Shiro权限验证——授权(Authorization)

最新推荐文章于 2023-08-09 22:59:11 发布
最新推荐文章于 2023-08-09 22:59:11 发布
阅读量924 收藏 1
点赞数
分类专栏: java 文章标签: java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_67401153/article/details/124022695
版权

Shiro学习笔记(3)——授权(Authorization)

1.什么是授权

授权,就是访问控制,控制某个用户在应用程序中是否有权限做某件事

2.授权三要素

  • 权限

    请看Shiro学习笔记(1)——shiro入门中权限部分内容

  • 角色

    通常代表一组行为或职责.这些行为演化为你在一个软件应用中能或者不能做的事情。角色通常是分配给用户帐户的,因此,通过分配,用户能够“做”的事情可以归属于各种角色

    • 隐式角色:一个角色代表着一系列的操作,当需要对某一操作进行授权验证时,只需判断是否是该角色即可。这种角色权限相对简单、模糊,不利于扩展
    • 显式角色:一个角色拥有一个权限的集合。授权验证时,需要判断当前角色是否拥有该权限。这种角色权限可以对该角色进行详细的权限描述,适合更复杂的权限设计。Shiro官方推荐使用这种方式。

  • 用户

    通常我们将一系列的权限分配给角色,一个用户可以拥有多个角色。这样我们就能控制用户拥有哪些权限

3.Shiro的三种授权方式

可以参考官方文档Apache shiro

3.1 编码方式授权

这种方式授权在前面的博客有出现过,只不过没有进行详细说明,可以参考
1.Shiro学习笔记(1)——shiro入门
2.Shiro学习笔记(2)——身份验证之Realm

现在再写一次

  • 创建java工程,添加需要的jar包

  • 自定义Realm,给用户分配一个权限和角色

    package com.shiro.realm;

    import java.util.HashSet;
    import java.util.Set;

    import org.apache.shiro.authc.AuthenticationException;
    import org.apache.shiro.authc.AuthenticationInfo;
    import org.apache.shiro.authc.AuthenticationToken;
    import org.apache.shiro.authc.IncorrectCredentialsException;
    import org.apache.shiro.authc.SimpleAuthenticationInfo;
    import org.apache.shiro.authc.UnknownAccountException;
    import org.apache.shiro.authc.UsernamePasswordToken;
    import org.apache.shiro.authz.AuthorizationInfo;
    import org.apache.shiro.authz.SimpleAuthorizationInfo;
    import org.apache.shiro.realm.AuthorizingRealm;
    import org.apache.shiro.realm.Realm;
    import org.apache.shiro.subject.PrincipalCollection;
    import org.slf4j.Logger;
    import org.slf4j.LoggerFactory;

    public class MyRealm1 extends AuthorizingRealm{

    private static final transient Logger log = LoggerFactory.getLogger(Main.class);

/**
 * 获取身份信息,我们可以在这个方法中,从数据库获取该用户的权限和角色信息
 */
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
    log.info("----------doGetAuthorizationInfo方法被调用----------");
    String username = (String) getAvailablePrincipal(principals);
    //通过用户名从数据库获取权限字符串
    SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
    //权限
    Set<String> s = new HashSet<String>();
    s.add("printer:print");
    s.add("printer:query");
    info.setStringPermissions(s);
    //角色
    Set<String> r = new HashSet<String>();
    r.add("role1");
    info.setRoles(r);

    return info;
}
/**
 * 在这个方法中,进行身份验证
 */
@Override
protected AuthenticationInfo doGetAuthenticationInfo(
        AuthenticationToken token) throws AuthenticationException {
    //用户名
    String username = (String) token.getPrincipal();
    log.info("username:"+username);
    //密码
    String password = new String((char[])token.getCredentials());
    log.info("password:"+password);
    //从数据库获取用户名密码进行匹配,这里为了方面,省略数据库操作
    if(!"admin".equals(username)){
        throw new UnknownAccountException();
    }
    if(!"123".equals(password)){
        throw new IncorrectCredentialsException();
    }
    //身份验证通过,返回一个身份信息
    AuthenticationInfo aInfo = new SimpleAuthenticationInfo(username,password,getName());

    return aInfo;
}

    }

  • 配置文件(shiro-realm.ini)

    #声明一个realm
    MyRealm1=com.shiro.realm.MyRealm1
    #指定securityManager的realms实现
    securityManager.realms=$MyRealm1

