Apache Shiro Permissions

最新推荐文章于 2023-05-09 15:43:22 发布
最新推荐文章于 2023-05-09 15:43:22 发布
阅读量107 收藏
点赞数
分类专栏: Java 文章标签: Apache Shiro Permissions
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29645505/article/details/96648432
版权

规则

资源标识符:操作:对象实例 ID

即对哪个资源的哪个实例可以进行什么操作. 其默认支持通配符权限字符串,: 表 示资源/操作/实例的分割;, 表示操作的分割,* 表示任意资源/操作/实例。

多层次管理

例如:user:query、user:edit

  • 冒号是一个特殊字符,它用来分隔权限字符串的下一部件:第一部分
    是权限被操作的领域(打印机),第二部分是被执行的操作。
  • 多个值:每个部件能够保护多个值。因此,除了授予用户 user:query
    和 user:edit 权限外,也可以简单地授予他们一个:user:query, edit。
  • 还可以用 * 号代替所有的值,如:user:* , 也可以写:*:query,表示
    某个用户在所有的领域都有 query 的权限。

实例级访问控制

这种情况通常会使用三个部件:域、操作、被付诸实施的实例。如:user:edit:manager。

  • 也可以使用通配符来定义,如:user:edit:、user::、user::manager。
  • 部分省略通配符:缺少的部件意味着用户可以访问所有与之匹配的值,比如:user:edit 等价于 user:edit :、user 等价于 user:?
  • 注意:通配符只能从字符串的结尾处省略部件,也就是说 user:edit 并不等价于 user:*:edit。
wunianisme
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Apache Shiro技术详解
07-04
Shiro 的授权机制可以根据角色(Roles)和权限(Permissions)来进行控制。用户可以被分配到一个或多个角色,每个角色拥有若干权限。当用户尝试访问受保护的资源时,Shiro 会检查其角色和权限来决定是否允许访问。 ...
Apache Shiro 1.2.x 参考手册1
08-04
Apache Shiro 是一个强大且易用的 Java 安全框架,它提供了认证、授权、加密和会话管理功能,简化了开发人员处理安全问题的过程。本参考手册主要分为以下几个部分,详细介绍了 Apache Shiro 的各个方面。 1. **...
ShiroPermissions
dream_heheda的博客
09-27 636
1. 简单的字符串 2. 多层级管理 3.实例级访问控制
使用Apache Shiro进行授权说明
指尖思维
01-30 1467
授权或叫访问控制是对资源指定访问权限的功能。简单而言就是谁能够访问什么。在授权领域有三个关键元素——permissions, roles, and users——在shiro中我们经常会引用。 Permissions(权限)是安全策略中最原子级别的概念,并且他们够不语句表达。权限代表在我们的系统中可以做什么。良好的权限形式描述了资源类型以及拥有它的操作者能够对这些资源做什么。比如是否可以
Shiro权限控制+整合shiro
Armymans的博客
03-02 1万+
Shiro权限控制 0.1传统的权限认证方式 特点:为每个人单独的分配权限模块,能够实现权限控制,但是当公司人员庞大之后,非常难管理 上述权限控制如何设计表? 关系:员工和菜单权限的关系:多对多 员工id 菜单名称 1 取派管理 2 快递员管理 2 运单管理 好处:可以方便的 实现权限控制 缺陷:比如当修改权限的时候,公司统一的给组长级别的人 加一个“计算工资”权限,...
深入理解Apache Shiro中的“Permissions”概念
Lvlht的博客
07-12 828
Shiro将Permission定义为定义显式行为或操作的语句。它是应用程序中原始功能的声明,仅此而已。权限是安全策略中最低级别的构造,它们只显式定义应用程序可以执行的操作。 他们根本没有描述“谁”能够执行行动((而不是描述who对what(which)进行how操作))。 一些权限示例: 打开一个文件 查看“/ user / list”网页 打印文件 删除’jsmith’用户 定义“谁”(用户...
Shiro授权
Hern(宋兆恒)
09-05 281
授权 • 授权,也叫访问控制,即在应用中控制谁访问哪些资源(如访问页面/编辑数据/页面操作 等)。在授权中需了解的几个关键对象:主体(Subject)、资源(Resource)、权限 (Permission)、角色(Role)。 主体(Subject):访问应用的用户,在 Shiro 中使用 Subject 代表该用户。用户只有授权 后才允许访问相应的资源。 资源(Resource):在应...
初学Shiro框架项目
12-23
Apache Shiro是一个强大的Java安全框架,它为应用程序提供了身份验证、授权、会话管理和加密服务。初学者在接触Shiro框架时,可能会遇到各种概念和配置,本项目旨在帮助新手理解如何利用Shiro来实现权限管理,特别是...
shiro数据库结构
10-15
Apache Shiro 是一个强大且易用的Java安全框架,提供了认证、授权、加密和会话管理功能,可以非常轻松地开发出足够安全的应用。在Java领域,Shiro 被广泛应用来处理系统的安全性,它的核心就在于它自身的权限管理和...
Shiro之@RequiresPermissions注解原理详解
热门推荐
敲代码的小小酥的博客
02-28 4万+
前言 shiro为我们提供了几个权限注解,如下图: 这几个注解原理都类似,这里我们讲解@RequiresPermissions的原理。 铺垫 第一 首先要清楚@RequiresPermissions的基本用法。就是在Controller的方法里,加上@RequiresPermissions注解,并写上权限标识。那么,有该权限标识的用户,才能访问到请求。如下图: 第二 先剧透一下,@RequiresPermissions注解的原理是使用了Spring的AOP进行了增强。来判断当前用户是否有该权限标识。我们
Shiro】Permission字符串及认证授权的相关内容
kevin的博客
05-09 1229
粗颗粒:对资源类型的管理称为粗颗粒度权限控制,即只控制到菜单、按钮、方法。细颗粒:对资源实例的控制称为细颗粒度权限管理,即控制到数据级别的权限。
Shiro的permission管理,用户的认证和授权
超人的博客
08-16 3577
以下是步骤: 1.web.xml中配置:<display-name>shirodemo</display-name> <welcome-file-list> <welcome-file>index.jsp</welcome-file> </welcome-file-list> <context-param> <param-name>contex
shiro授权RequiresPermissions注解使用
nanfang1012的博客
07-20 2万+
权限控制是shiro最核心的东西 Shiro权限声明通常是使用以冒号分隔的表达式。一个权限表达式可以清晰的指定资源类型,允许的操作,可访问的数据。同时,Shiro权限表达式支持简单的通配符,可以更加灵活的进行权限设置。 下面以实例来说明权限表达式。 可查询用户数据 User:view 可查询或编辑用户数据 User:view,edit 可对用户数据进行所有操作 User:* 或 user 可编辑i...
Shiro-Permissions 对权限的深入理解
weixin_30786657的博客
03-22 214
