Apache Shiro 权限控制

最新推荐文章于 2024-04-18 03:58:27 发布
最新推荐文章于 2024-04-18 03:58:27 发布
阅读量555 收藏
点赞数
分类专栏: Java shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/rikey111/article/details/52830269
版权

http://blog.csdn.net/rikey111/article/details/51336001 前文有简单地介绍了Shiro的搭建,以及Shiro用户的注册和鉴权(Authentication)。

本篇文章将从分布式Session、权限filter、Aop实现的注解式权限控制几方面进行一个简单地介绍,也算是对昨晚通宵囫囵吞枣看源码的一个总结。

1、先说Shiro的session

Shiro自己已经实现了一个ServletContainerSessionManager,这个manager将request的session包装为Shiro的session,供Session框架调用。所以,如果想实现分布式Session的话,只需要在web层面,用一个sessionfilter,将所有请求的session替换为使用集中缓存就可以了。


2、 权限filter

注意在配置文件中的ShiroFilter中有<property name="filterChainDefinitions">
            <value>
                /login*=anon
                /dologin*=anon
                /register.htm=anon
                /doregister=anon
                /logout*=anon
                /css/**=anon
                /js/**=anon
                /user/**=user
                /resources*=authc
                /forbbiden.html=anon
                /**=authc
            </value>   

这样一个属性,注意等号后面的 annon、authz等,这些都是shiro内部自定义的权限级别。在org.apache.shiro.web.filter.mgt.DefaultFilter中定义。在ShiroFilter中会生成一个权限的filter链,根据URL匹配对应的权限filter,对相应的权限进行过滤(通过SubjetUtils.getSubject()获取用户信息进行权限判断)。


3、Aop实现的注解式权限控制

@RequiresRoles  @RequestUser  等等权限注解,都是通过Spring的AOP实现的。还记得上一篇文章中有提到,在配置Shiro的时候,需要配置一个

<bean id="advisorAutoProxyCreator" class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator"/>
    <bean id="attributeSourceAdvisor" class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
        <property name="securityManager" ref="securityManager"/>
    </bean>

ProxyCreator。 当时还不清楚这两个东西是干嘛的,这次算是把它搞清楚了,也借这个机会理清了Spring 的Aop基本机制。

DefaultAdvisorAutoProxyCreator - 这是一个Aop的配置管理器,aop proxy的注入就是靠它实现的。简单说一下它实现的原理。之所以它能做到注入bean,是因为这个类实现了Spring 的InstantiationAwareBeanPostProcessor接口,这个接口的工作时机是Spring完成了beanDefinition的配置,准备初始化bean的时候。 这个类的public Object postProcessBeforeInstantiation(Class<?> beanClass, String beanName) throws BeansException 方法完成了Proxy的注入。

先检查是否有注解。再生成aop proxy。 将默认的几个注解handler放入 MethodInterceptor 接口的实现类中,供实际调用。




http://blog.csdn.net/udbnny/article/details/5870076  这位兄台对Spring AOP的四种实现写的非常清晰,对我理解AOP帮助非常大,在此表示感谢。

