shiro系列-----------注解授权

最新推荐文章于 2024-01-20 19:24:38 发布
最新推荐文章于 2024-01-20 19:24:38 发布
阅读量275 收藏
点赞数
分类专栏: shiro框架 文章标签: Authorizing
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_38040972/article/details/84070601
版权

使用注解进行权限控制

1.原理:通过拦截器拦截特定的注解,然后解析注解里的值,然后判断subject.has*()转交给SecurityManager处理,层层流转最后会去比对域值或者缓存值。
2.拦截器源代码之一

public class PermissionAnnotationHandler extends AuthorizingAnnotationHandler {
    public PermissionAnnotationHandler() {
        super(RequiresPermissions.class);
    }

    protected String[] getAnnotationValue(Annotation a) {
        RequiresPermissions rpAnnotation = (RequiresPermissions)a;
        return rpAnnotation.value();
    }

    public void assertAuthorized(Annotation a) throws AuthorizationException {
        if (a instanceof RequiresPermissions) {
            RequiresPermissions rpAnnotation = (RequiresPermissions)a;
            //获取注解中的字符串数组值
            String[] perms = this.getAnnotationValue(a);
            //获取用户
            Subject subject = this.getSubject();
            if (perms.length == 1)  {
               //校验权限信息,转给SecurityManager处理。层层流转最后会去比对域值或者缓存值。
                subject.checkPermission(perms[0]);
            } else if (Logical.AND.equals(rpAnnotation.logical())) {
                this.getSubject().checkPermissions(perms);
            } else {
                if (Logical.OR.equals(rpAnnotation.logical())) {
                    boolean hasAtLeastOnePermission = false;
                    String[] var6 = perms;
                    int var7 = perms.length;

                    for(int var8 = 0; var8 < var7; ++var8) {
                        String permission = var6[var8];
                        if (this.getSubject().isPermitted(permission)) {
                            hasAtLeastOnePermission = true;
                        }
                    }

                    if (!hasAtLeastOnePermission) {
                        this.getSubject().checkPermission(perms[0]);
                    }
                }

            }
        }
    }
}

2.最主要的的代码是在AuthenticatingRealm中

 protected AuthorizationInfo getAuthorizationInfo(PrincipalCollection principals) {
        if (principals == null) {
            return null;
        } else {
            AuthorizationInfo info = null;
            if (log.isTraceEnabled()) {
                log.trace("Retrieving AuthorizationInfo for principals [" + principals + "]");
            }
           //
            Cache<Object, AuthorizationInfo> cache = 
            //这个地方使用了缓存,下面两段代码告诉我们应该如何整合缓存
            this.getAvailableAuthorizationCache();
            Object key;
            if (cache != null) {
                if (log.isTraceEnabled()) {
                    log.trace("Attempting to retrieve the AuthorizationInfo from cache.");
                }

                key = this.getAuthorizationCacheKey(principals);
                info = (AuthorizationInfo)cache.get(key);
                if (log.isTraceEnabled()) {
                    if (info == null) {
                        log.trace("No AuthorizationInfo found in cache for principals [" + principals + "]");
                    } else {
                        log.trace("AuthorizationInfo found in cache for principals [" + principals + "]");
                    }
                }
            }

            if (info == null) {
            //如果缓存中没数据就去自定义域中查找
                info = this.doGetAuthorizationInfo(principals);
                if (info != null && cache != null) {
                    if (log.isTraceEnabled()) {
                        log.trace("Caching authorization info for principals: [" + principals + "].");
                    }
                    //查找到的权限信息然后放到缓存中
                    key = this.getAuthorizationCacheKey(principals);
                    cache.put(key, info);
                }
            }

            return info;
        }
    }
    ----------------------------使用缓存的调用关系1------------------------------------------
    private Cache<Object, AuthorizationInfo> getAvailableAuthorizationCache() {
        Cache<Object, AuthorizationInfo> cache = this.getAuthorizationCache();
        if (cache == null && this.isAuthorizationCachingEnabled()) {
            cache = this.getAuthorizationCacheLazy();
        }

        return cache;
    }
    -----------------------------使用缓存的调用关系2-----------------------------------------

    private Cache<Object, AuthorizationInfo> getAuthorizationCacheLazy() {
        if (this.authorizationCache == null) {
            if (log.isDebugEnabled()) {
                log.debug("No authorizationCache instance set.  Checking for a cacheManager...");
            }
            //这里使用了CacheManager(是个接口) ,所以我们要自定义这个接口的实现类(作用就是得到Cache),然而Cache也是个接口,我们要自定义使用哪种Cache的实现类,(即自定义使用缓存的种类)
            CacheManager cacheManager = this.getCacheManager();
            if (cacheManager != null) {
                String cacheName = this.getAuthorizationCacheName();
                if (log.isDebugEnabled()) {
                    log.debug("CacheManager [" + cacheManager + "] has been configured.  Building authorization cache named [" + cacheName + "]");
                }

                this.authorizationCache = cacheManager.getCache(cacheName);
            } else if (log.isDebugEnabled()) {
                log.debug("No cache or cacheManager properties have been set.  Authorization cache cannot be obtained.");
            }
        }

