Apache Shiro基于注解实现细粒度权限控制

最新推荐文章于 2023-03-10 09:20:35 发布
最新推荐文章于 2023-03-10 09:20:35 发布
阅读量853 收藏 3
点赞数
分类专栏: Java 文章标签: Apache Shiro 细粒度权限控制
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29645505/article/details/90322416
版权
本文介绍了如何使用Apache Shiro的注解在Spring应用中实现细粒度权限控制。首先,需要在applicationContext.xml中配置,启用Shiro注解,并将代理模式切换为CGLIB以处理接口方法上的注解。接着,在Service层的方法上添加如RequiresAuthentication、RequiresGuest等Shiro注解。最后,自定义Realm类并重写doGetAuthorizationInfo()方法,将用户权限信息存储到SecurityManager,以进行权限校验。若权限不足,系统会抛出UnauthorizedException。
摘要由CSDN通过智能技术生成

1.在applicationContext.xml中配置,激活shiro的注解。

   <!-- 配置shiro注解 -->
	<bean
		class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator"
		depends-on="lifecycleBeanPostProcessor">
        //将默认的JDK代理模式转换成CJLB代理模式
		<property name="proxyTargetClass" value="true"></property>
	</bean>
 
	<bean
		class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
		<property name="securityManager" ref="securityManager" />
	</bean>

需要注意的是因为shiro的注解是写在方法上面的,而shiro的注解是默认的情况下是通过代理对象是对接口的代理,而接口中的方法是没有注解的,所以我们需要把默认的jdk(接口代理)代理换成CJLB(继承代理),同时我们配置的事务注解也会受到影响,因此我们需要将事务的注解配置也换成CJLB的代理模式。

<tx:annotation-driven transaction-manager="transactionManager" proxy-target-class="true"/>

2.在service层中的方法上添加shiro的注解。

@Service
@Transactional
public class CourierServiceImpl implements CourierService {
 
	// 注入DAO 对象
	@Autowired
	private CourierRepository courierRepository;
 
	@Override
	@RequiresRoles("base")
	public void save(Courier courier) {
		courierRepository.save(courier);
	}
}

shiro的5个常用注解如下:

  • RequiresAuthentication

使用该注解标注的类,实例,方法在访问或调用时,当前Subject必须在当前session中已经过认证。

  • RequiresGuest

使用该注解标注的类,实例,方法在访问或调用时,当前Subject可以是“gust”身份,不需要经过认证或者在原先的session中存在记录。

  • RequiresPermissions

当前Subject需要拥有某些特定的权限时,才能执行被该注解标注的方法。如果当前Subject不具有这样的权限,则方法不会被执行。

  • RequiresRoles

当前Subject必须拥有所有指定的角色时,才能访问被该注解标注的方法。如果当天Subject不同时拥有所有指定角色,则方法不会执行还会抛出AuthorizationException异常。

  • RequiresUser

当前Subject必须是应用的用户,才能访问或调用被该注解标注的类,实例,方法。
3.在自定义的realm类中重写doGetAuthorizationInfo()方法,将登陆用户的授权和角色信息存入到SecurityManager中,这样SecutityManager就会将用户的权限或角色与注解所需要的进行对比,当权限不足的时候就会抛出org.apache.shiro.authz.UnauthorizedException。

    @Override
	// 授权
	protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection arg0) {
		SimpleAuthorizationInfo simInfo = new SimpleAuthorizationInfo();
		//根据当前登录的用户查询角色和权限信息
		Subject subject = SecurityUtils.getSubject();
		User user = (User) subject.getPrincipal();
		//调用业务层,查询角色信息
		List<Role> roles = rolesService.findByUser(user);
		//为授权对象加入角色
		for (Role role : roles) {
			simInfo.addRole(role.getKeyword());
		}
		
