shiro授权实现

最新推荐文章于 2021-09-23 15:53:52 发布
最新推荐文章于 2021-09-23 15:53:52 发布
阅读量320 收藏
点赞数
分类专栏: # 【J2EE基础学习】 文章标签: lfsenior shiro

授权实现

Shiro支持三种方式实现授权过程:

  • 编码实现
  • 注解实现
  • JSP Taglig实现
1、基于编码的授权实现

1.1基于传统角色授权实现
当需要验证用户是否拥有某个角色时,可以调用Subject 实例的hasRole*方法验证。
[java]  view plain  copy
  1. Subject currentUser = SecurityUtils.getSubject();    
  2. if (currentUser.hasRole("administrator")) {    
  3.     //show the admin button    
  4. else {    
  5.     //don't show the button?  Grey it out?    
  6. }   


相关验证方法如下:
Subject方法描述
hasRole(String roleName)当用户拥有指定角色时,返回true
hasRoles(List<String> roleNames)按照列表顺序返回相应的一个boolean值数组
hasAllRoles(Collection<String> roleNames)如果用户拥有所有指定角色时,返回true

断言支持
Shiro还支持以断言的方式进行授权验证。断言成功,不返回任何值,程序继续执行;断言失败时,将抛出异常信息。使用断言,可以使我们的代码更加简洁。
[java]  view plain  copy
  1. Subject currentUser = SecurityUtils.getSubject();    
  2. //guarantee that the current user is a bank teller and    
  3. //therefore allowed to open the account:    
  4. currentUser.checkRole("bankTeller");    
  5. openBankAccount();    


断言的相关方法:
Subject方法描述
checkRole(String roleName)断言用户是否拥有指定角色
checkRoles(Collection<String> roleNames)断言用户是否拥有所有指定角色
checkRoles(String... roleNames)对上一方法的方法重载

1.2 基于权限角色授权实现
相比传统角色模式,基于权限的角色模式耦合性要更低些,它不会因角色的改变而对源代码进行修改,因此,基于权限的角色模式是更好的访问控制方式。
它的代码实现有以下几种实现方式:
1、基于权限对象的实现
创建org.apache.shiro.authz.Permission的实例,将该实例对象作为参数传递给Subject.isPermitted()进行验证。
[java]  view plain  copy
  1. Permission printPermission = new PrinterPermission("laserjet4400n""print");    
  2. Subject currentUser = SecurityUtils.getSubject();    
  3. if (currentUser.isPermitted(printPermission)) {    
  4.     //show the Print button    
  5. else {    
  6.     //don't show the button?  Grey it out?    
  7. }    
  8. Permission printPermission = new PrinterPermission("laserjet4400n""print");    
  9. Subject currentUser = SecurityUtils.getSubject();    
  10. if (currentUser.isPermitted(printPermission)) {    
  11.     //show the Print button    
  12. else {    
  13.     //don't show the button?  Grey it out?    
  14. }    


相关方法如下:
Subject方法描述
isPermitted(Permission p)Subject拥有制定权限时,返回treu
isPermitted(List<Permission> perms)返回对应权限的boolean数组
isPermittedAll(Collection<Permission> perms)Subject拥有所有制定权限时,返回true

2、 基于字符串的实现
相比笨重的基于对象的实现方式,基于字符串的实现便显得更加简洁。
[java]  view plain  copy
  1. Subject currentUser = SecurityUtils.getSubject();    
  2. if (currentUser.isPermitted("printer:print:laserjet4400n")) {    
  3.     //show the Print button    
  4. else {    
  5.     //don't show the button?  Grey it out?    
  6. }   


使用冒号分隔的权限表达式是org.apache.shiro.authz.permission.WildcardPermission 默认支持的实现方式。
这里分别代表了 资源类型:操作:资源ID

类似基于对象的实现相关方法,基于字符串的实现相关方法:
isPermitted(String perm)、isPermitted(String... perms)、isPermittedAll(String... perms)

基于权限对象的断言实现
[java]  view plain  copy
  1. Subject currentUser = SecurityUtils.getSubject();    
  2. //guarantee that the current user is permitted    
  3. //to open a bank account:    
  4. Permission p = new AccountPermission("open");    
  5. currentUser.checkPermission(p);    
  6. openBankAccount();    


基于字符串的断言实现
[java]  view plain  copy
  1. Subject currentUser = SecurityUtils.getSubject();    
  2. //guarantee that the current user is permitted    
  3. //to open a bank account:    
  4. currentUser.checkPermission("account:open");    
  5. openBankAccount();    


