Shiro(四)——通过注解实现权限拦截(基于角色和基于权限)、Shiro的Jsp标签、Shiro 缓存

最新推荐文章于 2024-03-22 13:00:27 发布
最新推荐文章于 2024-03-22 13:00:27 发布
阅读量3.7k 收藏 2
点赞数
分类专栏: Java 文章标签: 缓存 java 安全 shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41824825/article/details/122893644
版权

一、通过注解实现权限拦截

1、粗粒度和细粒度的权限控制

上篇博客中,通过 URL地址进行权限控制,属于粗粒度的权限控制。
基于过滤器来实现的基本上都是粗粒度的权限控制。因为一个页面中可能有很多请求,可能 A 方法允许你调用,但是 B 方法就不允许了,但是他们都属于一个页面,那么仅靠之前的 url 来控制就不能实现。

如果是基于注解实现的权限控制,可以精确到每一个 service 方法,底层实现的是 AOP。所以细粒度的权限控制一般在 service 层实现。

权限保存在数据库中,其实从技术角度来讲,权限也就是一堆字符串,用来判断有无权限其实也就是判断有没有这堆字符串。

2、基于角色访问功能

先完成 controller 层代码和 service 层代码:

controller 层:
在这里插入图片描述

service 层:
相关注解好几个,看注释(需要什么功能就用什么注解即可):
在这里插入图片描述
这里先用角色测试:
在这里插入图片描述
因为底层是 AOP,所以还要配置 AOP 两个工具:
在这里插入图片描述
基本到这就可以了。

如果是跟着博客的代码打的话,前面有些代码需要修改一下,不然会报 500 错误:
在这里插入图片描述
在这里插入图片描述
如果没有对应的角色,会触发这个页面:
在这里插入图片描述

3、基于权限访问功能

前面是基于角色的,接着演示基于权限的:
在这里插入图片描述
那么怎么知道角色有没有这些去权限呢?还是去 MyRealm 里面去配置:
在这里插入图片描述
接着就是查询权限:
mapper 层:
在这里插入图片描述

在这里插入图片描述
那么到这里就完成了。

二、Shiro的Jsp标签

1、jsp标签

在这里插入图片描述
在这里插入图片描述

2、其他 jsp 标签

在这里插入图片描述

三、Shiro 缓存

1、配置缓存

一般来说用户不会很频繁的登录,所以一般是不需要频繁的去获取权限,但是如果某些功能需要权限,那么每次一用这个功能都会很频繁的去查数据库,这样就会造成性能下降。所以如果权限数据不会很轻易的变化情况下,如果有个缓存,就能大大缓解压力。

Shiro 提供了一个缓存工具:

先导入依赖:
在这里插入图片描述
然后接收新建配置文件:
在这里插入图片描述

里面写缓存策略:
在这里插入图片描述

<ehcache>
    <diskStore path="java.io.tmpdir/shiro-spring-sample"/>
    <defaultCache
            maxElementsInMemory="10000"
            eternal="false"
            timeToIdleSeconds="120"
            timeToLiveSeconds="120"
            overflowToDisk="false"
            diskPersistent="false"
            diskExpiryThreadIntervalSeconds="120"
    />
    <cache name="shiro-activeSessionCache"
           maxElementsInMemory="10000"
           eternal="true"
           overflowToDisk="true"
           diskPersistent="true"
           diskExpiryThreadIntervalSeconds="600"/>
    <cache name="org.apache.shiro.realm.SimpleAccountRealm.authorization"
           maxElementsInMemory="100"
           eternal="false"
           timeToLiveSeconds="600"
           overflowToDisk="false"/>
</ehcache>

