java项目权限控制的理解和示例(基于shiro和传统拦截器filter两种方式)

最新推荐文章于 2024-05-14 09:43:40 发布
最新推荐文章于 2024-05-14 09:43:40 发布
阅读量4.3k 收藏 15
点赞数 3
分类专栏: java项目 文章标签: filter java shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tianyingxiaojiang/article/details/77233945
版权

1.概念

  • 个人理解,权限就是做到对不同用户进行访问限制,前提是保证在权限需求设计范围内不会出现非法也能访问到不该访问到的东西.因此按数据表设计将权限分为:部门,用户,角色,角色权限中间表,权限.(个人觉得一般项目可以考虑部门和角色合为一个),这里用一个具体访问的url地址代表一个权限(也可以使用别的方式).下面用一个例子通过来分析.

2.场景

  • 一个超级管理员admin
    • 可以访问并且操作网站所有功能
  • 经理manager
    • 比超级管理员权限少一点
  • 销售员soler和采购员buy
    • 只能使用部分功能,比经理权限少
  • 普通用户customer
    • 能使用的功能更少

针对以上来做各种变通分析权限控制的需求

3.需求

  • 表设计:

    • 用户表t_user
    • 角色表t_role(有父子关系)
    • 权限表t_auth(有父子关系)
    • 角色和权限中间表t_role_auth

  • 使用技术

    • 拦截器来处理
    • shiro框架处理

  • 表的使用

    • 不管是什么身份的用户,都是通过角色来分配权限,也就是用户选择了角色就相当于选中了应有的权限,禁止用户对t_auth表直接关联
    • 权限表中是一条信息对应一个访问地址,并设置上下级关系

  • 对不同用户分配角色

    • 超级管理员:
    • 这是一个特例,一个项目就一个,可以通过代码来控制,不过为了便于维护,在角色表添加一个叫admin的角色,然后在这个角色下面添加所有的访问地址
    • 经理:
    • 在角色表里面创建一个叫manager的经理角色,再对这个角色添加对应权限
    • 销售员soler和采购员buy
    • 在角色表里面分别创建一个soler和buy角色,并对两个角色添加对应权限
    • 普通用户customer
    • 在角色表中创建一个customer角色,并添加对应权限

  • 相关问题

    1. 要是一个销售员除了有soler角色外还有一些其他权限怎么办呢?比如销售员还有部分采购员一部分权限

      • 这种情况可以采用量两种方式解决这个问题:

        1. 创建一个新角色(比如soler2)来包含原本soler角色里面的所有权限和新拥有的权限

        2. 创建一个新角色,仅包含新拥有权限即可,然后设置该新角色的父级为soler角色,形成从属关系

    2. 还有没有其他特殊情况没考虑进来的吗?

      • 个人觉得在一个超级管理员情况下,在上面设计里面变通几乎能满足所有常规的中小型项目的权限设计方案.

4.相关技术实现(在spring+springMVC框架下maven项目)

  • 使用拦截器实现

    1. 在spring配置文件中添加拦截器配置

      <!-- 配置登录拦截器 -->
<mvc:interceptors>
    <mvc:interceptor>
        <mvc:mapping path="/**"/>
        <bean id="li" class="cn.util.LoginIntercepter" ></bean>
    </mvc:interceptor>
</mvc:interceptors>

    2.拦截器处理权限类

    • 继承HandlerInterceptorAdapter类
    • HandlerInterceptorAdapter类的preHandle()在执行controller对应访问方法前执行,也就是在这个方法里面做权限判断,返回false后权限验证失败,返回true的话进入controller对应的访问方法
    • HandlerInterceptorAdapter类的postHandle()在controller对应访问方法后执行
    public class LoginIntercepter extends HandlerInterceptorAdapter {
     