  • 验证权限和角色

    package com.shiro.realm;

    import org.apache.shiro.SecurityUtils;
    import org.apache.shiro.authc.AuthenticationException;
    import org.apache.shiro.authc.IncorrectCredentialsException;
    import org.apache.shiro.authc.LockedAccountException;
    import org.apache.shiro.authc.UnknownAccountException;
    import org.apache.shiro.authc.UsernamePasswordToken;
    import org.apache.shiro.config.IniSecurityManagerFactory;
    import org.apache.shiro.mgt.SecurityManager;
    import org.apache.shiro.subject.Subject;
    import org.apache.shiro.util.Factory;
    import org.slf4j.Logger;
    import org.slf4j.LoggerFactory;

    public class Main {

    private static final transient Logger log = LoggerFactory.getLogger(Main.class);

public static void main(String[] args) {
    //获取SecurityManager的实例
    Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro-realm.ini");
    SecurityManager securityManager = factory.getInstance();

    SecurityUtils.setSecurityManager(securityManager);

    Subject currenUser = SecurityUtils.getSubject();

    //如果还未认证
    if(!currenUser.isAuthenticated()){
        UsernamePasswordToken token = new UsernamePasswordToken("admin","123");
        token.setRememberMe(true);
        try {
            currenUser.login(token);
        } catch (UnknownAccountException uae) {
            log.info("没有该用户: " + token.getPrincipal());
        } catch (IncorrectCredentialsException ice) {
            log.info( token.getPrincipal() + " 的密码不正确!");
        } catch (LockedAccountException lae) {
            log.info( token.getPrincipal() + " 被锁定 ,请联系管理员");
        }catch (AuthenticationException ae) {
            //其他未知的异常
        }
    }

    if(currenUser.isAuthenticated())
        log.info("用户 "+currenUser.getPrincipal() +" 登录成功");
    //=====================使用编码方式进行权限和角色的验证==================
    //是否有role1这个角色
    if(currenUser.hasRole("role1")){
        log.info("有角色role1");
    }else{
        log.info("没有角色role1");
    }
    //是否有对打印机进行打印操作的权限
    if(currenUser.isPermitted("printer:print")){
        log.info("可以对打印机进行打印操作");
    }else {
        log.info("不可以对打印机进行打印操作");
    }
}

    }

除了上面用到的hasRoleisPermitted,还有其他api可以验证授权

—————————————————-角色————————————————–

方法

返回

hasRole(String roleName)

返回true 如果Subject 被分配了指定的角色

hasRoles(List<String>roleNames)

返回一个与方法参数中目录一致的hasRole结果的数组

hasAllRoles(Collection<String>roleNames)

返回true 如果Subject 被分配了所有的角色

checkRole(String roleName)

成功,不返回任何值,程序继续执行;失败时,将抛出异常信息

checkRoles(Collection<String>roleNames)

成功,不返回任何值,程序继续执行;失败时,将抛出异常信息

checkRole(String… roleNames)

成功,不返回任何值,程序继续执行;失败时,将抛出异常信息

—————————————————-权限————————————————–

方法

isPermitted(String perm)

isPermitted(String… perms)

checkPermission(Permission p)

checkPermissions(Collection<Permission>perms)

权限和角色的方法都差不多,就不再详细说明了

3.2 基于注解的授权

基于注解的授权,需要有AOP的支持,我们这里使用spring,你也可以使用AspectJ或者 Guice

  • 创建一个java工程(注意,不是web工程,两者的配置有一些差别)

  • 自定义Realm(这一步和上面的MyRealm1一模一样,复制一份即可)

  • 在src下创建spring配置文件(applicationContext.xml)

    <?xml version="1.0" encoding="UTF-8"?> 

    <context:component-scan base-package="com.shiro.anno"></context:component-scan>


<!-- 配置Realm -->
<bean id="MyRealm1" class="com.shiro.anno.MyRealm1"></bean>

<!-- 配置securityManager -->
<bean id="securityManager" class="org.apache.shiro.mgt.DefaultSecurityManager">
    <property name="realm" ref="MyRealm1" />
</bean>
<!-- 生命周期 -->
<bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor" />

<!-- 启用shiro注解 -->
<bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator" depends-on="lifecycleBeanPostProcessor"/>
<bean
    class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
    <property name="securityManager" ref="securityManager"/>
</bean>

