Shrio 入门系列 三 (授权与Spring整合)

最新推荐文章于 2020-12-25 14:00:20 发布
最新推荐文章于 2020-12-25 14:00:20 发布
阅读量706 收藏
点赞数
分类专栏: Shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_35890630/article/details/52760265
版权



1.Shrio 授权的流程


             SecurityManage (shiro环境)---->Subject.isPermission()(授权)----->SecurityManage.isPermission()(主体将

授权操作交给安全管理器)----->Authorizer(接口:正在授权调用数据源)------>Realm(数据源:查询权限)


2.Relam代码

    

/**
 * 自定义shiro Relam
 * @author LSQ
 * by QQ237442461 2016-10-7
 */
public class CustomRelam extends AuthorizingRealm{
	
	@Resource(name="userService")
	private UserService userService;
	
	@Resource(name="permissionService")
	private PermissionService permissionService;
	@Override
	public String getName() {
		return "customRealm";
	}

	// 支持什么类型的token,选择 UsernamePasswordToken
	@Override
	public boolean supports(AuthenticationToken token) {
		return token instanceof UsernamePasswordToken;
	}

	/**
	 * 认证
	 */
	@Override
	protected AuthenticationInfo doGetAuthenticationInfo(
			AuthenticationToken token) throws AuthenticationException {
			//从token中获取用户的身份信息
			String username = (String) token.getPrincipal();
			User user = null;
			try {
				user = this.userService.queryByUserName(username);
			} catch (Exception e) {
				e.printStackTrace();
			}
			if(user == null){
				return null;
			}
			return new SimpleAuthenticationInfo(user, user.getPassword().toCharArray(), getName());
	}

	/**
	 * 授权
	 */
	@Override
	protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
		//获取认证过后的用户信息
		User user = (User) principals.getPrimaryPrincipal();
		Long userId = user.getId();
		
		List<Permission> permissions = null;
		
		try {
			permissions = this.permissionService.queryPermissionListByUserId(userId);
		} catch (Exception e) {
			e.printStackTrace();
		}
		//构建shiro授权信息
		SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
		for (Permission permission : permissions) {
			simpleAuthorizationInfo.addStringPermission(permission.getPercode());
		}
		
		return simpleAuthorizationInfo;
	}
}

3.权限的使用

       

           
shiro的权限可用通过注解式和jsp标签式进行控制。


a: 注解式  

           

// 查询商品列表

@RequestMapping("/queryItem")

@RequiresPermissions("item:query")

public ModelAndView queryItem() throws Exception {

上边代码@RequiresPermissions("item:query")表示必须拥有item:query”权限方可执行。


注解式需要开启springmvc对shiro注解的支持。

<!-- 开启aop,对类代理 -->

<aop:config proxy-target-class="true"></aop:config>

<!-- 开启shiro注解支持 -->

<bean

class="

org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">

<property name="securityManager" ref="securityManager" />

</bean>


b: jsp标签式

Jsp页面添加:

<%@ tagliburi="http://shiro.apache.org/tags" prefix="shiro" %>

 

标签名称

标签条件(均是显示标签内容)

<shiro:authenticated>

登录之后

<shiro:notAuthenticated>

不在登录状态时

<shiro:guest>

用户在没有RememberMe时

<shiro:user>

用户在RememberMe时

<shiro:hasAnyRoles name="abc,123" >

在有abc或者123角色时

<shiro:hasRole name="abc">

拥有角色abc

<shiro:lacksRole name="abc">

没有角色abc

<shiro:hasPermission name="abc">

拥有权限资源abc

<shiro:lacksPermission name="abc">

没有abc权限资源

<shiro:principal>

显示用户身份名称

 <shiro:principal property="username"/>     显示用户身份中的属性值


如果有商品修改权限页面显示“修改”链接。

 

<shiro:hasPermission name="item:update">

<a href="${pageContext.request.contextPath }/item/editItem.action?id=${item.id}">修改</a>