单个权限 query单个资源多个权限 user:query user:add    多值 user:query,add单个资源所有权限 user:query,add,update,delete    user:*所有资源单个权限 *.view 实例级别的权限控制单个实例的单个权限 printer:query:lp7200    printer:print:epsoncolor所有实例的单个权...
Shiro的基于字符串通配符的权限表达式
qq_28000789的博客
01-15 6878
深入理解Apache ShiroPermissions 自己的理解:了解shiro的权限表达式有助于我们看到表达式就知道这个表达式的含义,我们就可以很方便的对资源设置权限时知道应该给这个资源什么样的权限表达式了。 比如:我们有四张表:机构organization、用户user、角色role、资源resource ![我们有四张表机构organzition、](https://img-blog.c...
使用shiro拦截器链实现权限管理
Ybt_c_index的博客
12-04 1万+
在开篇之前,先介绍一下shiro,那么什么是shiro呢? Apache Shiro(发音为“shee-roh”,日语“堡垒(Castle)”的意思)是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理功能,可为任何应用提供安全保障 - 从命令行应用、移动应用到大型网络及企业应用。
apache遇到的权限以及其他一些问题
weixin_30856965的博客
05-22 231
摘要you don't have permission to access / on this server Apache2.4 Apache 从2.2升级到 Apache2.4.x 后配置文件httpd.conf 的设置方法有了大变化,以前是将 deny from all 全部改成 Allow from all 实现外网访问,现在是将 Require all denied 以及 Requ...
Apache Shiro代码示例
最新发布
05-30
以下是一个简单的Apache Shiro代码示例,包括如何创建Shiro安全管理器,如何配置Shiro的认证和授权策略,以及如何使用Shiro进行认证和授权。 1. 创建Shiro安全管理器 ```java DefaultSecurityManager securityManager = new DefaultSecurityManager(); ``` 2. 配置Shiro的认证和授权策略 ```java // 配置认证策略 HashedCredentialsMatcher credentialsMatcher = new HashedCredentialsMatcher("SHA-256"); credentialsMatcher.setHashIterations(2); MyRealm realm = new MyRealm(); realm.setCredentialsMatcher(credentialsMatcher); securityManager.setRealm(realm); // 配置授权策略 SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo(); authorizationInfo.addRole("admin"); authorizationInfo.addStringPermission("user:create"); authorizationInfo.addStringPermission("user:update"); authorizationInfo.addStringPermission("user:delete"); securityManager.setAuthorizationInfo(authorizationInfo); ``` 3. 实现Shiro的Realm接口 ```java public class MyRealm extends AuthorizingRealm { // 实现认证方法 @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException { UsernamePasswordToken upToken = (UsernamePasswordToken) token; String username = upToken.getUsername(); String password = getPasswordByUsername(username); if (password == null) { throw new UnknownAccountException("用户名不存在!"); } SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(username, password, getName()); return authenticationInfo; } // 实现授权方法 @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { String username = (String) principals.getPrimaryPrincipal(); SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo(); authorizationInfo.setRoles(getRolesByUsername(username)); authorizationInfo.setStringPermissions(getPermissionsByUsername(username)); return authorizationInfo; } // 模拟数据库查询用户密码 private String getPasswordByUsername(String username) { return "123456"; } // 模拟数据库查询用户角色 private Set<String> getRolesByUsername(String username) { Set<String> roles = new HashSet<>(); roles.add("admin"); return roles; } // 模拟数据库查询用户权限 private Set<String> getPermissionsByUsername(String username) { Set<String> permissions = new HashSet<>(); permissions.add("user:create"); permissions.add("user:update"); permissions.add("user:delete"); return permissions; } } ``` 4. 使用Shiro进行认证和授权 ```java // 创建Subject对象 Subject subject = SecurityUtils.getSubject(); // 创建认证Token UsernamePasswordToken token = new UsernamePasswordToken("admin", "123456"); // 进行认证 subject.login(token); // 进行授权 boolean hasRole = subject.hasRole("admin"); boolean hasPermission = subject.isPermitted("user:create"); ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

wunianisme

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值