<!-- 
    让securityManager这个bean成为静态单例的bean
    注意:在web应用中,不要配置这个
-->
<bean
    class="org.springframework.beans.factory.config.MethodInvokingFactoryBean">
    <property name="staticMethod"
        value="org.apache.shiro.SecurityUtils.setSecurityManager" />
    <property name="arguments" ref="securityManager" />
</bean>

  • 写一个类用于注解授权

    package com.shiro.anno;

    import org.apache.shiro.SecurityUtils;
    import org.apache.shiro.authc.UsernamePasswordToken;
    import org.apache.shiro.authz.annotation.RequiresPermissions;
    import org.apache.shiro.subject.Subject;
    import org.springframework.stereotype.Service;

    @Service
    public class HelloAnno {

    public void login(){

    Subject currenUser = SecurityUtils.getSubject();
    UsernamePasswordToken token = new UsernamePasswordToken("admin","123");
    token.setRememberMe(true);
    currenUser.login(token);
}
/**
 * 有printer:print权限才能调用该方法
 * 否则抛异常
 */
@RequiresPermissions({"printer:print"})
public void testAnnotation(){
    System.out.println("使用注解方式。。。");
}

    }

    1

  • 测试

    package com.shiro.anno;

    import org.springframework.context.ApplicationContext;
    import org.springframework.context.support.ClassPathXmlApplicationContext;

    public class Main {

    public static void main(String[] args) {

    ApplicationContext ctx = new ClassPathXmlApplicationContext("applicationContext.xml");
    HelloAnno helloAnno = (HelloAnno)ctx.getBean("helloAnno");

    helloAnno.login();
    //有权限时,该方法才正常调用,否则抛异常
    helloAnno.testAnnotation();

}

    }

    1

  • 当有权限时,正常调用,没有权限时,结果如下
    这里写图片描述

  • 还有其他的注解

注解

说明

@RequiresAuthentication

要求当前Subject 已经在当前的session 中被验证通过才能被注解的类/实例/方法访问或调用

@RequiresGues

要求当前的Subject 是一个“guest”,也就是他们必须是在之前的session中没有被验证或记住才能被注解的类/实例/方法访问或调用

@RequiresPermissions

要求当前的Subject 被允许一个或多个权限,以便执行注解的方法,比如:@RequiresPermissions(“account:create”)

@RequiresRoles

要求当前的Subject 拥有所有指定的角色。如果他们没有,则该方法将不会被执行,而且AuthorizationException 异常将会被抛出。比如:@RequiresRoles(“administrator”)

@RequiresUser

需要当前的Subject 是一个应用程序用户才能被注解的类/实例/方法访问或调用。要么是通过验证被确认,或者在之前session 中的’RememberMe’服务被记住

3.3 JSP标签授权

1.上面使用的是普通的java工程结合spring进行注解方式的授权,jsp标签授权就必须使用web项目了。
2.我们这次使用springmvc+spring+shiro

springmvc和spring相关配置,我直接贴出来,就不进行说明了

  • 创建web项目

  • 创建HelloAnno.java和MyRealm1.java(和上面一模一样,复制即可)

  • 在src下创建springmvc.xml

    <?xml version="1.0" encoding="UTF-8"?> 

    <context:component-scan base-package="com.shiro.controller"></context:component-scan>

<mvc:annotation-driven></mvc:annotation-driven>
<mvc:default-servlet-handler/>

<bean class="org.springframework.web.servlet.view.InternalResourceViewResolver">  
    <property name="prefix" value="/WEB-INF/views/"></property>  
    <property name="suffix" value=".jsp"></property>  
</bean>

  • 在src下创建applicationContext.xml

    <?xml version="1.0" encoding="UTF-8"?> 

    <context:component-scan base-package="com.shiro.annotation"></context:component-scan>

<!-- shiro过滤器bean,id要和web.xml中filter-name一致 -->
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
    <property name="securityManager" ref="securityManager" />

    <property name="filterChainDefinitions">
        <value>
            #这里相当于ini配置文件中的[urls]
            #url=拦截器[参数],拦截器
            # some example chain definitions:
            /admin/** = authc, roles[admin]
            /docs/** = authc, perms[document:read]
            # 当访问login时,不用进行认证(anon表示匿名)
            /login = anon
            /** = authc
            # more URL-to-FilterChain definitions here
        </value>
    </property>
</bean>

