springboot shiro 不执行授权方法doGetAuthorizationInfo()

最新推荐文章于 2023-05-11 13:24:58 发布
最新推荐文章于 2023-05-11 13:24:58 发布
阅读量2.1k 收藏 3
点赞数
分类专栏: java 文章标签: java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_67392273/article/details/124034624
版权

AuthorizingRealm中有两个需要被重写的方法,分别是
doGetAuthenticationInfo() //验证功能doGetAuthorizationInfo() //授权功能

在login登录方法中,使用login()方法触发自定义的 myRealm.doGetAuthenticationInfo()*方法,

/*登录方法*/
public void login(){
	Subject subject = SecurityUtils.getSubject();
	UsernamePasswordToken usernamePasswordToken = 
			new UsernamePasswordToken(user.getUsername(),user.getPassword());
	subject.login(usernamePasswordToken);
}


/*myRealm extends AuthorizingRealm*/
@Override
protected AuthenticationInfo doGetAuthenticationInfo(
	AuthenticationToken authenticationToken) throws AuthenticationException 
{
    //加这一步的目的是在Post请求的时候会先进认证,然后在到请求
    if (authenticationToken.getPrincipal() == null) {
        return null;
    }
    //获取用户信息
    String name = authenticationToken.getPrincipal().toString();
    User user = userService.readByUsername(name);
    if (user == null) {
        //这里返回后会报出对应异常
        return null;
    } else {
        Session session = SecurityUtils.getSubject().getSession();
        //将用户id存储到session中
        session.setAttribute("uid",user.getId());
        //这里验证authenticationToken和simpleAuthenticationInfo的信息
        return new SimpleAuthenticationInfo(name, user.getPassword(), getName());
    }
}

然后我在授权方法中打印文字,发现完全没调用到授权doGetAuthorizationInfo() 方法

@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) 
{
    System.out.println("用户授权中...");
    //获取登录用户名
    String loginId = (String) principalCollection.getPrimaryPrincipal();
    //根据用户名去数据库查询用户信息
    User user = userService.readByUsername(loginId);
    //添加角色和权限
    SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
    //用户类型
    simpleAuthorizationInfo.addRole(user.getType().toString());
    //用户权限
    Set<String> permissions = new HashSet<>() {{
        add("shiroRealm >> 权限");
    }};
    simpleAuthorizationInfo.setStringPermissions(permissions);

    SecurityUtils.getSubject().getSession().setAttribute("userType",user.getType());
    SecurityUtils.getSubject().getSession().setAttribute("permissions",permissions);

    return simpleAuthorizationInfo;
}

后面根据百度和自己的猜测,应该是初始化的时候,不会走这个方法,只有要用到权限功能时,才会进这个方法。

一、 在控制器上加 @RequiresRoles 或者 @RequiresPermissions 注解,这两个注解功能是用于验证用户角色、权限是否足够进入这个方法,权限不足时会报错。不过加注解的方法若没调用到,也不会进入到doGetAuthorizationInfo(),所以若是在授权中存放session了,那最好在登录成功后跳转的页面上加这两个注解。

@PostMapping("/test")
@RequiresRoles("0")
public String test(){
    Integer userType = SessionUtil.getUserType();
    System.out.println(userType);
    return "成功访问,用户权限:"+userType;
}

@PostMapping("/test2")
public String test2(){
    Integer userType = SessionUtil.getUserType();
    System.out.println(userType);
    return "成功访问,用户权限:"+userType;

}

举例,我有两个方法testtest2(),我在授权方法中,将用户角色和权限存放在了session中,所以我要是不进入doGetAuthorizationInfo()方法中,这个session就不会初始化。
当我登录成功后,先访问了test2()方法,获取session就是null了,这边我把获取session方法放在了util工具类中。我只有访问了test()方法后,才能在任意方法中取到session的值。

/*
* 获取当前用户类型
* */
public static Integer getUserType(){
   Session session = SecurityUtils.getSubject().getSession();
   return Integer.parseInt(session.getAttribute("userType").toString());
}

二、在登录中直接访问一次
我将登录方法改进了一下,多了一个hasRole()方法。这个方法应该是判断我们设置的权限中有无指定权限,返回boolean值,这边我们不用关心返回值,我们只需要他能够触发到doGetAuthenticationInfo()方法就行了。括号内的权限文字可以随便打。

