权限控制

最新推荐文章于 2022-03-29 09:25:10 发布
最新推荐文章于 2022-03-29 09:25:10 发布
阅读量191 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42232665/article/details/82380368
版权

权限控制

权限控制两种方式:

    1.基于URL粗粒度(常用)
        可以基于 Filter 实现
    在数据库中存放 用户、权限、访问 URL 对应关系, 当前用户访问一个 URL 地址,查
    询数据库判断用户当前具有权限,是否包含这个 URL,如果包含允许访问,如果不包含
    权限不足 !!!

    2.基于方法细粒度(和钱有关的业务用的较多)
        可以代理、自定义注解实现, 访问目标对象方法,在方法上添加权限注解信息,对目
    标对象创建代理对象,访问真实对象先访问代理对象,在代理对象查询数据库判断是否具有
    注解上描述需要权限,具有权限,允许访问,不具有权限,拦截访问,提示权限不足
权限控制的相关数据表结构(重点)
实体:用户,角色,权限
    用户:系统登录用户
    权限:描述权限信息(粗粒度权限控制,可能在权限表中描述访问资源URL信息)
    角色:方便用户进行授权,角色就是权限的集合(主要作用就是方便我们进行权限赋值操作)
    菜单:为了方便进行动态菜单管理  为不同用户定制不同系统菜单不同用户系统菜单,可以
    根据用户角色 进行管理 

    角色 * --- * 菜单 之间的关系多对多

    用户-----角色-----权限 之间的表关系都是多对多关系
ApacheShiro框架

是一款分厂好的开源的安全框架

1.体系结构
    1> Authentication 认证 ---- 用户登录,身份识别 who are you?
    2> Authorization 授权 --- 用户具有哪些权限、角色 what can you do ?
    3> Cryptography 安全数据加密
    4> Session Management 会话管理
    5> Web Integration web 系统集成
    6> Interations 集成其它应用,spring、缓存框架

Shiro运行流程

applicationCode----->Subject----->ShiroSecurityManager----->Reain

#applicationCode:编写代码(程序员写)
Subject:即“当前操作用户” 接受请求(方法参数)和参数(参数) ,将这些请求和数据交给SecurityManager
SecurityManager:它是Shiro框架的核心,典型的Facade模式,Shiro通过SecurityManager来管理内部组件实例,并通过它来提供安全管理的各种服务 
#Realn:充当了Shiro与应用安全数据间的“桥梁”或者“连接器”。也就是说,当对用户执行认证(登录)和授权(访问控制)验证时,Shiro会从应用配置的Realm中查找用户及其权限信息 (程序员写)

Shiro进行权限控制

Shiro进行权限控制四种方式;
    1.硬编码完成权限控制(耦合度高 不用)
    2.URL粗粒度权限控制(掌握)
    3.methode细粒度权限控制(了解)
    4.页面通过自定义标签完成权限控制(了解)

URL级别的权限控制步骤(基于用户登录案例)

1.倒jar包
<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-all</artifactId>
    <version>1.2.3</version>
</dependency>

2.在web.xml中配置Shiro的filter过滤器
<filter> 
    <!-- 去spring配置文件中寻找同名bean  -->
    <filter-name>shiroFilter</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
<filter-mapping>
    <filter-name>shiroFilter</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>

3.配置application.xml配置文件
<!-- 配置Shiro核心Filter  --> 
    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <!-- 安全管理器 -->
        <property name="securityManager" ref="securityManager" />
        <!-- 未认证,跳转到哪个页面  -->
        <property name="loginUrl" value="/login.html" />
        <!-- 登录页面页面 -->
        <property name="successUrl" value="/index.html" />
        <!-- 认证后,没有权限跳转页面 -->
        <property name="unauthorizedUrl" value="/unauthorized.html" />
        <!-- shiro URL控制过滤器规则  -->
        <property name="filterChainDefinitions">
            <value>
                <!-- 过滤器简称:
                anon 未认证可以访问
                authc 认证后可以访问
                perms 需要特定权限才能访问
                roles 需要特定角色才能访问
                user 需要特定用户才能访问
                port 需要特定端口才能访问
                reset 根据指定 HTTP 请求访问才能访问  -->
                /login.html* = anon
                /user_login.action* = anon 
                /validatecode.jsp* = anon
                /css/** = anon
                /js/** = anon
                /images/** = anon
                /services/** = anon 
                /pages/base/courier.html* = perms[courier:list]
                /pages/base/area.html* = roles[base]
                /** = authc
            </value>
        </property>
    </bean>
<!-- 安全管理器  -->
<bean id="securityManager" 
    class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
    <property name="realm" ref="bosRealm" />
    <property name="cacheManager" ref="shiroCacheManager" />
</bean>

