shiro字符串权限解析器内部分析

最新推荐文章于 2021-12-10 11:14:49 发布
最新推荐文章于 2021-12-10 11:14:49 发布
阅读量4.4k 收藏 1
点赞数
分类专栏: shiro 文章标签: shiro permission 字符串权限
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sinat_29496093/article/details/53064718
版权

首先在源码中找到了将权限字符串拆分的方法,如下:

//wildcardString 权限字符串
//caseSensitive 字符串大小写转换标记
protected void setParts(String wildcardString, boolean caseSensitive) {
        //判断权限字符串不为空
        if (wildcardString == null || wildcardString.trim().length() == 0) {
            throw new IllegalArgumentException("Wildcard string cannot be null or empty. Make sure permission strings are properly formatted.");
        }

        wildcardString = wildcardString.trim();
        //按照“:”切割字符串(PART_DIVIDER_TOKEN 为 ‘:’)
        List<String> parts = CollectionUtils.asList(wildcardString.split(PART_DIVIDER_TOKEN));

        this.parts = new ArrayList<Set<String>>();
        //循环把切割后的字符串按照‘,’再次切割,然后放入权限集合中(SUBPART_DIVIDER_TOKEN 为 ‘,’)
        for (String part : parts) {
            Set<String> subparts = CollectionUtils.asSet(part.split(SUBPART_DIVIDER_TOKEN));
            if (!caseSensitive) {
                subparts = lowercase(subparts);
            }
            if (subparts.isEmpty()) {
                throw new IllegalArgumentException("Wildcard string cannot contain parts with only dividers. Make sure permission strings are properly formatted.");
            }
            this.parts.add(subparts);
        }

        if (this.parts.isEmpty()) {
            throw new IllegalArgumentException("Wildcard string cannot contain only dividers. Make sure permission strings are properly formatted.");
        }
    }

到此,shiro将权限字符串已经全部解析为单个权限字段如:
system:user,shopping:update,view -> (system) ((shopping)(user)) ((update)(view))
那么通配符在哪里匹配的呢?

下面这个方法是实现Permission接口的方法,检查是否拥有某个权限:

    public boolean implies(Permission p) {
        // By default only supports comparisons with other WildcardPermissions
        if (!(p instanceof WildcardPermission)) {
            return false;
        }

        //此处主要区分wp为外部传进来请求判断是否拥有的权限
        WildcardPermission wp = (WildcardPermission) p;

        List<Set<String>> otherParts = wp.getParts();

        int i = 0;
        for (Set<String> otherPart : otherParts) {
            // If this permission has less parts than the other permission, everything after the number of parts contained
            // in this permission is automatically implied, so return true
            if (getParts().size() - 1 < i) {
                //如果循环结束任然没有返回错误,那就是拥有这个权限,返回true
                return true;
            } else {
                //part为系统内本身的权限列表
                Set<String> part = getParts().get(i);
                //如果内部不包含‘*’且没有这个权限的话,就认为没有权限
                if (!part.contains(WILDCARD_TOKEN) && !part.containsAll(otherPart)) {
                    return false;
                }
                i++;
            }
        }

        // If this permission has more parts than the other parts, only imply it if all of the other parts are wildcards
        //这个for主要判断在内部权限字符串比外部传入的权限字符串长的情况,为防止user匹配到user:update(这样的匹配,假设只有update权限,如果有一个add操作,用user去匹配的话,匹配到update权限,通过的话,则代表add权限也拥有了,所以除非内部权限多出来的部分是*,否则都为失败)
        for (; i < getParts().size(); i++) {
            Set<String> part = getParts().get(i);
            if (!part.contains(WILDCARD_TOKEN)) {
                return false;
            }
        }

        return true;
    }

到此,我们知道了:

