java 权限 缓存_Shiro Realm 权限的验证流程和缓存机制

最新推荐文章于 2022-10-20 16:58:56 发布
最新推荐文章于 2022-10-20 16:58:56 发布
阅读量292 收藏
点赞数
文章标签: java 权限 缓存
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_35813209/article/details/114864815
版权

我们可以定义多个Realm权限类,继承AuthenticatingRealm。

如果是这样,那Shiro验证的策略和顺序是怎样的呢?

策略

通过查看源码,Shiro的Spring Boot自动配置是至少一个通过策略,即有一个权限类通过就判定有权限并通过。

自动配置类:

org.apache.shiro.spring.config.web.autoconfigure.ShiroWebAutoConfiguration

@Bean

@ConditionalOnMissingBean

@Override

protected AuthenticationStrategy authenticationStrategy() {

return super.authenticationStrategy();

}

protected AuthenticationStrategy authenticationStrategy() {

return new AtLeastOneSuccessfulStrategy();

}

其他还有全部通过、首个通过,更多可以查看Shiro包下面的权限策略。

org.apache.shiro.authc.pam

顺序

Shiro是按在Spring Boot配置类中定义Realm Bean的顺序进行验证权限的。

验证流程

假设现在有R1,R2权限类,现在我们对一个方法或者路径配置了A角色,B、C权限,Shiro会在R1中找A角色,找到则继续验证其他权限,找不到根据策略决定,如果说不是全部都要通过的策略则会继续在R2中找A角色,找不到则跳到指定的未授权链接,B、C权限验证流程也是一致。

Shiro缓存

为了权限验证的效率性能,Shiro对认证和授权是有缓存开关控制的。

需要了解的权限类层次是,每个Realm都继承AuthorizingRealm,AuthorizingRealm继承自AuthenticatingRealm。AuthenticatingRealm是认证的逻辑,AuthorizingRealm是授权的逻辑。

通过查看AuthorizingRealm和AuthenticatingRealm源码,默认的认证缓存是关闭的,授权缓存是开启的。

authorizationCachingEnabled = true; // 授权

authenticationCachingEnabled = false; // 认证

这里默认开启了缓存还不行,还需要设置CacheManager,如下。

@Bean

public CacheManager cacheManager() {

return new MemoryConstrainedCacheManager();

}

具体的缓存逻辑可以翻阅以下源码。

org.apache.shiro.realm.AuthorizingRealm#getAuthorizationInfo

org.apache.shiro.realm.AuthenticatingRealm#getAuthenticationInfo

设置缓存开关

有的时候我们的权限不是固定的,需要动态的调整授权,所以希望某些Realm不需要缓存。

我们可以在当前Realm中手动关闭某它的的授权缓存。

this.setAuthorizationCachingEnabled(false);

同上,默认关闭的认证的缓存也可以通过设置进行打开。

根据具体的业务进行灵活调整。

推荐去我的博客阅读更多:

觉得不错,别忘了点赞+转发哦!