rikey111
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro中anon配置不生效
xinhe96的博客
06-28 1413
shiro中anon配置不生效 在配置shiro时annon总是配置不生效,页面跳转失败去网上查找资料后总结!!! 配置不生效代码: @Bean public ShiroFilterFactoryBean factory(DefaultWebSecurityManager securityManager) { ShiroFilterFactoryBean factoryBean = new ShiroFilterFactoryBean(); factoryBean.s
Apache Shiro权限认证
nimaaicijdh的博客
09-19 247
Apache Shiro授权登陆前言一、主体二、授权1.配置shiro.ini2.权限测试三、页面标签权限控制1、pom中添加标签库依赖2、ShiroConfig.java配置类中添加配置3、list.html页面导入标签库4、使用标签:控制“新增用户信息”按钮显示四、动态权限1、调整自定义的Realm2.调整配置对象ShiroConfing 前言 授权,也叫访问控制,即在应用中控制谁能访问哪些资源(如访问页面/编辑数据/页面操作等等)。在授权中需要了解几个关键字对象:主体(Subject)、资源(Res
Apache Shiro 使用手册(三)Shiro 授权
kdboy的专栏
08-23 347
授权即访问控制,它将判断用户在应用程序中对资源是否拥有相应的访问权限。 如,判断一个用户有查看页面的权限编辑数据的权限,拥有某一按钮的权限,以及是否拥有打印的权限等等。 [size=large][b][color=darkblue]一、授权的三要素[/color][/b][/size] 授权有着三个核心元素:权限、角色和用户。 [color=darkblue][b]权限[/b...
mysql 添加索引+Springboot+shiro导致session污染+PowerMock+@InjectMocks,@Mock+其他= 202001
qq_37337660的博客
03-07 295
一、mysql 添加索引 我使用了多列索引来提高查询速度,如图第二条,某个查询语句的条件同时包含这个三个字段,比如select 1 from xxx where type = 1 and tag_set_id = 12 and tag_id = 888 limit 1,但是这个表记录又特别多,查询起来特别慢,所以加多列索引: (因为该sql是判断是否被使用,加一个limit 1 就是为了查到一个就返回,不用继续下去了) 优点 1、大大加快数据的检索速度; 2、创建唯一性索引,保证数据库表中每一行数据的唯一
shiro(三)shiro实战——Spring 集成 Shiro(案例)
最新发布
2401_84003523的博客
04-18 602
小编精心为大家准备了一手资料以上Java高级架构资料、源码、笔记、视频。Dubbo、Redis、设计模式、Netty、zookeeper、Spring cloud、分布式、高并发等架构技术【附】架构书籍BAT面试的20道高频数据库问题解析Java面试宝典Netty实战算法BATJ面试要点及Java架构师进阶资料《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!2. Java面试宝典3. Netty实战4. 算法。
springboot2+junit5+MockMvc(Mockito)实现对Controller的测试,配置都有,很详细了。
Alonetramp的博客
04-18 5557
背景: 今天偶然想测试下每个接口是否可以访问,网上找了一堆,基本没有一个在我的环境上实现了,没有一篇文章有详细的配置,于是只能用作参考自己进行琢磨,最后就出现了这样的文章也是给各位参考了,哈哈哈。 配置: 1. springboot2 2.spring-boot-start...
Apache Shiro 简介
web15085599741的博客
04-29 1155
Apache Shiro简介 什么是 Apache Shiro Apache Shiro 是一个强大并且灵活的开源的安全框架,它能很好的处理 authentication(认证), authorization(授权), enterprise session management(企业会话管理)和cryptography(密码加密)。 Apache Shiro最重要的目标就是易于使用和理解。安全有时候会非常的复杂,甚至是痛苦的,但是它并不一定如此的。一个框架屏蔽复杂性, 如有可能暴露一个干净,直观的API,简
Apache Shiro授权、访问控制(四)
山不转的博客
11-23 624
总的参考文档:http://shiro.apache.org/reference.html 本文参考文档:http://shiro.apache.org/authorization.html 1、概念 Shiro授权机制包含三个核心概念:Permissions、Roles、Users。 1.1.Permissions Permissions代表权限,关涉及用户。它一般是一种语句,表示对...
Apache shiro权限控制基础配置代码
