Shiro笔记(五)Shiro授权

最新推荐文章于 2024-09-03 19:40:04 发布
最新推荐文章于 2024-09-03 19:40:04 发布
阅读量90 收藏
点赞数
文章标签: 数据库
原文链接:http://www.cnblogs.com/esileme/p/7476129.html
版权

Shiro授权

  也叫访问控制,即在应用中控制谁能访问那些资源(如访问页面、编辑数据、页面操作等)。在授权中需要了解几个关键对象:主体(subject)、资源(resource)、权限(Permission)、角色(Role)。

Shiro授权需要了解的几个对象:

  主体:访问应用的用户,在Shiro中使用Subject代表该用户。用户只有授权后才能允许访问响应的资源。

  资源:在应用中用户可以访问的URL,比如JSP页面,查看/编辑某些数据,访问某个业务方法,打印文本等都是资源,只有经过用户授权后才可以访问。

  权限:安全策略中的原子授权单位,通过权限我们可以表示在应用中用户有没有操作某个资源的权利。即权限表示在应用中用户能不能访问某个资源,如:访问用户列表页面的查看/新增/修改/删除用户数据(即很多时候都是CRUD式权限控制)等。权限代表用户有没有操作某个资源的权利,即反应某个资源上的操作是否被允许。

  角色:权限的集合,一般情况下会赋予用户 角色而不是权限,这样用户可以拥有一组权限,赋予权限的时候比较方便,典型的如:项目经理、技术总监、CTO、开发工程师都是角色,不同的角色有一组不同的权限。

  Shiro支持操作用户模块的所有权限或操作某个用户的权限。

授权流程

  1.在Spring-shiro.xml中的页面配置上,给想要授权的页面添加访问许可,如给user.jsp和admin.jsp添加权限,user.jsp只能拥有user角色才能访问,而admin.jsp只能拥有admin角色才能访问,则过滤器配置如下:

    /user.jsp = roles[user]  
    /admin.jsp = roles[admin]

  或在Controller中给某个方法添加注解的方式,如上述给user.jsp页面添加权限,则在get请求上放添加@RequiresPermissions(value={"roles[user]"})注解即可。

  这样当我们登录成功后再想访问上述页面发现已经没有权限了!

  2.在配置好过滤器后,授权需要实现AuthorizingRealm类中的doGetAuthorizationInfo方法,因为AuthorizingRealm继承AuthenticatingRealm,但并没有实现AuthorizingRealm类中的doGetAuthorizationInfo方法,所以 ,我们在做认证和授权的时候只需要继承AuthorizingRealm就可以了,同时实现两个抽象方法:认证(doGetAuthenticationInfo)、授权(doGetAuthorizationInfo)即可。

  在进行多Realm认证的时候,调用的是ModularRealmAuthorizer,实际上还是走的AuthorizingRealm中的doGetAuthorizationInfo方法。

  3.之前在做认证的时候,我们继承的是认证Realm(AuthenticatingRealm),现在让它继承(AuthorizingRealm),并同时实现两个抽象类。

授权调用

  4.在doGetAuthorizationInfo方法中实现授权的过程

    1.从principalCollection中获取登录用户的信息(principal对象)。

         Principal principal = (Principal) getAvailablePrincipal(principals);   
         String loginName = principal.getName();

    2.利用登录的用户信息来获取当前用户的角色或权限(缓存中查询或者数据库中)。

        // 把角色信息查出来
        List<Role> roles = UserUtils.getRolesByIds(user.getRoleIds(),  user.getId());

    3.创建SimpleAuthorizationInfo对象,并设置roles属性,将info对象返回。

      SysUser user = UserUtils.getByLoginName(loginName);
        if (user != null) {
            
            SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
            // 把角色信息查出来
            List<Role> roles = UserUtils.getRolesByIds(user.getRoleIds(),  user.getId());
            // 遍历他所拥有的角色
            for (int i = 0; i < roles.size(); i++) {
                
