自定义Shiro注解

最新推荐文章于 2023-11-20 20:11:44 发布
最新推荐文章于 2023-11-20 20:11:44 发布
阅读量537 收藏 3
点赞数 2
文章标签: java runtime
原文链接:https://segmentfault.com/a/1190000014537466
版权

自定义Shiro注解

顺序

  1. 创建自定义的注解
  2. 资源管理器,继承AuthorizationAttributeSourceAdvisor,添加新注解支持
  3. AOP拦截器,继承AopAllianceAnnotationsAuthorizingMethodInterceptor
  4. 方法拦截器,继承AuthorizingAnnotationMethodInterceptor
  5. 权限处理器,继承AuthorizingAnnotationHandler,校验权限

一、自定义注解

@Target({ElementType.METHOD})
@Retention(RetentionPolicy.RUNTIME)
public @interface Permissions {
  String[] value();
}

二、权限处理器

import org.apache.shiro.authz.AuthorizationException;
import org.apache.shiro.authz.aop.AuthorizingAnnotationHandler;
import org.apache.shiro.subject.Subject;

import java.lang.annotation.Annotation;

/**
 * 自定义权限处理器
 * @author BBF
 */
public class PermissionHandler extends AuthorizingAnnotationHandler {

  public PermissionHandler() {
    super(Permissions.class);
  }

  @Override
  public void assertAuthorized(Annotation a) throws AuthorizationException {
    if (a instanceof Permissions) {
      Permissions annotation = (Permissions) a;
      String[] perms = annotation.value();
      Subject subject = getSubject();

      if (perms.length == 1) {
        subject.checkPermission(perms[0]);
        return;
      }
      // 多个权限,有一个就通过
      boolean hasAtLeastOnePermission = false;
      for (String permission : perms) {
        if (subject.isPermitted(permission)) {
          hasAtLeastOnePermission = true;
          break;
        }
      }
      // Cause the exception if none of the role match,
      // note that the exception message will be a bit misleading
      if (!hasAtLeastOnePermission) {
        subject.checkPermission(perms[0]);
      }
    }
  }
}

三、方法拦截器

import org.apache.shiro.aop.AnnotationResolver;
import org.apache.shiro.aop.MethodInvocation;
import org.apache.shiro.authz.AuthorizationException;
import org.apache.shiro.authz.aop.AuthorizingAnnotationMethodInterceptor;

/**
 * 自定义注解的方法拦截器
 * @author BBF
 */
public class PermissionMethodInterceptor extends AuthorizingAnnotationMethodInterceptor {
  public PermissionMethodInterceptor() {
    super(new PermissionHandler());
  }

  public PermissionMethodInterceptor(AnnotationResolver resolver) {
    super(new PermissionHandler(), resolver);
  }

  @Override
  public void assertAuthorized(MethodInvocation mi) throws AuthorizationException {
    // 验证权限
    try {
      ((PermissionHandler) getHandler()).assertAuthorized(getAnnotation(mi));
    } catch (AuthorizationException ae) {
      // Annotation handler doesn't know why it was called, so add the information here if possible.
      // Don't wrap the exception here since we don't want to mask the specific exception, such as
      // UnauthenticatedException etc.
      if (ae.getCause() == null) {
        ae.initCause(new AuthorizationException("Not authorized to invoke method: " + mi.getMethod()));
      }
      throw ae;
    }
  }
}

四、切面拦截器

import org.apache.shiro.spring.aop.SpringAnnotationResolver;
import org.apache.shiro.spring.security.interceptor.AopAllianceAnnotationsAuthorizingMethodInterceptor;

/**
 * 自定义注解的AOP拦截器
 * @author BBF
 */
public class PermissionAopInterceptor extends AopAllianceAnnotationsAuthorizingMethodInterceptor {
  public PermissionAopInterceptor() {
    super();
    // 添加自定义的注解拦截器
    this.methodInterceptors.add(new PermissionMethodInterceptor(new SpringAnnotationResolver()));
  }
}