/*登录方法*/
public void login(){
	Subject subject = SecurityUtils.getSubject();
	UsernamePasswordToken usernamePasswordToken = 
			new UsernamePasswordToken(user.getUsername(),user.getPassword());
	subject.login(usernamePasswordToken);
	subject.hasRole("登录");//用于触发realm中的授权doGetAuthorizationInfo()方法
}
m0_67392273
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro的doGetAuthorizationInfo授权方法始终进不去
天才战士的博客
08-13 2万+
感慨:大二刚开始学java,只顾埋头照着敲,什么语法什么意思通通不知道,敲完运行看看效果正确就洋洋得意一番。后来慢慢懂了基本语法,基本意思,想实现什么功能就百度一下,面向对象编程成了面向百度编程。开始了抄,第一阶段直接抄,代码实现错误就是辣鸡答案。第二阶段,看看代码的基本如何实现,对它进行一些更改达到自己的预期效果。第三阶段,抄它的思想,从它的思想中获得灵感。到了这个阶段,觉得自己好像什么都会,又...
SpringBoot Shiro授权实现过程解析
08-25
授权逻辑编写的位置,我们需要实现doGetAuthorizationInfo方法,该方法负责执行授权逻辑。我们可以在该方法中添加资源的授权字符串,以便Shiro可以根据该字符串进行权限控制。 例如,我们可以添加user:add的授权...
触发shiro中重写realm中doGetAuthorizationInfo 授权方法的几种方式
taiguolaotu的博客
10-20 548
shiro 标签 controller接口上的权限注解 等等 还有就是 清空用户授权信息缓存getAuthorizationCache() 看源码 清空shiro缓存 ,会重新走realm中重写的doGetAuthorizationInfo方法从数据看查询数据权限 参考链接 这辈子坚持与不坚持都不可怕,怕的是独自走在坚持的道路上!!! ...
springboot 集成shiro 注解失效(不进行授权)解决方案
qq_43499489的博客
05-11 474
配置以下两个bean(DefaultAdvisorAutoProxyCreator和AuthorizationAttributeSourceAdvisor)即可实现此功能。* 开启Shiro的注解(如@RequiresRoles,@RequiresPermissions)
Shiro_授权doGetAuthorizationInfo
qq_37432174的博客
07-16 1297
授权流程 shiro支持三种方式的授权: shiro支持三种方式的授权 代码触发 注解触发 标签触发 代码触发 简单授权实现 Shiro.ini [users] #用户root的密码是zsl,此用户具有role1和role2两个角色 root = zsl,role1,role2 #账号为root 密码是 zsl [roles] #角色role1对资源user拥有create、updat...
shiro授权流程
magicproblem的博客
02-03 296
1、授权需要继承 AuthorizingRealm 类, 并实现其 doGetAuthorizationInfo 方法(也可认证) public class MyRealm extends AuthorizingRealm 2、实现doGetAuthorizationInfo方法 /** * 授权 */ @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection
springboot+Shiro 实现动态授权
09-05
SpringBoot结合Apache Shiro实现动态授权是一个常见的权限管理策略,旨在提供灵活且高效的访问控制。在Web应用开发中,安全框架如Spring Security和Shiro帮助我们处理用户认证和授权问题,而SpringBoot的轻量级特性...
springboot-shiro
08-01
2. 实现Realm:重写`doGetAuthenticationInfo`和`doGetAuthorizationInfo`方法,完成用户身份验证和权限授权。 3. 编写Filter配置:在`WebSecurityConfig`中配置ShiroFilterFactoryBean,设置过滤器链,例如登录、...
springboot-shiro-demo.zip
06-22
这样,Shiro 就会参与到 SpringBoot 的整个请求处理流程中,执行相应的安全策略。 在实际运行项目时,用户尝试访问受保护的资源时,Shiro 会拦截请求,如果用户未登录,则会被重定向到登录页面。登录成功后,Shiro ...
Springboot+Shiro记录用户登录信息并获取当前登录用户信息的实现代码
08-19
System.out.println("执行授权逻辑"); // 给资源进行授权 SimpleAuthorizationInfo info = new SimpleAuthorizationInfo(); // 不授权先不写 return info; } @Override protected AuthenticationInfo ...
面试专题系列-Shiro
11-14 470
1.什么是shiro Apache ShiroJava 的一个安全框架。使用 shiro 可以非常容易的开发出足够好的应用,其不仅可以用在 JavaSE环境,也可以用在 JavaEE 环境。Shiro 可以帮助我们完成:认证、授权、加密、会话管理、与 Web 集成、缓存等。 2.Shiro基本模块 Authentication:身份认证/登录,验证用户是不是拥有相应的身份; Authorization授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某
shiro 登录后不走doGetAuthorizationInfo方法
m0_60721514的博客
04-26 503
