shiro讲解 之 Authorization (一)

最新推荐文章于 2020-10-10 00:17:35 发布
VIP文章 最新推荐文章于 2020-10-10 00:17:35 发布
阅读量555 收藏
点赞数
分类专栏: Shiro 文章标签: shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012437781/article/details/78392671
版权

shiro讲解之 Authorization(一)

本节我们将学习一下 Shiro 的 Authorization(授权)。

  • 官方文档

    • The Authorizer is the component responsible determining users’ access control in the application. It is the mechanism that ultimately says if a user is allowed to do something or not. Like the Authenticator, the Authorizer also knows how to coordinate with multiple back-end data sources to access role and permission information. The Authorizer uses this information to determine exactly if a user is allowed to perform a given action.

  • 通常理解

    • 也叫访问控制,即在应用中控制谁访问哪些资源(如访问页面/编辑数据/页面操作 等)。在授权中需了解的几个关键对象:主体(Subject)、资源(Resource)、权限(Permission)、角色(Role)

      通常而言 Shiro 的授权功能指的是在我们的应用中通过调用 Authorization 方法来给当前的Subject 进行角色认定和 权限赋予。被授权了的角色就可以根据各自的权限访问系统内的不同资源了。

核心概念

  • 在 Shiro 的授权功能中我们要很清晰地理解 主体、角色、权限、资源 四个概念之前的耦合和内在关系。

  • 主体
    访问应用的用户,在 Shiro 中使用 Subject 代表该用户。用户只有授权后才允许访问相应的资源

  • 角色
    权限的集合,一般情况下会赋予用户角色而不是权限,即这样用户可以拥有 一组权限,赋予权限时比较方便。
    典型的如:项目经理、技术总监、CTO、开发工程师等 都是角色,不同的角色拥有一组不同的权限

  • 权限
    安全策略中的原子授权单位,通过权限我们可以表示在应用中用户有没有操作某个资源的权力。即权限表示在应用中用户能不能访问某个资源,如:访问用户列表页面查看/新增/修改/删除用户数据(即很多时候都是CRUD(增查改删)式权限控 制)等。权限代表了用户有没有操作某个资源的权利,即反映在某个资源上的操作允不允许。

    Shiro 支持粗粒度权限(如用户模块的所有权限)和细粒度权限(操作某个用户的权限,
    即实例级别的)

