【Shiro原理一】shirohasPermission 隐藏页面无权访问的资源

于 2022-08-27 04:40:59 发布
阅读量670 收藏
点赞数
分类专栏: java 文章标签: servlet java 开发语言 spring boot 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/web15286201346/article/details/126553298
版权

shiro:hasPermission 隐藏页面无权访问的资源,因为层层调用方法,下面可能有点儿乱,注意上下结合看方法名。

jsp:
organ_list.jsp

<shiro:hasPermission name="jigouxinxi-xinzeng">
    <button class="layui-btn layui-btn-primary" onclick="addOrgan()">
        <i class="fa fa-plus fa-fw" aria-hidden="true"></i>新增</button>
</shiro:hasPermission>

jsp引擎将其转成Java文件,jvm编译成.class文件
java
organ_001alist_jsp.java

补充:jsp解析
jsp的文件名中有下划线,将下划线替换为下划线加上一个三位数的数字和一个字母比如:_001a,将.jsp替换成_jsp,后面加上后缀名.java。
将替换后的文件名作为类名,继承org.apache.jasper.runtime.HttpJspBase,实现org.apache.jasper.runtime.JspSourceDependent
重写HttpJspBase类中的
void _jspInit() void _jspService(HttpServletRequest paramHttpServletRequest, HttpServletResponse paramHttpServletResponse) void _jspDestroy() Map<java.lang.String,java.lang.Long> getDependants()
引用的标签函数将被解析成Java方法,在_jspService方法里调用。

// 1. 声明
private org.apache.jasper.runtime.TagHandlerPool _005fjspx_005ftagPool_005fshiro_005fhasPermission_0026_005fname;  

public void _jspInit() {
    // 2. 实例化
    _005fjspx_005ftagPool_005fshiro_005fhasPermission_0026_005fname = org.apache.jasper.runtime.TagHandlerPool.getTagHandlerPool(getServletConfig());
}  

public void _jspService(final javax.servlet.http.HttpServletRequest request, final javax.servlet.http.HttpServletResponse response)
        throws java.io.IOException, javax.servlet.ServletException {

    final javax.servlet.jsp.PageContext pageContext;
    javax.servlet.http.HttpSession session = null;
    final javax.servlet.ServletContext application;
    final javax.servlet.ServletConfig config;
    javax.servlet.jsp.JspWriter out = null;
    final java.lang.Object page = this;
    javax.servlet.jsp.JspWriter _jspx_out = null;
    javax.servlet.jsp.PageContext _jspx_page_context = null;


    try {
      response.setContentType("text/html; charset=UTF-8");
      pageContext = _jspxFactory.getPageContext(this, request, response,
                null, true, 8192, true);
      _jspx_page_context = pageContext;
      out = pageContext.getOut();
      _jspx_out = out;
      /* 省略 */
      out.write("...");
       // 3. 调用解析后的标签方法
       if (_jspx_meth_shiro_001ahasPermission_001a0(_jspx_page_context))
        return;
      /* 省略 */
      out.write("...");
    } catch (java.lang.Throwable t) {
      if (!(t instanceof javax.servlet.jsp.SkipPageException)){
        out = _jspx_out;
        if (out != null && out.getBufferSize() != 0)
          try { out.clearBuffer(); } catch (java.io.IOException e) {}
        if (_jspx_page_context != null) _jspx_page_context.handlePageException(t);
        else throw new ServletException(t);
      }
   } finally {
      _jspxFactory.releasePageContext(_jspx_page_context);
   }
 }