五、注解拦截器

import org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor;
import org.springframework.core.annotation.AnnotationUtils;

import java.lang.reflect.Method;

/**
 * 自定义的Shiro注解拦截器
 * @author BBF
 */

public class ShiroAdvisor extends AuthorizationAttributeSourceAdvisor {
  /**
   * Create a new AuthorizationAttributeSourceAdvisor.
   */
  public ShiroAdvisor() {
    // 这里可以添加多个
    setAdvice(new PermissionAopInterceptor());
  }

  @SuppressWarnings({"unchecked"})
  @Override
  public boolean matches(Method method, Class targetClass) {
    Method m = method;
    if (targetClass != null) {
      try {
        m = targetClass.getMethod(m.getName(), m.getParameterTypes());
        return this.isFrameAnnotation(m);
      } catch (NoSuchMethodException ignored) {
        //default return value is false.  If we can't find the method, then obviously
        //there is no annotation, so just use the default return value.
      }
    }
    return super.matches(method, targetClass);
  }

  private boolean isFrameAnnotation(Method method) {
    return null != AnnotationUtils.findAnnotation(method, Permissions.class);
  }
}

六、配置shiro

替换AuthorizationAttributeSourceAdvisorShiroAdvisor


  /**
   * 启用注解拦截方式
   * @return AuthorizationAttributeSourceAdvisor
   */
  @Bean
  public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor() {
    AuthorizationAttributeSourceAdvisor advisor = new ShiroAdvisor();
    advisor.setSecurityManager(securityManager());
    return advisor;
  }
weixin_33909059
关注
SpringBoot 、Shiro自定义注解权限控制源码下载
04-06
SpringBoot 、Shiro自定义注解权限控制
基于shiro自定义注解扩展
chengyang1086的博客
08-07 419
基于shiro自定义注解的扩展 根据我的上一篇文章,权限设计的杂谈中,涉及到了有关于前后端分离中,页面和api接口断开表与表层面的关联,另辟蹊径从其他角度找到方式进行关联。这里我们主要采取了shiro自定义注解的方案。本篇文章主要解决以下的问题。 如何通过逻辑进行页面与api接口的关联。...
springMVC springBoot shiro 自定义shiro授权注解自定义授权解析器
mxywxwk的博客
10-22 724
  shiro支持注解式的授权控制,共有5个: @RequiresAuthentication:当前 Subject 已经通过 login 进行了身份验证;即 Subject.isAuthenticated() 返回 true。 @RequiresUser:当前 Subject 已经身份验证或者通过记住我登录的。 @RequiresGuest:当前 Subject 没有身份验证或通过记住我登录过,即是游客身份。 @RequiresRoles:当前 Subject 需要的角色。 @RequiresPermi
使用自定义注解和AOP管理shiro权限
weixin_34242509的博客
12-18 180
一、场景 在使用shiro框架的时候,遇到了这样的需求:本系统有多个用户,每个用户分配不同角色,每个角色的权限也不一致。比如A用户拥有新闻列表的增删改查权限,而B用户只有查看新闻列表的权限,而没有删除、新增、修改的权限,此时有3种方案:1、不给B用户分配删除、新增、修改的菜单,这样用户就无法点击从而无法操作。2、给B用户分配菜单,后台中进行增删改查操作时都要进行权限验证。 3、给B用户...
模仿shiro接口鉴权,自定义注解+spring aop,实现用户访问接口权限校验