接着就是在 Spring 里面配置:
在这里插入图片描述在这里插入图片描述
最后在 myRealm 里面配置:
在这里插入图片描述
到此就配置完成了。

sp_snowflake
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
vue与shiro结合实现权限按钮
12-15
vue+shiro实现前端细颗粒按钮级权限,并且可以实现删除和禁用两种不同模式,里面需要的前置技术包括 :vue\vue的自定义指令\vue的自定义插件\vuex
shiro实现权限注解配置拦截-cjq
weixin_34254823的博客
12-20 536
1.shiro.inil初始化自定义的realm(很多都可以初始化。。。) [main]#自定义 realmcustomRealm=cn.cjq.util.shiro.UserRealm#将realm设置到securityManagersecurityManager.realms=$customRealm 2.web.xml开启shiro拦截 <!-- 添加 Shiro 相关配置 --...
Spring Boot GraphQL拦截权限验证以及异常拦截封装
Demon_Hao的博客
03-22 430
GraphQL 拦截权限验证和异常拦截封装是在 GraphQL 服务中常见的一种需求,用于保护 GraphQL 接口免受未经授权的访问,并提供友好的错误信息处理。
采用shiro进行拦截注解无效解决方法
wxk的博客
08-17 2542
赌一把,权当爱存在
shiro案例--与springboot整合--拦截器的配置--注解和xml
qq_39949910的博客
07-31 572
工程第一步:导入依赖: pom添加: <parent> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-parent</artifactId> <version>2.2.0.RELEASE</version> </parent>
spring boot中shiro使用自定义注解屏蔽接口鉴权
m0_63437643的博客
10-28 1136
传统做法 spring boot整合shiro后,如果某些接口需要屏蔽鉴权的话(比如登录)接口,我们一般会这么做: @Bean(name = "shiroFilter") public ShiroFilterFactoryBean shiroFilterFactoryBean(org.apache.shiro.mgt.SecurityManager securityManager) { ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilt
Shiro权限注解拦截分析
rocklee的专栏
03-13 577
Shiro类似@RequiresPermissions(value = {“p2”})这种在controller里面设置的权限,通过org.apache.shiro.authz.aop.AuthorizingAnnotationMethodInterceptor#assertAuthorized再call org.apache.shiro.authz.aop.PermissionAnnotationHandler#assertAuthorized来判断此权限是否为此主体授权 而AuthorizingAnn
shiro进行权限控制的种方式
m0_67402026的博客
04-07 6359
我们使用shiro进行权限控制 有以下几种方式 1. URL拦截权限控制:基于filter过滤器实现 我们在spring配置文件中配置shiroFilter时配置 /css/ = anon /js/ = anon /images/ = anon /validatecode.jsp = anon /login.jsp = anon /userActionlogin.action = anon /pagebasestaff.action = perms\["staff-
java中注释初次体验
你怎么也喜欢嘴巴嘟嘟
11-25 148
JDK 内置的常用注解 @override:用于注解方法,说明该方法必须是重写方法 @Deprecated注解的类、属性、方法 说明是已经过时 勉强还能使用 @SupperessWarnings 用于抑制编译器警告 自定义注解 格式: public @interface MyAnnotation {} 元注解 @Retention:描述注解的声明周期 @Target:描述注解可用于修饰哪些程序元素 @Documented:随之生成说明文档,但注解的声明周期必须是RUNTIME @Inherited:被它修
Shiro框架:Shiro用户访问控制鉴权流程-Aop注解方式源码解析
博客园
01-20 847
Shiro作为一款比较流行的登录认证、访问控制安全框架,被广泛应用在程序员社区;Shiro登录验证、访问控制、Session管理等流程内部都是委托给SecurityManager安全管理器来完成的,SecurityManager安全管理器前面文章已经进行了详细解析;在此基础上,前面文章已对Shiro用户登录认证流程进行了源码跟踪,对Shiro用户访问控制鉴权流程-内置过滤器方式进行了详细解析;本篇文章继续对用户访问控制鉴权流程-Aop注解方式进行源码解析,了解不同的使用方式以便更好的应用到实际项目中。
基于Springboot和Shiro权限管理系统设计源码
04-09
该项目提供了一个基于Springboot和Shiro权限管理系统,通过界面交互和功能模块,为用户提供了一个高效、易用的权限管理解决方案。该系统流程详细、代码干净、配置简单,非常适合初学者上手学习。
基于JavaShiro权限管理系统设计源码
04-18
本项目是基于JavaShiro权限管理系统设计源码,包含1343个文件,其中主要包含462个js脚本,267个html页面,148个java文件,129个css样式表等。系统后端采用jboot框架,前端使用layui进行界面设计,集成了Shiro来...
