apache shiro框架@RequiresPermissions源码分析

最新推荐文章于 2024-08-04 11:07:52 发布
最新推荐文章于 2024-08-04 11:07:52 发布
阅读量748 收藏 3
点赞数
分类专栏: java 文章标签: java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_52789121/article/details/124503202
版权

1.@RequiresPermissions使用方法

在对应的方法上使用注解

@RequestMapping("user/list")
@RequiresPermissions("user:list")
@ResponseBody
public Map<String, Object> userList(QueryRequest request, User user) {
    return super.selectByPageNumSize(request, () -> this.userService.findUserWithDept(user, request));
}

功能说明:如果当前登录用户包含该权限(user的list查询权限),用户才能访问这个接口获取数据

2.分析实现过程

1.在用户调用接口userList,通过@RequiresPermissions对方法进行拦截

2.获取到@RequiresPermissions注解中的value字符串“user:list”与数据库中配置的该用户的权限做对比

分析:框架做的事情就是把这些过程封装好,我们要做的很简单,设置user权限集合,在方法上对应的注解中添加权限即可。

3.源码分析

1.shiro源码AOP切面类

用来拦截userList接口

源码中拦截了5个注解,其中包括@RequiresPermissions

在这个切点中,调用了performBeforeInterception方法

继续追踪源码发

调用AnnotationsAuthorizingMethodInterceptor(类名中文意思:注解授权方法拦截者)中的

继续往下

5个注解对应5种不同的handler

这里我们只看PermissionAnnotationHandler

看名称就知道终于到了最重要的实现代码

checkPermission(检查权限)

在这里获取到注解中value的权限,与当前用户的权限做对比即可

具体检查的源码就不具体看了,可以想象成字符串比较,当然源码中不会这么简单

下图为关键部分源码,对注释做了翻译

AnnAnnotationsAAnnotationsAuthorizingM

2.下一个问题,如何获取到当前用户的权限?

权限设置(这段不是源码,是我们使用shiro框架需要写的部分)

在代码中我们需要继承AuthorizingRealm类,重写doGetAuthorizationInfo方法

@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principal) {
    User user = (User) SecurityUtils.getSubject().getPrincipal();
    String userName = user.getUsername();

    SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();

    // 获取用户角色集
    List<Role> roleList = this.roleService.findUserRole(userName);
    Set<String> roleSet = roleList.stream().map(Role::getRoleName).collect(Collectors.toSet());
    simpleAuthorizationInfo.setRoles(roleSet);

    // 获取用户权限集
    List<Menu> permissionList = this.menuService.findUserPermissions(userName);
    Set<String> permissionSet = permissionList.stream().map(Menu::getPerms).collect(Collectors.toSet());
    simpleAuthorizationInfo.setStringPermissions(permissionSet);
    return simpleAuthorizationInfo;
}

