_013_Shiro_Permissions

最新推荐文章于 2023-05-06 21:48:08 发布
最新推荐文章于 2023-05-06 21:48:08 发布
阅读量356 收藏
点赞数
分类专栏: _018_Shiro

• 授权,也叫访问控制,即在应用中控制谁访问哪些资源(如访问页面/编辑数据/页面操作
等)。在授权中需了解的几个关键对象:主体(Subject)、资源(Resource)、权限(Permission)、角色(Role)。

• 主体(Subject):访问应用的用户,在 Shiro 中使用 Subject 代表该用户。用户只有授权
后才允许访问相应的资源。

• 资源(Resource):在应用中用户可以访问的 URL,比如访问 JSP 页面、查看/编辑某些
数据、访问某个业务方法、打印文本等等都是资源。用户只要授权后才能访问。

• 权限(Permission):安全策略中的原子授权单位,通过权限我们可以表示在应用中用户
有没有操作某个资源的权力。即权限表示在应用中用户能不能访问某个资源,如:访问用
户列表页面查看/新增/修改/删除用户数据(即很多时候都是CRUD(增查改删)式权限控
制)等。权限代表了用户有没有操作某个资源的权利,即反映在某个资源上的操作允不允
许。

• Shiro 支持粗粒度权限(如用户模块的所有权限)和细粒度权限(操作某个用户的权限,
即实例级别的)

• 角色(Role):权限的集合,一般情况下会赋予用户角色而不是权限,即这样用户可以拥有
一组权限,赋予权限时比较方便。典型的如:项目经理、技术总监、CTO、开发工程师等
都是角色,不同的角色拥有一组不同的权限。

• Shiro 支持三种方式的授权:
(1)  编程式:通过写if/else 授权代码块完成
(2)  注解式:通过在执行的Java方法上放置相应的注解完成,没有权限将抛出相应的异常
(3)  JSP/GSP 标签:在JSP/GSP 页面通过相应的标签完成

默认拦截器 

 (1)  Shiro 内置了很多默认的拦截器,比如身份验证、授权等相关的。默认拦截器可以参考org.apache.shiro.web.filter.mgt.DefaultFilter中的枚举拦截器:

 (2)  身份验证相关

(3)  授权相关

 

 

Permissions

 

 Shiro的Permissions

 

 授权流程

 

 

 

	/*授权会被调用的方法*/
	@Override
	protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
		System.out.println("[ShiroRealm]  doGetAuthorizationInfo...");
		/*1  从PrincipalCollection 中获取登录用户的信息*/
		Object primaryPrincipal = principals.getPrimaryPrincipal();
		/*2  利用登陆的用户信息来获取当前用户的角色或权限,可能需要查询数据库*/
		Set<String> roles=new HashSet<>();
		roles.add("user");
		if("admin".equals(primaryPrincipal)) {
			roles.add("admin");
		}
		/*3  创建 SimpleAuthorizationInfo,并设置其roles属性。*/
		SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo(roles);
		/*4  返回 SImpleAuthoriztionInfo实体*/
		
		return simpleAuthorizationInfo;
	}

 

