Shiro授权的基本流程

最新推荐文章于 2022-12-24 09:27:36 发布
最新推荐文章于 2022-12-24 09:27:36 发布
阅读量677 收藏
点赞数 1
文章标签: shiro
原文链接:https://blog.csdn.net/zhou199252/article/details/80741361
版权

Shiro的授权流程

用户访问系统资源时的授权流程如下:
在这里插入图片描述
系统调用subject主体对象相关方法将用户权限信息(例如isPermitted)递交给SecurityManager
SecurityManager将权限检测操作委托给Authorizer授权管理器对象
Authorizer授权管理器将用户信息委托给realm
Realm访问数据库获取用户权限信息(有没有权限,有什么样的权限)并封装
Authorizer对用户授权信息进行判定(判断用户访问资源时需要什么权限,假如用户所具有的权限包含这个资源访问时所需要的权限,那么用户就可以访问这个资源了)。
不是每一个用户都能访问系统中的所有资源,能访问哪些资源需要有一个授权的过程,这个授权的对象叫做Authorizer。

授权方式

Shiro支持四种方式的授权验证
Suject subject = SecurityUtils.getSubject();
(1)代码级别权限控制:通过写 if/else授权代码块完成,前面测试类中即该方式

  • if ( subject.hasRole(“管理员”)){
    // 有权限
    }else{
    //无权限
    }
    (2)页面标签权限控制:在页面通过相应的标签完成
    <shiro:hasRole name=“管理员”>
    <!-有权限->
    </shiro:hasRole>
    (3)方法注解权限控制:通过在执行的Java方法上添加相应的注解完成
    @RequiresRoles(“管理员”)
    public String add(Model model){
    //有权限
    }
    (4)URL拦截权限控制:在 ShiroFilterFactoryBean对象中配置URL拦截规则完成
    filterChainDefinitionMap.put("/login",“anon”);
    filterChainDefinitionMap.put("/user/add",“perms[用户添加]”);
    filterChainDefinitionMap.put("/user/edit",“perms[用户编辑]”);
    filterChainDefinitionMap.put("/user/del",“perms[]用户删除]”);