<!-- 配置securityManager -->
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">  
    <property name="realm" ref="myRealm" />
    <!-- <property name="sessionMode" value="native"/> -->
</bean>
<!-- 生命周期 -->
<bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor" />

<!-- 配置Realm: -->
<bean id="myRealm" class="com.shiro.annotation.MyRealm1"></bean>

<!-- 启用shiro注解 -->
<bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator" depends-on="lifecycleBeanPostProcessor"/>
<bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
    <property name="securityManager" ref="securityManager"/>
</bean>

<!-- ============一般情况还要配置 数据源,事务 等等=============== -->

其实在spring配置文件中,只使用到了spring的IOC容器,其他的配置都是在配置shiro

  • web.xml中配置,让spring,springmvc,shiro过滤器起作用

    <?xml version="1.0" encoding="UTF-8"?> shiro2 
    <filter>
    <filter-name>shiroFilter</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
    <init-param>
        <param-name>targetFilterLifecycle</param-name>
        <param-value>true</param-value>
    </init-param>
</filter>

<filter-mapping>
    <filter-name>shiroFilter</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping> 

<!-- 配置启动 Spring IOC 容器的 Listener -->
<context-param>
    <param-name>contextConfigLocation</param-name>
    <param-value>classpath:applicationContext.xml</param-value>
</context-param>

<!-- Bootstraps the root web application context before servlet initialization -->
<listener>
    <listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
</listener>

<!-- springmvc.xml -->
<servlet>  
    <servlet-name>dispatcherServlet</servlet-name>  
    <servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class>  
    <init-param>  
        <param-name>contextConfigLocation</param-name>  
        <param-value>classpath:springmvc.xml</param-value>  
    </init-param>  
    <load-on-startup>1</load-on-startup>  
  </servlet>  

  <servlet-mapping>  
    <servlet-name>dispatcherServlet</servlet-name>  
    <url-pattern>/</url-pattern>  
  </servlet-mapping>

  • 在web目录下创建login.jsp登录界面

    <%@ page language=“java” contentType=“text/html; charset=UTF-8”
    pageEncoding=“UTF-8”%>

    Insert title here

    login

  • 对应的处理登录请求的controller

    package com.shiro.controller;

    import org.apache.shiro.SecurityUtils;
    import org.apache.shiro.authc.UsernamePasswordToken;
    import org.apache.shiro.subject.Subject;
    import org.springframework.beans.factory.annotation.Autowired;
    import org.springframework.stereotype.Controller;
    import org.springframework.web.bind.annotation.RequestMapping;

    import com.shiro.annotation.HelloAnno;

    @Controller
    public class TestController {

    @Autowired
private HelloAnno helloAnno;

@RequestMapping("/login")
public String test(String username,String password){
    System.out.println("username:"+username);
    System.out.println("password"+password);

    //登录
    UsernamePasswordToken token = new UsernamePasswordToken(username, password);
    Subject currentUser = SecurityUtils.getSubject();
    //如果登录失败,会抛异常,应该要捕捉异常
    currentUser.login(token);

    if(currentUser.isAuthenticated()){
        System.out.println("认证成功");
        //有权限才能调用该方法,没权限将抛异常
        helloAnno.testAnnotation();
    }

    return "success";
}

    }

  • 在这里,我们使用到了上面讲过的基于注解的授权
  • 最后返回success.jsp页面,在该页面中,我们使用jsp标签授权

  • 在WEB-INF/views下创建success.jsp(要导入标签库)

    <%@ taglib prefix=“shiro” uri=“http://shiro.apache.org/tags” %><%@ page language=“java” contentType=“text/html; charset=UTF-8”
    pageEncoding=“UTF-8”%>
    <%@ taglib prefix=“shiro” uri=“http://shiro.apache.org/tags” %>

    Insert title here

    successful

    我有打印机的打印权限 我有打印机的查询权限 我有打印机的删除权限

在我们自定义的Realm中,我们给了该用户两个权限(printer:print和printer:query),因此success.jsp页面应该打印出有查询和打印两个权限,我们来看看结果是否与我们预期