基于Extjs4和ShiroJava权限管理框架设计源码
04-04
本设计源码提供了一个基于Extjs4和ShiroJava权限管理框架。项目包含2062个文件,主要使用JavaScript、Java和CSS编程语言。文件类型包括1598个GIF图片文件、281个PNG图片文件、50个JavaScript脚本文件、44个Java源...
基于Spring、Spring MVC、MiniJdbc和Shiro权限管理系统LarvaFrame设计源码
最新发布
04-23
本项目是基于Spring、Spring MVC、MiniJdbc和Shiro开发的权限管理系统LarvaFrame设计源码,包含436个文件,其中包括145个Java源文件,92个JavaScript文件,30个PNG图片,30个CSS样式文件,27个GIF图片,24个XML文件...
Shiro注解
qq_43654581的博客
10-15 2513
1.开启注解功能,比较使用注解 2.解决注解式,登录页和无权访问页面不跳转问题 3.拦截器跟注解同时使用的执行顺序
使用 spring 拦截器和自定义注解进行接口鉴权、登录校验
DONGHONGBAI的专栏
03-01 3175
项目中涉及到接口鉴权和登录超时判断等校验,所以研究下强大spring的拦截器功能,如下转载、学习几篇不错博文,在此先谢过原作者的分享。 https://www.jianshu.com/p/97362fdf039e http://www.scienjus.com/restful-token-authorization/ 一、写注解 编写一个自定义注解:用于需要鉴权或者登录校验功能的接口(方法上) ...
shiro通过注解方式自定义控制接口无需认证访问的解决过程
凌大大的博客
01-26 9346
1. 需求背景   用过Shiro的小伙伴都知道,shiro提供两种权限控制方式,通过过滤器或注解。我们项目是springboot + vue前后分离项目,后台对于权限控制一直使用的是过滤器的方式,并且还有自定义的过滤器。大概如下: @Bean("shiroFilter") public ShiroFilterFactoryBean shirFilter(SecurityManager securityManager) { ShiroFilterFactoryBean shiroFilter = new
Springboot集成Shiro--自定义权限过滤器
PrimaryMe的博客
11-15 1393
在使用Shiro进行权限判断的时候,某一个访问路径,可能只需要两种权限中的其中一个,就可以访问。但是Shiro中,提供的权限过滤,必须都满足两个权限之后,才能访问,这样会造成一些权限控制的不合理人性化。因此自定义权限过滤器是非常有必要的,在日后的开发中,自定义权限过滤器是很频繁的操作。
shiro权限拦截实现
05-29
Shiro权限拦截实现主要分为两个部分,一是定义自己的Realm实现类,二是在Shiro的配置文件中配置过滤器链。 1. 定义自己的Realm实现类 在自定义的Realm实现类中,需要重写doGetAuthorizationInfo方法来授权用户的访问权限。该方法会在用户登录成功后进行调用,并返回该用户所具有的角色权限信息。在该方法中,可以通过调用Subject对象的getPrincipal方法来获取当前用户的身份信息,然后根据用户的身份信息查询数据库或者其他数据源,获取该用户所具有的角色权限信息。最后将角色权限信息封装到一个SimpleAuthorizationInfo对象中并返回。 ``` public class MyRealm extends AuthorizingRealm { /** * 获取用户授权信息 */ @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { String username = (String) principals.getPrimaryPrincipal(); SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo(); // 查询用户角色权限信息 Set<String> roles = new HashSet<>(); roles.add("admin"); authorizationInfo.setRoles(roles); Set<String> permissions = new HashSet<>(); permissions.add("user:add"); authorizationInfo.setStringPermissions(permissions); return authorizationInfo; } /** * 获取用户认证信息 */ @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException { // ... } } ``` 2. 配置过滤器链 在Shiro的配置文件中,通过配置过滤器链来实现权限拦截。在过滤器链中,可以根据URL路径的不同设置不同的过滤器来实现不同的拦截效果。 例如,我们可以使用authc过滤器来拦截需要认证的URL路径,使用perms过滤器来拦截需要特定权限才能访问的URL路径,使用roles过滤器来拦截需要特定角色才能访问的URL路径。具体的配置如下: ``` [urls] /login = anon /logout = logout /user/** = authc, perms[user:manage] /admin/** = authc, roles[admin] ``` 上述配置表示: - /login路径可以匿名访问 - /logout路径需要登录并且执行登出操作 - /user/**路径需要登录,并且需要user:manage权限才能访问 - /admin/**路径需要登录,并且需要admin角色才能访问 通过以上配置,就可以实现Shiro权限拦截功能。如果用户没有登录或者没有特定的角色权限,就无法访问被拦截的URL路径。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值