private boolean _jspx_meth_shiro_001ahasPermission_001a0(javax.servlet.jsp.PageContext _jspx_page_context)
          throws java.lang.Throwable {
    javax.servlet.jsp.PageContext pageContext = _jspx_page_context;
    javax.servlet.jsp.JspWriter out = _jspx_page_context.getOut();
    //  4. shiro:hasPermission(强转)
    org.apache.shiro.web.tags.HasPermissionTag _jspx_th_shiro_001ahasPermission_001a0 = (org.apache.shiro.web.tags.HasPermissionTag) _001ajspx_001atagPool_001ashiro_001ahasPermission_0026_001aname.get(org.apache.shiro.web.tags.HasPermissionTag.class);
    _jspx_th_shiro_001ahasPermission_001a0.setPageContext(_jspx_page_context);
    _jspx_th_shiro_001ahasPermission_001a0.setParent(null);
    // /WEB-INF/view/blc_organ_list.jsp(28,12) name = name type = null reqTime = true required = true fragment = false deferredValue = false expectedTypeName = null deferredMethod = false methodSignature = null
    // 5. 赋值shiro 权限标识"jigouxinxi-xinzeng"
    _jspx_th_shiro_001ahasPermission_001a0.setName("jigouxinxi-xinzeng");
    // 6. 调用doStartTag() 下面详细说做了什么。
    int _jspx_eval_shiro_001ahasPermission_001a0 = _jspx_th_shiro_001ahasPermission_001a0.doStartTag();
    if (_jspx_eval_shiro_001ahasPermission_001a0 != javax.servlet.jsp.tagext.Tag.SKIP_BODY) {
      do {
        out.write("
");
        out.write("				            <button class="layui-btn layui-btn-primary" onclick="addOrgan()">
");
        out.write("				                <i class="fa fa-plus fa-fw" aria-hidden="true"></i>新增</button>
");
        out.write("				        ");
        int evalDoAfterBody = _jspx_th_shiro_001ahasPermission_001a0.doAfterBody();
        if (evalDoAfterBody != javax.servlet.jsp.tagext.BodyTag.EVAL_BODY_AGAIN)
          break;
      } while (true);
    }
    if (_jspx_th_shiro_001ahasPermission_001a0.doEndTag() == javax.servlet.jsp.tagext.Tag.SKIP_PAGE) {
      _001ajspx_001atagPool_001ashiro_001ahasPermission_0026_001aname.reuse(_jspx_th_shiro_001ahasPermission_001a0);
      return true;
    }
    _001ajspx_001atagPool_001ashiro_001ahasPermission_0026_001aname.reuse(_jspx_th_shiro_001ahasPermission_001a0);
    return false;
  }

核心:
doStartTag()

public int doStartTag() throws JspException {
    // 判断shiro 权限标识"jigouxinxi-xinzeng"是否为null
    verifyAttributes();
    return onDoStartTag();
}

PermissionTag.java

    private String name = null;

    public PermissionTag() {
    }

    public String getName() {
        return name;
    }

    public void setName(String name) {
        this.name = name;
    }
   protected void verifyAttributes() throws JspException {
        String permission = getName();

        if (permission == null || permission.length() == 0) {
            String msg = "The 'name' tag attribute must be set.";
            throw new JspException(msg);
        }
    }

    public int onDoStartTag() throws JspException {

        String p = getName();

        boolean show = showTagBody(p);
        if (show) {
            return TagSupport.EVAL_BODY_INCLUDE;
        } else {
            return TagSupport.SKIP_BODY;
        }
    }

复杂的调用过程:从上面【boolean show = showTagBody§;】开始

org.apache.shiro.web.tags.HasPermissionTag extends PermissionTag
boolean showTagBody(String p){
    return isPermitted(p);
}

org.apache.shiro.web.tags.PermissionTag extends SecureTag
boolean isPermitted(String p){
    // 调用父类SecureTag里的 Subject getSubject(){ return SecurityUtils.getSubject(); }
    return getSubject() != null && getSubject().isPermitted(p);
}

