自学-Shiro的权限管理-12

最新推荐文章于 2018-11-21 15:37:00 发布
置顶 最新推荐文章于 2018-11-21 15:37:00 发布
阅读量326 收藏
点赞数
分类专栏: Shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_31080089/article/details/53896630
版权

Shiro的权限管理:

接下来几节是详细对授权来进行说明。

首先我们先来写一个简单的例子,看下这个例子能不能从中受到一点启发好来学习Shiro的授权。

现在我们在来创建一个页面。

即:admin.jsp

<%@ page language="java" import="java.util.*" pageEncoding="utf-8"%>
<%
String path = request.getContextPath();
String basePath = request.getScheme()+"://"+request.getServerName()+":"+request.getServerPort()+path+"/";
%>

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
  <head>
    <base href="<%=basePath%>">
    
    <title>My JSP 'index.jsp' starting page</title>
    
	<meta http-equiv="pragma" content="no-cache">
	<meta http-equiv="cache-control" content="no-cache">
	<meta http-equiv="expires" content="0">    
	<meta http-equiv="keywords" content="keyword1,keyword2,keyword3">
	<meta http-equiv="description" content="This is my page">
  </head>
  
  <body>
    admin jsp
    <a href="shiro/logout">登出</a>
    <br/><br/>
  </body>
</html>

然后在index.jsp页面在加几个链接,可以跳转到user.jsp 以及admin.jsp页面。

<%@ page language="java" import="java.util.*" pageEncoding="utf-8"%>
<%
String path = request.getContextPath();
String basePath = request.getScheme()+"://"+request.getServerName()+":"+request.getServerPort()+path+"/";
%>

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
  <head>
    <base href="<%=basePath%>">
    
    <title>My JSP 'index.jsp' starting page</title>
    
	<meta http-equiv="pragma" content="no-cache">
	<meta http-equiv="cache-control" content="no-cache">
	<meta http-equiv="expires" content="0">    
	<meta http-equiv="keywords" content="keyword1,keyword2,keyword3">
	<meta http-equiv="description" content="This is my page">
  </head>
  
  <body>
    index jsp
    <br/><br/>
    <a href="admin.jsp">admin</a>
    <br/><br/>
    <a href="user.jsp">user</a>
    <br/><br/>
    <a href="shiro/logout">登出</a>
  </body>
</html>

然后呢?我们来进行测试,发现不管你是用哪个用户登录,都是可以进行登录成功,并且可以进行访问user.jsp 以及admin.jsp.



这时,不管你点击admin 或者user链接都可以正确进入到页面。

如果这时候我们在applicationContext.xml中配置一个roles拦截器呢?

Roles:角色过滤器,判断当前用户是否指定角色。

Eg:

 <!-- shiroFilter:web.xml中的name一致。否则报错 -->
    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <property name="securityManager" ref="securityManager"/>
        <property name="loginUrl" value="login.jsp"/>
        <property name="successUrl" value="index.jsp"/>
        <property name="unauthorizedUrl" value="unauthorized.jsp"/>
        <!-- 
        anon:(anonymous) 拦截器表示匿名访问(即不需要录即可访问)
        authc:(authentication)拦截器表示需要身份认证通过后才能访问
         -->
        <property name="filterChainDefinitions">
            <value>
                /login.jsp = anon
                /shiro/login = anon
                /shiro/logout =logout
                
               /admin.jsp=roles[admin]
                /user.jsp=roles[user]
                
                # everything else requires authentication:
                /** = authc
            </value>
        </property>
    </bean>