SpringBoot+Shiro授权思路以及代码过程

SpringBoot集成Shiro思路以及代码过程

昨晚你还好嘛
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Shiro权限管理框架详解
WGH100817的博客
01-25 1537
1 权限管理1.1 什么是权限管理 基本上涉及到用户参与的系统都要进行权限管理,权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。 权限管理包括用户身份认证和授权两部分,简称认证授权。对于需要访问控制的资源用户首先经过身份认证,认证通过后用户具有该资源的访问权限方可访问。 1.2 用户身份认证1.2...
Shiro认证流程授权流程
Emma_Joans的博客
10-12 1万+
认证:身份验证,即在应用中谁能证明他就是他本人。一般提供如他们的身份ID一些标识信息来表明他就是他本人,如提供身份证,用户名/密码来证明。 在shiro中,用户需要提供principals (身份)和credentials(证明)给shiro,从而应用能验证用户身份: principals:身份,即主体的标识属性,可以是任何东西,如用户名、邮箱等,唯一即可。一个主体可以有多个principals
Java源码 SpringMVC Mybatis Shiro Bootstrap Rest Webservice
06-07
项目Maven构建,真实大型互联网架构,做到高并发,大数据处理,整个项目使用定制化服务思想,提供模块化、服务化、原子化的方案,将功能模块进行拆分,可以公用到所有的项目中。架构采用分布式部署架构,所有模块进行拆分,使项目做到绝对解耦,稳定压倒一切~~ 持续集成: 1. 我的待办工作流服务(提供Webservice服务) 2. 我的待办工作流集成JMS消息服务(支持高并发,可支持成千上万系统集成) 3. 我的任务提供Rest服务,完成日常的工作管理,通过定时调度平台,动态生成我的任务、循环周期任务、定时邮催提醒完成任务等 4. 文件上传、多线程下载服务化、发送邮件、短信服务化、部门信息服务化、产品信息服务化、信息发布服务化、我的订阅服务化、我的任务服务化、公共链接、我的收藏服务化等 系统模块: 1. 用户管理: 用户信息管理(添加、删除、修改、用户授权、用户栏目管理、查询等) 用户组管理(添加、删除、修改、用户组栏目授权,栏目授权、查询、用户组人员添加查询等) 用户角色管理(添加、删除、修改、用户角色授权、用户角色栏目信息查询设置等) 2. 文章管理: 栏目管理:查询无限极栏目树、创建无限极栏目树分类(导航栏目、图片列表栏目、文章列表栏目、文章内容栏目等)、删除、修改栏目信息。 文章管理:创建、删除、修改文章,多维度文章查询,包括已发布、未发布、所有文章等。文章富文本编辑器、文章多文件上传、文章状态控制等。 3. 系统设置: 数据字典管理:支持中、英文信息,支持无限级别分类配置,动态控制是否可用等。 部门信息管理:支持中、英文无限级别部门信息增加,删除,修改操作,部门列表、树心查询等。 日志管理:系统日志列表查询、在线查看、在线下载等 路线管理:集成百度地图API,提供线路查询管理功能 Druid Monitor(监控):集成阿里巴巴连接池,提供在线连接池监控程序,包括:数据源、SQL监控、URL监控、Session监控、Spring监控等 网站信息管理:通过系统配置文件进行网站内容操作,包括邮件服务器配置、公司基本信息配置等。 4. 集成REST服务,可以用作独立服务平台(提供大量实例及测试平台,包括:文件上传下载、邮件短信发送、部门、产品、公共连接、我的收藏、我的任务、信息发布等) 5. 集成Quartz调度,可以用作定时调度平台(动态配置调度类、调度时间,使程序自动执行某些业务) 6. Lucene搜索引擎,可以将文件资料索引化,支持文件内容搜索、关键字搜索、高亮关键字等,使信息在毫秒内提取查询出来 7. 用户设置功能:包括修改用户信息,修改密码、发送消息,修改个人图片,查看角色、查看用户组,管理员修改角色、用户、用户组等。 8. 集成Webservice平台,包括jaxws服务、CXF框架,配置双加密的权限认证。使服务集成更加安全。 9. Bootstrap html5提供了两套前台开环境,包括CMS和电子商务网站,使您的开发更加的简洁。 技术点: 1. Springmvc + Mybatis集成、SpringSecurity权限控制、Spring AOP事务处理。 2. Wink Rest服务、Webservice服务:jaxws、CXF等 3. IO 流上传下载文件,多线程操作 4. 发送邮件,配置邮件服务器,发基于html、纯文本格式的邮件(可以免费赠送网络爬虫,使其群发邮件,做到广告推送等) 5. MD5加密(登陆密码校验加密等),用户统一Session、Cookie管理,统一验证码校验等。 6. 数据库连接池统一配置 7. Quartz定时调度任务集成(直接通过配置即可) 8. Httpclient破解验证码,登陆联通充值平台 9. 汉字、英文拆分、可以用作文档关键字搜索等。 10. Base64图片处理,支持PC,Android,IOS 11. Service Socket 、Client Socket 通信技术(已经做过GPRS数据获取,并用到了项目中) 12. 提供大量工具类,可以直接使用 13. Maven项目构建,您可以直接做架构,可以提升自己的学习能力,使您成为真正的架构师。 版本支持: 支持版本: jdk 1.6、1.7、1.8 Web容器: Tomcat 6、7、 8 数据库: mysql
ShiroShiro从小白到大神(三)-权限认证(授权)
weixin_34311757的博客
09-22 562
本节讲权限认证,也就是授权 基于角色的访问控制和基于权限的访问控制的小实例 以及注解式授权和JSP标签授权详解 权限认证 权限认证核心要素 权限认证,也就是访问控制,即在应用中控制谁能访问哪些资源 在权限认证中,最核心的三个要素是:权限,角色和用户 (资源也算一个要素,但不是最核心的) 权限,即操作资源的 ...
Shiro学习笔记(3)——授权(Authorization)
热门推荐
君君的专栏
05-28 1万+
什么是授权 授权三要素 Shiro的三种授权方式 1 编码方式授权 2 基于注解的授权 3 JSP标签授权1.什么是授权授权,就是访问控制,控制某个用户在应用程序中是否有权限做某件事2.授权三要素 权限 请看Shiro学习笔记(1)——shiro入门中权限部分内容角色 通常代表一组行为或职责.这些行为演化为你在一个软件应用中能或者不能做的事情。角色通常是分配给用户帐户的,因此,通过分配,用户
shiro授权
yzq102873的博客
08-29 959
shiro授权
Shiro授权
qq_57907966的博客
12-24 1199
在controller层创建接口使用shiro中的注解@RequiresRoles指定能访问的角色名称在自定义的MyRealm自定义授权方法其中的service层dao层数据库表role角色表角色用户关系表。
