通过@RequiresPermissions注解开放接口权限,用java语言编写
06-03
是的,Shiro可以通过@RequiresPermissions注解来控制接口的访问权限。在Java语言中,我们可以在Controller中的方法上添加该注解,指定所需的权限,例如: ``` @RequiresPermissions("user:add") @RequestMapping("/user/add") public void addUser() { // ... } ``` 这段代码指定了访问路径为/user/add的接口需要具有"user:add"权限才能访问。如果用户没有该权限,访问该接口时就会被拒绝。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值