                Role ro = roles.get(i);
                
                info.addRole(ro.getRole());
                // 通过ResourceIds获取对应的权限信息
                List<Resource> sresources = UserUtils.getPermissionByIds(ro.getResourceIds(), user.getId());
            
                for (int j = 0; j < sresources.size(); j++) {
                    
                    Resource re = sresources.get(j);
                    //给info对象设置角色
                    info.addStringPermission(re.getPermission());
                }
            }
            
            return info;
            
        }

转载于:https://www.cnblogs.com/esileme/p/7476129.html

weixin_30724853
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Shiro学习(3)授权
04-06 1513
授权,也叫访问控制,即在应用中控制谁能访问哪些资源(如访问页面/编辑数据/页面操作等)。在授权中需了解的几个关键对象:主体(Subject)、资源(Resource)、权限(Permission)、角色(Role)。 主体 主体,即访问应用的用户,在Shiro中使用Subject代表该用户。用户只有授权后才允许访问相应的资源。 资源 在应用中用户可以访问的任何东西,比如访问JSP页面、查看/
Shiro-授权
Cat_Jay_Fish的博客
12-25 161
一、shiro授权 有的没有权限 1、 在ShiroUserMapper.xml中新增内容 <select id="getRolesByUserId" resultType="java.lang.String" parameterType="java.lang.Integer"> select r.roleid from t_shiro_user u,t_shiro_user_role ur,t_shiro_role r where u.user...
shiro笔记
weixin_34112030的博客
10-25 75
控制某一角色拥有此选项 上图 标签为shiro:hasRole表示 此时只有admin角色才拥有 系统用户管理和角色管理两个tab 页 上图 标签为shiro:hasPermission表示 此时只有 权限为 system:sysUser才拥有 系统用户管理和角色管理两个tab 页 分别对应数据库中的权限表 将权限修改为,拥有system:sysUser角色而不仅仅是拥有adm...
shiro笔记一:权限控制
公子&小白的博客
05-10 288
shiro笔记一:权限控制 权限控制 权限:用户和资源,让指定的用户,只能操作指定的资源。 javaweb通过doFilter过滤进行处理权限控制。 public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws Exception { HttpServletRequest httpRequest = (HttpServletRequest) request;
Day57——SpringBoot2.x整合MyBatis
Android_la的博客
08-04 229
文章目录一. 问题背景二. 整合MyBatis2.1 搭建环境 一. 问题背景 前面学习了Day56——SpringBoot2.x整合Druid&配置数据源监控,今天来学习整合MyBatis 二. 整合MyBatis 2.1 搭建环境 首先搭建好druid数据源,这个步骤与Day56——SpringBoot2.x整合Druid&配置数据源监控一样,步骤如下: 引入依赖: <!--引入druid数据源--> <dependency> <groupI
【初探shiro】简单分析shiro源码
zzxzzxhao的博客
03-07 290
1.从最基本的继承关系开始 AuthorizingRealm--&gt;AuthenticatingRealm--&gt;CachingRealm--&gt;Realm 1.1. Realm接口 我们来看看官方的定义 A Realm is a security component that can access application-specific security entitie...
Apache Shiro的用户授权isPermitted过程,导致jeesite授权失败
freedom
12-04 4093
