shiro概述(四)注解式授权校验

已于 2024-02-29 14:30:47 修改
阅读量408 收藏 10
点赞数 8
分类专栏: Shiro+VUE 文章标签: java 前端 spring
于 2023-12-28 09:52:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/w_t_y_y/article/details/135261576
版权

用户认证+授权后,就可以进行接口权限控制。方法是拿用户(已授予的)权限与接口所需权限进行比较,不包含则视为无权。在shiro中,授权校验可以通过以下方式实现:

(1)自定义拦截器或者AOP,通过对需要鉴权的接口做拦截,参照拦截器与过滤器(三)拦截自定义Annotation注解_@annotation 拦截类注解-CSDN博客

(2)注解式授权校验

 注解式授权拦截只能用于方法,用在类头上无效;项目支持拦截式注解的前提是开启了aop

 <!-- AOP依赖,必须,否则shiro权限拦截验证不生效 -->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-aop</artifactId>
        </dependency>
 
 
 //以下为注解支持配置
    /**
     * Shiro生命周期处理器
     */
    @Bean(name = "lifecycleBeanPostProcessor")
    public static LifecycleBeanPostProcessor getLifecycleBeanPostProcessor() {
        return new LifecycleBeanPostProcessor();
    }
 
    /**
     * 开启Shiro的注解(如@RequiresRoles,@RequiresPermissions),需借助SpringAOP扫描使用Shiro注解的类,并在必要时进行安全逻辑验证
     */
    @Bean
    @DependsOn("lifecycleBeanPostProcessor")
    public DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator() {
        DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator = new DefaultAdvisorAutoProxyCreator();
        advisorAutoProxyCreator.setProxyTargetClass(true);
        return advisorAutoProxyCreator;
    }
 
    /**
     * 开启Shiro-aop注解支持
     */
    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager) {
        AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();
        authorizationAttributeSourceAdvisor.setSecurityManager(securityManager);
        return authorizationAttributeSourceAdvisor;
    }

常见的注解式授权有: 

一、@RequiresAuthentication:

  1、作用:要求当前Subject已经在session中验证通过(验证当前用户是否登录:  subject.isAuthenticated() 结果为true)

二、@RequiresUser:

验证用户是否被记忆

三、@RequiresGuest:

用户没有登录认证或被记住过,验证是否是一个guest的请求,与@RequiresUser完全相反。换言之,RequiresUser == !RequiresGuest。此时subject.getPrincipal() 结果为null.

四、@RequiresRoles:

验证当前用户是否具有某角色,与验证权限类似

五、@RequiresPermissions:

验证用户是否具有一个或多个权限,该注解经常在项目中使用,如果不满足条件则抛出AuthorizationException异常。

  1、单权限:

@RequiresPermissions("school_manage")

2、多权限:权限值value用数组代替,再设置logical

(1)符合一个即可:logical = Logical.OR,如

@RequiresPermissions(value = { "menu_1", "mneu_2" }, logical = Logical.OR)

(2)必须全部符合:logical = Logical.AND,如

@RequiresPermissions(value = { "menu_1", "mneu_2" }, logical = Logical.AND)