org.apache.shiro.subject.support.DelegatingSubject implements Subject
boolean isPermitted(String permission){
    // 调用 boolean hasPrincipals()
    // securityManager.isPermitted接收了用户可访问的权限标识集合,和页面上的标签的权限标识
    // 他们是如何比较的呢?在最后详细展示。
    return hasPrincipals() && securityManager.isPermitted(getPrincipals(), permission);
}
protected boolean hasPrincipals() {
    return !CollectionUtils.isEmpty(getPrincipals());
}
public PrincipalCollection getPrincipals() {
    List<PrincipalCollection> runAsPrincipals = getRunAsPrincipalsStack();
    // 你可能会问为什么runAsPrincipals.get(0)?权限标识不是多个吗?
    // 看看shiro是怎么存的,就知道他为什么这么取。在下一个代码块说明。
    return CollectionUtils.isEmpty(runAsPrincipals) ? this.principals : runAsPrincipals.get(0);
}
private List<PrincipalCollection> getRunAsPrincipalsStack() {
    org.apache.shiro.session.Session session = getSession(false);
    if (session != null) {
        // 从session中取出shiro权限标识
        return (List<PrincipalCollection>) session.getAttribute(RUN_AS_PRINCIPALS_SESSION_KEY);
    }
        return null;
    }

shiro是这么存权限标识的:
还记得你自定义的Realm类吗?登录时,你根据登录用户查询了他可访问的权限标识list or set

    /**
     * 授权
     */
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {

        logger.info("开始授权");

        // 1. 获取当前用户对象用户名
        AuthUser authUser = (AuthUser) principals.fromRealm(getName()).iterator().next();
        String username = authUser.getUsername();

        // 2. 查询根据用户名查询 permission
        List<String> permissionList = authUserSrv.queryPermissionListByUsername(username);

        // 3. 权限串集合在shiro内部进行比较
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        // 看这里你把值给了这个对象,那么他又做了什么呢?看下面的代码块。
        info.addStringPermissions(permissionList); 
        return info; 
    }

经过层层调用调用了下面的方法:(SimpleAuthorizationInfo 对象把权限标识集合给了PrincipalCollection 对象)

private void pushIdentity(PrincipalCollection principals) throws NullPointerException {
        if (CollectionUtils.isEmpty(principals)) {
            String msg = "Specified Subject principals cannot be null or empty for 'run as' functionality.";
            throw new NullPointerException(msg);
        }
        List<PrincipalCollection> stack = getRunAsPrincipalsStack();
        if (stack == null) {
            stack = new CopyOnWriteArrayList<PrincipalCollection>();
        }
        // 看这里
        stack.add(0, principals);
        Session session = getSession();
        session.setAttribute(RUN_AS_PRINCIPALS_SESSION_KEY, stack);
    }

private List<PrincipalCollection> getRunAsPrincipalsStack() {
        Session session = getSession(false);
        if (session != null) {
            return (List<PrincipalCollection>) session.getAttribute(RUN_AS_PRINCIPALS_SESSION_KEY);
        }
        return null;
    }

比较 securityManager.isPermitted(PrincipalCollection principals, Permission permission)

org.apache.shiro.realm.AuthorizingRealm
    public boolean isPermitted(PrincipalCollection principals, Permission permission) {
        AuthorizationInfo info = getAuthorizationInfo(principals);
        return isPermitted(permission, info);
    }

    //changed visibility from private to protected for SHIRO-332
    protected boolean isPermitted(Permission permission, AuthorizationInfo info) {
        Collection<Permission> perms = getPermissions(info);
        if (perms != null && !perms.isEmpty()) {
            for (Permission perm : perms) {
                if (perm.implies(permission)) {
                    return true;
                }
            }
        }
        return false;
    }
org.apache.shiro.authz.permission.WildcardPermission implements Permission  
// 更多详情请看从源码中找这个类。
public boolean implies(Permission p) {
        // By default only supports comparisons with other WildcardPermissions
        if (!(p instanceof WildcardPermission)) {
            return false;
        }

        WildcardPermission wp = (WildcardPermission) p;

        List<Set<String>> otherParts = wp.getParts();

        int i = 0;
        for (Set<String> otherPart : otherParts) {
            // If this permission has less parts than the other permission, everything after the number of parts contained
            // in this permission is automatically implied, so return true
            if (getParts().size() - 1 < i) {
                return true;
            } else {
                Set<String> part = getParts().get(i);
                if (!part.contains(WILDCARD_TOKEN) && !part.containsAll(otherPart)) {
                    return false;
                }
                i++;
            }
        }

