关于Shiro框架权限标识符中*使用的总结

最新推荐文章于 2021-08-03 09:53:50 发布
最新推荐文章于 2021-08-03 09:53:50 发布
阅读量361 收藏 2
点赞数
文章标签: python 测试
原文链接:https://my.oschina.net/u/1010578/blog/383739
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

#关于Shiro框架权限标识符中*使用的总结

Shiro框架中独创的权限标识符(Wildcard Perssions)可以很优雅的开发一些权限控制应用。基本规则官方文档说的很清楚了,这里记一下使用时碰到的一些问题。

###关于权限标识符中*的使用 Shiro权限标识符的的默认规则:

规则:“资源标识符:操作:对象实例ID” 即对哪个资源的哪个实例可以进行什么操作。其默认支持通配符权限字符串,“:”表示资源/操作/实例的分割;“,”表示操作的分割;“*”表示任意资源/操作/实例。

通常我们只用到“资源标识符:操作”级别赖控制权限,比如“user:create”表示当前用户表示需要有“user”资源的“create”操作权限。权限标识符是支持通配符的,就像星号*,这里的星号指的是任何权限,比如“user:*”,指的就是对“user”资源的任意操作。但是,这个*在代码中控制权限应该注意:操作标识符的指的是用户需要拥有该资源的***所有***权限,而不是***任意一个***权限。

举个Srping mvc中Controller的栗子,当前user资源有view,create,update,delete操作.对于代码中的某个方法,有如下的权限控制声明:


@RequiresPermissions(value = {"user:*"} )
@RequestMapping(value="/list-user")
public void listUser(){
	//listusers
}

本来写这段代码的意思是:只要拥有user资源任意权限的用户,都能获取用户列表。但是程序运行后,会有问题:不管是有”user:create“,"user:delete"还是"user:view"的用户,调用listuser都会提示权限不足,除非用户同时拥有create,delete,view权限。对于jsp页面中,使用Shiro自带的权限控制标签,也会有相同的情况。 ###总结 在代码中使用Shiro的权限标识符时,对于操作,星号*指的是拥有资源的***所有***操作权限。而***不是***拥有资源***任意***权限。

