Shiro授权信息刷新 | doGetAuthorizationInfo()不执行

最新推荐文章于 2023-06-02 11:29:31 发布
最新推荐文章于 2023-06-02 11:29:31 发布
阅读量3.2k 收藏 10
点赞数
分类专栏: java 文章标签: java shiro 缓存
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_32352777/article/details/117778275
版权

项目中可能出现用户登录以后,在线切换用户权限的业务场景这个时候我们发现原本已经登录的用户在切换权限后Realms中的doGetAuthorizationInfo()方法不执行,这样对于Shiro来说用户根本没有实现权限切换。

想要实现用户权限切换途径主要有两种:

1、后台实现登出再登录

2、使用同一个会话,动态的刷新授权

第一种方案有点不太优雅,这里就不做阐述,我们来说一下第二种方法:

对于Shiro来说一个用户通过登录认证以后,每一次访问需要授权验证的API时会执行一次doGetAuthorizationInfo()来获得当前用户的授权信息,以判断此处请求是否合法,但是每一次访问都要继续授权信息获取这样效率不高,因此Shiro会在第一次执行doGetAuthorizationInfo()以后将结果保存到了缓存中这样,同一会话用户下次再继续访问时可以直接读取缓存继续权限判断了。

那么我们需要做的就是当用户执行权限切换时,将AuthorizationInfo的缓存刷新,这样该用户下一次发生请求时Shiro就会重新执行Realms中的doGetAuthorizationInfo()方法来获得授权信息,这样就实现授权信息的动态刷新了。

具体操作如下:

我们先定义一个抽象的Realm类

package com.venus.dbg.opm.realm;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.realm.AuthorizingRealm;

/**
 * 自定义realm抽象类
 * 补充清理授权缓存信息功能
 * @author He Changjie
 */
public abstract class DemoAuthorizingRealm extends AuthorizingRealm {

    public void clearAuthorization(){
        this.clearCachedAuthorizationInfo(SecurityUtils.getSubject().getPrincipals());
    }
}

再将我们具体的认证授权类继承该抽象类

public class WebUserRealm extends DemoAuthorizingRealm {
/**
     * 获取身份验证信息并返回认证信息
     * 如果身份认证失败 返回null
     * @param authenticationToken 用户身份信息 token
     * @return 返回封装了用户信息的 AuthenticationInfo 实例
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) {
        // ...
    }

    /**
     * 获取授权信息
     * @param principals 身份
     * @return 授权信息
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        // ...
    }
}

在用户权限切换的业务逻辑中我们只需要获取当前会话的Realm对象,调用clearAuthorization()就可以清除权限缓存

RealmSecurityManager rsm = (RealmSecurityManager)SecurityUtils.getSecurityManager();
DemoAuthorizingRealm realm = (DemoAuthorizingRealm) rsm.getRealms().iterator().next();
realm.clearAuthorization();

 

若项目中多Realm的情况,清理授权缓存的原理也是一样的,首先我们所有自定义的Realm需要继承DemoAuthorizingRealm,再用户切换权限时获取当前会话的Realm再调用clearAuthorization()方法就可以了。

 