private static String [] urls = {
    "uc/checklogin"};
public static boolean checkUrl(String requestname){
    //筛选静态资源
    if(requestname==null||requestname.equals("")){
        return true;
    }   if(requestname.endsWith(".js")||requestname.endsWith(".css")||requestname.endsWith(".jpg")){
        return true;
    }
    for (int i = 0; i < urls.length; i++) {
        if(urls[i].equals(requestname)){
            return true;
        }
    }
    return false;
}
@Override
public boolean preHandle(HttpServletRequest request,
        HttpServletResponse response, Object handler) throws Exception {
    //1.登录拦截
    //2.权限验证,验证当前用户是否拥有当前请求这个权限
    HttpSession session = request.getSession();
    //获取当前请求的名字
    String uri = re
最低0.47元/天 解锁文章
小黄鸡kimhuhg
关注
  • 3
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Shiro 权限处理(自我学习版)
m0_56532446的博客
05-06 1196
Shiro初步学习了解基础理论以及和SpringBoot整合
使用shiro实现登录拦截(请求拦截)和用户认证(登录)
kitahiragawa的博客
02-04 2809
上一篇已经将shiro和springboot整合起来了,这里就直接开始写功能了 一、登录拦截(请求拦截) 这个功能在shiro配置类里写,拦截哪些页面,什么情况下拦截拦截后要不要跳转,都写在注释里 @Configuration public class ShiroConfig { //ShiroFilterFactoryBean @Bean public ShiroFilterFactoryBean shiroFilterFactoryBean(@Qualifier("secur
JAVA微服务项目中使用shiro全局拦截_shiro在微服务架构中如何使用
最新发布
2401_84968582的博客
05-14 306
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
shiro配置拦截
分享日常bug
11-10 691
如果你是从第一节配置shiro过来的!记得在ShiroFilterFactoryBean 上面添加@Bean注解。
shiro 权限认证 VS 过滤拦截)认证
tamink2013的博客
11-15 2111
  shiro权限池在realm的 doGetAuthorization方法里,从DB里查出当前用户的权限字符串SET,放入shiro的info里。 过滤权限池在 session里面,登录完之后,会把当前用户的权限集合放入session里(SESSION方案)。   最后使用这个权限池的时候----   shiro是在诸如@RequiresPermissions,&lt;s...
JAVAWEB开发之权限管理(二)——shiro入门详解以及使用方法、shiro认证与shiro授权
m0_54850825的博客
08-17 1066
上边的程序中使用的是Shiro自带的iniRealm。iniRealm从配置文件中读取用户的信息,大部分情况下需要从系统的数据库中读取用户信息,所以需要自定义Realm。// 设置Realm的名称@Override}// 支持UsernamePasswordToken@Override}// 用于认证@Override// token是用户输入的// 第一步从token中取出身份信息// 第二步:根据用户输入的usercode从数据库查询// 如果查询不到返回null。...
SpringBoot2.0整合Shiro框架实现用户权限管理的示例
08-25
* ShiroFilter:整个Shiro的入口点,用于拦截需要安全控制的请求进行处理。 6. 实现用户权限管理:使用Shiro框架可以实现用户权限管理,通过Realm域对象来定义访问数据的方式,并通过SecurityManager来完成用户...
shiro权限框架示例
01-29
shirodemo中,可能会有配置Web过滤Filter)来拦截请求,进行权限校验。 7. **测试与调试** 示例中通常会包含单元测试或集成测试,用于验证Shiro的配置和逻辑是否正确。开发者可以学习如何编写测试用例来确保...