Apollo
11-27 1042
目录目的or背景码代码的工具人---is me1. 自定义一个校验权限的注解2. 码好咱们的切面3. 搞个api4. postman测试4.1 看书api4.2 添加书api 目的or背景 shiro有个注解是@RequiresPermissions,接口方法加上这个表示需要有指定权限才能访问,不然提示无权限访问等类似信息,这个吧,有点意思,没玩过,所以就来简单模仿下,自己自定义一个注解,具备指定权限才可调通。 码代码的工具人—is me 接下来就是demo实现 1. 自定义一个校验权限的注解 packa.
Spring Boot 自定义 Shiro 过滤器无法使用 @Autowired问题及解决方法
08-25
Spring Boot 自定义 Shiro 过滤器无法使用 @Autowired 问题及解决方法 在 Spring Boot 中集成 Shiro 并使用 JWT 进行接口认证时,可能会遇到自定义 Shiro 过滤器无法使用 @Autowired 问题。下面将详细介绍该问题及...
Spring配置shiro自定义Realm中属性无法使用注解注入的解决办法
08-26
总结一下,解决Spring配置Shiro自定义Realm中属性无法使用注解注入的问题,关键在于理解两个框架的生命周期,并调整配置文件确保Spring先于Shiro加载。这样做不仅解决了注解注入的问题,也使得整个应用的启动流程...
Shiro授权&&Shiro注解式开发
qq_63492318的博客
08-28 919
Shiro授权的代码实现、注解式开发实现Shiro授权...
自定义shiro中RedisSessionDAO的keyPrefix
浪丶荡
07-05 5860
shiro中原始的RedisSessionDAO如下,keyPrefix为shiro_redis_session:,某些情况下需要自定义这个值 // // Source code recreated from a .class file by IntelliJ IDEA // (powered by Fernflower decompiler) // package org.crazycake....
自学-shiro注解-16
女神的高冷范
01-16 1408
前几节我们学习了ShIro 的标签和编程式,那现在就来学习下注解的授权吧! 大致有这几个注解: @RequiresRoles(value={“admin”, “user”}, logical= Logical.AND):表示当前 Subject 需要角色 admin 和user @RequiresPermissions (value={“user:a”, “user:b”}, logical
shiro常用注解和过滤器,编写自定义注解实现 anon 所有人访问功能
最新发布
weixin_45947759的博客
11-20 660
已登录,未记住我,重开浏览器之后,就成了未登录@RequiresGuest:未登录可以访问;认证过或使用记住我功能拒绝访问@RequiresAuthentication: 认证过可以访问,其他时候拒绝访问@RequiresUser: 认证过或使用记住我功能可以访问同时具备2个权限才能访问拥有其中任意一个权限就可以访问@RequiresRoles 跟 @RequiresPermissions 使用差不多的。
mall改造:自定义注解shiro权限结合,解放生产力
程序员XW
08-05 254
好多人私信我,是不是北京疫情严重被隔离了,这里先谢谢大家的关系。是因为最近不是要考核了,都在做考核的事情,也在国家应急部对这次南方的洪涝灾害进行支援。 这次我们聊一聊litemall中的shiro自定义注解的组合 通过上面的介绍,我们可以得知,litemall本次采用的方式,是没有将前端与按钮的权限一起放到数据库中,而是将前端的页面和权限和按钮权限,通过注解的方式获取。 通过上面两张图我们可以看出,传统的权限表,是会有接口,按钮,页面不通类型的按钮的。但是我们在第二张图上,只看到了shiro格式的.
shiro+自定义注解解决权限问题(毕设校园交流平台权限更正)
zll_zll_zll_zll的博客
02-10 419
毕设(校园交流平台)权限修正 前段毕设时间把毕设部署到了线上,果然当时懒惰没认真做权限,部署完没多久就被大佬看破了然后 好吧然后我就趁今天有时间修复下。 先说下现状 当时为了懒省劲(大家别学我)只在user表上加了一个字段判断是否管理员身份,权限上只在部分接口上加了,现在想起来还真是漏洞百出。 其实就管理员和普通用户两种角色,但由于后端权限未做全导致现在存在的问题: 管理员权限泄露 普通用...
shiro教程2(自定义Realm)
波波烤鸭的博客
01-24 3380
通过shiro教程1我们发现仅仅将数据源信息定义在ini文件中与我们实际开发环境有很大不兼容,所以我们希望能够自定义Realm。 自定义Realm的实现 创建自定义Realmjava类 创建一个java文件继承AuthorizingRealm类,重写两个抽象方法 /** * 自定义的Realm * @author dengp * */ public class MyRealm ex...
四.shiro:使用注解进行权限控制
u014203449的博客
03-05 7998