昌杰的攻城狮之路
关注
专栏目录
shiro执行授权方法 doGetAuthorizationInfo()
05-01
在遇到“Shiro执行授权方法 `doGetAuthorizationInfo()`”的问题时,通常表明在权限控制的过程中出现了配置或逻辑错误。下面将深入探讨这个问题及其解决办法。 首先,我们需要了解 Apache Shiro 的核心组件和...
触发shiro中重写realm中doGetAuthorizationInfo 授权方法的几种方式
taiguolaotu的博客
10-20 578
shiro 标签 controller接口上的权限注解 等等 还有就是 清空用户授权信息缓存getAuthorizationCache() 看源码 清空shiro缓存 ,会重新走realm中重写的doGetAuthorizationInfo方法从数据看查询数据权限 参考链接 这辈子坚持与不坚持都不可怕,怕的是独自走在坚持的道路上!!! ...
SpringBoot结合JWT+Shiro+Redis实现token无状态登录授权
ljlj8888的博客
03-12 1万+
SpringBoot结合JWT+Shiro+Redis实现token无状态登录授权 文章目录SpringBoot结合JWT+Shiro+Redis实现token无状态登录授权一、引言二、相关说明三、项目准备配置四、实现颁发token4.1. 配置Redis:RedisConfig4.2. 编写工具类4.3. 编写登录接口:LoginController五、实现Shiro授权5.1. 重写过滤器:J...
springboot shiro执行授权方法doGetAuthorizationInfo()
m0_67392273的博客
04-08 2218
AuthorizingRealm中有两个需要被重写的方法,分别是 doGetAuthenticationInfo() //验证功能 和 doGetAuthorizationInfo() //授权功能 在login登录方法中,使用login()方法触发自定义的 myRealm.doGetAuthenticationInfo()*方法, /*登录方法*/ public void login(){ Subject subject = SecurityUtils.getSubject(); UsernamePa
关于shiro doGetAuthorizationInfo授权方法和doGetAuthenticationInfo登陆认证方法的执行时机
weixin_43874015的博客
09-12 1856
1.默认情况下不关闭shiro自带的session 登陆时生成JESSIONID,执行doGetAuthorizationInfo的时机 1、subject.hasRole(“admin”) 或 subject.isPermitted(“admin”):自己去调用这个是否有什么角色或者是否有什么权限的时候; 2、@RequiresRoles(“admin”) :在方法上加注解的时候; 3、[@shiro.hasPermission name = “admin”][/@shiro.hasPermission]
shiro触发doGetAuthorizationInfo方法的三种方式
yuguang的博客
07-08 1698
什么情况下会触发shiro授权检测呢?通常有以下三种方式: 方式一:代码中通过Subject对象主动调用权限校验 subject.hasRole(“admin”); //或 subject.isPermitted(“admin”); 这种方式属于在代码中需要校验权限的时候主动调用,判断返回结果来确定是否通过。 方式二:通过注解的形式检查对用的方法请求 @RequiresRoles("admin") 这种方式通常用在Controller的方法上。 方式三:页面shiro标签 针对jsp等
Shiro 如何主动调用doGetAuthorizationInfo方法
简单简单小白
05-04 2万+
Shiro 如何主动调用doGetAuthorizationInfo方法 (一)提出问题 最近在看shiro框架,使用shiro控制角色的权限,突然遇到一个问题,就是在每次登陆的时候shiro框架才会调用认证方法doGetAuthorizationInfo,才会去初始化权限,然后放到缓存,之后只要是不登陆就不会再去调用认证方法doGetAuthorizationInfo,所以这样就会存在一个...
shiro的doGetAuthorizationInfo授权方法始终进不去
天才战士的博客
08-13 3万+
感慨:大二刚开始学java,只顾埋头照着敲,什么语法什么意思通通不知道,敲完运行看看效果正确就洋洋得意一番。后来慢慢懂了基本语法,基本意思,想实现什么功能就百度一下,面向对象编程成了面向百度编程。开始了抄,第一阶段直接抄,代码实现错误就是辣鸡答案。第二阶段,看看代码的基本如何实现,对它进行一些更改达到自己的预期效果。第三阶段,抄它的思想,从它的思想中获得灵感。到了这个阶段,觉得自己好像什么都会,又...
shiro授权的实现原理
08-29
Shiro 授权基于角色的访问控制,可以通过 ini 配置文件配置用户拥有的角色,然后通过 Realm 中返回角色信息来验证用户是否有相应的角色。Shiro 提供了相应的接口来方便验证,但不负责维护用户-角色信息,需要应用...