04-15
在本文中,我们将深入探讨Apache Shiro的基础配置和代码实现,以帮助你理解如何有效地使用Shiro进行权限控制。 **1. Shiro架构组件** Shiro的核心组件包括:Subject、Realms、Caches、Session Manager、...
Apache Shiro教程
12-30
- **授权实现**:通过Role和Permission进行权限控制,可以定义角色并分配权限,然后在Controller或Service层检查Subject是否有执行操作的权限。 - **会话管理**:Shiro可以处理会话的创建、读取、更新、删除和超时...
shiro权限控制
01-04
Apache Shiro 是一款广泛应用于Java生态系统的安全框架,它的核心目标是简化应用程序的安全管理,让开发者可以更加专注于业务逻辑的实现,而不是繁琐的安全细节。Shiro 提供了全面的认证、授权、加密以及会话管理...
Apache shiro 1.13.0源码
01-17
例如,你可以编写自定义 Realm 实现特定的认证逻辑,或者利用 Shiro 的 Filter 框架实现细粒度的访问控制。 总之,Apache Shiro 1.13.0 源码提供了深入了解 Java 安全框架的机会,无论是对于学习安全基础知识,还是...
Apache Shiro权限框架实战+项目案例视频课程
06-09
3. **授权机制**:学习Shiro权限控制,如Role(角色)和Permission(权限)的概念,以及基于角色的访问控制(RBAC)。 4. **会话管理**:掌握如何使用Shiro管理用户的会话,包括会话超时、分布式会话支持等。 5....
spring boot 使用mockMvc和Mockito 进行控制层接口测试
helpapa的博客
07-23 2796
之前在做业务层和控制层测试的时候,觉得控制层会调用到业务层的代码,这样等于对业务层进行了两次测试。而且修改了底层或业务层代码会影响到控制层的正常测试。于是想能不能用Mockito将业务层进行mock,从而不会影响到控制层的测试。 控制层 public class CompanyController { @Autowired private CompanyService compa...
shiro学习--------shiro权限控制
qq_43719634的博客
05-15 445
1.简介 Apache Shiro™是一个功能强大且易于使用的Java安全框架,它执行身份验证、授权、加密和会话管理。通过Shiro易于理解的API,您可以快速轻松地保护任何应用程序——从最小的移动应用程序到最大的web和企业应用程序。 shiro官网 2.SE环境下测试 public static void main(String[] args) { //获取SecurityManager对象 DefaultSecurityManager defaultS
Shiro笔记(一)
weixin_44184990的博客
04-11 196
Shiro笔记(一) 前言:Shiro是一个权限管理工具! 权限管理   现在企业应用中,基本上涉及到用户参与的系统都要进行权限管理,权限管理用来控制不同的用户角色对系统的访问权限,按照安全规则或者策略控制用户能够访问的资源。权限管理属于系统安全的范畴。 权限管理包括两部分: 身份认证 Authentication 判断一个用户是否为合法用户的处理过程,最简单的方式就是我们常常使用的账号密码登录的方式。其他的身份认证方式还有例如指纹解锁,硬件key刷卡等。 授权 Authoriz
shiroshiro和sping整合
遇见未知的自己
08-17 543
shiro和sping整合
SpringBoot整合Shiro(含GIF效果展示哦)
qq_42292373的博客
12-29 379
文章目录1. 环境的基本搭建2. 资源权限的拦截3. 自定义跳转页面4. 用户登录的验证 1. 环境的基本搭建 这里的类似什么启动类,页面跳转的之间的代码这里我就省略啦,直接写shiro的配置类.如果对详细信息想了解的话,请参考代码连接 1.项目依赖 <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://m...
Spring MockMvc模拟shiro登录
Light_shine的专栏
08-07 3939
背景 最近在使用SpringBoot MockMvc进行controller层的单元测试,在测试的场景中需要用户先进行登录,用户登录使用的安全框架是apache shiro,在使用的过程中发现,使用MockHttpSession无法再用户登录后获取到shiro的session。 解决过程 对于需要模拟用户登录的场景,我们一般的做法是先调用用户的登录接口,然后获取到session,然后使用...
如何用Apache Shiro实现权限控制
05-25
下面是使用 Apache Shiro 实现权限控制的一些步骤: 1. 引入 Apache Shiro 的依赖:在项目中引入 Apache Shiro 的相关依赖,包括 shiro-core 和 shiro-web。 2. 配置 Shiro:在项目中配置 Shiro 相关的配置文件,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值