shiro 登录后不走doGetAuthorizationInfo方法 解决办法 jsp 注解 java测试代码 shiro权限注解 在学习shiro+cas认证登录过程中,环境搭建好后发现请求的时候一直不走doGetAuthorizationInfo这个方法,其实还是配置的问的,自己没有弄懂shiro doGetAuthenticationInfo 登录认证时会进入这个方法 doGetAuthorizationInfo 需要授权时会进入这个方法 解决办法 jsp 在jsp中
Springboot整合shiro:实现用户登录和权限验证
猪大肠的博客
08-25 6489
Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。当然类型大家也可以使用spring security;因为我平时开发的项目都是中小型的,所以使用shiro对于业务来说已经够用了,那么下面是我整理的整合记录; 一、什么是Shiro 这里大家需要先认识一下它的三个重要的组件; 1.1、Subject 即当前的操作用户,就是当前登录的用户; 1.2、SecurityManager 该组件是用来管理所有的操作用户的安全操作 1.3、Realm 该组件需要我们自定义,主
Shiro学习笔记(3)——授权Authorization
热门推荐
君君的专栏
05-28 1万+
什么是授权 授权三要素 Shiro的三种授权方式 1 编码方式授权 2 基于注解的授权 3 JSP标签授权1.什么是授权授权,就是访问控制,控制某个用户在应用程序中是否有权限做某件事2.授权三要素 权限 请看Shiro学习笔记(1)——shiro入门中权限部分内容角色 通常代表一组行为或职责.这些行为演化为你在一个软件应用中能或者不能做的事情。角色通常是分配给用户帐户的,因此,通过分配,用户
Shiro配置跳过权限验证
m0_67393295的博客
08-30 2203
跳过权限验证的原理就是重写**@RequiresPermissions**的实现,然后在配置文件中写一个开关,最后通过Aop注入进去就大功告成.首先在spring的配置中加入 spring.profiles.active ,同时配置 xfs.shiro.skipShiro为true.因为在开发环境,测试环境,有时候需要跳过shiro的权限验证.所以想写个简单的配置跳过shiro的权限验证.既然找到了实现的方法,那么注入一个自己实现类就可以跳过shiro的权限了.覆写的类.我准备将它替换成log日志....
关于org.apache.shiro.SecurityUtils.getSubject().getSession()
weixin_30924239的博客
03-12 2327
SubjectcurrentUser=SecurityUtils.getSubject(); Sessionsession=currentUser.getSession(); session.setAttribute("someKey",someValue); 可以通过与当前执行的Subject 交互来获取Session; 转载于:https:/...
shiro执行授权方法 doGetAuthorizationInfo()
RodJohnson_523391的专栏
03-02 732
[size=x-large][color=black][b]ShiroDbRealm.java 代码如下[/b][/color][/size] [code="java"]public class ShiroDbRealm extends AuthorizingRealm { @Resource private UserService userService; ...
shiro doGetAuthorizationInfo不访问
qq_40937164的博客
05-11 317
doGetAuthorizationInfo获取授权 1.doGetAuthorizationInfo必须要在用户登录后访问页面配置shiro标签一起使用,当访问到shiro标签时会自动访问该方法 2.shiro配合ftl页面使用的话,需要引入标签库才可以 import org.springframework.beans.factory.InitializingBean; import o...
springboot shiro
最新发布
09-02
SpringBoot Shiro是一个基于SpringBoot框架实现的权限控制框架。它提供了一种简单易用且高效的方式来实现用户认证和授权功能。通过使用Shiro的注解和配置,可以方便地对系统的资源进行权限管理。 使用SpringBoot Shiro的过程大致可以分为以下几个步骤: 1. 下载Shiro并创建项目,导入所需的依赖。 2. 在项目中配置Shiro的相关文件,包括log4j.properties和shiro.ini等。 3. 编写Shiro的相关代码,比如定义用户信息、角色和权限等。 4. 运行测试,验证Shiro的功能是否正常运行。 在SpringBoot Shiro中,有一个核心组件叫做SecurityManager,它负责与其他组件进行交互,并管理着所有的Subject。SecurityManager相当于SpringMVC中的DispatcherServlet角色。它是整个Shiro框架的核心,负责处理与安全相关的操作。 总之,SpringBoot Shiro是一个功能强大且易于使用的权限控制框架,可以帮助开发人员快速实现用户认证和授权功能。通过按照上述步骤进行配置和编码,可以轻松地集成ShiroSpringBoot项目中,实现灵活的权限管理。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [SpringBoot Shiro授权实现过程解析](https://download.csdn.net/download/weixin_38663608/12745281)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *2* *3* [SpringBoot(36) —— Shiro快速开始](https://blog.csdn.net/Jzandth/article/details/108914211)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值