shiro授权类图关系简化版
04-13
shiro授权类图关系简化版
Shiro的三种授权(十二)
qq_35222843的博客
05-11 546
前提就是在Realm的授权方法中查询出权限并返回List<String>形式 @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { // 从 principals获取主身份信息 // 将getPrimaryPrincipal方法返回值转为真实身份类型(在上边的doGetAuthentication...
Shiro中doGetAuthorizationInfo无法被调用解决方法
News777的博客
04-15 2461
问题 使用@RequiresPermissions("sys:plan:list")注解实现权限认证,发现doGetAuthorizationInfo无法被调用,尝试了网上的各种方法,终于解决了问题 代码 //自定义adminRealm @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) { String uname= String.
shiro授权过程
ITWANGBOIT的博客
10-14 898
1:通过继承shiro的AuthorizingRealm类,并实现它的doGetAuthorizationInfo方法来进行授权。 2:doGetAuthorizationInfo方法的参数是认证通过的principal的集合(因为可多个realm,且有不同的认证策略) 3:doGetAuthorizationInfo方法的作用就是:登录认证成功之后,根据认证通过的principal,...
基于springboot注解的shiro 授权及角色认证
一个菜鸡的博客
05-29 2146
验证用户是否被记忆: 登录认证成功subject.isAuthenticated()为true 登录后被记忆subject.isRemembered()为true。通过给接口服务方法添加注解可以实现权限校验,可以加在控制器方法上,也可以加 在业务方法上,一般加在控制器方法上。验证subject是否有相应角色,有角色访问方法,没有则会抛出异常 AuthorizationException。验证subject是否有相应权限,有权限访问方法,没有则会抛出异常 AuthorizationException。
shiro中AuthorizingRealm接口的doGetAuthorizationInfo 与doGetAuthenticationInfo什么时候调用
热门推荐
sidanchen的博客
03-09 3万+
这两个方法虽然名字很像,但是意义是不一样的,doGetAuthorizationInfo方法是进行权限验证,doGetAuthenticationInfo是进行身份验证的(登录验证),相信很多初学者对于这两个方法的调用时机可能不太明白,今天楼主搞了一下午的测试大致明白这两个方法的调用时机。1.doGetAuthorizationInfo方法    该方法主要是用于当前登录用户授权(作者小白插一句:...
第十节 Shiro集成SSM框架
大宇的博客,欢迎访问
02-22 2110
一、搭建基本的SSM框架 首先告诉大家一个好消息,现在github的私有仓库免费咯。 好,开始本小节的教学。首先需要搭建一个SSM框架。如何搭建SSM框架,不在本文的讨论范围之内。你可以下载我的已经搭建好的基本的SSM框架,地址:点击我下载源码。我提供了一个基本的SSM框架与集成Shiro后的SSM框架。如果你时间比较急,你可以直接查看搭建后的代码并进入第三步中直接...
shiro的doGetAuthorizationInfo认证不执行原因,自己写的,比其他那些复制粘贴更全
iyangijava的博客
06-21 2173
情况 1.前后端分离 2.shiro使用缓存 3.doGetAuthorizationInfo授权方法不执行 原因 1.doGetAuthorizationInfo调用必须满足条件为不在url不在shiro config里的过滤url里 2.doGetAuthorizationInfo会在校验权限或角色时进行调用 3.如果存在缓存doGetAuthorizationInfo只调用一次 解决方法 1.确保url不在shiro config的过滤url里 2.确保验证了权限,可以使用默认页面
shiro】问题记录--doGetAuthorizationInfo重复执行以及关闭shiro自带的session
最新发布
kevin的博客
06-02 571
shiro整合token实现续签的时候,调试发现了一个奇葩的情况,我的doGetAuthorizationInfo重复执行2次。
Shiro授权机制解析:主体、资源与权限
"本文主要介绍了Apache Shiro框架的授权实现原理,包括主体(Subject)、资源(Resource)、权限(Permission)和角色(Role)四个核心概念。授权是控制用户访问特定资源的过程,Shiro通过这些概念提供了灵活的访问...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值