在使用jeesite快速开发平台时,出现权限授权失败。 开发项目中有个用户模块,取包名 user 模块。通过自动生成代码后,controller层自动添加了如下权限 @RequiresPermissions("user:bjUser:view") @RequestMapping(value = {"list", ""}) public String list(BjUser ...
shiro学习笔记
04-03
### Shiro学习笔记内容 这份"Shiro学习笔记"可能包含了以下主题: - Shiro的安装与配置 - Shiro基本概念详解 - Realm的创建与使用 - 登录与登出流程 - 权限控制机制 - 缓存管理和会话管理 - Shiro与Spring的...
shiro笔记整理.docx
08-04
Apache Shiro 是一款轻量级的安全管理框架,主要用于Java应用的身份认证和授权。它提供了一套简单易用的API,帮助开发者处理常见的安全问题。以下是对Shiro关键知识点的详细解释: 1. **身份认证(Authentication)...
shiro学习笔记.rar
10-06
本学习笔记主要涵盖了如何在Spring Boot项目中整合Shiro,并实现用户认证和授权,以及图片验证码的实现。 **1. Shiro 概述** Shiro 的核心组件包括 Realm(域)、Subject(当前操作用户)、Session Manager(会话...
shiro课堂笔记
04-20
在提供的 `shiro课堂笔记.doc` 文件中,可能包含了如何配置 Shiro、创建 Realm、进行用户认证和授权的代码示例。`test.txt` 文件可能包含了一些辅助性的测试数据或额外的代码片段。 8. **实战应用**: 学习 Shiro...
Shiro入门(七)自定义Realm的授权
jwang的博客
05-11 226
前言 本章学习自定义Realm的授权方式 方法 1.概念 1)关于授权流程的源码剖析,希望读者自行根据登陆验证的模式进行查阅 2)关于JdbcRealm的授权方式,希望读者自行编写 由于JdbcRealm的授权方式受限于表,一般情况下我们都使用自定义的realm来进行授权操作。 2.编码实现 1)编写shiro.ini文件如下 [main] myJdbcRealm ...
关于shrio的那点事
代码是糖,甜到哀伤
01-31 1906
spring整合shiro 我使用的是Gradle,spring整合shiro需要的依赖 //安全限制框架shiro 'org.apache.shiro:shiro-web:1.2.4', 'org.apache.shiro:shiro-core:1.2.4', 'org.apache.shiro:shiro-spring:1.2.4', 'org.apache.shiro:shir
Springboot整合shiro:实现用户登录和权限验证
猪大肠的博客
08-25 6699
Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。当然类型大家也可以使用spring security;因为我平时开发的项目都是中小型的,所以使用shiro对于业务来说已经够用了,那么下面是我整理的整合记录; 一、什么是Shiro 这里大家需要先认识一下它的三个重要的组件; 1.1、Subject 即当前的操作用户,就是当前登录的用户; 1.2、SecurityManager 该组件是用来管理所有的操作用户的安全操作 1.3、Realm 该组件需要我们自定义,主
Spring整合Shiro做权限控制模块详细案例分析
zzc1684的博客
09-19 228
1.引入Shiro的Maven依赖 [html] view plaincopy &lt;!-- Spring 整合Shiro需要的依赖 --&gt;          &lt;dependency&gt;           &lt;groupId&gt;org.apache.shiro&lt;/groupId&gt;           &lt;artifact...
关于shiro的 subject.getPrincipal()方法
热门推荐
依木前行的博客
11-23 6万+
1、说明上一篇文章说明了 principal,而subject.getPrincipal();是用来干嘛的,他就是来获取你存储的principal,内部是怎么获取的那,多个principal怎么指定获取哪一个那。2、解释1)subject.getPrincipal();最后调用的是下面这个方法public Object getPrimaryPrincipal() { if (isEm
华为云征文|Flexus云服务X实例应用,通过QT连接华为云MySQL,进行数据库的操作,数据表的增删改查
最新发布
Arya的博客,专注后端领域
09-03 1148
4核12G-100G-3M规格的Flexus X实例使用测评第3弹:Flexus云服务X实例应用,通过QT连接华为云MySQL,进行数据库的操作,数据表的增删改查
Shiro权限管理详解:认证授权轻松掌握
"Shiro笔记-作者:知识浅谈" Apache Shiro 是一个强大的且易于使用的 Java 安全框架,它负责执行身份验证、授权、加密以及会话管理。Shiro 的设计目标是让安全功能的集成变得简单直观,使得开发者能够快速地在应用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值