		//调用业务层,查询用户权限
		List<Permission> permissions=perissionService.findByUser(user);
		for (Permission permission : permissions) {
			simInfo.addStringPermission(permission.getKeyword());
		}
		return simInfo;
	}
wunianisme
关注
专栏目录
Apache Shiro 实现方法级别细粒度权限控制
qq_40208605的博客
08-02 732
细粒度(方法)权限控制原因: 自定义注解(加在方法上,在注解中描述需要权限信息),对目标业务对象创建代理对象,在代理方法中使用反射技术读取注解信息,获取需要权限,查询当前登录用户具有权限是否满足 1、 配置 applicationContext-shiro.xml激活注解 传统 spring AOP 配置 , 对 spring bean 创建代理 Advisor ,会在业...
ssm+shiro基于资源的权限控制框架(包含权限的认证、授权细致讲解),数据库使用mysql
12-27
Java语言的框架整合及权限控制(粗粒度、细粒度) SSM(spring+springmvc+mybatis)的整合 SSM+shiro基于资源的权限控制整合demo 配置文件原理的注释 shiro的认证、授权、及从数据库mysql获取的认证信息方法都有提供
Shiro - Java注解实现
小小默:进无止境
07-21 968
Shiro提供了五种在后台使用注解实现权限验证。@RequiresAuthentication; @RequiresGuest; @RequiresPermissions; @RequiresRoles; @RequiresUser;【1】@RequiresAuthentication可以用于类/属性/方法,用于表明当前用户需是经过认证的用户。 @RequiresAuthentication p
shiro如何通过注解实现细粒度的方法授权校验
GechangLiu的博客
08-02 702
  1.在applicationContext.xml中配置Shiro注解配置 &lt;!-- 配置shiro注解 --&gt; &lt;bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator" depends-on="lifecycleBeanPostP...
java代码shiro注解_Shiro - Java注解实现
weixin_39575737的博客
03-08 97
Shiro提供了五种注解在后台使用以实现权限验证。@RequiresAuthentication;@RequiresGuest;@RequiresPermissions;@RequiresRoles;@RequiresUser;【1】@RequiresAuthentication可以用于类/属性/方法,用于表明当前用户需是经过认证的用户。@RequiresAuthenticationpublic ...
权限控制方案之——集成shiro
任长江
03-29 1340
概述:          上一篇文章中我们介绍的权限控制方案的实现方式是通过URL拦截实现的,这里介绍通过shiro实现权限控制shiroapache下的开源的权限管理框架。 Shiro架构:                   Subject:主体,是用户和程序的统一抽象。          SecurityManager:安全管理器,认证和授权的核心处理类。       
使用SpringBoot与shiro实现基于数据库的细粒度动态权限管理系统实例.zip
最新发布
02-04
在本实例中,我们将探讨如何使用SpringBoot框架与Apache Shiro安全库来构建一个基于数据库的细粒度动态权限管理系统。这个系统允许管理员在数据库中动态管理用户、角色及权限实现灵活的角色分配和权限控制。 **...
如何实现一个权限管理系统?(附源码)
芋艿V
04-11 188
点击上方“芋道源码”,选择“设为星标”做积极的人,而不是积极废人!源码精品专栏中文详细注释的开源项目RPC 框架 Dubbo 源码解析网络应用框架 Netty 源码解析消息中间件 Ro...
Shrio 微服务权限控制方案,完美实现
架构文摘
03-10 1046
来自:blog.csdn.net/to10086/article/details/109573948一、微服务权限设计先说下为什么写这篇文章,因为实际项目需要,需要对我们现在项目页面小到每个部件都要做权限控制,然后查了下网上常用的权限框架,一个是shrio,一个是spring security,看了下对比,都说shrio比较轻量,比较好用。本文我们也选择了shrio来做整个项目的权限框架,同时结合...
Shiro权限管理实现(详解)
a1050762704的博客
08-19 1226