内部权限外部权限可否匹配
system:user:upadate,viewsystem:user:*
system:user:*system:user:update
system:usersystem:user:update
system:user:upadate,viewsystem:user
M_zhaoke
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringBoot Shiro授权实现过程解析
08-25
我们可以在该方法中添加资源的授权字符串,以便Shiro可以根据该字符串进行权限控制。 例如,我们可以添加user:add的授权字符串,以便Shiro可以控制用户是否拥有添加用户的权限。 在认证逻辑编写的位置,我们需要...
shiro动态URL权限控制
04-14
默认情况下,Shiro会尝试将URL路径与权限字符串匹配,但你也可以根据业务需求调整这种匹配规则。 此外,Shiro的`SecurityManager`是整个安全框架的核心,它负责管理Subject(即当前操作用户)、Realm和其他组件。在...
简单权限验证的方法
weixin_33862041的博客
06-01 203
权限验证一直是各类大大小小的系统中核心的问题。如果一个系统权限验证都只有是否两类情况,不存在多值的情况,可以考虑用一个整数保存权限。1。定义好各个功能在权限串中的位置,如 10001 的意义是新增文章权限 1修改文章权限 0删除文章权限 0搜索文章权限 0发送短信权限 1这里有一个限制,只能加,不能减少功能点,也就是在做设计时,必须仔细分析系统对应的功能点,并尽量细化,达到最小颗粒的状态。2。以论...
Shiro】Wildcard string cannot be null or empty. Make sure permission strings are properly formatted
The Gao的博客
12-10 285
SpringBoot集成Shiro时,给User对象添加权限,如果user.getPerms()为空,需要跳过,而不能通过info.addStringPermission()方法添加进去。 这里可以通过一个if判断完成。 Subject currentUser = SecurityUtils.getSubject(); User user = (User) currentUser.getPrincipal(); if (user.getPerms() != null) { info.addStrin
shiro框架---shiro配置用户名和密码的注意
凌大大的博客
02-19 7743
接上一篇文章shiro框架—关于用户登录和权限验证功能的实现步骤(四)   关于上一篇中,写出了关于shiro在springboot项目的配置步骤,还有几个简单的注意点没有说到。 1、用户名保证唯一性   这个应该很容易理解,对于一个系统来说,用户名是唯一的,不可重复,如果我们在注册用户时,比如随便起了一个用户名doudouchong 这样的用户。合理的方式是,在输入注册用户名后,页面应...
shiro 再次通过源码谈谈登录的流程,之前理解的不是很清楚!
汪小哥
12-22 4557
PrincipalCollection这个可以理解为当事人的信息!昨天在授权信息检查的时候,一直在传递这个信息,当时不是很理解,所以今天继续说说这个设计的意思到底是什么回事。以及登录流程之前疏忽的一些重要的信息,都统统的补齐。subject.login(token);这个是今天的主要的角色,刚刚断点跟踪了一会才理解了到时是在做什么。protected void login(String config
Springboot + shiro权限管理
最新发布
11-17
- **授权**:Shiro 使用权限字符串(如 "admin:*")来控制用户对资源的访问。可以在 Controller 方法上添加 @RequiresPermissions 注解,或者通过 Filter 链进行全局控制。 **5. 会话管理** Shiro 提供了会话管理...
shiro 权限与角色
02-01
这可以通过实现`PermissionResolver`接口,自定义解析权限字符串的方式,或者使用`PermissionCollection`动态添加或移除权限。 **八、会话管理** 除了权限和角色,Shiro还包括会话管理功能。可以设置会话超时、...
基于Shiro 拦截URL,实现权限控制
08-02
权限通常以字符串形式表示,如`admin:user:edit`,表示“管理员角色”的用户有编辑用户信息的权限。 4. **配置URL权限**:在你的Web应用中,为每个URL指定需要的权限。这可以通过在`web.xml`或者其他配置文件中设置...
Shiro限制帐号只能在一处登录
liu911025的博客
09-21 5594
/** * 登录 */ @SysLog("登录") @ResponseBody @RequestMapping(value = "/login", method = RequestMethod.POST) public R login(String usercode, String password, String captcha)throws I
HTTP Status 500 - java.lang.IllegalArgumentException: Wildcard string cannot be null or empty. Make
灯火的博客
08-02 9578
  type Exception report message java.lang.IllegalArgumentException: Wildcard string cannot be null or empty. Make sure permission strings are properly formatted. description The server encountered ...
Shiro 学习笔记(4)—— 基于字符串的角色和权限
李威威的博客
09-17 6511
Shiro 学习笔记(4)—— 基于字符串的角色和权限Shiro 中默认对角色和权限的定义和解析都是通过字符串来完成的。对于字符串的说明,在 Shiro 的官方文档和张开涛老师的博客上都有详细的说明。我们现在来看一个例子。我们在 Shiro 的核心配置文件 shiro.ini 中写到:[users]liwei=123456,role1,role2zhougu(String),在 Shiro 中默
[Shiro]Wildcard string cannot be null or empty. Make sure permission strings are properly formatted.
涛涛之海
04-19 6827
文章目录问题场景问题提示问题原因参考文章 问题场景 运用shiro 框架 进行授权时,在页面中判断该用户是否有权限进行操作时出现的问题 问题提示 <strong>java.lang.IllegalArgumentException: Wildcard string cannot be null or empty. Make sure permission strings are pro...
拓展shiro字符串权限匹配
coooooding
03-15 2756
shiro框架中,可以使用字符串匹配权限。 比如user:query匹配查询用户的权限。 user:*可以匹配user:query,user:delete等。 然而,却不可以匹配user:id:query。即不可以跨级(分隔符:将字符串分为多个级)。 这里提供了一个可以多级匹配的实现。 MyRealm.java public class MyRealm extends Authoriz...
Shiro基础知识03----shiro授权(编程式授权),Permission详解,授权流程
热门推荐
ChangWen的博客
10-01 1万+
授权,也叫访问控制,即在应用中控制谁能访问哪些资源(如访问页面/编辑数据/页面操作等)。   在权限认证中,最核心的是:主体/用户(Subject)、权限(Permission)、角色(Role)、资源(Resource)。     1、权限,即操作资源的权利,通过权限我们可以表示在应用中用户有没有操作某个资源的权力。即权限表示在应用中用户能不能访问某个资源,比如访问某个页面,以及对某个模块的
[shiro] Wildcard string cannot be null or empty.
白影子的博客
02-01 2219
原因是将空值插入到权限信息中
WildcardPermission的格式应用
天下布武之信长的专栏
05-05 2918
WildcardPermission,权限字符串的表示方式。 这里重点声明一下。WildcardPermission 是 Shiro 的精妙之处,我们可以将权限表示成字符串,这样对权限的控制可以不拘泥于物理存储,比如对 messagge 类具有修改和删除权限可以标识为:message:update,delete:*,其中‘ * ’表示所有;第一级分隔符为‘ : ’;第二级分隔符为‘ , ’,
全面解析:Apache Shiro 教程
- **编码/解码**:讲解了Shiro字符串的编码和解码操作。 - **散列算法**:介绍了Shiro支持的散列算法,用于密码安全存储。 - **加密/解密**:展示了如何使用Shiro进行数据加密和解密。 - **PASSWORDSERVICE/...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值