</shiro:hasPermission>


值得注意:Shiro 在每次遇到shiro注解或者shiro的jsp标签的时候,每次都会访问自定义的Reaml,这样一来每次都查数据库,所以我们应该将它放在缓冲中,每次遇到注解或者shiro标签的时候只需要从缓冲中查找即可,缓冲是存储在内存,数据库持久化数据是写在硬盘上,显而易见,速度上会有不少的提升。当授权信息改变的时候,我们可以清空缓冲。了解更多shiro技术,请持续关注zlt尼玛银行。
你才是程序员呢
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring shiro整合入门
08-03
NULL 博文链接:https://dreamoftch.iteye.com/blog/2002270
学习shiro——权限认证和授权
weixin_34413802的博客
06-12 96
2019独角兽企业重金招聘Python工程师标准>>> ...
Shiro 实战教程(上)
weixin_43566977的博客
06-03 1723
注:该shiro教程来源于B站上的一个教程,由于源码是付费的,我就不分享了,下篇讲解springboot搭配shiro进行使用。 我的个人博客: 天涯志 我的公众号:菜鸟小谢 1.权限的管理 1.1 什么是权限管理 基本上涉及到用户参与的系统都要进行权限管理,权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。 权限管理包括用户身份认证和授权两部分,简称认证授权。对于需要访问控制的资源用户首先经过身份认证,认证通过后用户具有.
Go 学习笔记(44)— Go 标准库之 os(获取文件状态、获取/修改文件权限、创建、删除目录和文件、获取进程ID、设置获取环境变量)
wohu1104的专栏
06-03 4390
1. 概述 os 包提供了操作系统函数的不依赖平台的接口。失败的调用会返回错误值而非错误码。通常错误值里包含更多信息。例如,如果某个使用一个文件名的调用(如Open、Stat)失败了,打印错误时会包含该文件名,错误类型将为 *PathError ,其内部可以解包获得更多信息。 type PathError struct { Op string Path string Err error } PathError 记录一个错误,以及导致错误的路径。 func (e *PathEr
自定义Realm
chenjia的博客
09-25 753
自定义Realm 1、自定义reaml,继承 AuthorizingRealm 重写3方法:getName doGetAuthorizationInfo doGetAuthenticationInfo package com.bdqn; import org.apache.shiro.authc.AuthenticationException; import org.apache.s...
JS实现浏览器的title闪烁、滚动、声音提示、通知
weixin_34198583的博客
05-07 892
通知 JS 实现浏览器的 title 闪烁、滚动、声音提示、chrome、Firefox、Safari等系统通知。 Demo 先start 这是重复造轮子...,标题闪烁、或者滚动提示,favicon数字显示。打开chrome浏览器调试工具,按照下面截图的方式放到调试里面调用一下,你就可以看到效果了。 下载 npm $ npm...
SpringBoot+Mybatis+Thymeleaf整合Shiro入门
最新发布
06-05
在本文中,我们将深入探讨如何将SpringBoot、Mybatis和Thymeleaf大技术栈与Shiro安全框架整合,以实现一个完整的Web应用程序的权限控制和用户管理。首先,我们来了解一下这四个核心技术: 1. **SpringBoot**:...
Shiro与SSM整合(内含详细文档介绍)
11-06
6. **测试**:最后,通过编写测试用例来验证Shiro与SSM的整合是否成功,确保用户认证、授权等功能正常工作。 这个资料包中的"Shiro"文件可能包含了Shiro的核心类库和示例代码,"简单实用说明.txt"可能是关于整合...
SSM整合shiro入门
08-15
SSM整合Shiro是Java开发中常见的安全框架集成方式,主要涉及到SpringSpring MVC和MyBatis这大组件与Apache Shiro的结合使用。Shiro是一个强大且易用的Java安全框架,处理认证、授权、会话管理和并发控制等多个...
SpringBoot整合Shiro实现认证授权以及整合MongoDB,开箱即用。
09-01
适合对shiro以及Mongodb不太熟悉想入门的小伙伴。 通过这份源码你可以学到: 1.SpringBoot整合Shiro实现授权,认证等相关技术。 2.SpringBoot整合Mongodb,Oracle数据库。
Shiro源码分析 -- Subject.isPermitted(permission)已登陆用户判断是否具有某权限