扩展:
关于自定义标签的参考文章

web15286201346
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro授权的实现原理
01-19
授权,也叫访问控制,即在应用中控制谁能访问哪些资源(如访问页面/编辑数据/页面操作等)。在授权中需了解的几个关键对象:主体(Subject)、资源(Resource)、权限(Permission)、角色(Role)。 主体 主体,...
Shiro原理一】shiro:hasPermission 隐藏页面无权访问资源
朱赤墨黑
09-03 5425
shiro:hasPermission 隐藏页面无权访问资源,因为层层调用方法,下面可能有点儿乱,注意上下结合看方法名。 jsp: organ_list.jsp &lt;shiro:hasPermission name="jigouxinxi-xinzeng"&gt; &lt;button class="layui-btn layui-btn-primary" onclick="a...
shiro:hasPermission 标签 :验证当前用户是否拥有指定权限
热门推荐
dxyzhbb的博客
10-11 2万+
1、这些值是存在数据库里的,在哪里找呢?sys_menu 中的permission列。 <shiro:hasPermission name=“cms:article:edit”> 他是怎么入库的呢?非菜单项的权限是怎么加入,怎么取出来使用的? 取出来的sql: SELECT a.id , a.parent_id AS "parent.id" , a.paren...
用thymeleaf给shiro:hasPermission拼接权限字符串
qq_44381427的博客
09-23 1090
问题描述 前几天的一个项目里有几张逻辑表结构相同,就整合一张表来存,通过一个类型字段区分。于是这几张表同样用一个页面来展示数据。页面上的一些操作按钮通过shiro:hasPermission判断权限是否显示,于是就出现了一个问题。不同类型的数据要配置不同的字符串区分。 <div shiro:hasPermission="haveXXXPermission">xx操作</div> 比如一个苹果表,一个香蕉表。我想让苹果表显示xx操作,香蕉表不显示xx操作。就需要给haveXXXPer
shiro:hasPermission name=“...“>咋用啊
m0_59834108的博客
07-27 3894
如有错误欢迎指正 shiro:haspermission这个标签,对应的是官网给出的一个类,可以判断是否有操作权限,name属性呢,可以理解为名为sys:menu:add的一个操作,传入标签以后,标签来判断一下这个sys:menu:add操作有没有权限运行 如有错误欢迎指正 ...
Shiro haspermission 权限验证问题
gong_xucheng的专栏
10-11 1万+
Shiro haspermission 权限验证问题 &lt;shiro:hasPermission name="info:link:edit"&gt; !!! &lt;/shiro:hasPermission&gt; 呵呵,今天调试这个permission问题,发现 hasPermission的继承效果 如果定义权限组 group1  有权限 info 那么他自动拥有 info**** 的权限 ...
Shiro原理+配置
05-25
但是,在Shiro中,Subject这一概念并不仅仅指人,也可以是第三方进程、后台帐户(Daemon Account)或其他类似事物。它仅仅意味着"当前跟软件交互的东西"。但考虑到大多数目的和用途,你可以把它认为是Shiro的"用户...
Shiro反序列化漏洞,Shiro版本升级资源
06-22
shiro使用的版本是1.2.4,存在反序列化漏洞,我们采取的办法是手动升级到了1.2.6版本,但苦于无法验证是否解决了问题,后来发现了一款测试工具,ShiroExploit。 测试工具下载地址 ... 反序列化漏洞是如何产生的?...
SpringBoot整合shiro项目静态资源
08-23
SpringBoot整合shiro项目静态资源
@shiro.hasPermission 使用
ywb201314的专栏
10-26 3312
页面上加上@shiro.hasPermission 如下用.ftl为例子: 当加上shiro标签后,会与后台代码结合使用: 需要继承AuthorizingRealm 下的protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection)进行业务的处理。 关系点:@shiro.hasPermission name=的值要与authorizatio...
Shiroshiro:hasPermission >标签不生效,shiro权限不生效原因
cristianoxm的博客
12-01 2889
第一个可能配置文件:shiroConfig.java没加这个 /** * 开启Shiro的注解(如@RequiresRoles,@RequiresPermissions),需借助SpringAOP扫描使用Shiro注解的类,并在必要时进行安全逻辑验证 * 配置以下两个bean(DefaultAdvisorAutoProxyCreator和AuthorizationAttributeSourceAdvisor)即可实现此功能 * @return */ @Bean @ConditionalO
