关于权限控制的讨论

最新推荐文章于 2022-08-31 09:50:02 发布
最新推荐文章于 2022-08-31 09:50:02 发布
阅读量1.1k 收藏
点赞数
分类专栏: ALL IS JAVA 一家之言 文章标签: shiro permission 授权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sharetop/article/details/50153325
版权

十年前,我们是如何做权限控制的?如何定义permission?
那时候,我们都基于纯纯的JSP/Servlet做系统,权限的定义依据的是URL。
某个用户(角色)拥有对某个URL的访问权限。
那个时候的URL都长得很像。

http://mydomain.com/channelAAA/edit.do?id=0000
http://mydomain.com/channelBBB/show.do/?id=1111

在这个URL中,包含了三个信息:

  1. 资源,比如 /channelAAA 或者 /channelBBB
  2. 操作,比如 edit.do 或者 show.do
  3. 实例,比如 id=00000

所以说,其实权限的定义无非就是对某个资源的某个实例的某个操作。

后来,我们的权限定义进步了,我们可以利用反射简化一些事情。于是,权限定义到了类里面,比如我们可以放在某个Controller里面。

public UserController {
  public BaseResponse showUser(string id){...}
  public BaseResponse deleteUser(string id){...}
}

其实,在这个类里,也包含了三个信息:

  1. 资源,就是类,比如UserController,PaymentController等
  2. 操作,就是方法,比如 showUser , deleteUser等
  3. 实例,就是参数,比如 id等

