shiro—实现用户对访问资源进行动态权限校验

最新推荐文章于 2022-12-26 15:51:54 发布
最新推荐文章于 2022-12-26 15:51:54 发布
阅读量591 收藏
点赞数
分类专栏: MySql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_24892029/article/details/113241379
版权
该博客介绍了如何使用Shiro实现用户对访问资源的动态权限校验。通过设计自定义注解Permitable、AOP切面、PermissionResolver接口以及对用户的授权,实现了细粒度的权限控制。示例中展示了在商品资源上的应用。
摘要由CSDN通过智能技术生成

单据权限,业务场景:需要实现用户对访问资源进行动态权限校验。
例如:小王负责商家A下的所有资源运营工作,小张负责品牌A,小李负责品牌B


一:设计思路

(1)新增一个自定义注解permitable,用于资源转换为shiro的权限表示字符串
(2)新增一个AOP切面,用于将自定义注解标注的方法和shiro权限校验关联起来
(3)校验当前用户是否有足够的权限去访问保护资源

二:编码实现

1、新建PermissionResolver接口

import java.util.Collections;
import java.util.List;
import java.util.Optional;

import static java.util.stream.Collectors.toList;

/**
 * 资源权限解析器
 *
 * @author wuyue
 * @since 1.0, 2019-09-07
 */
public interface PermissionResolver {

    /**
     * 解析资源
     *
     * @return 资源的权限表示字符串
     */
    String resolve();

    /**
     * 批量解析资源
     */
    static List<String> resolve(List<PermissionResolver> list) {
        return Optional.ofNullable(list).map(obj -> obj.stream().map(PermissionResolver::resolve).collect(toList()))
                .orElse(Collections.emptyList());
    }

}

 

2、新增业务资源实体类,并实现PermissionResolver接口,此处以商品资源为例,例如新建Product.java

import com.wuyue.shiro.shiro.PermissionResolver;
import lombok.Getter;
import lombok.Setter;
import lombok.ToString;
import org.hibernate.annotations.GenericGenerator;

import javax.persistence.*;
import java.util.Date;

@Getter
@Setter
@ToString
@Entity
@Table(name = "product")
public class Product implements PermissionResolver {

    @Override
    public String resolve() {
        return merchantId + ":" + brandId + ":" + id;
    }