前言 Apache Shiro 是 Java 的一个安全框架。功能强大,使用简单的Java安全框架,它为开发人员提供一个直观而全面的认证,授权,加密及会话管理的解决方案。 功能介绍 资源-角色-权限 登录认证,密码加密(Authentication, Authorization, Cryptography) 用户角色和权限放入缓存(Caching) 会话管理(Session Management) 功能实现 实现说明 基于Spring开发Shiro的话,我们只需要实现ShiroFilterFactoryBe
Shiro权限管理示例(包括数据库结构)
02-07
一个完整的Shiro项目,实现Shiro权限管理,附件里包括数据库结构(mysql),可直接运行
java的细粒度权限shiro权限校验 ssh
11-22
java的细粒度权限shiro权限校验 Spring + Struts + hibernate
动态代理加注解实现细粒度权限管理,具体到方法
05-09
动态代理加注解实现细粒度权限拦截,具体到方法
细粒度权限控制
听风的声音
09-15 2352
权限控制,顾名思义,就是对不同的角色显示不同的内容以及给予不同角色不同的操作权限。这里举个非常简单的例子,普通员工只能查看自己发布的消息,而上级领导可以查看底下所有员工发布的消息。 其实权限控制并没有想象中的那么复杂,一般我们在查询列表的时候一般都会用  select * from table 假设我们要筛选列表,只显示部分内容,那么我们必须加上where条件。同理权限控制也是如此,只需要...
shiro细颗粒的方法级别和代码级别
ctmold的博客
01-24 1023
shiro方法级别采用注解方法,如下所示: 如果我们需要对于权限更加细化,可以采用代码级别: 之前未采用isPermitted代码时,我写的代码可够长,看来自己对于Shiro的研究还是有所欠缺。 if(allList.equals("0")){ UpmsUser upmsUser = upmsApiService.selectUpmsUserByUs
Shiro权限控制+整合shiro
Armymans的博客
03-02 1万+
Shiro权限控制 0.1传统的权限认证方式 特点:为每个人单独的分配权限模块,能够实现权限控制,但是当公司人员庞大之后,非常难管理 上述权限控制如何设计表? 关系:员工和菜单权限的关系:多对多 员工id 菜单名称 1 取派管理 2 快递员管理 2 运单管理 好处:可以方便的 实现权限控制 缺陷:比如当修改权限的时候,公司统一的给组长级别的人 加一个“计算工资”权限,...
shiro进行权限控制的四种方式
热门推荐
力挽狂澜的POWER
08-19 4万+
我们使用shiro进行权限控制 有以下几种方式 1.  URL拦截权限控制:基于filter过滤器实现 我们在spring配置文件中配置shiroFilter时配置 &lt;!--指定URL级别拦截策略  --&gt; &lt;property name="filterChainDefinitions"&gt;  &lt;value&gt; /css/ = anon /js/ = anon /im...
java自定义注解实现权限控制
zmsister的博客
07-19 1777
这3个生命周期分别对应于Java源文件(.java文件)--->.class文件--->内存中的字节码。source注解只保留在源文件,当Java文件编译成class文件的时候,注解被遗弃;class注解被保留到class文件,但jvm加载class文件时候被遗弃,这是默认的生命周期。runtime注解不仅被保存到class文件中,jvm加载class文件之后,仍然存在。上面定义的是作用于方法的注解,所以我们需要在方法中使用@Permission。@Retention注解的作用。...
如何使用shiro权限控制
qq_33012981的博客
11-07 2832
如何使用shiro权限控制 shiro不适合与jwt整合,它的最佳实现应该是将session存入redis中 1 简单案例 shiro官网有一个简单案例,按照这个案例可以很容易理解shiro的用法,地址是http://shiro.apache.org/tutorial.html 1.1 包 <parent> <groupId>org.springframework.boot</groupId> <artifactId>spring-boo
理解权限控制:从概念到Apache Shiro框架
"这篇文档主要讨论了权限控制的概念和应用,包括基于URL的粗粒度控制和基于方法的细粒度控制。同时提到了相关的数据表结构设计,并介绍了Apache Shiro这一安全框架及其核心功能和运行流程。" 权限控制是软件系统中...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

wunianisme

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值