shiro授权基础知识

最新推荐文章于 2024-10-06 20:16:20 发布
最新推荐文章于 2024-10-06 20:16:20 发布
阅读量63 收藏
点赞数
文章标签: java python
原文链接:https://my.oschina.net/u/2427561/blog/1518318
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

一、三种授权方式

1、编程式:通过写if/else授权代码块完成:

Subject subject = SecurityUtils.getSubject();
if(subject.hasRole(“admin”))
{
    //有权限
}
else
{
    //无权限
}

2、注解式:通过在执行的Java方法上放置相应的注解完成:

@RequiresRoles("admin")
public void hello()
{
    //有权限
}

3、JSP/GSP标签:在JSP/GSP页面通过相应的标签完成:

< shiro: hasRole name = "admin" >
      < !— 有权限 — >
< / shiro: hasRole >

二授权

** 1基于角色的访问控制(隐式角色)**

Shiro提供了hasRole/hasRole用于判断用户是否拥有某个角色/某些权限,checkRole/checkRoles和hasRole/hasAllRoles不同的地方是它在判断为假的情况下会抛出UnauthorizedException异常。具体用法如下:

//判断拥有角色:role1
Assert.assertTrue(subject().hasRole("role1"));
//判断拥有角色:role1 and role2
Assert.assertTrue(subject().hasAllRoles(Arrays.asList("role1", "role2")));
//判断拥有角色:role1 and role2 and !role3
boolean[] result = subject().hasRoles(Arrays.asList("role1", "role2", "role3"));
Assert.assertEquals(true, result[0]);
Assert.assertEquals(true, result[1]);
Assert.assertEquals(false, result[2]);

//断言拥有角色:role1
subject().checkRole("role1");
//断言拥有角色:role1 and role3 失败抛出异常
subject().checkRoles("role1", "role3");

总结:隐式角色缺点就是如果很多地方进行了角色判断,但是有一天不需要了那么就需要修改相应代码把所有相关的地方进行删除;这就是粗粒度造成的问题

3基于权限的访问控制(显示角色)

Shiro提供了isPermitted和isPermittedAll用于判断用户是否拥有某个权限或所有权限,checkPermission/checkPermissions和isPermitted和isPermittedAll不同的地方是它在判断为假的情况下会抛出UnauthorizedException异常。具体用法如下:

//判断拥有权限:user:create
Assert.assertTrue(subject().isPermitted("user:create"));
//判断拥有权限:user:update and user:delete
Assert.assertTrue(subject().isPermittedAll("user:update", "user:delete"));
//判断没有权限:user:view
Assert.assertFalse(subject().isPermitted("user:view"));

//断言拥有权限:user:create
subject().checkPermission("user:create");
//断言拥有权限:user:delete and user:update
subject().checkPermissions("user:delete", "user:update");
//断言拥有权限:user:view 失败抛出异常
subject().checkPermissions("user:view");

总结:这种方式的一般规则是“资源标识符:操作”,即是资源级别的粒度;这种方式的好处就是如果要修改基本都是一个资源级别的修改,不会对其他模块代码产生影响。

** 三Permission**

规则:“资源标识符:操作:对象实例ID” 即对哪个资源的哪个实例可以进行什么操作。

**1、单个资源单个权限 **

subject().checkPermissions("system:user:update");

2、单个资源多个权限

ini配置文件:

role41=system:user:update,system:user:delete

java代码:

subject().checkPermissions("system:user:update", "system:user:delete");

以上可以简写成如下所示:

ini配置文件:

role42="system:user:update,delete"

java代码:

subject().checkPermissions("system:user:update,delete");

通过“system:user:update,delete”验证"system:user:update, system:user:delete"是没问题的,但是反过来是规则不成立。

** 3、单个资源全部权限**

ini配置:

role51="system:user:create,update,delete,view"

Java代码:

subject().checkPermissions("system:user:create,delete,update:view");

以上可以简写成(推荐):

ini配置:

role52=system:user:*

Java代码:

subject().checkPermissions("system:user:*");

以上也可以简写成:

ini配置:

role53=system:user

Java代码 :

subject().checkPermissions("system:user")