shiro
qq_32295383的博客
04-29 176
Shiro核心api subject: 用户主体(把操作交给SecurityManager) SecurityManager:安全管理器(关联Realm) Realm:shiro连接数据库的桥梁 --------------------------------用户认证 1.Controller //使用shiro编写认证 Subject subject=SecurityUtils.ge...
Shiroshiro:hasPermission 标签不生效,shiro权限不生效原因
ZGIT的博客
07-16 7263
第一个可能配置文件:shiroConfig.java没加这个 /** * 开启Shiro的注解(如@RequiresRoles,@RequiresPermissions),需借助SpringAOP扫描使用Shiro注解的类,并在必要时进行安全逻辑验证 * 配置以下两个bean(DefaultAdvisorAutoProxyCreator和AuthorizationAttributeSourceAdvisor)即可实现此功能 * @return */ @Bean @ConditionalO
shiro的实现原理 (讲的很清楚明白)
Hi, Sun
09-06 218
http://kdboy.iteye.com/blog/1169637
java shiro_shirojava安全框架)
weixin_42723849的博客
02-12 863
shiro(java安全框架)以下都是综合之前的人加上自己的一些小总结Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码学和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。Shiro 主要分为来个部分就是认证和授权,在个人感觉来看就是查询数据库做相应的判断而已,Shiro只是一个框架而...
【前端 VUE】vue 角色权限使用 hasPermission
悟空—
08-12 6229
main.js设置全局变量 Vue.prototype.$hasPer=hasPermission; 设置权限函数 exportfunctionhasPermission(perm){ letpermissionBtns=store.getters.btnPermissions?JSON.parse(store.getters.btnPermissions):[] letbtnName=permissionBtns.map(res=>{...
java global edit_Java PermissionService.hasPermission方法代碼示例
weixin_31414515的博客
02-16 260
本文整理匯總了Java中org.kuali.rice.kim.api.permission.PermissionService.hasPermission方法的典型用法代碼示例。如果您正苦於以下問題:Java PermissionService.hasPermission方法的具體用法?Java PermissionService.hasPermission怎麽用?Java PermissionS...
ShiroshirohasPermission 标签不生效,shiro权限不生效原因
m0_54850467的博客
08-24 711
第一层级权限为:【b2b:contract】,第二层级为:【b2b:contract:view】,第三层级为:【b2b:contract:add】,这个使用坑就出现了。当你使用【b2b:contract】权限时,意味着后面包含b2b:contract的都有权限了,只修改了 就好了。供应商合同 b2b:contract:view。添加 b2b:contract:add。删除 b2b:contract:del。
spring 权限PermissionEvaluator
Alice_whj的博客
03-18 2855
Spring Security——基于表达式的权限控制 Spring Security允许我们在定义URL访问或方法访问所应有的权限时使用Spring EL表达式,在定义所需的访问权限时如果对应的表达式返回结果为true则表示拥有对应的权限,反之则无。 通过表达式控制方法权限 Spring Security中定义了四个支持使用表达式的注解,分别是@PreAuthorize、@PostAuthor...
shiro不同的用户表怎么实现登录 和资源访问
最新发布
03-08
不同的用户表可以通过在数据库中创建多个表来实现...登录和资源访问可以通过在代码中编写相应的逻辑来实现,例如使用 Spring Security 框架来管理用户认证和授权。具体实现方式需要根据具体的业务需求和技术栈来确定。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值