  • 资源
    在应用中用户可以访问的 URL,比如访问 JSP 页面、查看/编辑某些数据、访问某个业务方法、打印文本等等都是资源。用户只要授权后才能访问。

  • 关系图

最低0.47元/天 解锁文章
「已注销」
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springboot整合shiro讲解
04-14
pache Shiro 是 Java 的一个安全(权限)框架。 Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在 JavaSE 环境,也可以用在 JavaEE 环境。Shiro 可以完成:认证、授权、加密、会话管理、与Web 集成、缓存等...
Shiro】Apache Shiro架构之权限认证(Authorization
武哥聊编程
07-03 1万+
上一篇博文总结了一下Shiro中的身份认证,本文主要来总结一下Shiro中的权限认证(Authorization)功能,即授权。如下: 本文参考自Apache Shiro的官方文档:http://shiro.apache.org/authorization.html。 本文遵循以下流程:先介绍Shiro中的权限认证,再通过一个简单的实例来具体说明一下API的使用(基于maven)。 1
Shiro授权(Authorization
qq_49670207的博客
09-19 563
Shiro授权(Authorization)术语简介授权主体资源权限 术语简介 授权 授权,也叫访问控制,即在应用中控制谁能访问哪些资源(如访问页面/编辑数据/页面操作等)。在授权中需了解的几个关键对象:主体(Subject)、资源(Resource)、权限(Permission)、角色(Role)。 主体 主体,即访问应用的用户,在Shiro中使用Subject代表该用户,用户只有授权后才允许访问相应的资源。 资源 在应用中用户可以访问的任何东西,比如访问JSP页面、查看/编辑某些数据、访问某个业务方法、
shiro 授权(Authorization)
weixin_44659712的博客
09-18 187
术语简介 1、授权 授权,也叫访问控制,即在应用中控制谁能访问哪些资源。在授权中需了解的几个关键对象:主体(Subject)、资源(Resource)、权限(Permission)、角色(Role) 2、主体 主体,即访问应用的用户,在shiro中使用shiro中使用subject代表该用户,用户只有授权后才允许访问相应的资源。 3,资源 在应用中用户可以访问的任何东西,比如访问jsp页面、查看/编辑某些数据、访问某个业务方法,打印文件等都是资源,用户只有授权后才能访问。 4、资源 安全策略中
SpringBoot整合Shiro实现用户登录认证和权限鉴定
Mistra的博客
01-22 4743
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Ma...
Shiro教程--Authorization 授权及权限验证(四)
小波的博客
07-18 7795
      权限认证 也就是访问控制,即在应用中控制谁能访问哪些资源。 在权限认证中,最核心的三个要素是: 1-角色role,是权限的集合,一种角色可以被很多个用户拥有,一种角色可以包含多种权限;【多对多】 2-用户user,在 Shiro 中,代表访问系统的用户,被封装成 安全主体Subject对象; 3-权限permission,即操作资源的权利,比如访问某个页面,以及...
Shiro实战讲解课程
06-12
Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序
shiro之记住登录信息
08-29
Shiro提供了记住我(RememberMe)的功能,当关闭浏览器时下次再次打开还能记住你的信息,下面小编给大家分享shiro之记住登录信息的相关知识,感兴趣的朋友一起看看吧
Spring Boot学习之Shiro源码
01-27
Spring Boot学习之Shiro源码【学习狂神说,自己手动书写,可以实现正常所需的功能】 Spring Boot学习之Shiro源码【学习狂神说,自己手动书写,可以实现正常所需的功能】 Spring Boot学习之Shiro源码【学习狂神说,...
shiro之INI配置详解
08-29
主要为大家详细介绍了shiro之INI配置的相关资料,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
Shiro用户登录认证、权限授权示例,以及源码分析(上)
Jekin Blog
01-23 4877
前言   本篇文章主要讲解用户登录认证模块,下节再细讲权限。当然,最后笔者会分享整套源码。由于涉及到前端部分,年尾将至,没啥时间整那些,因此,提供的代码只涉及到后台,并且是封装过的,复用性高(但是,天上不会掉馅饼,还是要多敲多看多理解)。没有界面视图,确实理解比较吃力,望各位多多见谅!!! Shiro优势(Thinking)   shiro认证方式,获取前端用户名和密码,实例化对象Use
Shiro学习笔记(3)——授权(Authorization
君君的专栏
05-28 1万+
什么是授权 授权三要素 Shiro的三种授权方式 1 编码方式授权 2 基于注解的授权 3 JSP标签授权1.什么是授权授权,就是访问控制,控制某个用户在应用程序中是否有权限做某件事2.授权三要素 权限 请看Shiro学习笔记(1)——shiro入门中权限部分内容角色 通常代表一组行为或职责.这些行为演化为你在一个软件应用中能或者不能做的事情。角色通常是分配给用户帐户的,因此,通过分配,用户
Asp.Net Core AuthorizeAttribute 和AuthorizeFilter 跟进及源码解读
Jlion 技术博客
03-25 2778
一、前言 IdentityServer4已经分享了一些应用实战的文章,从架构到授权中心的落地应用,也伴随着对IdentityServer4掌握了一些使用规则,但是很多原理性东西还是一知半解,故我这里持续性来带大家一起来解读它的相关源代码,本文先来看看为什么Controller或者Action中添加Authorize或者全局中添加AuthorizeFilter过滤器就可以实现该资源受到保护,需要通过...
shiro 角色与权限的解读
niceyoo的博客
07-10 593
1、为什么 shiro有了《角色》后,还要设置《角色权限》呢?(问题) 思考:设置好角色了,那么就代表什么操作都可以执行了吗? 理解:如果上边回答是的话,那么只是《角色》层次的控制。 举例:如果你是个老师,那么你就可以教学生数学课,但是现实呢,是个老师就能教数学课吗?体育老师、美术老师...路过; 所以:角色权限就是用来指定这个角色可以做哪些操作。 ...
shiro入门学习--授权(Authorization)|筑基初期
qq_43788185的博客
10-10 495
写在前面 经过前面的学习,我们了解了shiro中的认证流程,并且学会了如何通过自定义Realm实现应用程序的用户认证。在这篇文章当中,我们将学习shiro中的授权流程。 授权概述 这里的授权指的是授予某一系统的某一用户访问受保护资源的权限,分为查询、修改、插入和删除几类。没有相关权限的用户将无法访问受保护资源,具有权限的用户只能在自己权限范围内操作受保护资源。 关键对象 主体(Subject) 即指定的某一用户,这里的用户可以是浏览器、APP和第三方应用程序等。 资源(Resource) 这里的资源包括资源
shiro讲解Authorization (三)
Dusty丶one的博客
10-31 495
shiro讲解Authorization (三)在之前的章节中我们学习了Shiro 的授权方式和实现。就Shiro 的 授权粒度而言,我们之前学习都是Shiro 的粗粒度。在授权粒度上 Shiro 做的非常好,即我们既可以实现粗粒度的授权(一般指 Authorization)和细粒度的鉴权(Permission)。概念一定程度上而言 Shiro 的 Permisssion 指的是Shiro
shiro讲解Authorization (二)
Dusty丶one的博客
10-30 216
shiro讲解Authorization (二)本章我们将深度的学习 ShiroAuthorization。在之前的章节我们有学习过 Shiro 的基本 Authorization 即在 Realm 做Subject 的授权,在SpringContext中配置 Shiro Authorizartion 的 DefaultFilter。DefaultFilter 什么是 DefaultFi
解释token及Authorization
热门推荐
weixin_41917467的博客
11-24 3万+
header里面放Authorization,就是为了验证用户身份,现在前后端分离,有跨域问题,session经常会失效 所以使用了token来验证用户身份(目前只知道可以用于验证用户身份) token和session拥有同一功能就是判断当前用户是不是之前登录了的用户 比如你登陆后,在同一浏览器不同页面打开同一网址,你想跳过登录环节 这时候因为跨域问题,发送给后台的session会是一个新的ses...
shiro认证后 却没有执行 doGetAuthorizationInfo
qq_39081511的博客
05-22 3738
作为一个新手之前一段时间开始使用的shiro,也有分享过一些shiro框架整合springmvc的内容。不过最近遇到一个问题困扰了我大半天,就是一个配置完整的shiro+springmvc项目只做了认证(doGetAuthenticationInfo)没做授权(doGetAuthorizationInfo),spring-shiro.xml文件如下:[html] view plain copy&l...
设计一套Shiro安全验证方案
最新发布
03-21
2. 授权(Authorization):确定用户可以访问哪些资源,以及对这些资源的操作权限。可以使用角色、权限等方式进行授权。 3. 会话管理(Session Management):管理用户的会话,确保用户的会话不被劫持或伪造。 基于...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值