  • 在登录界面输入用户名密码
    这里写图片描述

  • 提交后,跳转到成功页面
    这里写图片描述

达到预期效果

咩咩咩咩没
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro——认证
08-05
7. **授权Authorization)**: 认证成功后,Shiro会根据 Realm 返回的权限信息控制用户访问资源。可以使用角色(Role)和权限(Permission)进行细粒度控制。 8. **退出(Logout)**: 当用户完成操作需要退出时,...
shiro开发文档以及案例代码
05-30
Apache Shiro是一个强大的Java安全框架,它提供了身份验证(Authentication)、授权Authorization)以及会话管理(Session Management)等功能,简化了在Java应用中处理安全问题的过程。本资源包含两个PDF文档——...
关于Authentication(认证)和Authorization授权)及Session、Cookie、Token、JWT的一点总结
weixin_42583145的博客
07-06 2968
1.认证 (Authentication) 和授权 (Authorization)的区别 Authentication(认证) 是验证身份的凭据,如用户名/密码等 Authorization授权) 在Authentication之后,主要用来授权,特定的人才能访问特定的资源,如有些资源的删除、更新操作只对管理员开放。 一般在系统中结合两者使用,保证系统的安全性。 2.什么是Cookie? Cookies是某些网站为了辨别用户身份而储存在用户本地终端上的数据(通常经过加密)。简单来说: Cookie 存
Shiro学习笔记(3)——授权Authorization
君君的专栏
05-28 1万+
什么是授权 授权三要素 Shiro的三种授权方式 1 编码方式授权 2 基于注解的授权 3 JSP标签授权1.什么是授权授权,就是访问控制,控制某个用户在应用程序中是否有权限做某件事2.授权三要素 权限 请看Shiro学习笔记(1)——shiro入门中权限部分内容角色 通常代表一组行为或职责.这些行为演化为你在一个软件应用中能或者不能做的事情。角色通常是分配给用户帐户的,因此,通过分配,用户
shiro身份验证授权入门
fwdwqdwq的博客
04-22 542
一、 介绍: shiro是apache提供的强大而灵活的开源安全框架,它主要用来处理身份认证,授权,企业会话管理和加密。 shiro功能:用户验证、用户执行访问权限控制、在任何环境下使用session API,如cs程序。可以使用多数据源如同时使用oracle、mysql。单点登录(sso)支持。remember me服务。详细介绍还请看官网的使用手册:http://shiro.apache.org/reference.html 与spring security区别,个人觉得二者的主要区别是: 1、shir
shiro权限安全框架
同一片天空
04-05 2109
shiro权限安全框架什么是shiro 认证和授权为什么要学shiro---安全快速入门shiro授权: 什么是shiro 认证和授权 Apache Shiro 是Java 的一个安全框架。Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE 环境,也可以用在JavaEE 环境。Shiro 可以帮助我们完成:认证【登陆】、授权权限】、加密【密码】、会话管理、与Web 集成、缓存等。 为什么要学shiro—安全 subject: 理解为用户; securityManager: 安全
shiro认证、授权和鉴权
qq_37697436的博客
08-09 295
SecurityManager是Shiro的核心组件,负责管理所有的Subject,以及执行认证和授权的操作。在上面的示例中,我们首先创建了一个SecurityManager,并设置了一个Realm用于认证。在Shiro中,可以使用不同的方式进行鉴权,例如基于URL的鉴权、基于方法的鉴权等。在Shiro中,可以使用不同的方式进行授权,例如基于角色的授权、基于权限授权等。在Shiro中,可以使用不同的方式进行认证,例如基于用户名和密码的认证、基于证书的认证等。首先,让我们来了解一下Shiro的基本概念。
Shiro基础——快速入门
程序无言
09-26 353
Shiro基础 一. Shiro简介 1. Shiro是什么 Apache Shiro是一个Java的一个安全权限框架。Shiro可以轻松的完成:身份认证,授权,加密,会话管理等功能。 2. 功能简介 Authentication: 身份认证/登录,验证用户是不是拥有相应的身份。 Authorization: 授权,即验证权限验证某个已认证的用户是否拥有某个权限;即判断用户是否能进行什么操作。如:验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具有某个权限。 Session M
Java高级技术之Shiro
11-18
* 授权Authorization):授权,即权限验证验证某个已认证的用户是否拥有某个权限。 * 会话管理(Session Manager):会话管理,即用户登录后就是一次会话,在没有退出之前,它的所有信息都在会话中。 * 加密...
跟我一起学shiro 张开涛
10-30
Apache Shiro是一款强大的Java安全框架,它为开发者提供了身份验证(Authentication)、授权Authorization)、会话管理(Session Management)和加密(Cryptography)等核心功能,使得开发人员能够轻松地在应用...
shiro第六章Realm完整Demo