###引用资料 开涛的Shiro教程:http://jinnianshilongnian.iteye.com/blog/2020017

转载于:https://my.oschina.net/u/1010578/blog/383739

weixin_34007291
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
shiro权限框架详解05-shiro授权
在路上
02-07 6316
介绍shiro授权的流程、自定义realm实现授权
shiro之授权(二) Permission(*)
weixin_42408447的博客
11-17 506
字符串通配符权限 规则:“资源标识符:操作:对象实例ID” 即对哪个资源的哪个实例可以进行什么操作。 其默认支持通配符权限字符串,“:”表示资源/操作/实例的分割;“,”表示操作的分割;“*”表示任意资源/操作/实例。 1. 单个资源单个权限 subject().checkPermissions("system:user:update"); 用户拥有资源"system:user"的"update"权限 2. 单个资源多个权限 ini配置文件 [users] zhang=123,role1,role2,ro
Shiro
小牧的博客
08-03 626
Shiro Apache旗下的一款安全权限框架 shiro可以完成:认证,加密,授权,会话管理,以及web集成, 什么是shiro Shiro是apache旗下一个开源框架,它将软件系统的安全认证相关的功能抽取出来,实现用户身份认证,权限授权、加密、会话管理等功能,组成了一个通用的安全认证框架。 Apache Shiro 特性 Apache Shiro是一个全面的、蕴含丰富功能的安全框架 什么是权限管理 基本上涉及到用户参与的系统都要进行权限管理,权限管理属于系统安全的范畴,权限管理实现`对用户访问系统的
权限
12-30 1141
权限
shiro 授权
快乐的小三菊的博客
05-14 1822
shiro 授权源码探究
shiro权限框架资料.zip
06-21
shiro 权限框架学习资料, 从最基本的maven 工程到springboot 的整合, 再到一个通用的RBAC 权限框架模板的设计与创作, 包括视频, 源码, 资料, 稳定, 笔记, 软件, 依赖等等
Apache Shiro权限框架实战+项目案例视频课程
06-09
Apache Shiro是一个强大的Java安全框架,它为应用程序提供了身份验证(Authentication)、授权(Authorization)以及会话管理(Session Management)等功能。本课程旨在通过实战演练和项目案例,帮助学习者深入理解...
springboot整合Shiro框架,实现用户权限管理
最新发布
06-24
代表当前系统的使用者,就是用户,在Shiro的认证,认证主体通常就是userName和passWord,或者其他用户相关的唯一标识。 SecurityManager:安全管理器 Shiro架构最核心的组件,通过它可以协调其他组件完成用户...
由浅入深掌握Shiro权限框架视频教程
08-12
​ 2、shiro权限框架的核心组件 ​ 3、springboot下shiro使用 ​ 4、shiro认证鉴权的缓存机制 ​ 5、分布式下使用shrio处理统一会话 ​ 6、密码重试次数,并发登录控制 ​ 7、前后端分离的鉴权方式 ​ 8、...
springboot2.x整合shiro权限框架使用
09-08
6. **使用Shiro注解**:在Controller方法上使用@RequiresRoles、@RequiresPermissions等注解,实现基于角色和权限的访问控制。 7. **集成Spring Boot的Session管理**:如果需要,可以配置Shiro使用Spring Boot的...
shiro入门
trasewell的博客
09-25 855
目录: 1.pom.xml 2.applicationContext.xml 3.applicationContext-mybatis.xml 4.SpringBaseTest 5.优化分页 1.pom.xml <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4...
shiro多realm配置(可区分不同类型用户)
Sunny的专栏
06-05 5975
由于项目需要用到shiro,但是用户来自不同的三张表,需要根据token判断不同类型的用户,但是shiro得token不支持带类型的参数,所以需要重写token及认证器 1.自定义token /** * 自定义带用户类型token * @author Sunny */ public class UsernamePasswordByUserTypeToken extends User
shiro实现不同身份使用不同Realm进行验证
Alan_Xiang的博客
02-01 3万+
假设现在有这样一种需求:存在两张表user和admin,分别记录普通用户和管理员的信息。并且现在要实现普通用户和管理员的分开登录,即需要两个Realm——UserRealm和AdminRealm,分别处理普通用户和管理员的验证功能。   但是正常情况下,当定义了两个Realm,无论是普通用户登录,还是管理员登录,都会由这两个Realm共同处理。这是因为,当配置了多个Realm时,我们通常使用的认证
Shiro入门9:Shiro授权流程和三种授权方式和权限标识符规则
机智猫
03-30 1万+
|---Shiro授权流程         |---构造SecurityManager环境         |---Subject.isPermited()授权         |---SecurityManager.isPermited()执行授权         |---Authorizer执行授权         |---Realm根据身份获取资源权限信息
Shiro权限
Brooks Lv
11-06 4384
什么是授权 授权就是在认证的基础上给用户进行角色和权限的授予。权限定义了一个用户是否可以执行某个操作。角色是一组权限的集合,我们通常把一组权限绑定到一种角色上,再吧一个或者多个角色赋给一个用户,这样就是实现了权限的控制。 Shiro授权核心概念 权限 : 即操作资源的权利,比如访问某个页面,以及对某个模块的数据的添加,修改,删除,查看的权利 角色 : 是权限的集合,一种角色可以包含多种权限 用户 ...
Shiro | 实现权限验证完整版
冯文议技术博客
10-22 7921
写在前面的话 提及权限,就会想到安全,是一个十分棘手的话题。这里只是作为学校Shiro的一个记录,而不是,权限就应该这样设计之类的。 Shiro框架 1、Shiro是基于Apache开源的强大灵活的开源安全框架。 2、Shiro提供了 认证,授权,企业会话管理、安全加密、缓存管理。 3、Shiro与Security对比 4、Shiro整体架构 5、特性 6、认证流程 认证 当我们理解Shi...
使用Shiro实现权限验证
热门推荐
YanMonarch博客
01-17 10万+
使用Shiro实现权限验证》 1. Shiro入门 ApacheShiro是一个功能强大且易于使用的Java安全框架,提供了认证,授权,加密,和会话管理。 Shiro有三大核心组件: Subject:即当前用户,在权限管理的应用程序里往往需要知道谁能够操作什么,谁拥有操作该程序的权利,shiro则需要通过Subject来提供基础的当前用户信息,Subject 不仅仅代表某个用户,与当前
shiro权限管理的框架-入门
weixin_30396699的博客
01-04 73
shiro权限管理的框架 1.权限管理的概念 基本上涉及到用户参与的系统都要进行权限管理,权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。权限管理包括用户身份认证和授权两部分,简称**认证授权**。对于需要访问控制的资源用户首先经过身份认证,认证通过后用户具有该资源的访问权限方可访问。 2.认证 1.认证的概念 ...
Shiro完整教程, 附带各种配置
wanliangsoft的博客
01-18 4万+
1.1 简介:可以略过 Apache Shiro 是 Java  的一个安全(权限框架Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在 JavaSE 环境,也可以用在 JavaEE 环境。 Shiro 可以完成:认证、授权、加密、会话管理、与Web 集成、缓存 等。  下载:http://shiro.apache.org/ 对比Spring Security,可能...
Shiro权限管理框架:认证与授权详解
Apache Shiro提供了一个灵活且易于使用权限管理框架,能够有效地应用于各种需要用户认证和授权的Java应用。通过理解和利用Shiro的核心概念和机制,开发者可以快速构建出安全的系统环境,保护用户数据和系统资源...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值