w_t_y_y
关注
专栏目录
SpringBoot 、Shiro、 自定义注解权限控制源码下载
04-06
3. **Shiro的集成**:研究如何在SpringBoot应用中配置Shiro,包括安全配置、 Realm(认证和授权信息提供者)的实现以及自定义注解的编写和使用。 4. **Shiro的权限控制**:掌握如何使用Shiro注解进行权限判断,如@...
shiro 后端服务接口注解
weixin_62239596的博客
04-03 256
subject必须同时拥有"file:read" 和"wite:aFile.txt"权限才能访问someMethod()方法。通过给接口服务方法添加注解可以实现权限校检,可以加在控制器方法上,也可以加在业务方法上,一般加在控制器方法上。例如:@RequiresPermissions("file:read" ,"wite:aFile.txt")验证subject是否有相应的角色,有角色访问方法,没有的话则会抛出异常。验证subject是否有相应的权限,有权限访问方法,没有则会抛出异常。验证用户是否被记忆;
基于springboot注解shiro 授权及角色认证
最新发布
一个菜鸡的博客
05-29 2132
验证用户是否被记忆: 登录认证成功subject.isAuthenticated()为true 登录后被记忆subject.isRemembered()为true。通过给接口服务方法添加注解可以实现权限校验,可以加在控制器方法上,也可以加 在业务方法上,一般加在控制器方法上。验证subject是否有相应角色,有角色访问方法,没有则会抛出异常 AuthorizationException。验证subject是否有相应权限,有权限访问方法,没有则会抛出异常 AuthorizationException。
8.Shiro权限控制注解
相互学习 共同进步
06-29 903
Controller中角色权限访问控制(注解★) 在其他的Controller中,使用注解来做权限控制访问 @RequiresPermissions("system:user:view") @RequestMapping(value = {"list", ""}) public String list() { return "/admin/index"; } // 只用同时具有user:view和user:create权限才能访问 @RequiresPermissions(value = { "sys
shiro权限注解和会话管理
qq_41644069的博客
10-28 742
1.shiro权限注解 注解可以放在controller对应的方法上,也可以放在service层对应的方法上。 @RequiresAuthentication:表示当前Subject已经通过login进行了身份验证;即Subject.isAuthenticated()返回true。 @RequiresUser:表示当前Subject已经身份验证或者通过记住我登录的。 @RequiresGuest:表示当前Subject没有身份验证或通过记住我登录过,即是游客身份。 @RequiresRoles(v
模仿shiro接口鉴权,自定义注解+spring aop,实现用户访问接口权限校验
Apollo
11-27 1032
目录目的or背景码代码的工具人---is me1. 自定义一个校验权限的注解2. 码好咱们的切面3. 搞个api4. postman测试4.1 看书api4.2 添加书api 目的or背景 shiro有个注解是@RequiresPermissions,接口方法加上这个表示需要有指定权限才能访问,不然提示无权限访问等类似信息,这个吧,有点意思,没玩过,所以就来简单模仿下,自己自定义一个注解,具备指定权限才可调通。 码代码的工具人—is me 接下来就是demo实现 1. 自定义一个校验权限的注解 packa.
shiro授权的实现原理
08-29
Shiro 授权有三种:编程注解和 JSP/GSP 标签。编程是通过写 if/else 授权代码块完成的,而注解是通过在执行的 Java 方法上放置相应的注解完成的,JSP/GSP 标签是在 JSP/GSP 页面通过相应的标签...
Shiro集成Spring注解示例详解
08-27
这两行代码启用了AOP代理,并配置了一个顾问bean,使得Shiro能够识别和处理注解授权。 接下来,我们可以使用Shiro提供的注解来控制方法级别的权限。例如,我们有一个名为`AuthorizationController`的@...
shiro授权类图关系简化版
04-13
shiro授权类图关系简化版
shiro注解
10-28
这是一个shiro的入门Demo.. 使用了Spring MVC,mybaits等技术.. 数据库设计 : User : name--password Role : id--userid--roleName Function : id--userid--url tinys普通用户只能访问index.jsp admin用户通过添加...
shiro权限注解
m0_67392811的博客
08-30 2385
表示subject没有身份验证或通过记住我登录过,即是游客身份,才可使用。3)登录admin用户(user、admin角色)状态下访问。表示subject已经身份验证或者通过记住我登录,才可使用。表示subject需要xxx(value)权限,才可使用。表示subject需要xx(value)角色,才可使用。注:连接均是可被匿名访问,控制器均是直接调用服务方法。2)登录user用户(user角色)状态下访问。表示subject已经通过登录验证,才可使用。1)未登录状态下访问。...
shiro通过注解自定义控制接口无需认证访问的解决过程
凌大大的博客
01-26 1万+
1. 需求背景   用过Shiro的小伙伴都知道,shiro提供两种权限控制方,通过过滤器或注解。我们项目是springboot + vue前后分离项目,后台对于权限控制一直使用的是过滤器的方,并且还有自定义的过滤器。大概如下: @Bean("shiroFilter") public ShiroFilterFactoryBean shirFilter(SecurityManager securityManager) { ShiroFilterFactoryBean shiroFilter = new
springMVC springBoot shiro 自定义shiro授权注解,自定义授权解析器
mxywxwk的博客
10-22 720
  shiro支持注解授权控制,共有5个: @RequiresAuthentication:当前 Subject 已经通过 login 进行了身份验证;即 Subject.isAuthenticated() 返回 true。 @RequiresUser:当前 Subject 已经身份验证或者通过记住我登录的。 @RequiresGuest:当前 Subject 没有身份验证或通过记住我登录过,即是游客身份。 @RequiresRoles:当前 Subject 需要的角色。 @RequiresPermi
Springboot整合shiro:实现用户登录和权限验证
猪大肠的博客
08-25 6715
Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。当然类型大家也可以使用spring security;因为我平时开发的项目都是中小型的,所以使用shiro对于业务来说已经够用了,那么下面是我整理的整合记录; 一、什么是Shiro 这里大家需要先认识一下它的三个重要的组件; 1.1、Subject 即当前的操作用户,就是当前登录的用户; 1.2、SecurityManager 该组件是用来管理所有的操作用户的安全操作 1.3、Realm 该组件需要我们自定义,主
Shiro授权--注解开发
weixin_67450855的博客
08-31 523
表示当前Subject已经通过login进行身份验证;即 Subject.isAuthenticated()返回 true:表示当前Subject已经身份验证或者通过记住我登录的表示当前Subject没有身份验证或者通过记住我登录过,即是游客身:表示当前Subject需要角色admin和user:表示当前Subject需要权限user:delete或者user:b。...
spring shiro 通过自定义注解跳过登录验证(无token)访问接口
qq_50647760的博客
11-21 3175
spring shiro 通过自定义注解跳过登录验证(无token)访问接口
Shiro权限控制(三):Shiro注解权限验证
热门推荐
kity9420的专栏
04-10 1万+
一、目标 通过注解实现URL的权限验证 二、前言 在前面的一篇博文中《Shiro权限控制之自定义Filter(二)》,我们的权限验证是配置在shiro配置文件中的,即在spring-shiro-web.xml中的ShiroFilterFactoryBean的filterChainDefinitions属性中,如下 <!-- Shiro的web过滤器 --> <...
Shrio框架实现自定义密码校验规则
05-15 991
java,springboot,shiro实现自定义用户认证
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

w_t_y_y

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值