Shiro - 注解权限控制-5个权限注解

最新推荐文章于 2024-08-13 09:58:53 发布
最新推荐文章于 2024-08-13 09:58:53 发布
阅读量1.2k 收藏 3
点赞数
分类专栏: Shiro

Shiro共有5个注解,接下来我们就详细说说吧

  • RequiresAuthentication:

    使用该注解标注的类,实例,方法在访问或调用时,当前Subject必须在当前session中已经过认证。

  • RequiresGuest:

    使用该注解标注的类,实例,方法在访问或调用时,当前Subject可以是“gust”身份,不需要经过认证或者在原先的session中存在记录。

  • RequiresPermissions:

    当前Subject需要拥有某些特定的权限时,才能执行被该注解标注的方法。如果当前Subject不具有这样的权限,则方法不会被执行。

  • RequiresRoles:

    当前Subject必须拥有所有指定的角色时,才能访问被该注解标注的方法。如果当天Subject不同时拥有所有指定角色,则方法不会执行还会抛出AuthorizationException异常。

  • RequiresUser

    当前Subject必须是应用的用户,才能访问或调用被该注解标注的类,实例,方法。

使用方法:

Shiro的认证注解处理是有内定的处理顺序的,如果有个多个注解的话,前面的通过了会继续检查后面的,若不通过则直接返回,处理顺序依次为(与实际声明顺序无关):

RequiresRoles 
RequiresPermissions 
RequiresAuthentication 
RequiresUser 
RequiresGuest

例如:你同时声明了RequiresRoles和RequiresPermissions,那就要求拥有此角色的同时还得拥有相应的权限。

1) RequiresRoles

  • 可以用在Controller或者方法上。可以多个roles,多个roles时默认逻辑为 AND也就是所有具备所有role才能访问。
@Target({ElementType.TYPE, ElementType.METHOD})
@Retention(RetentionPolicy.RUNTIME)
public @interface RequiresRoles {
    String[] value();
    Logical logical() default Logical.AND; 
}

  • 示例
//属于user角色
@RequiresRoles("user")

//必须同时属于user和admin角色
@RequiresRoles({"user","admin"})

//属于user或者admin之一;修改logical为OR 即可
@RequiresRoles(value={"user","admin"},logical=Logical.OR)

2) RequiresPermissions

  • 与 RequiresRoles类似
@Target({ElementType.TYPE, ElementType.METHOD})
@Retention(RetentionPolicy.RUNTIME)
public @interface RequiresPermissions {
    String[] value();
    Logical logical() default Logical.AND; 
}
  • 示例
//符合index:hello权限要求
@RequiresPermissions("index:hello")

//必须同时复核index:hello和index:world权限要求
@RequiresPermissions({"index:hello","index:world"})

//符合index:hello或index:world权限要求即可
@RequiresPermissions(value={"index:hello","index:world"},logical=Logical.OR)