断言实现的相关方法
Subject方法说明
checkPermission(Permission p)断言用户是否拥有制定权限
checkPermission(String perm)断言用户是否拥有制定权限
checkPermissions(Collection<Permission> perms)断言用户是否拥有所有指定权限
checkPermissions(String... perms)断言用户是否拥有所有指定权限

2、基于注解的授权实现
Shiro注解支持AspectJ、Spring、Google-Guice等,可根据应用进行不同的配置。

相关的注解:
@ RequiresAuthentication
可以用户类/属性/方法,用于表明当前用户需是经过认证的用户。
[java]  view plain  copy
  1. @RequiresAuthentication    
  2. public void updateAccount(Account userAccount) {    
  3.     //this method will only be invoked by a     
  4.     //Subject that is guaranteed authenticated    
  5.     ...    
  6. }    


@ RequiresGuest
表明该用户需为”guest”用户

@ RequiresPermissions
当前用户需拥有制定权限
[java]  view plain  copy
  1. @RequiresPermissions("account:create")    
  2. public void createAccount(Account account) {    
  3.     //this method will only be invoked by a Subject    
  4.     //that is permitted to create an account    
  5.     ...    
  6. }    


@RequiresRoles
当前用户需拥有制定角色

@ RequiresUser
当前用户需为已认证用户或已记住用户

3、基于JSP  TAG的授权实现
Shiro提供了一套JSP标签库来实现页面级的授权控制。
在使用Shiro标签库前,首先需要在JSP引入shiro标签:
[java]  view plain  copy
  1. <%@ taglib prefix="shiro" uri="http://shiro.apache.org/tags" %>    


下面一一介绍Shiro的标签:
guest标签
验证当前用户是否为“访客”,即未认证(包含未记住)的用户
[html]  view plain  copy
  1. <shiro:guest>    
  2.     Hi there!  Please <a href="login.jsp">Login</a> or <a href="signup.jsp">Signup</a> today!    
  3. </shiro:guest>    


user标签
认证通过或已记住的用户
[html]  view plain  copy
  1. <shiro:user>    
  2.     Welcome back John!  Not John? Click <a href="login.jsp">here<a> to login.    
  3. </shiro:user>    


authenticated标签
已认证通过的用户。不包含已记住的用户,这是与user标签的区别所在。
[html]  view plain  copy
  1. <shiro:authenticated>    
  2.     <a href="updateAccount.jsp">Update your contact information</a>.    
  3. </shiro:authenticated>    


notAuthenticated标签
未认证通过用户,与authenticated标签相对应。与guest标签的区别是,该标签包含已记住用户。
[html]  view plain  copy
  1. <shiro:notAuthenticated>    
  2.     Please <a href="login.jsp">login</a> in order to update your credit card information.    
  3. </shiro:notAuthenticated>    


principal 标签
输出当前用户信息,通常为登录帐号信息
[html]  view plain  copy
  1. Xml代码    
  2. Hello, <shiro:principal/>, how are you today?    


hasRole标签
验证当前用户是否属于该角色
[html]  view plain  copy
  1. <shiro:hasRole name="administrator">    
  2.     <a href="admin.jsp">Administer the system</a>    
  3. </shiro:hasRole>  


lacksRole标签
与hasRole标签逻辑相反,当用户不属于该角色时验证通过
[html]  view plain  copy
  1. <shiro:lacksRole name="administrator">    
  2.     Sorry, you are not allowed to administer the system.    
  3. </shiro:lacksRole>    


hasAnyRole标签
验证当前用户是否属于以下任意一个角色。
[html]  view plain  copy
  1. <shiro:hasAnyRoles name="developer, project manager, administrator">    
  2.     You are either a developer, project manager, or administrator.    
  3. </shiro:lacksRole>    


hasPermission标签
验证当前用户是否拥有制定权限
[html]  view plain  copy
  1. <shiro:hasPermission name="user:create">    
  2.     <a href="createUser.jsp">Create a new User</a>    
  3. </shiro:hasPermission>    


lacksPermission标签
与hasPermission标签逻辑相反,当前用户没有制定权限时,验证通过
[html]  view plain  copy
  1. <shiro:hasPermission name="user:create">    
  2.     <a href="createUser.jsp">Create a new User</a>    
  3. </shiro:hasPermission>    