    @Id
    @GenericGenerator(name = "idGen", strategy = "uu

最低0.47元/天 解锁文章
KunQian_smile
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
java数据层面的权限校验
知识改变命运,ヾ(◍°∇°◍)ノ゙【求关注】
12-04 348
在前端页面,div里面添加入下: 在请求后台时,封装的请求头里面:JFianl是如下接收的:
Shiro动态权限(整合Spring Boot)
qq_53432338的博客
06-27 2194
1、说明 2、数据库 3、代码 4、测试 5、小结动态权限是程序运行期间,对用户权限进行更改而不需要修改源码。在shiro中,实现动态权限只需要实现一个自定义的过滤器即可,这里使用的方法是继承。需要注意的是,任何的动态权限都会损耗服务器的资源,因为所谓的动态权限就是根据数据库的变化,实时的将情况反应到客户端,即每次请求都需要对数据库发送请求,因为需要的是实时的数据,所以没办法使用Redis解决这个问题,因为即使存储到Redis中,Redis也需要去向数据库发送请求来更新数据,甚至因为请求经过了Redis,
shiro动态授权
neutrons的博客
11-07 763
背景: //这种在shiroFilter中配置 shiroFilter.setFilterChainDefinitionMap( filterMap ); //或者注解限制权限是不满足需求的 @RequestMapping("/getAdminInfo") @RequiresRoles("ADMIN") 所以查看ShiroFilterFactoryBean的setFilterChainDefini...
shrio 框架的所有验证权限的方法
weixin_35754962的博客
12-26 208
Shiro 框架提供了多种方法来验证权限。具体来说,可以使用以下方法之一: 使用 Subject 对象的 isPermitted() 方法。这个方法接受一个权限字符串作为参数,并返回一个布尔值,表示当前用户是否具有该权限。例如: Subject currentUser= SecurityUtils.getSubject(); boolean hasPermission = currentUse...
Shiro框架通过注解@RequiresAuthentication方式校验权限
m0_67402588的博客
04-22 529
在项目的校验与授权中,我们常使用Shiro框架来完成,在校验阶段,我们可以使用Shiro自带的拦截器来实现拦截功能,本来我写的 filterMap.put(“/**”, “jwt”)来完成拦截,但是这样在没有登录过的页面去注册就会拦截注册请求,但是我没有在注册请求前面加@RequiresAuthentication注解,所以通过改进后实现了常规的拦截功能。 这样在注册请求的url上加上自定义字符就可以直接通行,登录后的方法加上一个全局url路径设置就可以达到部分功能必须要登录才可以实现。 ...
shiro实现动态权限管理
hxm_Code的专栏
11-28 1万+
用到shiro框架实现权限控制时,根据实际要求,权限数据库增删改后都要把权限过滤链变化实时更新到服务器中。1、配置文件里配置的filterchains都是静态的,但实际开发中更多的是从数据库中动态的获取filterchains。我们都知道ShiroFilterFactoryBean中的setFilterChainDefinitions()是读取配置文件里默认的filterchains,所以我们的思
spring boot+shiro+mybatis实现不同用户登录显示不同的权限菜单
06-28
1. **配置Shiro**:首先需要在Spring Boot的配置文件中引入Shiro的相关配置,包括 Realm(自定义的权限认证类),以及过滤器链的定义,确保Shiro能正确拦截请求并进行权限校验。 2. **设计数据库表**:创建用户表、...
使用SpringBoot与shiro实现基于数据库的细粒度动态权限管理系统实例.zip
最新发布
12-24
接下来,我们需要在SpringBoot的启动类或者配置类中注册这个Realm,并配置Shiro的相关设置,例如过滤器链定义,这将决定哪些URL需要进行权限校验。 在前端,我们可以使用诸如Thymeleaf或Vue.js等技术来展示和处理...
java 权限校验_服务之间的资源权限校验
weixin_33823399的博客
02-13 350
packagespring.cloud.common.interceptor;importjavax.servlet.http.HttpServletRequest;importjavax.servlet.http.HttpServletResponse;importorg.slf4j.Logger;importorg.slf4j.LoggerFactory;importorg.springfra...
shiro 实现自定义权限规则校验
web13085338152的博客
08-24 282
显然第一种方法不适用,这些资源应该只能让我们自己的app进行访问。只需要重写 onAccessDenied方法,进行token判断!1:支持手机客户端访问资源权限配置中配置成anon。2:实现自定义认证拦截器,对用户请求资源进行认证。
【SpringBoot+shiro数据格式的校验
qq_37634156的博客
04-06 1788
前言 Spring Boot整合shiro时,在前端传输数据给后端的时候,后端一般要进行数据格式的校验数据业务的校验数据格式的校验:比如手机号11位,如果传输的是12位,而数据库中设置的字段是11位,从而导致无法插入到数据库,报SQL相关的异常,这时候就需要对格式进行校验数据业务的校验:比如查询手机号是否重复 我们知道在前端可以进行数据格式的校验,比如【el-form】组件提供了表单验证的功能,只需要通过【rules】属性传入约定的验证规则等实现数据格式的校验,但那是前端做的,在后端中一
shiro:hasPermission 标签 :验证当前用户是否拥有指定权限
热门推荐
dxyzhbb的博客
10-11 2万+
1、这些值是存在数据库里的,在哪里找呢?sys_menu 中的permission列。 <shiro:hasPermission name=“cms:article:edit”> 他是怎么入库的呢?非菜单项的权限是怎么加入,怎么取出来使用的? 取出来的sql: SELECT a.id , a.parent_id AS "parent.id" , a.paren...
Shiro
weixin_30487701的博客
09-28 240
Shiro简介 SpringMVC整合ShiroShiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能。 Authentication:身份认证/登录,验证用户是不是拥有相应的身份; Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角色。或者细粒度的验证某个...
shiro之授权(二) Permission(*)
weixin_42408447的博客
11-17 520
字符串通配符权限 规则:“资源标识符:操作:对象实例ID” 即对哪个资源的哪个实例可以进行什么操作。 其默认支持通配符权限字符串,“:”表示资源/操作/实例的分割;“,”表示操作的分割;“*”表示任意资源/操作/实例。 1. 单个资源单个权限 subject().checkPermissions("system:user:update"); 用户拥有资源"system:user"的"update"权限 2. 单个资源多个权限 ini配置文件 [users] zhang=123,role1,role2,ro
Springboot+Shiro实现动态权限验证
Eagga_Lo的博客
12-24 1614
本文将带你从0开始搭建一个Springboot+shiro动态权限控制 首先你得知道什么是Shiro? Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解API,你可以快速、轻松地获取任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。 官网:[点我进入] 开发环境: <!-- shiro --...
通过SecurityUtils获取Subject详解
你就像甜甜的益达
01-05 7281
文章目录获取Subject猜想源码分析ThreadContext是什么时候跟Subject绑定的呢?猜想ThreadLocal是跟当前线程绑定的,如果我springmvc里面使用异步方法执行,在异步处理过程中能获取到subject吗?验证: 获取Subject 使用shiro获取Subject的方法: Subject subject = SecurityUtils.getS...
第三章 授权(二) Permission
yifanSJ的博客
08-17 858
字符串通配符权限 规则:“资源标识符:操作:对象实例ID” 即对哪个资源的哪个实例可以进行什么操作。 其默认支持通配符权限字符串,“:”表示资源/操作/实例的分割;“,”表示操作的分割;“*”表示任意资源/操作/实例。 1. 单个资源单个权限 subject().checkPermissions("system:user:update"); 用户拥有资源"system:user"的"up
shiro SecurityUtils.getSubject()深度分析
08-10 1878
1.总的来说,SecurityUtils.getSubject()是每个请求创建一个Subject, 并保存到ThreadContext的resources(ThreadLocal<Map<Object, Object>>)变量中,也就是一个http请求一个subject,并绑定到当前线程。 问题来了:.subject.login()登陆认证成功后,下一次请求如何知道是那个用户的请求呢? 友情提示:本文唯一可以读一下的就是分析这个疑问,如果你已经明白就不用往下看了。 首先给出内...
Shiro权限管理详解:用户认证与授权
用户认证是对用户身份的验证,而授权则是确定用户是否具有对特定资源的操作权限用户认证主要包括以下概念: 1. Subject:代表用户,可以是实际的用户,也可以是系统中的任何实体,如服务或者进程。Subject是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

KunQian_smile

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值