<!-- 配置Realm -->
<bean id="bosRealm" class="cn.itcast.bos.realm.BosRealm">
    <!-- 缓存区的名字 就是 ehcache.xml 自定义 cache的name -->
    <property name="authorizationCacheName" value="bos" />
</bean>

<bean id="lifecycleBeanPostProcessor"class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>

<!-- 开启shiro注解模式  -->
<bean
    class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator"
    depends-on="lifecycleBeanPostProcessor" >
    <property name="proxyTargetClass" value="true" />
</bean>
<bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
        <property name="securityManager" ref="securityManager"/>
</bean>
4.前端页面设置form表单的action,给登录按钮添加点击事件

5.编写action

5.编写action
package cn.itcast.bos.web.action.system;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.subject.Subject;
import org.apache.struts2.convention.annotation.Action;
import org.apache.struts2.convention.annotation.Result;
import org.springframework.beans.factory.annotation.Autowired;
import cn.itcast.bos.domain.system.User;
import cn.itcast.bos.web.action.common.BaseAction;
public class LoginAction extends BaseAction<User> {
@Autowired
private LoginService loginService;

@Action(value="user_login",results={@Result(name="success",type="redirect",location="index.html"),
            @Result(name="login",type="redirect",location="login.html")})
public String login(){
    //基于Shiro实现登陆
    Subject subject = SecurityUtils.getSubject();
    //获取用户名和密码信息
    UsernamePasswordToken usernamePasswordToken = new UsernamePasswordToken(model.getPassword(),model.getUsername());
    try {
        //登录成功
        subject.login(usernamePasswordToken);
        return SUCCESS;
    } catch (Exception e) {
        // TODO: handle exception
        //登录失败
        return LOGIN;
    }
    return null;
} 
}

6.编写realm继承AuthorizingRealm

@Service
public class BosRealm extends AuthorizingRealm {
    //授权管理
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection arg0) {
        // TODO Auto-generated method stub
        System.err.println("授权管理--------------------");
        return null;
    }
    //认证管理
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken arg0) throws AuthenticationException {
        // TODO Auto-generated method stub
        System.err.println("认证管理--------------------");
        return null;
    }

7.给realm上添加一个@service注解,再将realm注入到安全管理器,才能实现安全管理器调用realm(action中调用Subject的login方法,login方法去调用安全管理器,安全管理器区调用realm,)

<!-- 安全管理器  -->
<bean id="securityManager" 
      class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
    <property name="realm" ref="bosRealm" />
    <property name="cacheManager" ref="shiroCacheManager" />
</bean>
//认证管理
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
    // TODO Auto-generated method stub
    System.err.println("认证管理--------------------");

    //转换token
    UsernamePasswordToken  usernamePasswordToken = (UsernamePasswordToken) token;

    //根据用户名查询
    User user = userService.findByUsername(usernamePasswordToken.getUsername());
    if (user == null) {
        //用户名不存在
        return null;
    } else {
        //用户名存在
        return new  SimpleAuthenticationInfo(user, user.getPassword(), getName());
    }