热门推荐
TragedyXD的专栏
10-28 1万+
这行代码用来判断已登陆用户是否具有某权限 subject.isPermitted(permission.getPermission());假设登陆用户已有权限:system 我们需要判断的权限:    system:role:add 问题在于,此时shiro会判断用户具有system:role:add权限。 通过单步跟踪找到: WildcardPermission.impli
Android应用生死轮回的那些事儿(3) - 武器库(1)-权限管理相关API
lusing的专栏
08-11 2445
APIPackageManager中提供的武器,可以用“既多又杂,版本变化大”来形容。 不过,我们通过分类和排序的方法将它们组织起来,让开发者同学们可以学会使用这些强大的武器!这一节我们将学习: * 如何查询系统中都有哪些权限组 * 每个权限组都有些什么权限 * 如何查询是否被授予某一权限 * 如何查询都有哪些应用申请了某一项权限
Shiro学习(二)--自定义reaml
qq_40616823的博客
12-25 288
一、前言 上一篇中,我们直接去shiro.ini中去查找对应的账号和密码,直接将这些固定写死的数据加载到SecurityManager中。这种方式不灵活,正常的逻辑应该允许我们去数据库中查找某个用户是否存在。再获取用户信息,做密码校验。我们可以通过自定义的Realm方式,完成这种功能。 二、 自定义Realm的步骤 2.1. 写一个类MyRealm继承 AuthorizingReaml并重写以下个方法 getName() 用于获取自定义reaml的名字 doGetAuthorizationInfo(P
自定义Realm实战
实践求真知
11-05 1093
一新建pom &lt;dependencies&gt; &lt;dependency&gt; &lt;groupId&gt;org.apache.shiro&lt;/groupId&gt; &lt;artifactId&gt;shiro-core&lt;/artifactId&gt; &lt;version&gt;1.4.0&l
Shiro 学习笔记(3)—— 自定义 Realm
李威威的博客
09-17 3102
Shiro 学习笔记(3)—— 自定义 Realm前面两节我们已经介绍过 IniRealm 和 JdbcRealm,这一节我们介绍自定义的 Realm 实现我们自己的安全数据源。方式一:implements Realm (这种方式不太常用,只是为了说明知识)这种方式实现的 Realm 仅只能实现认证操作,并不能实现授权操作。代码:public class MapRealm implements Re
shiro自定义Realm
分享牛
05-22 9593
1.1 自定义Realm 上边的程序使用的是shiro自带的IniRealm,IniRealm从ini配置文件中读取用户的信息,大部分情况下需要从系统的数据库中读取用户信息,所以需要自定义realm。分享牛系列,分享牛专栏,分享牛。1.1.1 shiro提供的realm  最基础的是Realm接口,CachingRealm负责缓存处理,AuthenticationRealm负责认证,Authori
shiro授权,自定义realm实现授权,shiro与项目集成,在项目中实现认证及授权
wumengjie123的博客
11-15 6898
讲前必读 第一节:shiro授权 1. 重点:讲解授权流程并实现对用户授权。 2. 课程实际内容 a)    简介:回顾shiro架构及相关对象以及认证流程 b)    重点:shiro授权流程 c)     简介:授权方式 d)    重点:授权实现 e)    简介:测试 3. 重点:课堂总结 a)    授权实现 练习20分钟 第二节:自定义Realm实现授权 1.
Permission API 统一查询权限状态
weixin_34329187的博客
03-26 1572
Permission API 不是一个新的标准,早在 2015 年,就已经成为标准。这个 API 的主要作用就是提供一个统一的查询 API 权限的接口。
Permission 使用详解
程序员Android
04-18 6855
极力推荐文章:欢迎收藏Android 干货分享本篇文章主要介绍Android开发中的部分知识点,通过阅读本篇文章,您将收获以下内容:安全架构设计应用签名用户ID 和...
Shiro入门指南:身份验证、授权Spring集成详解
11. **Spring集成**:针对两种应用类型(JAVASE和WEB),讲解如何在Spring框架中整合Shiro,并使用权限注解。 通过这篇教程,读者可以全面理解并掌握Shiro框架在实际项目中的应用,无论是身份验证、授权还是与主流...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值