生活教会我们
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SpringMVC-Mybatis-Shiro-redis-master 权限集成缓存中实例
11-17
本项目详细介绍请看:http://www.sojson.com/shiro (强烈推荐) Demo已经部署到线上,地址是http://shiro.itboy.net, 管理员帐号:admin,密码:sojson.com 如果密码错误,请用sojson。 PS:你可以注册自己的帐号,然后用管理员赋权限给你自己的帐号,但是,每20分钟会把数据初始化一次。建议自己下载源码,让Demo跑起来,然后跑的更快,有问题加群解决。 声明: 本人提供这个Shiro + SpringMvc + Mybatis + Redis 的Demo 本着学习的态度,如果有欠缺和不足的地方,给予指正,并且多多包涵。 “去其糟粕取其精华”。如果觉得写的好的地方就给个赞,写的不好的地方,也请多多包涵。 使用过程: 1.创建数据库。 创建语句 :tables.sql 2.插入初始化数据 插入初始化数据:init.data.sql 3.运行。 管理员帐号:admin 密码:sojson ps:定时任务的sql会把密码改变为sojson.com 新版本说明:http://www.sojson.com/blog/164.html 和 http://www.sojson.com/blog/165.html 主要解决是之前说的问题:Shiro 教程,关于最近反应的相关异常问题,解决方法合集。 项目在本页面的附件中提取。 一、Cache配置修改。 配置文件(spring-cache.xml )中已经修改为如下配置: <!-- redis 配置,也可以把配置挪到properties配置文件中,再读取 --> <!-- 这种 arguments 构造的方式,之前配置有缺点。 这里之前的配置有问题,因为参数类型不一致,有时候jar和环境的问题,导致参数根据index对应,会处理问题, 理论上加另一个 name,就可以解决,现在把name 和type都加上,更保险。 --> 二、登录获取上一个URL地址报错。 当没有获取到退出前的request ,为null 的时候会报错。在(UserLoginController.java )135行处有所修改。 /** * shiro 获取登录之前的地址 * 之前0.1版本这个没判断空。 */ SavedRequest savedRequest = WebUtils.getSavedRequest(request); String url = null ; if(null != savedRequest){ url = savedRequest.getRequestUrl(); } /** * 我们平常用的获取上一个请求的方式,在Session不一致的情况下是获取不到的 * String url = (String) request.getAttribute(WebUtils.FORWARD_REQUEST_URI_ATTRIBUTE); */ 三、删除了配置文件中的cookie写入域的问题。 在配置文件里(spring-shiro.xml )中的配置有所修改。 <!-- 会话Cookie模板 --> <!--cookie的name,我故意取名叫xxxxbaidu --> <!--cookie的有效时间 --> <!-- 配置存储Session Cookie的domain为 一级域名 --> 上面配置是去掉了 Session 的存储Key 的作用域,之前设置的.itboy.net ,是写到当前域名的 一级域名 下,这样就可以做到N 个 二级域名 下,三级、四级....下 Session 都是共享的。 <!-- 用户信息记住我功能的相关配置 --> <!-- 配置存储rememberMe Cookie的domain为 一级域名 --> <!-- 30天时间,记住我30天 --> 记住我登录的信息配置。和上面配置是一样的道理,可以在相同 一级域名 下的所有域名都可以获取到登录的信息。 四、简单实现了单个帐号只能在一处登录。 我们在其他的系统中可以看到,单个帐号只允许一人使用,在A处登录了,B处再登录,那A处就被踢出了。如下图所示。 但是此功能不是很完美,当A处被踢出后,再重新登录,这时候B处反应有点慢,具体我还没看,因为是之前加的功能,现在凌晨了,下次我有空再瞧瞧,同学你也可以看看,解决了和我说一声,我把功能修复。 五、修复功能(BUG) 1.修复权限添加功能BUG。 之前功能有问题,每当添加一个权限的时候,默认都给角色为“管理员”的角色默认添加当前新添加的权限。这样达到管理员的权限永远是最大的。由于代码有BUG ,导致所有权限删除了。现已修复。 2.修复项目只能部署到Root目录下的问题。 问题描述:之前项目只能部署到Root 下才能正常运行,目前已经修复,可以带项目路径进行访问了,之前只能这样访问,http://localhost:8080 而不能http://localhost:8080/shiro.demo/ 访问,目前是可以了。 解决方案:在 FreeMarkerViewExtend.java 33行处 增加了BasePath ,通过BasePath 来控制请求目录,在 Freemarker 中可以自由使用,而 JSP 中是直接在 JSP 中获取BasePath 使用。 解决后遗症:因为我们的权限是通过URL 来控制的,那么增加了项目的目录,导致权限不能正确的判断,再加上我们的项目名称(目录)可以自定义,导致更不好判断。 后遗症解决方案:PermissionFilter.java 50行处 解决了这个问题,详情请看代码和注释,其实就是replace 了一下。 HttpServletRequest httpRequest = ((HttpServletRequest)request); /** * 此处是改版后,为了兼容项目不需要部署到root下,也可以正常运行,但是权限没设置目前必须到root 的URI, * 原因:如果你把这个项目叫 ShiroDemo,那么路径就是 /ShiroDemo/xxxx.shtml ,那另外一个人使用,又叫Shiro_Demo,那么就要这么控制/Shiro_Demo/xxxx.shtml * 理解了吗? * 所以这里替换了一下,使用根目录开始的URI */ String uri = httpRequest.getRequestURI();//获取URI String basePath = httpRequest.getContextPath();//获取basePath if(null != uri && uri.startsWith(basePath)){ uri = uri.replace(basePath, ""); } 3.