以此文章搭建的项目:我写了一个shiro和springboot的练习项目,并有四篇文章记录后端框架的基本搭建过程。项目地址:点击打开链接 http://47.98.153.30:8080/      账号:melo 密码:12345678源码git地址:点击打开链接https://github.com/MeloFocus/focus之前我们在 shiro拦截器ShiroFilterFactoryB...
Spring Shiro基础组件 AnnotationHandler
我家有猫已长成的博客
02-04 1512
Spring Shiro基础组件 AnnotationHandler 简介。
springboot使用shiro框架实现在controller层加注解来权限控制
weixin_42759398的博客
04-09 1064
2. 配置Shiro的安全管理器和其他必要的组件,比如Realm、CacheManager等。// 从数据库或其他数据源中获取用户的角色和权限信息,并添加到AuthorizationInfo中。以上就是使用Shiro框架在Spring Boot中进行权限控制的基本操作,希望能够对你有所帮助。// 获取用户输入的账号密码。// 模拟数据库中的账号密码。return "用户列表";return "添加用户";return "删除用户";// 获取用户身份信息。// 实现用户认证逻辑。// 实现用户授权逻辑。
基于shiro自定义aop+注解实现自己想要的权限管理
zyx7653296的博客
10-17 855
前提:已经集成shiro的环境下,shiro自带的权限不足以满足需求,所以想到的这个办法。 目的:判断当前操作用户是否有权限处理这个操作,大概意思就是加入部门概念,判断该用户是否越部门去处理其他部门的数据了 第一步我们先自定义一个aop接口,放在cn.zyx.test.base.shiro.annotion包下。 /** * 权限注解 用于检查权限 规定访问权限 * 主要用于只能操作自...
Shiro权限注解原理
dipiao2231的博客
08-20 554
概述 前不久刚学会使用权限注解(),开始思索了一番。最开始猜测实现方式是注解@Aspect,具体实现方式类似如下所示(切面记录审计日志)。后来发现并非如此,所以特地分析一下源码。 @Component @Aspect public class AuditLogAspectConfig { @Pointcut("@annotation(com.ygsoft.ecp.mapp.bas...
SpringAOP+自定义注解模拟shiro框架实现
06-06
首先,我们需要定义一个自定义注解 `@RequiresPermissions`,用于标识需要授权访问的方法,例如: ```java @Retention(RetentionPolicy.RUNTIME) @Target(ElementType.METHOD) public @interface RequiresPermissions { String[] value(); // 权限值 } ``` 然后,我们需要实现一个切面,用于拦截被 `@RequiresPermissions` 标识的方法,并进行权限校验,例如: ```java @Component @Aspect public class PermissionCheckAspect { @Autowired private AuthService authService; @Around("@annotation(requiresPermissions)") public Object checkPermission(ProceedingJoinPoint joinPoint, RequiresPermissions requiresPermissions) throws Throwable { // 获取当前用户 User user = authService.getCurrentUser(); if (user == null) { throw new UnauthorizedException("用户未登录"); } // 获取当前用户的权限列表 List<String> permissions = authService.getUserPermissions(user); // 校验权限 for (String permission : requiresPermissions.value()) { if (!permissions.contains(permission)) { throw new ForbiddenException("没有访问权限:" + permission); } } // 执行目标方法 return joinPoint.proceed(); } } ``` 在切面中,我们首先通过 `AuthService` 获取当前用户及其权限列表,然后校验当前用户是否拥有被 `@RequiresPermissions` 标识的方法所需的所有权限,如果没有则抛出 `ForbiddenException` 异常,如果有则继续执行目标方法。 最后,我们需要在 Spring 配置文件中启用 AOP 自动代理,并扫描切面所在的包,例如: ```xml <aop:aspectj-autoproxy /> <context:component-scan base-package="com.example.aspect" /> ``` 这样,我们就通过 Spring AOP 和自定义注解模拟实现了类似 Shiro 权限校验的功能。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值