如此看来,其实还是有渊源的。。。

那么今天,我们又如何定义权限呢?Shiro帮我们做了很好的抽象。

资源:操作:实例

所以说,真的是很有渊源的。

if ( SecurityUtils.getSubject().isPermitted("printer:query:lp7200") {
    // Return the current jobs on printer lp7200
}
sharetop
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Shiro
m0_50988781的博客
12-06 3058
shiro
【杂谈】一行命令引发的一系列讨论
问题不大
12-01 1838
文章目录一行命令引发的一系列讨论一、事由二、分析1. 原命令行分析2. 问题分析3. 收获 一行命令引发的一系列讨论 一、事由 前段时间 在 go语言中文网 上看到一个蚂蚁金服的招聘帖子,给出了几个简单的关键字 和 一个 base64 加密的简历投递邮箱的还原命令,非常简单直接,能考察一些基础命令的使用,还显得很有档次。 # 加密邮箱还原命令 echo Y2hlbnhpYW5nLmxqYyNhbG...
shiro SecurityUtils.getSubject()深度分析
热门推荐
qq_39575279的博客
01-30 2万+
1.总的来说,SecurityUtils.getSubject()是每个请求创建一个Subject, 并保存到ThreadContext的resources(ThreadLocal<Map<Object, Object>>)变量中,也就是一个http请求一个subject,并绑定到当前线程。  问题来了:.subject.login()登陆认证成功后,下一次请求如何知道是那...
ShiroShiro从小白到大神(三)-权限认证(授权)
weixin_34311757的博客
09-22 574
本节讲权限认证,也就是授权 基于角色的访问控制和基于权限的访问控制的小实例 以及注解式授权和JSP标签授权详解 权限认证 权限认证核心要素 权限认证,也就是访问控制,即在应用中控制谁能访问哪些资源 在权限认证中,最核心的三个要素是:权限,角色和用户 (资源也算一个要素,但不是最核心的) 权限,即操作资源的 ...
Apache Shiro的用户授权isPermitted过程,导致jeesite授权失败
freedom
12-04 4072
在使用jeesite快速开发平台时,出现权限授权失败。 开发项目中有个用户模块,取包名 user 模块。通过自动生成代码后,controller层自动添加了如下权限 @RequiresPermissions("user:bjUser:view") @RequestMapping(value = {"list", ""}) public String list(BjUser ...
权限控制功能总结.rar
07-06
在IT行业中,尤其是在JavaWeb开发领域,权限控制是构建安全应用程序的关键部分。本文将深入探讨“监听器”、“过滤器”、“登录验证”和“拦截器”这四个核心概念,它们在实现用户权限控制中发挥着重要作用。 首先...
windows进程句柄权限控制
最新发布
10-14
接下来,我们讨论权限控制。Windows为每个句柄分配了一组访问权利,这些权利定义了进程可以对对象执行的操作。例如,一个文件句柄可能允许读取、写入或删除文件。权限由一系列位标志组成,这些标志指示哪些操作被...
web业务系统权限控制
03-31
本篇文章将围绕“Web业务系统权限控制”这一主题展开讨论,详细介绍其中的关键概念和技术细节。 #### 二、核心组件与功能划分 为了实现高效且灵活的权限控制,通常会将系统划分为以下几个关键部分: 1. **业务逻辑...
Java访问权限控制的重要性深入讲解
08-26
接下来,我们讨论为什么需要访问权限控制。随着项目的发展,代码会不断迭代和重构,此时,良好的访问权限控制显得尤为重要。如果过多的方法和属性被声明为`public`,那么在修改这些代码时,可能会影响到其他依赖它的...
关于linux权限s权限和t权限详解
09-15
接下来,我们讨论t权限,也称为Sticky位。t权限主要用于目录,它的作用是限制用户仅能删除他们自己在该目录下创建的文件。例如,在 `/tmp` 和 `/var/tmp` 这样的公共临时文件目录中,每个用户都可以创建文件,但如果...
深入理解Apache Shiro中的“Permissions”概念
Lvlht的博客
07-12 816
ShiroPermission定义为定义显式行为或操作的语句。它是应用程序中原始功能的声明,仅此而已。权限是安全策略中最低级别的构造,它们只显式定义应用程序可以执行的操作。 他们根本没有描述“谁”能够执行行动((而不是描述who对what(which)进行how操作))。 一些权限示例: 打开一个文件 查看“/ user / list”网页 打印文件 删除’jsmith’用户 定义“谁”(用户...
Shiro 权限框架使用总结
guoyiqi
10-17 373
我们首先了解下什么是shiroShiro 是 JAVA 世界中新近出现的权限框架,较之 JAAS 和 Spring SecurityShiro 在保持强大功能的同时,还在简单性和灵活性方面拥有巨大优势 Shiro 是一个强大而灵活的开源安全框架,能够非常清晰的处理认证、授权、管理会话以及密码加密。如下是它所具有的特点: 易于理解的 Java Security API; 简单...
踩坑篇-Nacos+Sping-gateway+shiro实现分布式认证权限框架
m0_67391521的博客
08-31 997
另外一个原因,也是最重要的原因:shiro很少被用来做为微服务的安全框架,这让我替这个非常简单易用的框架鸣不,平开发这个,也是来证明微服务安全框架并不是只能选spring security。政企项目上线前都会安全检查的,包括代码联网审查(github,oschina等,csdn我不清楚有没有),所以保险起见,对上面的登录登出代码有删减,其他地方也没有贴完,望大家见谅。上面登录登出很一般的代码,最后一个要说一下,结合shiro给网关提供的权限接口,具体有三种判断权限的方式,用哪种可以根据需求自由选取。...
shiro SecurityUtils.getSubject()获取的信息由来
SeptDays的博客
11-07 3789
shiro 管理登录,获取登录信息的方式常用的是: subject sub = SecurityUtils.getSubject(); Object obj = sub.getPrincipal(); 这里的 obj 是字符串,还是某个实体,取决于 ShiroRealm 类的设置值,代码如下: @Override protected AuthenticationInfo doGetAu...
3.Apache Shiro认证授权流程
相互学习 共同进步
06-17 821
Apache Shiro认证授权流程 继承AuthorizingRealm类然后重写doGetAuthorizationInfo()和doGetAuthenticationInfo()方法 (1)身份认证流程:doGetAuthenticationInfo() 在用户登录的时候调用的也就是执行SecurityUtils.getSubject().login()的时候调用(登录验证) 如果用户未登录,将跳转到loginUrl进行登录,登录表单中,包含了两个主要参数:用户名username、密码passwo
shiro验证用户和获取权限角色
bigwatermel的博客
09-16 1万+
这2个方法究竟是在什么时候调用的,记录如下: shiro 中的AuthorizingRealm有2个方法doGetAuthorizationInfo()和doGetAuthenticationInfo(),一般实际开发中, 我们都继承AuthorizingRealm类然后重写doGetAuthorizationInfo和doGetAuthenticationInfo。          do...
shiro在java代码里判断此用户是否有此权限
m0_67393039的博客
08-24 404
【代码】shiro在java代码里判断此用户是否有此权限
阿里巴巴编码规范习题
猾枭的博客
05-17 4114
因为工作需要,公司组里要求考阿里巴巴编程规范,于是我花了一天的时间看了一遍,然后刷了一些题,终于在第三次的时候考过了。考试是基于《阿里巴巴Java开发手册》,一共50道题目,包括多选和单选,题目都是选择题。目前阿里云编程规范是出到V1.5.0华山版了,好的代码规范能减少很多不必要的问题。 《阿里巴巴Java开发手册》分为:编程规约、异常日志、单元测试、安全规约、MySql数据库规约、工程结构和设计规约七个维度。内容很多,分类也很细致,每条规约都写得很详细,略微复杂的规约会做说明解释。考试难度不大,...
Shiro权限控制入门教程:身份验证、授权与Spring集成详解
本教程是关于Apache Shiro权限控制框架的深入指南,适合Web应用程序开发者学习和实践。Shiro是一个强大的安全框架,用于身份验证(Authentication)、授权(Authorization)以及会话管理和缓存集成。以下是主要内容...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值