项目启动的时候报错,关于JNDI的错误提示。 其实也不是错,但是看着不舒服,所以还得解决这个问题。解决这个问题需要在web.xml 中的开始部位加入以下代码。 spring.profiles.active dev spring.profiles.default dev spring.liveBeansView.mbeanDomain dev 4.项目Maven打包问题。 打包的时候,不同版本的 Eclipse 还有IDEA 会有打包打不进去Mapper.xml 文件,这个时候要加如下代码(群里同学提供的)。 src/main/java **/*.properties **/*.xml false 在 标签内加入即可,如果还是不能解决,那么请你加群(改名后)说明你的问题,有人会回答你。 5.Tomcat7以上在访问JSP页面的时候,提示JSTL错误。 这个错误是因为Tomcat7 中没有 JSTL 的jar包,现在已经在项目pom.xml 中增加了如下 jar 的引入管理。 javax.servlet jstl 1.2 javax.servlet jsp-api 2.0 provided 如果还是不能解决问题,请在官方群(群号:259217951)内搜索“jstl” 如图下载依赖包。
权限缓存设计
helpluozhao123的博客
01-30 279
【代码】权限缓存设计。
java权限控制相关、缓存禁用
代码解释生活
03-21 330
******URL级别的权限控制: 权限控制原理:做一个权限的Filter,在Filter中判断用户是否登录登录了就可以访问资源,没登录就不能访问资源; 先要判断是否需要权限控制, 然后判断角色是否可以访问当前路径, 然后再判断是否登录; url权限控制的优化:给每一个角色配置一个properties文件,判断的时候读取配置文件; 全局编码过滤:采用装饰模式, 装饰的步骤:装饰类与被装饰类实现同...
给用户权限数据添加缓存
Leon_Jinhai_Sun的博客
01-23 941
因为上面我在获取用户权限那里添加了个缓存,这时候问题来了,就是权限缓存的实时更新问题,比如当后台更新某个管理员的权限角色信息的时候如果权限缓存信息没有实时更新,就会出现操作无效的问题,那么我们现在点定义几个方法,用于清除某个用户或角色或者某个菜单的权限的方法: // 删除某个用户的权限信息 @Override public void clearUserAuthorityInfo(String username) { redisUtil.del("GrantedAuthority:" + usern
SpringBoot集成Shiro进行权限控制和管理的示例
08-27
SpringBoot是一个流行的Java框架,用于快速构建基于Web的应用程序,而Shiro是一个轻量级的身份验证与授权框架,提供了灵活的身份验证和授权机制。本文将介绍如何将Shiro集成到SpringBoot项目中,以实现权限控制和...
day60_Shiro.docx
04-13
Apache Shiro 是一个轻量级的Java安全框架,主要用于实现身份认证、授权、加密和会话管理等功能。作为Java框架的一员,Shiro以其简洁易用的API和灵活的架构受到开发者的欢迎。与Spring Security相比,Shiro更适合...
Apache_Shiro中文开发说明文档.docx
03-26
Apache Shiro 是一款轻量级的安全框架,专为Java开发者设计,用于实现应用程序的身份认证、授权和会话管理。这个中文开发文档详细介绍了如何在项目中集成和使用Shiro,帮助开发者构建安全的系统。 **1. 什么是Shiro...
安全认证框架-Apache_Shiro
07-10
总结来说,Apache Shiro 提供了一套灵活且强大的安全框架,它简化了会话管理、认证和授权流程,并且支持多种数据源和缓存策略。通过适当的配置,开发者可以轻松地集成 Shiro 到自己的应用程序中,以实现高效、可靠的...
shiro_spring_velocity整合
07-06
- 认证成功后,Shiro 会从 Realm 获取用户的角色和权限。 - 授权阶段,Shiro 检查用户是否有访问特定资源的权限。 - 根据权限,Velocity 模板显示或隐藏相应的内容。 整合 Shiro、Spring 和 Velocity 可以创建一...
第十一章 缓存机制(二) Realm 缓存
yifanSJ的博客
09-16 2273
Shiro 提供了CachingRealm,其实现了CacheManagerAware接口,提供了缓存的一些基础实现;另外AuthenticatingRealm及AuthorizingRealm分别提供了对AuthenticationInfo 和AuthorizationInfo信息的缓存。 ini配置 userRealm=com.github.zhangkaitao.shiro.ch
java缓存技术的介绍
孜孜以求的博客
04-28 1306
Cache是高速缓冲存储器 一种特殊的存储器子系统,其中复制了频繁使用的数据以利于快速访问。凡是位于速度相差较大的两种硬件/软件之间的,用于协调两者数据传输速度差异的结构,均可称之为 Cache
shiro 权限缓存笔记-自己看
HouYing
06-20 149
ShiroRealm 负责 @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { log.info("===============Shiro权限认证开始============ [ roles、permissions]=========="); String username = null; if (principals != null) .
shiro实现本地内存Ehcache实现将菜单权限进行缓存
健康平安的活着的专栏
06-01 432
一 为何要使用缓存 我们在认证通过进行授权,执行页面的hasRoles(xxx) ,isPermited(xxx) 这些语句时,会调用底层中自定义reaml中的doGetAutorizationInfo(xxxxxx)方法 我们使用ljf账户模拟登陆: index.jsp页面: 2.使用admin进行登录 index.jsp页面: 3.查看index.jsp页面 查看后端调用:和前端页面调用标签一一对应,ljf的角色为user,则调用7次,admin的角色为admin.
Shiro 会话管理&缓存管理
qq_62331938的博客
08-27 356