3.Apache Shiro认证授权流程
相互学习 共同进步
06-17 649
Apache Shiro认证授权流程 继承AuthorizingRealm类然后重写doGetAuthorizationInfo()和doGetAuthenticationInfo()方法 (1)身份认证流程:doGetAuthenticationInfo() 在用户登录的时候调用的也就是执行SecurityUtils.getSubject().login()的时候调用(登录验证) 如果用户未登录,将跳转到loginUrl进行登录,登录表单中,包含了两个主要参数:用户名username、密码passwo
Shiro授权流程
qq_43654581的博客
10-29 358
了解Shiro授权流程,并debug演示
Shiro权限管理
sharesb的博客
09-26 680
使用springboot的异常捕获器处理异常,会捕获所有在controller层发生的异常,返回值直接返回给用户,不需要controller层添加 对应的@RequestMapping,也不需要shiro过滤器开启对应页面的filertmap放行。只能用于前后端未分离项目。且只是不显示对应标签,用户如果在浏览器直接输入路径,还是能访问的,所以要配合第二三种使用。不同于前两种,必须要拦截一个路径,这种方法不需要拦截路径,所以可以用在service层,用户必须具有某个权。当权限不足时,跳转到如下页面。
Jeesite 登录login涉及到shiro验证和授权流程分析
05-29
实习生阶段:进来公司没任何培训,给了我们几个实习生一个月的时间自学SSM框架、掌握开源JeeSite框架和使用JeeSite开发一个小demo(突然感觉头有点大,没人带)然后自己被分配了做涉及使用shiro的登录模块的开发,随时做下笔记,第一次写博客,第一篇博客在此主要分析一下下Jeesite 登录时通过shiro验证和授权的主要流程(关于shrio,先学习下快速入门的使用知识,http://www.cnblogs.com/learnhow/p/5694876.html
focus:focus,用shiro和springboot构建的权限管理系统,用户,角色,资源管理授权,细粒度到权限码
03-23
采用框架前端:jquery,bootstrap前端:springboot,shiro,mybatis,redisson,swagger数据库:mysql jdk:1.8二。编程记录[我的博客记录了基本的构建过程] [访问地址] 账号:melo密码:12345678三。部署过程1.建立...
Java安全框架Shiro在Web中的研究与应用_翁云翔.caj
08-15
的四个基本功能:认证、授权、会话管理、加 密的相关知识,以及其通配符权限系统,为后面利用 Shiro 完成安全模块的设计与 实现奠定了基础。 随后,针对实际项目朵儿网,结合其业务分析了其 Web 应用的安全性...
xmljava系统源码-shiro:shirow3school+自编教程
06-06
安全框架,提供了认证、授权、加密和会话管理等功能,对于任何一个应用程序,Shiro 都可以提供全面的安全管理服务。并且相对于其他安全框架,Shiro 要简单的多。本教程只介绍基本Shiro 使用,不会过多分析源码等...
基于SpringBoot+Shiro+Layui构建的商城商店系统源码+项目说明(高分毕设).zip
最新发布
01-10
- [ ] 小程序授权登录 - [ ] IP定位 - [ ] 下单 - [ ] 订单信息 - [ ] 购物车功能 - [ ] 用户信息 - [ ] 添加、删除、修改收货地址 - [ ] 商品详情 - [ ] 商家详情 - [ ] 测量距离 #### 系统截图 ![ebe_home....
SpringBoot集成Shiro实现认证和授权
loongkingwhat的博客
08-08 874
文章目录一、概念篇(一)关于Shiro(二)SpringBoot中使用Shiro实现自定义的授权与认证二、源码篇(一)依赖库(二)封装AuthenticationToken类型(三)创建自定义Filter类(四)实现自定义Realm类(五)配置自定义Reaml和Filter到Shiro 一、概念篇 (一)关于Shiro 关于Shiro的了解,推荐一门课程:Shiro知识精讲,和一篇文章:https://zhuanlan.zhihu.com/p/54176956 Shiro由三大部分组成,分别是Subjec
Shiro】三、Apache Shiro授权功能的主要流程
KevinBrain的博客
04-01 276
一、Shiro框架的授权功能简介 授权,也称为访问控制,是确定对应用程序中资源的访问权限的过程。换句话说,确定“谁有权访问什么”。授权用于回答安全性问题,例如“是否允许用户编辑帐户”,“是否允许该用户查看此网页”,“该用户是否有权访问此按钮?”这些都是决定用户有权访问哪些内容的决定,因此,所有决定都代表授权检查。 授权是任何应用程序的关键要素,但它很快就会变得非常复杂。Shiro的目标是消除授权方面的许多复杂性,以便您可以更轻松地构建安全的软件。下面是Shiro授权功能的重点。 优点: 基于主.
shiro利用mysql动态授权_shiro实现动态权限管理
weixin_34770855的博客
02-05 394
用到shiro框架实现权限控制时,根据实际要求,权限在数据库增删改后都要把权限过滤链变化实时更新到服务器中。1、配置文件里配置的filterchains都是静态的,但实际开发中更多的是从数据库中动态的获取filterchains。我们都知道ShiroFilterFactoryBean中的setFilterChainDefinitions()是读取配置文件里默认的filterchains,所以我们的...
Shiro基础知识03----shiro授权(编程式授权),Permission详解,授权流程
ChangWen的博客
10-01 1万+
授权,也叫访问控制,即在应用中控制谁能访问哪些资源(如访问页面/编辑数据/页面操作等)。   在权限认证中,最核心的是:主体/用户(Subject)、权限(Permission)、角色(Role)、资源(Resource)。     1、权限,即操作资源的权利,通过权限我们可以表示在应用中用户有没有操作某个资源的权力。即权限表示在应用中用户能不能访问某个资源,比如访问某个页面,以及对某个模块的
shiro验证的流程
08-30
下面是 Shiro 验证的基本流程: 1. 配置 Shiro:首先,需要在项目中配置 Shiro。这包括定义 Shiro 的配置文件(shiro.ini 或 shiro.yml)和创建 Shiro 的主体(Subject)。 2. 获取当前用户的身份认证信息:在进行...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值