通过“system:user:*”验证“system:user:create,delete,update:view”可以,但是反过来是不成立的

4、所有资源全部权限

ini配置:

role61=*:view

Java代码 :

subject().checkPermissions("user:view");

system:user:view对应role5=::view

5、实例级别的权限

单个实例单个权限

ini配置:

role71=user:view:1

Java代码 :

subject().checkPermissions("user:view:1");

单个实例多个权限

ini配置:

role72="user:update,delete:1"

Java代码 :

subject().checkPermissions("user:delete,update:1");  


subject().checkPermissions("user:update:1", "user:delete:1");

所有实例单个权限

ini配置:

role74=user:auth:*

Java代码 :

subject().checkPermissions("user:auth:1", "user:auth:2");

所有实例所有权限

ini配置:

role75=user:*:*

Java代码 :

subject().checkPermissions("user:view:1", "user:auth:2");

Shiro对权限字符串缺失部分的处理

可以匹配所有,不加可以进行前缀匹配;但是如“:view”不能匹配“system:user:view”,需要使用“::view”,即后缀匹配必须指定前缀(多个冒号就需要多个来匹配)。

转载于:https://my.oschina.net/u/2427561/blog/1518318

weixin_34357928
关注
shiro基础文档
01-26
### Shiro基础文档知识点梳理 #### 一、权限管理概览 权限管理是现代软件系统中不可或缺的一部分,它主要用于控制用户能够访问哪些资源,并确保只有经过适当授权的用户才能访问相应的资源。权限管理通常分为两个...
Shiro权限基础框架
04-22
在本文中,我们将深入探讨Shiro基础知识,以及如何将其应用于权限管理。 一、Shiro简介 Apache Shiro是Apache软件基金会的一个开源项目,它的目标是简化应用程序的安全实现,提供简单易用的API,让开发者可以...
Shiro---角色和权限的校验方法
Apple_Andy的博客
09-11 909
一.角色校验 1.hasRole(String role) hasRole是判断是否具有某个角色:有就返回true,没有就返回false 2.hasRoles(List roles) 判断是否具有多个角色:返回值是一个boolean的数组,数组中的每一个元素代表了是否具有的角色 3.hasAllRoles(Collection roles) 判断是否具有多个角色:如果提供列表中没有用户所具有的角色,则返回false,如果都存在,返回true 4. subject.checkXxx() 也是判断用户是否具有角
第三章 授权(一)访问控制
yifanSJ的博客
08-16 2127
一、简介 授权,也叫访问控制,即在应用中控制谁能访问哪些资源(如访问页面/编辑数据/页面操作),其中包括如下对象: 1. 主体 即访问应用的用户,在Shiro中使用Subject代表该用户。用户只有在授权权后才允许访问相应的资源。 2. 资源 在应用中用户可以访问的任何东西,比如访问JSP 页面、查看/编辑某些数据、访问某个业务方法、打印文本等等都是资源。用户只要授权后才能访问。
shiro基础知识学习
cccy的博客
07-08 85
授权,即访问控制,控制哪些用户能访问哪些资源。主体进行身份认证后需要分配权限方可访问系统的资源,对于某些没有权限的资源是无法访问的。如果自己完成认证和授权相对来说比较麻烦。可以使用第三方框架帮你完成认证和权限的绑定。使用比较多的第三方框架---shiro和springsecurity安全框架。shiro使用比较简单。而且它可以单独使用也可以和spring框架整合。
Shiro相关基础知识
qq_44029310的博客
07-28 1245
本文包含shiro的一些基础知识和相关漏洞
Shiro基础知识
Rk的博客
10-29 1112
一、Shiro简介 1、什么是Shiro 1、Apache Shiro 是一个Java 的安全(权限)框架。 2、Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以用在JavaEE环境。 3、Shiro可以完成,认证,授权,加密,会话管理,Web集成,缓存等。 2、Shiro架构 Shiro三大对象:Sub............