这时就发现不管你用哪个用户登录,user.jsp 以及admin.jsp页面都是不能访问的,会直接重定向到未授权的页面。



这些就说明:未给admin user指定角色。

下一节我们就来详细学习授权吧。看怎么样才能重定向到正确的页面。



only_yiyi_han
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Shiro权限管理
ycfxhsw的博客
04-25 683
Apache Shiro是Java的一个安全框架。目前,使用Apache Shiro的人越来越多,相比Spring Security而言相当简单, 可能没有Spring Security做的功能强大,但是在实际工作时可能并不需要那么复杂的东西, 所以使用小而简单的Shiro就足够了。对于它俩到底哪个好,这个不必纠结,能更简单的解决项目问题就好了。 本文只介绍基本的Shiro使用,不会过多分析源码等,重在使用。 Shiro架构 Shiro可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以
Shiro 权限处理(自我学习版)
m0_56532446的博客
05-06 1205
Shiro初步学习了解基础理论以及和SpringBoot整合
shiro标签
weixin_33736649的博客
11-21 70
有具体问题的可以参考之前的关于shiro的博文,关于shiro的博文均是一次工程的内容 ! shiro标签: Shiro提供了JSTL标签用于在JSP页面进行权限控制: 1.guest标签:用户没有身份验证时显示的信息,相当于游客模式 <shiro:guest>  游客模式,请进行登陆:<a href="...">登陆</a><shiro:gu...
自学-Shiro 标签-15
女神的高冷范
12-29 392
这节呢我们来学习Shiro标签,在学习之前我们必须知道授权的方式有几种: Shiro 支持三种方式的授权: – 编程式:通过写if/else 授权代码块完成; – 注解式:通过在执行的Java方法上放置相应的注解完成,没有权限将抛出相应的异常; – JSP/GSP 标签:在JSP/GSP 页面通过相应的标签完成。 之前我们在项目中已经用过编程式的授权,那么现在我们就来学习下标签吧!
Shiro自学笔记
02-09
Apache Shiro是一个全面的Java安全框架,主要用于处理身份认证、授权、加密以及会话管理等核心安全性问题。它提供了一套简洁且易于理解的API,使得开发者能够在各种类型的项目中快速实现安全功能,无论是小型的桌面...
JavaEE求职简历-姓名-JAVA开发工程师.doc
06-03
8. **安全认证**:了解Shiro进行权限认证和授权管理,以及CAS实现SSO单点登录。 9. **全文检索**:了解Solr搜索引擎的使用,提高数据查询效率。 10. **消息队列**:懂得使用ActiveMQ进行消息发送和接收,优化系统...
java毕业设计&课设-生鲜商城.zip
最新发布
06-13
9. **安全性**:如Spring Security或者Apache Shiro,用于实现权限管理和用户认证。 10. **测试**:JUnit或Mockito等工具,进行单元测试和集成测试,保证代码质量。 11. **部署**:包括Tomcat服务器的配置、WAR或...
java毕业设计&课设-企业OA系统小程序.zip
06-13
- 用户认证与授权:如Spring Security或Apache Shiro的实现。 - 小程序开发:可能采用了微信小程序或其他类似框架,涉及前后端交互、API设计等。 3. **资料**: 提供的资料可能包括需求文档、设计文档、数据库...
JAVA翻转课堂管理系统设计与实现
02-25
这涉及到身份验证、授权和角色管理等安全机制,可以通过Spring Security或Apache Shiro等框架实现。 2. 课程资源管理:教师可以上传、编辑和管理教学视频、课件等资源,学生则可以预览、下载和评论。这需要实现文件...
自学-Shiro的MD5加密及更加严格的盐值加密-08
热门推荐
女神的高冷范
12-17 1万+
上一节我们看到了是通过credentialsMatcher 属性来进行的密码的比对的,那我们 怎么才能把客户输入的密码进行MD5加密呢? 首先我们先来看下credentialsMatcher的继承类都有哪些? 所以我们可以通过org.apache.shiro.authc.credential.HashedCredentialsMatcher 来进行MD5加密,但是我们该怎么进行处理呢
自学-filterChainDefinitions的源码及和数据库进行交互-17
女神的高冷范
01-16 3267
前几节我们应该对这个filterChainDefinitions 有了解了吧!我们所有的权限设置都配置在了这个org.apache.shiro.spring.web.ShiroFilterFactoryBean这个属性中,我们可以想下,现在是有这几个权限,那加入有很多呢,如果还配置在这里是不是不太方便了,开发就是能多简便我们就怎么写对吧,根据观察我们可以发现这个属性中的值是键值对的形式而且还是有序
自学-Shiro中多Realm的配置-09
女神的高冷范
12-21 2884
项目结构: 学习了前几节,只是知道了验证的一个流程和一些其他的原理等。 那么Realm我们该怎么去理解呢? 首先得知道Realm是什么?怎么操作?为什么要使用Realm? ①:Realm:域, Shiro 从 Realm 获取安全数据 (如用户、 角色、 权限) , 就是说 SecurityManager要验证用户身份, 那么它需要从 Realm 获取相应的用户进行比较
自学-为什么自定义的Realm认证中 直接继承AuthenticatingRealm呢?-06
女神的高冷范
12-17 2339
先我们先来对上一节中的遗留的问题进行简单的解答下: Realm 的继承关系: Realm是他们的父类,继承AuthenticatingRealm其也间接继承了 CachingRealm(带有缓存实现)。 通过源码分析,可以查看认证只是调用了doGetAuthenticationInfo 接下里的一节将探讨加密算法及怎么实现。
自学-自定义AuthenticationStrategy的验证策略-10
女神的高冷范
12-21 2171
如果进项多个Realm的校验时,第一个Realm验证通过,第二个验证不通过,我们该怎么进行处理呢?这时候我们就应该使用Shiro的验证策略来解决这个问题了。 验证策略有三种: llSuccessFulStrategy:所有Realm验证成功才算成功,且返回所有 Realm身份验证成功的认证信息,如果有一个失败就失败了。 AtLeastOneSuccessFulAtrategy:
自学-Shiro中密码比对-07
女神的高冷范
12-17 1630
大家应该都知道涉及到任何一个项目,登录的密码是不会采用明文的方式进行存储的,都经过严格的加密方式来存储密码。 但是在前面的学习中,因为没有使用数据库来存放登录的用户名和密码信息,但是我们怎么才知道前台传过来的密码到底是采用什么方式呢,我们怎么来改变现有的方式来对密码进行严格的加密呢? 现在我们先来通过打断点的方式来获取加密的方式吧。 回想前几节中前台传入的用户名和密码是封装到了Usernam
自学-Shiro中多个Realms的另外一种配置方式-11
女神的高冷范
12-25 1558
前几节中项目中的Realms都是这样配置的,现在有一个其他的配置方法也是很好,首先先和之前的配置做个对比: 之前的:                  --> 现在的:
自学-shiro注解-16
女神的高冷范
01-16 1405
前几节我们学习了ShIro 的标签和编程式,那现在就来学习下注解的授权吧! 大致有这几个注解: @RequiresRoles(value={“admin”, “user”}, logical= Logical.AND):表示当前 Subject 需要角色 admin 和user @RequiresPermissions (value={“user:a”, “user:b”}, logical
自学-Shiro的身份认证-05
女神的高冷范
12-15 680
学习了前几节,大家可能只是对Shiro有个大概的了解,其实,Shiro的重点及难点都在后面的博客中,接下来的这节我们来探讨一下身份认证. 我们可以一起来看下身份认证流程,有个大概的思绪,在来一起写代码进行实现。 身份认证流程:   流程步骤(借鉴英文文档翻译): 1.首先调用Subject.login(token)进行登录,其会自动委托给Security Manager,调用之前
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值