VeryHotLight
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
7.Shiro授权1_授权,授权方式和Permissions
T_P_F的博客
04-26 427
一 、授权 1.授权:也叫访问控制,就是在应用中控制谁能访问那些资源(如访问页面/编辑数据/页面操作等)。在授权中需了解的几个关键对象:主体(Subject)、资源(Resource)、权限(Permission)、角色(Role)。 2.主体(Subject):访问应用的用户,在 Shiro 中使用 Subject 代表该用户。用户只有授权后才允许访问相应的资源。 3.资源(Resourc...
Shiro 的Permissions
dream_heheda的博客
09-27 633
1. 简单的字符串 2. 多层级管理 3.实例级访问控制
深入理解Apache Shiro中的“Permissions”概念
Lvlht的博客
07-12 817
Shiro将Permission定义为定义显式行为或操作的语句。它是应用程序中原始功能的声明,仅此而已。权限是安全策略中最低级别的构造,它们只显式定义应用程序可以执行的操作。 他们根本没有描述“谁”能够执行行动((而不是描述who对what(which)进行how操作))。 一些权限示例: 打开一个文件 查看“/ user / list”网页 打印文件 删除’jsmith’用户 定义“谁”(用户...
shiro之权限--授予
withawind的博客
07-04 1198
上一篇讲了 shiro的登录认证 现在讲下shiro授权 首先在config中配置了拦截器 /** * Shiro的过滤器链 */ @Bean public ShiroFilterFactoryBean shiroFilter(DefaultWebSecurityManager securityManager) { Shiro...
shiro @RequiresPermissions设计与 实现
m0_67401055的博客
04-07 689
本篇主要以@RequiresPermissions 注解为例,讲解shiro中如何设计与实现 首先定义注解 @Target({ElementType.TYPE, ElementType.METHOD}) @Retention(RetentionPolicy.RUNTIME) public @interface RequiresPermissions { /** * The permission string which will be passed to {@link org.apach
vue_shiro.7z
02-13
项目中可能预设了相应的数据表和数据,例如用户表(users)、角色表(roles)和权限表(permissions),以及关联表(如 user_roles)来维护用户和角色之间的关系。 此项目"vue_shiro.7z"的打包文件包含了所有必要的...
Shiro_学习总结.zip
最新发布
11-08
Shiro 提供了角色(Roles)和权限(Permissions)的概念,可以通过配置或编程方式设置用户的访问权限。例如,你可以为一个角色分配多个权限,然后将角色赋予用户。 3. **会话管理(Session Management)**:Shiro ...
初学Shiro框架项目
12-23
例如,角色表(roles)存储角色ID和角色名,权限表(permissions)存储权限ID和权限描述,用户角色关联表(users_roles)记录用户和角色的对应关系,角色权限关联表(roles_permissions)存储角色和权限的关系。...
07_shiro授权测试及与web项目集成
04-26
realm.setPermissionsQuery("SELECT permission FROM user_permissions WHERE username = ?"); return realm; } @Bean public DefaultWebSecurityManager securityManager() { DefaultWebSecurityManager ...
shiro数据库结构
10-15
Apache Shiro 是一个强大且易用的Java安全框架,提供了认证、授权、加密和会话管理功能,可以非常轻松地开发出足够安全的应用。在Java领域,Shiro 被广泛应用来处理系统的安全性,它的核心就在于它自身的权限管理和...
shiro动态URL权限控制
01-16
1 / 10 shiro动态URL权限控制 用过Spring Security的朋友应该比较熟悉对URL进行全局的权限控制,即访问URL时进行权限匹配;如果没有权限直接跳到相应的错误页面。Shiro也支持类似的机制,不过需要稍微改造下来满足实际需求。不过在Shiro中,更多的是通过AOP进行分散的权限控制,即方法级别的;而通过URL进行权限控制是一种集中的权限控制。本章将介绍如何在Shiro中完成动态URL权限控制。
shiro之权限分配
weixin_44744094的博客
07-29 647
编写html // 登录后的链接 <a th:href="@{|/admin/test|}">需要有admin角色的功能</a><br> <a th:href="@{|/admin/test01|}">需要有admin角色的功能test01</a><br> <a th:href="@{|/admin/add|}">需要有admin角色的功能add</a><br> <a th:href="@{|/
shiro修改用户权限后并刷新对应用户缓存授权
m0_54861649的博客
04-07 1718
shiro修改用户权限后并刷新缓存授权 在网上找了很多关于刷新缓存认证的文章,很多都是刷新自己的授权信息,本文案例为修改他人权限后,刷新他人的缓存授权信息。由于第一次写博文,写的不好还请手下留情,废话不多说,直接上干货 先看一下原理 先看一下我在自定义的Realm中认证的方法 protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection arg0) { Long userId = ShiroUtils.getUserId(
(十)shiro之自定义Realm以及自定义Realm在web的应用demo
weixin_33806914的博客
11-22 110
数据库设计 pom.xml <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apac...
Spring Boot Shiro 权限管理
热门推荐
小单的博客专栏
01-14 15万+
本来是打算接着写关于数据库方面,集成MyBatis的,刚好赶上朋友问到Shiro权限管理,就先总结下发出来了。使用Shiro之前用在Spring MVC中,是通过XML文件进行配置。 既然现在在写Spring Boot的帖子,就将Shiro应用到Spring Boot中,我本地已经完成了SpringBoot使用Shiro的实例,将配置方法共享一下。先简单介绍一下Shiro,对于没有用过Shiro的
shiro授权SSM
hao_dream_xi的博客
10-15 197
shiro授权SSM 授权 1.添加角色和权限的授权方法 //根据username查询该用户的所有角色,用于角色验证 Set findRoles(String username); //根据username查询他所拥有的权限信息,用于权限判断 Set findPermissions(String username); 在ShiroUserMapper.xml中新增内容: <select id...
Shiro 权限处理(自我学习版)
m0_56532446的博客
05-06 1197
Shiro初步学习了解基础理论以及和SpringBoot整合
Shiro权限控制+整合shiro
Armymans的博客
03-02 1万+
Shiro权限控制 0.1传统的权限认证方式 特点:为每个人单独的分配权限模块,能够实现权限控制,但是当公司人员庞大之后,非常难管理 上述权限控制如何设计表? 关系:员工和菜单权限的关系:多对多 员工id 菜单名称 1 取派管理 2 快递员管理 2 运单管理 好处:可以方便的 实现权限控制 缺陷:比如当修改权限的时候,公司统一的给组长级别的人 加一个“计算工资”权限,...
Shiro 权限管理
心猿意码
06-24 3960
一共5个表 用户表 角色表 权限表 用户角色中间表 角色权限中间表 权限验证 通过角色来判断有没有权限。 比如 if 用户有在用户角色中间表中有经理的角色, 就可以查看工资。这中判断比较笼统。适合比如实现不同的角色登录以后看到不同的菜单。 通过权限标识来判断, 这个就需要查出用户拥有的具体权限。 这个权限控制比较细致。 适合细致的,比如部门公司的管理员,只能修改该部门下的员工资料。 Shi...
shiro获取session用户_我配好了shiro,登录成功后,怎么在jsp页面获得用户信息
06-10
除了 `principal` 属性,还有其他属性可以用来获取不同类型的用户信息,例如 `roles` 属性可以获取当前用户的角色信息,`permissions` 属性可以获取当前用户的权限信息。具体可以参考Shiro的文档。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值