08-23
shiro第六章Realm完整Demo
shiro基础jar包.zip
07-03
在“shiro基础jar包.zip”这个压缩包中,主要包含了一个核心组件——“shiro-core”,它是Shiro框架的基础,包含了处理用户认证、权限控制和会话管理的核心类。 **1. 身份验证(Authentication)** Shiro的核心组件...
Shiro
weixin_30487701的博客
09-28 238
Shiro简介 SpringMVC整合ShiroShiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能。 Authentication:身份认证/登录,验证用户是不是拥有相应的身份; Authorization授权,即权限验证验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角色。或者细粒度的验证某个...
shiro授权
weixin_50020236的博客
07-11 703
shiro 授权
shiro之Realm及相关对象AuthorizationInfo(*)
weixin_42408447的博客
11-16 334
AuthorizationInfo用于聚合授权信息的: public interface AuthorizationInfo extends Serializable { Collection<String> getRoles(); //获取角色字符串信息 Collection<String> getStringPermissions(); //获取权限字符串信息 Collection<Permission> getObjectPermissions(); //获.
java获取authorization_Java SimpleAuthorizationInfo.addRole方法代码示例
weixin_39610468的博客
12-19 2077
本文整理汇总了Java中org.apache.shiro.authz.SimpleAuthorizationInfo.addRole方法的典型用法代码示例。如果您正苦于以下问题:Java SimpleAuthorizationInfo.addRole方法的具体用法?Java SimpleAuthorizationInfo.addRole怎么用?Java SimpleAuthorizationInf...
Authorize权限验证
qq_34811513的博客
12-21 1854
项目中需要用到权限验证,但是没做过,经过一番学习,找到了个简单的实现,这里记录一下,防走丢。 项目使用的是.net freamwork 框架。 用户请求时,需要在请求头中带权限验证参数。 首先,建一个AuthorityFilterAttibute类,并集成AuthorizeAttribute。然后实现OnAuthorization方法,具体代码如下: public class AuthorityFilterAttibute : AuthorizeAttribute { ...
shiro 授权和注解开发
LIN_17970的博客
10-15 332
shiro 授权和注解开发shiro授权shiro注解式开发 数据库的表设计: shiro授权ShiroUserMapper.xml中新增内容 <!-- 这是根据用户id获取到所拥有的角色集合--> <select id="getRolesByUserId" resultType="java.lang.String" parameterType="java.lang....
4种认证(authentication)或授权authorization)方式
热门推荐
漫游学海之旅
04-12 8万+
Authentication vs. authorization It is easy to confuse authentication with another element of the security plan: authorization. While authentication verifies the user’s identity, authorization verifie...
网关整合shiro权限验证
最新发布
08-22
网关整合shiro权限验证是为了增强系统的安全性和权限控制能力。通常情况下,一个系统可能有多个子系统,每个子系统都有自己的权限验证逻辑。如果每个子系统都独立实现权限验证,就会导致代码重复、维护困难以及安全性隐患。因此,将权限验证逻辑集中在网关中进行整合是一个较好的解决方案。 首先,在网关中配置Shiro的拦截器,用于拦截请求并进行权限验证。可以通过配置Shiro的FilterChainDefinitionMap,指定不同的URL需要不同的权限才能访问。这样,当有请求到达网关时,会先经过Shiro拦截器进行权限验证。 其次,网关需要与子系统之间建立安全的通信机制,通常可以采用Token验证机制。当用户登录成功后,网关为其生成一个唯一的Token,并将Token保存在内存或数据库中。当用户访问其他子系统时,将Token作为请求头或请求参数传递给子系统进行验证。子系统收到请求后,可以通过Token获取用户信息,再结合Shiro进行权限验证。 最后,网关还可以实现一些额外的安全功能,例如黑名单/白名单过滤、IP限制、防止重放攻击等。这些功能可以根据具体需求进行定制化开发,并在请求到达网关时进行处理。 通过上述方式,网关可以实现对多个子系统的整合和统一权限验证,减少了代码冗余和维护成本,并提高了系统的整体安全性和可扩展性。同时,通过网关的统一管理,还可以对系统进行监控和日志记录,进一步增强了系统的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值