本篇文章分享了shiro的会话管理以及缓存管理。缓存管理,提高了权限管理的执行效率。
Spring Boot + shiro 去除Redis缓存
雨陆聪辰的博客
10-20 1608
Spring Boot + shiro 去除Redis缓存
java中的private访问控制
Kongjiangezi的博客
04-17 4493
1.private关键字 /* private关键字: 特点: 1)是一个权限修饰符; 2)可以修饰成员——成员变量和成员方法 3)作用是保护成员不被别的类使用,被private修饰的成员只能在本类中才能访问。 操作:若需要被其他类操作 1)有get变量名()方法,用于获取成员变量的值,方法用public修饰。 2)提供set变量名(...
org.apache.shiro.realm.AuthorizingRealm - No cache or cacheManager properties have been set. Authori...
weixin_30399155的博客
02-27 864
项目中用spring shiro来处理权限的问题,但是启动的时候会打印如下日志 org.apache.shiro.realm.AuthorizingRealm - No cache or cacheManager properties have been set. Authorization cache cannot be obtained. 检查了basicRelam配置如下 ...
java shiro做登陆权限控制
m0_67392409的博客
08-17 223
开发工具 eclipseMars.1 Release (4.5.1)3.spring-shiro.xml配置。
shiro权限验证代码
最新发布
06-02
Shiro 是一个强大的 Java 安全框架,提供了身份认证、授权、加密等功能。以下是一个简单的 Shiro 权限验证代码示例: 1. 配置 Shiro 安全管理器 ```java // 创建一个 DefaultSecurityManager 对象 DefaultSecurityManager securityManager = new DefaultSecurityManager(); // 设置 Realm securityManager.setRealm(myRealm); // 将 SecurityManager 设置为全局的安全管理器 SecurityUtils.setSecurityManager(securityManager); ``` 2. 创建一个自定义 Realm 类 ```java public class MyRealm extends AuthorizingRealm { // 授权方法 @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { // 获取当前用户 String username = (String) principals.getPrimaryPrincipal(); // 根据用户名查询该用户的角色和权限 Set<String> roles = userService.findRolesByUsername(username); Set<String> permissions = userService.findPermissionsByUsername(username); // 创建 SimpleAuthorizationInfo 对象,并设置角色和权限 SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo(); authorizationInfo.setRoles(roles); authorizationInfo.setStringPermissions(permissions); return authorizationInfo; } // 认证方法 @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException { // 获取用户名和密码 String username = (String) token.getPrincipal(); String password = new String((char[]) token.getCredentials()); // 查询用户是否存在 User user = userService.findByUsername(username); if (user == null) { throw new UnknownAccountException("用户不存在"); } // 验证密码 if (!passwordEncoder.matches(password, user.getPassword())) { throw new IncorrectCredentialsException("密码错误"); } // 创建 SimpleAuthenticationInfo 对象,并设置用户名和密码 SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(username, password, getName()); return authenticationInfo; } } ``` 3. 在 Controller 中进行权限验证 ```java @Controller public class UserController { @RequiresPermissions("user:list") @GetMapping("/user/list") public String list() { // 用户列表页面 return "user/list"; } @RequiresPermissions("user:add") @GetMapping("/user/add") public String add() { // 添加用户页面 return "user/add"; } @RequiresPermissions("user:edit") @GetMapping("/user/edit") public String edit() { // 编辑用户页面 return "user/edit"; } } ``` 在上述代码中,@RequiresPermissions 注解表示该方法需要进行权限验证。如果当前用户拥有对应的权限,则可以访问该方法;否则将抛出 UnauthorizedException 异常。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值