3) RequiresAuthentication,RequiresUser,RequiresGuest

  • 这三个的使用方法一样
@RequiresAuthentication
@RequiresUser
@RequiresGusst

注:Shiro依赖于slf4j,commons-beanutils,commons-logging三个jar包。
如果没有_明天
关注
专栏目录
SSM(三)Shiro使用详解
crossoverJie专栏
07-15 4285
前言相比有做过企业级开发的童鞋应该都有做过权限安全之类的功能吧,最先开始我采用的是建用户表,角色表,权限表,之后在拦截器中对每一个请求进行拦截,再到数据库中进行查询看当前用户是否有该权限,这样的设计能满足大多数中小型系统的需求。不过这篇所介绍的Shiro能满足之前的所有需求,并且使用简单,安全性高,而且现在越来越的多企业都在使用Shiro,这应该是一个收入的你的技能库。创建自定义MyRealm类有关
shiro注解权限控制-5个权限注解
头发没掉完,就得接着干!
06-12 5万+
shiro注解权限控制-5个权限注解Shiro共有5个注解,接下来我们就详细说说吧 RequiresAuthentication: 使用该注解标注的类,实例,方法在访问或调用时,当前Subject必须在当前session中已经过认证。RequiresGuest: 使用该注解标注的类,实例,方法在访问或调用时,当前Subject可以是“gust”身份,不需要经过认证或者在原先的session中
数据权限的设计与实现系列3——MybatisPlus数据权限插件实现机制及使用示例
最新发布
学海无涯,行者无疆
08-13 1219
本文介绍了MybatisPlus的数据权限插件的机制和使用,并通过一个具体示例补全了关键环节数据权限控制逻辑的实现。 与上篇若依开发平台对比,主要区别在于技术实现方式不同。 若依开发平台是自行拼接SQL片段,MybatisPlus的数据权限插件是基于拦截器机制,在执行SQL前解析和修改SQL。 但对于数据权限控制维度和实现思路,都是一致的,基于部门维度,控制点放在角色上,因此角色爆炸问题和权限扩大问题,也都存在。
@RequiresPermissions 解释
热门推荐
ATwill的专栏
12-01 8万+
@RequiresAuthentication 验证用户是否登录,等同于方法subject.isAuthenticated() 结果为true时。 @RequiresUser 验证用户是否被记忆,user有两种含义: 一种是成功登录的(subject.isAuthenticated() 结果为true); 另外一种是被记忆的(subject.isRemembered(
Shiro注解的使用
weixin_34292287的博客
09-12 100
为什么80%的码农都做不了架构师?>>> ...
@RequiresPermissions 设置多个权限
大话家的博客
09-27 4215
// 不能省略KEY @RequiresPermissions(value = {"aa:bb:cc", "dd:ee:f"}, logical = Logical.OR) Logical.OR:满足一个权限即符合条件 Logical.ADD:需要同时满足这两个条件
SpringBoot-Shiro-Vue:提供一套基于Spring Boot-Shiro-Vue的权限管理思路.前后端都加以控制,做到按钮接口级别的权限
05-11
通常我们的权限设计都是 用户--角色--权限 ,其中角色是我们代码的人没法控制的,它可以有多条权限,每个用户又可以设计为拥有多个角色.因此如果从角色着手进行权限验证,系统都必须根据用户的配置动起来
shiro-spring-support:提供shiro权限控制支持
04-30
"shiro-spring-support" 模块则是 Shiro 与 Spring 框架集成的一个支持包,使得在 Spring 应用中使用 Shiro 进行权限控制变得更加方便。 Shiro 的核心组件包括: 1. **身份认证 (Authentication)**:这是验证用户...
Spring Boot-Shiro-Vue 提供一套基于SpringBoot-shiro-vue的权限管理思路.
05-24
通常我们的权限设计都是 用户--角色--权限 ,其中角色是我们代码的人没法控制的,它可以有多条权限,每个用户又可以设计为拥有多个角色.因此如果从角色着手进行权限验证,系统都必须根据用户的配置动起来,非常复杂. ...
SpringBoot 、Shiro、 自定义注解权限控制源码下载
04-06
这在描述中提到的"自定义注解权限控制"就是指这一功能。 MyBatis Plus则是在MyBatis的基础上扩展的一套轻量级框架,它简化了数据库的基本操作,如增删改查、条件查询等。MyBatis Plus提供了丰富的API,开发者无需...
shiro-1:springmvc+shiro 代码级别的权限控制
06-03
shiro-1-master”项目可能包含了实际应用示例,包括 Shiro 相关配置文件、自定义 Realm 类、控制器方法上的权限注解等。通过分析这个项目,你可以了解如何在实际项目中整合 Shiro 实现代码级别的权限控制。 通过...
shiro注解
10-28