转自:http://blog.csdn.net/lufeng20/article/details/7594711

喵学长
关注
专栏目录
Shiro实现授权
史天航的博客
12-10 7155
shiro实现授权 授权,也叫做访问控制,即在应用中控制谁能访问哪些资源(如访问页面、编辑数据、页面操作等)。在授权中需要了解几个关键对象:主体(Subject)、资源(Resource)、权限(Permission)、角色(Role)。 授权的概念 主体: 主体,即访问应用的用户,在Shiro中使用Subject代表用户。用户只有授权后才允许访问相应的资源。 资源: 在应用中用户可以...
Shiro 授权实现
嵩园
09-28 522
一. 授权 授权,也叫访问控制,即在应用中控制谁能访问哪些资源(如访问页面/编辑数据/页面操作等)。在授权中需了解的几个关键对象:主体(Subject)、资源(Resource)、权限(Permission)、角色(Role)。 主体:即访问应用的用户,在 Shiro 中使用 Subject 代表该用户。用户只有授权后才允许访问相应的资源。 资源:在应用中用户可以访问的任何东西,比如访问 J
Apache Shiro 授权过程
王浩的技术博客
11-02 150
下面详细介绍在进行授权时,Shiro的内部处理机制。 如上图,我们通过Shiro架构图的授权部分,来说明Shiro授权内部的处理顺序: 1.应用程序或框架代码调用任何Subject的hasRole*,checkRole*,isPermitted*,或者checkPermission*方法的变体,传递任何所需的权限或角色内容。 2.Subject的实例,通常是DelegatingSub...
shiro授权
热门推荐
分享牛
05-22 1万+
shiro授权shiro授权,分享牛系列,分享牛专栏,分享牛。shiro授权原理,shiro授权分析。shiro授权1.1 授权流程 1.2 授权方式Shiro 支持三种方式的授权: 编程式:通过写if/else 授权代码块完成:Subject subject = SecurityUtils.getSubject();if(subject.hasRole(“admin”)) {//有权限} e
SpringBoot Shiro授权实现过程解析
08-25
SpringBoot Shiro授权实现过程解析 在SpringBoot项目中,Shiro是一个非常流行的授权框架,它提供了完善的授权机制,可以帮助开发者轻松实现授权功能。在本文中,我们将详细介绍SpringBoot Shiro授权实现过程解析,...
shiro授权实现原理
08-29
Shiro 授权实现原理 Shiro 授权实现原理是指在应用中控制谁能访问哪些资源的机制。这个机制主要涉及到四个关键对象:主体(Subject)、资源(Resource)、权限(Permission)、角色(Role)。 1. 主体...
Springboot shiro认证授权实现原理及实例
08-19
Springboot shiro 认证授权实现原理及实例 作为一款流行的 Java 框架,Spring Boot 提供了许多插件来支持开发过程,而 Shiro 则是一个功能强大的身份验证和授权框架。下面,我们将详细介绍 Spring Boot 中如何使用 ...
基于springboot实现整合shiro实现登录认证以及授权过程解析
08-25
基于Spring Boot实现整合Shiro实现登录认证以及授权过程解析 在本文中,我们将详细介绍如何使用Spring Boot框架实现整合Shiro进行登录认证和授权过程的解析。Shiro是Apache软件基金会下的一个基于Java的开源安全...
Shiro第三篇【授权、自定义reaml授权
3y
08-17 465
Shiro授权 上一篇我们已经讲解了Shiro的认证相关的知识了,现在我们来弄Shiro授权 Shiro授权的流程和认证的流程其实是差不多的: Shiro支持的授权方式 Shiro支持的授权方式有三种: Shiro 支持三种方式的授权: 编程式:通过写if/else 授权代码块完成: Subject subject = SecurityUtils.getSubject...
24-shiro请求授权实现
xixihaha_coder的博客
09-23 121
shiro请求授权实现 1.config ShiroConfig //添加shiro的内置过滤器 Map<String, String> map = new LinkedHashMap<>(); //-------------授权,正常情况,未授权会跳转带未授权页面 //限制访问add页面,和update页面 map.put("/user/add","perms[user:add]"); map
shiro实现认证授权
weixin_49494939的博客
09-06 188
文章目录realm类加密类配置文件类jar包 realm类 进行认证和授权 public class MyRealm extends AuthorizingRealm { @Autowired private UserService userService; @Autowired private MenuService menuService; /** * shiro安全授权 * @param principals * @return
shiro 授权和注解开发
LIN_17970的博客
10-15 401
shiro 授权和注解开发shiro授权shiro注解式开发 数据库的表设计: shiro授权ShiroUserMapper.xml中新增内容 <!-- 这是根据用户id获取到所拥有的角色集合--> <select id="getRolesByUserId" resultType="java.lang.String" parameterType="java.lang....
SimpleAuthenticationInfo的参数
dxyzhbb的博客
01-09 2722
SimpleAuthenticationInfo的参数 仅供个人参考,以及学习记录。 SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo( userInfo, //用户名–此处传的是用户对象 userInfo.getPassword(), //密码—从数据库中获取的密码 salt, getName()...
shiro 授权
快乐的小三菊的博客
05-14 1908
shiro 授权源码探究
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值