}

用户授权

//授权管理
@Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection ls) {
        // TODO Auto-generated method stub
        System.err.println("授权管理--------------------");
        SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
        //根据当前登录用户查询该用户的角色和授权
        Subject subject = SecurityUtils.getSubject();
        User user = (User) subject.getPrincipal();
        //调用业务层service,查询角色
        List<Role> roles = roleService.findByUser(user);
        //遍历角色集合
        for (Role role : roles) {
            simpleAuthorizationInfo.addRole(role.getKeyword());
        }
        //调用业务层service,查询权限
        List<Permission> permissions = permissionService.findByPermission(user);
        //遍历权限集合
        for (Permission permission : permissions) {
            simpleAuthorizationInfo.addStringPermission(permission.getKeyword());
        }
        return simpleAuthorizationInfo;
    }
AlwaysqQuiet
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
数据级的权限管理和功能级的权限管理的区别,不使用框架(shiro,springsecurity)做权限设计的思考
ice-wee的专栏
06-18 2万+
1 数据级的权限管理和功能级的权限管理  引自:http://www.iteye.com/problems/97374 功能级权限,有大有小。大的可以直接包括一个业务模块,小的可以是一个按钮。一般的功能级权限一般包括:菜单、url、按钮 。 数据权限主要是针对访问数据的可见范围。一般包括以下几类:当前操作人可见、部门可见、部门及子部门可见……等。数据权限目前常用的做法就是在业务模块的表中...
etcd权限控制
天使也掉毛
01-09 1764
ETCD权限控制 有两个概念,一个是用户user,另一个是角色role。用户可以绑定多个角色, 而每个角色对应着多组权限控制权限包括 读、写、读写。 这样理解(角色就是包含多个路径权限对儿): role1 /x/a read /x/b write ... role2 /x/c write role3 /x/* readwrite user 可以...
Spring Security-- 使用权限编码控制权限
小毛贼_哪里逃
03-23 1529
spring security中,如果权限字符以"ROLE_"开头,者可以使用@PreAuthorize("hasRole('ROLE_ADMIN')")注解匹配,其他使用@PreAuthorize("hasAuthority('user:write')")注解匹配 修改建表结构 CREATE TABLE `permission` ( `id` bigint(11) NOT N...
五、Spring Security权限控制(优医健康)
世上哪有什么岁月静好,不过是有人替你负重前行
03-29 694
文章目录1 认证和授权概念2权限模块数据模型3 Spring Security简介4 Spring Security入门案例1 工程搭建2 配置web.xml3 配置spring-security.xml4、测试5、源码分析DelegatingFilterProxyFilterChainProxy6 SpringSecurity常用过滤器介绍7 对入门案例进行改进(静态数据)8、登录调用服务层验证使用(模拟sql) 1 认证和授权概念 前面我们已经完成了编易健康后台管理系统的部分功能,例如检查项管理、检查组
权限控制最常见的五种方法
wangzhiguo9261的博客
04-18 6880
涉及到权限的问题往往是都是复杂的问题,在系统权限控制方面,我们经常会参照现成的案例来设计自己的权限控制,以下就是最常见的几种权限控制的方法1. 控制系统的登录在用户状态上加状态控制,可用的用户就可以登录系统,冻结中的就无法登录2. 控制菜单的显示在一二级菜单上加权限控制。有权限的就可以访问对应模块,没有的连菜单名都看不到3. 控制按钮的显示在业务模块的功能按钮上加权限控制,最小粒度的控制用户行为。...
前尘——权限控制下暗藏的杀机
MachineGunJoe666
05-24 186