这是一个shiro的入门Demo.. 使用了Spring MVC,mybaits等技术.. 数据库设计 : User : name--password Role : id--userid--roleName Function : id--userid--url tinys普通用户只能访问index.jsp admin用户通过添加了admin的permission,所以可以访问admin.jsp role用户通过添加了role角色,所以可以访问role.jsp 这是最基本的shiro的运用..目的是让你快速了解shiro的机制.. 这个Demo体现shiro的地方主要在两个类以及shiro.xml的配置文件 CustomRealm : 处理了登录验证以及授权.. ShiroAction : 用来传递登录时的用户数据..转换为token传递给realm...之后根据结果做相应的逻辑处理.. shiro.xml : shiro的主要配置... 规则定义在以下地方 : <!-- 过滤链定义 --> <property name="filterChainDefinitions"> <value> /login.jsp* = anon /index.jsp* = authc /index.do* = authc /admin.jsp*=authc,perms[/admin] /role.jsp*=authc,roles[role] </value> </property> 2015-10-28更新 --通过添加了以下内容来使用注解方式配置权限.... <!-- Support Shiro Annotation 必须放在springMVC配置文件中 --> <!-- 异常处理,权限注解会抛出异常,根据异常返回相应页面 --> <bean class="org.springframework.web.servlet.handler.SimpleMappingExceptionResolver"> <property name="exceptionMappings"> <props> <prop key="org.apache.shiro.authz.UnauthorizedException">unauth</prop> <prop key="org.apache.shiro.authz.UnauthenticatedException">login</prop> </props> </property> </bean> <bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator" depends-on="lifecycleBeanPostProcessor" /> <bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor"> <property name="securityManager" ref="securityManager" /> </bean> <!-- end --> --修改了过滤链 <!-- 过滤链定义 --> //简单的讲就是把需要特别处理的路径到前面,越特殊到越前 <property name="filterChainDefinitions"> <value> <!-- 注意这里需要把前缀全.../shiro这里 --> /shiro/login.do*=anon /login.jsp* = anon /admin.jsp*=authc,perms[/admin] /role.jsp*=authc,roles[role] /** = authc </value> </property>
shiro @RequiresPermissions多权限
afdasfggasdf的博客
08-30 4812
一、RequirePermissions多权限 权限值value用数组代替,再设置logical 多选一:logical = Logical.OR 例如:@RequiresPermissions(value = { "product_create", "product_edit" }, logical = Logical.OR) 必须全部符合:logical = Logical.AND ...
shiro注解的使用注意点
fqf_520的专栏
10-24 558
shiro 注解
关于User的一些注解
weixin_30530939的博客
03-12 928
@RequiresAuthentication 验证用户是否登录,等同于方法subject.isAuthenticated()结果为true时。 @RequiresUser 验证用户是否被记忆,user有两种含义: 一种是成功登录的(subject.isAuthenticated()结果为true); 另外一种是被记忆的(subject.isRemembered()结果为true)。...
RequiresPermissions 依据多个值设置权限
zl_1987的专栏
07-15 1万+
@RequiresPermissions(value = {"elevator:view", "onlineMonitoring:view"}, logical = Logical.OR)
RequiresPermissions 依据多个值设置权限(且或切换)
我惠依旧的博客
05-14 7091
原文地址:RequiresPermissions 依据多个值设置权限 @RequiresPermissions(value = {"elevator:view", "onlineMonitoring:view"}, logical = Logical.OR) Logical.OR是指value 中的权限任选其一 Logical.AND是指value 中的权限都要有,默认为and ...
shiro授权
weixin_61523879的博客
08-26 312
shiro授权
Shiro中@RequiresRoles和@RequiresPermissions的使用
weixin_44967580的博客
05-10 5005
@RequiresRoles("user") //具有user角色可以访问 @RequiresRoles(value = {"admin","user"},logical = Logical.AND)//用来判断是否拥有角色 同时具有admin 和 user角色才能访问 @RequiresRoles(value = {"admin","user"},logical = Logical.OR)//用来判断是否拥有角色 具有admin 或 user其中一角色才能访问 @RequiresPermiss
Java私塾《深入浅出学Shiro》-权限管理精品教程
授权部分深入讲解了授权的要素和粒度,包括编程式授权和注解授权,以及授权流程和ModularRealmAuthorizer的工作原理,让开发者能够实现精细的权限控制。 在Realms章节,教程详细介绍了 Realm 的概念及其在认证中的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值