spring boot shiro demo项目
04-03
Spring Boot Shiro Demo项目是一个基于Spring Boot框架与Apache Shiro实现的权限管理示例,旨在帮助开发者快速理解和应用Shiro进行权限控制。相比Spring Security,Shiro通常被认为更易于理解和使用,更适合小型到...
安全控制框架教程shiro
10-29
Shiro通过Filter(过滤)实现Web安全控制,这些过滤可以拦截请求,执行认证、授权等操作。开发者可以根据需要配置Filter链,实现定制化的安全策略。 ### 6. 集成其他框架 Shiro可以轻松地与Spring、Struts、...
Shiro中进行角色与权限认证流程示例代码.zip
05-11
Apache Shiro 是一个强大且易用的 Java 安全框架,它提供了认证、授权、加密和会话管理功能,可以非常...这个示例代码可以帮助你理解如何在实际项目中运用 Shiro 实现用户身份验证和权限控制,确保应用程序的安全性。
ssm+shiro基于资源的权限控制框架(包含权限的认证、授权细致讲解),数据库使用mysql
12-27
Java语言的框架整合及权限控制(粗粒度、细粒度) SSM(spring+springmvc+mybatis)的整合 SSM+shiro基于资源的权限控制整合demo 配置文件原理的注释 shiro的认证、授权、及从数据库mysql获取的认证信息方法都有提供
一个Java权限框架-Shiro
奔走的王木木Sir的博客
06-14 3286
Shiro可以做什么?可以完成认证、授权、加密、会话管理等
java shiro做登陆权限控制
k21325的博客
10-27 2623
1.环境 jdk1.7 spring.version 4.2.2.RELEASE shiro.version 1.2.5 开发工具 eclipse Mars.1 Release (4.5.1) 2.pom引入 org.apache.shiro shiro-core ${shiro.version} org.apache.shiro shiro-web ${sh
shiro的实现权限管理的流程(详细)
qq_42664961的博客
06-19 1152
shiro的实现权限管理的流程 一、登录认证 发起请求之后:会经过doFilter判断需要哪些权限,在复习shiro之前需要对springMvc有一定了解 ,根据debug顺便复习一下MVC的处理流程—根据递归调用栈: 首先根据Httpservlet判断是post还是Get请求 根据servlet中的request携带的的路径以及参数信息交给前端控制处理分发 DispatcherServlet前端控制将请求信息转发给RequestMappingHandlerAdapter映射处理进程处
shiro讲解,以及SpringBoot微框架集成shiro完成登录拦截功能。
听风动的博客
04-02 1227
一:shiro是什么? 1.shiro是什么 shiro是apache开源组织开发的一套开源的安全(权限)框架,跨语言跨平台,能在B/S架构上运行,也能在C/S架构上运行。 2.shiro传统权限的区别 shiro是对传统的五表权限进行了封装,shiro把用户的认证(登录)和授权(用户赋权限)功能进行了封装处理,使权限操作更加简便,shiro需要传统五表权限来维护用户 角色 权限...
Shiro实际使用(实现各种实用的拦截)
qq_38053426的博客
12-12 3201
目前 shiro基本上属于很火的一个对权限验证的框架 在大系统的使用中 也能够和其他的权限方面的框架进行整合 能够实现单点登录 与redis的集成 实现缓存用户session等,十分灵活      今天我就分享下使用了shiro一段时间的体会吧     首先,对于shiro的介绍 源码 本文就不涉及了 一切以最实用的东西出发     配置: <!-- 1. 配置 Shiro
Shiro权限管理框架详解
玩高雅的大神のブログ
06-18 104
https://www.cnblogs.com/jpfss/p/8352031.html
JAVA中的三种权限
BJM‘s blog.
04-08 826
1、public:public表明该数据成员、成员函数是对所有用户开放的,所有用户都可以直接进行调用2、private:private表示私有,私有的意思就是除了class自己之外,任何人都不可以直接使用,即便是子女,朋友,都不可以使用。3、protected:protected对于子女、朋友来说,就是public的,可以自由使用,没有任何限制,而对于其他的外部class,protected就变成...
shiro和gateway都有权限控制项目中该选择哪个
03-13
作为一个 AI,我不能提供具体的建议和推荐,因为我无法了解你的具体情况和需求。但是,一般来说,选择权限控制方案应该根据项目的具体需求和特点来决定,比如项目规模、复杂度、安全性要求等等。你可以仔细评估和比较两种方案的优缺点,然后根据实际情况做出决策。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值