前言 在Java开发中,如果涉及权限如管理员普通用户操作,则需要在接口调用前对用户的身份进行鉴权。对于权限固定且后期无需变动的情况可在程序中硬编码但是代码的设计规范可扩展性、抽离性等往往与其背道而驰不建议使用,所以权限的判定的代码应该在数据库动态查询。在这样的背景下,Java产生了两款权限判定框架,对接口鉴权、session管理、登录、数据库动态权限查询进行了封装,大大减少了开发人员的工作量。这两款框架就是: 1、SpringSecurity 2、Shiro 而Shiro以其上手难度低,轻量级框架对程序侵入
acl权限控制
Hello World
04-25 999
5.zookeeper的acl权限控制 5.1概述 zookeeper 类似文件系统,client 可以创建节点、更新节点、删除节点,那么 如何做到节点的权限控制呢? zookeeper的access control list 访问控制列表可以做到 这一点。 acl 权限控制,使用scheme:id:permission 来标识,主要涵盖 3 个方面: 权限模式(scheme):授权的...
auth 权限控制
07-26
在IT行业中,权限控制是构建安全、稳定系统的关键部分,特别是在Web应用开发中。"Auth权限控制"项目是一个用于学习的实例,旨在帮助开发者理解如何实现简单但有效的权限管理策略。这个项目的特点是其易用性和对跨域...
mybatis数据权限控制插件
11-04
MyBatis 数据权限控制插件是一种实用工具,用于在基于 MyBatis 的应用程序中实现细粒度的数据访问权限管理。这种插件可以帮助开发者更轻松地实施业务逻辑中的数据过滤,确保用户只能访问他们被授权查看的数据。在...
ssh权限控制demo
03-02
演示了包括:权限控制、超大附件文件上传、EasyUI基本组件使用等等功能,具体请自行看本示例演示功能 SSHE框架环境需求:JAVA环境:JDK7+;数据库环境:oracle10g+/sqlserver2000+/mysql5+;WEB容器环境:jetty6+/...
tp5权限控制.rar
08-11
标题中的"tp5权限控制.rar"指的是基于ThinkPHP5(简称tp5)框架实现权限控制系统。ThinkPHP5是一款流行的PHP开发框架,以其简洁、高效的特性受到开发者喜爱。权限控制在Web应用程序中至关重要,它允许管理员对不同...
数据权限控制
03-09
数据权限控制 数据权限控制是指对数字信息的权限控制,旨在确保数据的安全性和可靠性。其主要思路是采用自定义方言,完成对SQL语句的控制,达到对数据安全的控制。 在数据权限控制中,会根据用户的角色权限来...
shiro进行权限控制的四种方式
热门推荐
力挽狂澜的POWER
08-19 4万+
我们使用shiro进行权限控制 有以下几种方式 1.  URL拦截权限控制:基于filter过滤器实现 我们在spring配置文件中配置shiroFilter时配置 &lt;!--指定URL级别拦截策略  --&gt; &lt;property name="filterChainDefinitions"&gt;  &lt;value&gt; /css/ = anon /js/ = anon /im...
粤嵌星计划打卡第三十二天(对象的销毁和垃圾收集机制)(java实现一个权限管理系统)
你是人间四月天
09-16 533
#粤嵌我来了##粤嵌星计划# 粤嵌星计划挑战 今天打卡第三十二天 今天学习内容 知识清单 1.了解基于资源的权限管理方式 2. 掌握权限数据模型 3. 掌握基于url的权限管理(不使用Shiro权限框架的情况下实现权限管理) 4. shiro实现用户认证 5. shiro实现用户授权 6. shiro与企业web项目整合开发的方法 权限管理原理知识 什么是权限管理 只要有用户参与的系统一般都要有权...
SpringBoot+Shiro瞎折腾——不使用Shiro的Filter模式
pur_e的专栏
11-05 3573
文章目录一、总结:Subject其实是绑定线程的二、手写实现简单验证1. Shiro配置2.使用三、再总结 &amp;amp;nbsp; &amp;amp;nbsp; &amp;amp;nbsp; &amp;amp;nbsp;想要实现基于SpringBoot+Shiro+Vue的前后端分离技术,网上教程还是不少的,在实现成功后,多问了个问题,就有了这篇文章。问题如标题,如果不使用Shiro提供的Filter模式会怎么样: 前后端分离,如果没用RESTf...
2021年你还不会Shiro?----8.使用Shiro实现权限管理(前后端)
初心不忘、始终方得
03-29 1393
shiro实现权限管理,简单易学
Shiro的使用(一)
yankun01的博客
10-18 1853
shiro第一天 基于url权限管理 shiro基础     1       课程目标: 1、了解基于资源的权限管理方式 2、掌握权限数据模型 3、掌握基于url的权限管理(不使用shiro实现权限管理) 4、shiro实现用户认证 5、shiro实现用户授权 6、shiro与企业web项目整合开发的方法   2       课程安排 整个课程是系统架构设计相关的课程。
2024年欧洲铝桁架市场主要企业市场占有率及排名.docx
最新发布
07-17
2024年欧洲铝桁架市场主要企业市场占有率及排名.docx
skywalking权限控制
07-03
权限控制在SkyWalking中是非常关键的一部分,它确保了系统的安全性和合规性。 SkyWalking的权限管理主要包括以下几个方面: 1. 用户授权:管理员可以为不同的用户分配角色,这些角色可能包括普通用户、运维人员或...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值