重写的方法会在AuthorizingRealm类的getAuthorizationInfo方法中被调用

代码中红框部分:Shrio会根据用户配置的缓存方式将权限集合存储在缓存中

而在checkPermission 中通过缓存获取该权限集合进行对比检查

这里的session是shrio中session,并不是web容器中的。

最终将注解中value的权限与session中缓存的当前用户权限进行checkpermission,判断用户是否有权限访问。

AnnotationsAuthorizingAnnotationsAuthorizingMethodInterceptorMethodInterceptor

暮晓引流软件
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
若依源码分析(3)——用户管理
Felix_hyfy的博客
04-19 1万+
系统管理-用户管理 /system/user /** * @RequiresPermissionsShiro的注解 * 只有当用户拥有system:user:list这个字符串时才能访问此方法 */ @RequiresPermissions("system:user:list") @PostMapping("/list") @Respo...
Shiro安全框架
m0_59598908的博客
11-25 412
前言 在没有使用安全框架之前,大家做的登录,权限什么的都是五花八门,各种花里胡哨的代码,不同系统的做法很有可能千差万别。但是使用了一些现成的安全框架之后,大家做权限的方式都一致化了,这样的好处就是你的代码我看起来容易,我的代码你也好理解。 前言:重要单词 Authorization: Shiro中的授权 Security[安全]Manager[管理器] Authenticator: 即认证器 Authorizer: 授权器 Realm: 领域,相当于datasourc...
Shiro之@RequiresPermissions注解原理详解
热门推荐
敲代码的小小酥的博客
02-28 4万+
前言 shiro为我们提供了几个权限注解,如下图: 这几个注解原理都类似,这里我们讲解@RequiresPermissions的原理。 铺垫 第一 首先要清楚@RequiresPermissions的基本用法。就是在Controller的方法里,加上@RequiresPermissions注解,并写上权限标识。那么,有该权限标识的用户,才能访问到请求。如下图: 第二 先剧透一下,@RequiresPermissions注解的原理是使用了Spring的AOP进行了增强。来判断当前用户是否有该权限标识。我们
Shiro框架-史上详解
kentlhxy的博客
05-12 4万+
Shiro   1.权限管理概述 2.Shiro权限框架   2.1 概念   2.2 Apache Shiro 与Spring Security区别 3.Shiro认证   3.1 基于ini认证   3.2 自定义Realm --认证 4.Shiro授权   4.1 基于ini授权   4.2 自定义realm – 授权 5.项目集成shiro 认证-授权注意点   5.1 认证   5.2 授权   5.3 注解@RequiresPermissions()   5.4 标签式权限验证 6.S
Shiro框架Shiro内置过滤器源码解析
博客园
01-12 1186
Shiro框架作为登录鉴权安全模块一款较为流行的开源框架,通过简单的配置即可完成登录鉴权配置,其中离不开Shiro较为丰富、且简单易用的内置过滤器,本文主要对Shiro多种内置过滤器进行源码解析,方便更好的深入透析其执行原理;
SpringBoot整合shiro框架源码下载
天乔巴夏丶
11-17 370
文章目录SpringBoot整合shiro权限管理框架本篇要点一、shiro是什么?用来干什么?二、SpringBoot快速整合shiro导入shiro必要的依赖创建数据源,准备加载用户数据的方法定义核心组件Realm定义shiroConfig,注入核心bean定义登录Controller,理解login的流程定义UserController,理解权限注解的使用三、认证流程四、授权流程五、拦截器机制六、权限注解源码下载参考阅读 SpringBoot整合shiro权限管理框架 本篇要点 shiro简介及核心
Shiro 安全框架 详解
共勉
06-07 4973
Shiro简介 Apache ShiroJava的一个安全(权限)框架Shiro可以非常容易的开发出足够好的应用,不仅可以用在JavaSE环境,也可以用在JavaEE环境。 Shiro可以完成:认证、授权、加密、会话管理、与Web集成、缓存等。 Shiro的下载 在官网上进行下载:http://shiro.apache.org/ 选择Download跳转到下载界面: 选择版本,(当前稳定版本,源代码分发,单击进入) 之后可以在单击zip进行直接下载 或者使用Git项目管理工具进行克隆源代码:Gi
Shiro框架Shiro用户访问控制鉴权流程-Aop注解方式源码解析
博客园
01-20 974