Shiro基础知识——授权
有天你会让我妒忌的.
06-14 306
授权授权,也叫访问控制,即在应用中控制谁能访问哪些资源(如访问页面/编辑数据/页面操作等)。在授权中需了解的几个关键对象:主体(Subject)、资源(Resource)、权限(Permission)、角色(Role)。主体主体,即访问应用的用户,在 Shiro 中使用 Subject 代表该用户。用户只有授权后才允许访问相应的资源。资源在应用中用户可以访问的任何东西,比如访问 JSP 页面、查看...
shiro基础知识记录
loserChen的博客
03-07 195
Shiro ShiroFilter的工作原理 DelegatingFilterProxy 作用是自动到 Spring 容器查找字为 shiroFilter(filter-name)的 bean 并把所有 Filter 的操作委托给它。所以web.xml和spring 容器中的filter-name应该一样。 URL匹配模式 Ant 路径通配符支持 ?、*、**,注意通配符匹...
Javaweb安全框架之Shiro基础知识
qq_43060759的博客
05-19 741
综述:之前做过一些小项目,都是手动进行安全和权限验证,相当的麻烦,而且权限验证又是实际开发时必不可少的步骤,因此我们可以借助一些框架来实现,今天开始学习Shiro权限框架 一、Shiro简介 Apache ShiroJava 的一个安全框架,Shiro 可以帮助我们完成:认证、授权、加密、会话管理、与 Web 集成、缓存等。这不就是我们想要的嘛,而且 Shiro 的 API 也是非常简单;其...
shiro基础知识储备--授权流程
wlijun_0808的博客
08-05 174
授权基础知识 1,概念 授权就是访问控制,控制谁能访问哪些资源。主体进行身份认证后需要分配权限方可访问系统的资源,对于某些资源没有权限是无法访问的。 2,关键对象 Who 对what 进行How操作“: Who:就是主体subject What:就是资源,系统菜单,页面,按钮,类方法等,资源包括资源类型和资源实例,比如商品信息就是资源类型,类型为t01的商品为资源实例,编号为001的商品信息也属于资源实例。 How:权限,许可,规定了主体对资源的操作许可,权限离开资源没有意义,比如用户查询权限,用户添加权
shiro框架的基础学习
02-02
下面将对 Shiro 框架的基础知识进行详细的阐述。 1. **身份认证**:Shiro 提供了一套完整的认证流程,包括用户登录、密码加密和校验。开发者可以自定义 Realm(域)来对接后端数据源,如数据库或 LDAP 服务器,获取...
Apache shiro 1.13.0源码
01-17
总之,Apache Shiro 1.13.0 源码提供了深入了解 Java 安全框架的机会,无论是对于学习安全基础知识,还是解决实际项目中的安全问题,都是非常宝贵的资源。通过深入阅读和实践,开发者可以提升自身的安全编程能力,为...
C++学习笔记----8、掌握类与对象(四)---- 不同类型的数据成员(1)
weixin_71738303的博客
10-05 921
c++对于数据成员给了你许多选项。除了在类中声明简单的数据成员,可以生成静态数据成员供所有类的对象共享,const成员,引用成员,reference-to-const成员,等等。本节我们解释一下这些不同类型的数据成员的细节。
JDK1.0主要特性
最新发布
FoolRabbit的专栏
10-06 356
JDK1.0主要特性。
字符函数和字符串函数和内存函数
Java_fenxiang的博客
10-05 701
strtok函数原型与功能概述在 C 语言中,strtok函数的原型为char *strtok(char *str, const char *delim)。它的主要功能是将字符串str按照delim中指定的分隔符进行分割,返回被分割出来的子字符串。工作原理首次调用:当第一次调用strtok时,需要将待分割的字符串str作为...
Spring依赖注入和注解驱动详解和案例示范
J老熊
10-01 1016
在 Spring 框架中,依赖注入(Dependency Injection, DI)和注解驱动(Annotation-Driven)是其核心机制,它们为 Spring 应用提供了灵活性和可扩展性。依赖注入简化了对象间的依赖管理,而注解驱动则通过简洁的注解配置取代了繁琐的 XML 配置。本文将详细分析这两个机制,并通过示例加深理解。
Shiro权限管理详解:从基础到实战应用
Shiro基础文档涵盖了权限管理在IT项目中的核心概念和技术实践。...学习并掌握Shiro基础文档对于实施有效的权限管理和保护企业应用程序的安全至关重要,它涉及了从权限管理原理到具体技术实现的全面知识体系。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值