Shiro作为一款比较流行的登录认证、访问控制安全框架,被广泛应用在程序员社区;Shiro登录验证、访问控制、Session管理等流程内部都是委托给SecurityManager安全管理器来完成的,SecurityManager安全管理器前面文章已经进行了详细解析;在此基础上,前面文章已对Shiro用户登录认证流程进行了源码跟踪,对Shiro用户访问控制鉴权流程-内置过滤器方式进行了详细解析;本篇文章继续对用户访问控制鉴权流程-Aop注解方式进行源码解析,了解不同的使用方式以便更好的应用到实际项目中。
Apache Shiro介绍与使用
z_ssyy的博客
03-31 410
什么是shiro? 借用官方的话 Apache Shiro是一种功能强大且易于使用的Java安全框架,可执行身份验证,授权,加密和会话管理,可用于保护任何应用程序的安全-从命令行应用程序,移动应用程序到最大的Web和企业应用程序。 Shiro提供了用于执行以下方面的应用程序安全性API(我将其称为应用程序安全性的4个基石): 身份验证-证明用户身份,通常称为用户“登录”。 授权-访问控制...
shirodemo:SpringBoot集成Shiro博客源码-源码
03-24
【标题】"shirodemo:SpringBoot集成Shiro博客源码-源码客" 提供的是一个基于SpringBoot框架并集成了Apache Shiro安全框架的博客系统的源代码。这个项目对于学习如何在SpringBoot应用中实现用户认证和授权功能非常有...
Shiro权限基础框架
04-22
虽然提供的文件“甘肃联通电子商务需求分析.docx”并未直接涉及Shiro,但在实际的电子商务系统中,Shiro框架可以用于实现用户登录验证、商品访问权限控制、订单处理权限分配等。例如,管理员可能需要查看所有订单,...
Shiro入门源码
08-06
Apache Shiro 是一个强大且易用的Java安全框架,提供了认证、授权、加密和会话管理功能,可以非常容易地开发出足够安全的应用。本文将深入解析Shiro的入门源码,带你理解其核心概念,并结合Spring框架进行整合,帮助...
SpringBoot与Shiro整合-权限管理实战视频+源码
02-25
Shiro框架可以完成包括认证、授权、加密、会话管理、Web集成等任务,并且易于扩展。 - **认证(Authentication)**:验证用户的身份。 - **授权(Authorization)**:决定用户可以做什么操作。 - **加密(Cryptography)*...
SpringBoot与Shiro整合-权限管理实战源码.zip
05-22
5. **源码分析** 提供的"springboot-shiro"源码可能包含了以上所有步骤的实现,包括配置文件、自定义Realm、过滤器链定义、Controller层的权限注解等。通过分析这些源码,我们可以深入理解SpringBoot与Shiro的整合...
枚举工具类
qq_43049583的博客
08-04 133
java枚举工具类
等待唤醒机制两种实现方法-阻塞队列
最新发布
泰勒今天想展开的博客
08-04 188
桌子上有面条-》吃货执行桌子上没面条-》生产者制造执行。
社区养老服务小程序的设计
Karen198的博客
07-31 581
管理员账户功能包括:系统首页,个人中心,用户管理,服务人员管理,服务产品管理,服务预约管理,服务状态管理,服务退订管理,活动管理,视频管理。主要技术:Java,Spring,mybatis,mysql,jquery,html。服务器:SpringBoot自带 apache tomcat。微信端账号功能包括:系统首页,服务产品,活动,视频,我的。JDK版本:Java JDK1.8。数据库可视化工具: navicat。数据库版本: mysql5.7。开发工具:IDEA(推荐)开发系统:Windows。
JavaSE面向对象进阶
qq_45348840的博客
07-30 517
需求:在实际开发中,经常会遇到一些数组使用的工具类;请按照如下要求编写一个数组的工具类:ArrayUtil提供一个工具类方法printArr,用于返回整数数组的内容。返回的字符串格式如:[10,20,50,34,100 ](只考虑整数数组,且只考虑一维数组)提供这样一个工具方法getAerage,用于返回平均分。(只考虑浮点型数组,且只考虑一维数组)定义一个测试类TestDemo,调用该工具类的工具方法,并返回结果。// 私有化构造方法// 定义静态方法,方便调用。i++) {
shiro通过@RequiresPermissions注解开放接口权限,用java语言编写
06-03
是的,Shiro可以通过@RequiresPermissions注解来控制接口的访问权限。在Java语言中,我们可以在Controller中的方法上添加该注解,指定所需的权限,例如: ``` @RequiresPermissions("user:add") @RequestMapping("/user/add") public void addUser() { // ... } ``` 这段代码指定了访问路径为/user/add的接口需要具有"user:add"权限才能访问。如果用户没有该权限,访问该接口时就会被拒绝。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值