        return this.authorizationCache;
    }
码上有缘
关注
专栏目录
Shiro授权&注解
qq_66924116的博客
08-26 697
(value = {"user:delete","user:b"},logical = Logical.OR):表示当前Subject需要权限user:delete或者user:b。value = {"admin","user"},logical = Logical.AND):表示当前Subject需要角色admin和user。@RequiresGuest:表示当前Subject没有身份验证或者通过记住我登录过,即是游客身份。:表示当前Subject已经身份验证或者通过记住我登录的。.........
Shiro-授权
Cat_Jay_Fish的博客
12-25 162
一、shiro授权 有的没有权限 1、 在ShiroUserMapper.xml中新增内容 <select id="getRolesByUserId" resultType="java.lang.String" parameterType="java.lang.Integer"> select r.roleid from t_shiro_user u,t_shiro_user_role ur,t_shiro_role r where u.user...
shiro授权注解
f_1314520的博客
01-04 428
1.添加角色和权限的授权方法 //根据username查询该用户的所有角色,用于角色验证 Set findRoles(String username); //根据username查询他所拥有的权限信息,用于权限判断 Set findPermissions(String username); 2.自定义Realm配置Shiro授权认证 获取验证身份(用户名) 根据身份(用户名)获取角色和权限信息 ...
shiro注解以及授权操作
qq_41277773的博客
01-04 776
Shiro注解   @RequiresAuthenthentication   表示当前Subject已经通过login进行身份验证;即 Subject.isAuthenticated()返回 true   @RequiresUser                         表示当前Subject已经身份验证或者通过记住我登录的   @RequiresGuest            ...
基于springboot注解shiro 授权及角色认证
一个菜鸡的博客
05-29 2132
验证用户是否被记忆: 登录认证成功subject.isAuthenticated()为true 登录后被记忆subject.isRemembered()为true。通过给接口服务方法添加注解可以实现权限校验,可以加在控制器方法上,也可以加 在业务方法上,一般加在控制器方法上。验证subject是否有相应角色,有角色访问方法,没有则会抛出异常 AuthorizationException。验证subject是否有相应权限,有权限访问方法,没有则会抛出异常 AuthorizationException。
Spring Shiro基础组件 AnnotationHandler
我家有猫已长成的博客
02-04 1512
Spring Shiro基础组件 AnnotationHandler 简介。
shiro的权限认证
lqzxpp的博客
01-23 354
用了shiro很长时间了,经常在controller的某个方法前加上注解: @RequiresPermissions("xx:xx"),就可以试用shiro的权限认证。 现在想研究下spring是如何调用这个过程的. 1、 public class AopAllianceAnnotationsAuthorizingMethodInterceptor extends Anno...
springboot-shiro认证系统框架--成型框架
09-17
- Shiro是一个强大且易用的Java安全框架,处理认证、授权、会话管理和加密等安全相关任务。 - 认证:验证用户身份,即"你是谁"。 - 授权:确定用户可以访问哪些资源,即"你能做什么"。 - 会话管理:支持跨请求的...
SpringBoot与Shiro整合-权限管理的简单权限系统.zip
02-04
4. **安全注解**:在控制器方法上使用Shiro注解,如@RequiresAuthentication、@RequiresRoles、@RequiresPermissions,来限制访问条件。 5. **会话管理**:Shiro可以处理会话管理,包括会话超时、跨域会话同步等...
springboot-shiro
10-11
- **注解授权**:通过`@RequiresRoles`、`@RequiresPermissions`等注解进行方法级别的权限控制。 9. **Shiro的不足与优化** - Shiro不支持Spring Security的注解,如果需要使用Spring Security的注解,可能需要...
easyweb-security200504.zip
07-24
1. **Spring**:Spring 是一个开源的应用框架,提供全面的企业级应用开发解决方案,包括AOP(面向切面编程)、DI(依赖注入)以及一系列的模块,如Spring MVC用于构建Web应用,Spring Boot简化了Spring应用的初始化...
Shiro教程-孙开涛
01-23
- **Shiro权限注解**:Shiro支持在代码中使用注解来实现权限控制。 #### 十三、RememberMe - **RememberMe配置**:通过配置RememberMe,可以让用户在关闭浏览器后仍然保持登录状态。 #### 十四、SSL - Shiro支持...
Shiro之@RequiresPermissions注解原理详解
热门推荐
敲代码的小小酥的博客
02-28 4万+
前言 shiro为我们提供了几个权限注解,如下图: 这几个注解原理都类似,这里我们讲解@RequiresPermissions的原理。 铺垫 第一 首先要清楚@RequiresPermissions的基本用法。就是在Controller的方法里,加上@RequiresPermissions注解,并写上权限标识。那么,有该权限标识的用户,才能访问到请求。如下图: 第二 先剧透一下,@RequiresPermissions注解的原理是使用了Spring的AOP进行了增强。来判断当前用户是否有该权限标识。我们
Shiro+ehcache配置缓存认证信息和授权信息
KK的博客
09-23 710
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager"> <property name="realm" ref="userRealm"/> <property name="cacheManager" ref="ehCacheMa...
Shiro框架:Shiro用户访问控制鉴权流程-Aop注解方式源码解析
博客园
01-20 1008
Shiro作为一款比较流行的登录认证、访问控制安全框架,被广泛应用在程序员社区;Shiro登录验证、访问控制、Session管理等流程内部都是委托给SecurityManager安全管理器来完成的,SecurityManager安全管理器前面文章已经进行了详细解析;在此基础上,前面文章已对Shiro用户登录认证流程进行了源码跟踪,对Shiro用户访问控制鉴权流程-内置过滤器方式进行了详细解析;本篇文章继续对用户访问控制鉴权流程-Aop注解方式进行源码解析,了解不同的使用方式以便更好的应用到实际项目中。
authorization cache cannot be obtained
XuJiangDong
04-25 1377
有时候shiro会出现这个异常,只需要修改shiro配置文件,关闭cache 原来: &lt;bean id="userRealm" class="com.qingqing.bpt.shiro.UserRealm"/&gt; 改为: &lt;bean id="userRealm" class="com.qingqing.bpt.shiro.UserRealm"&gt; &
shiro授权源码
l_job的博客
10-16 446
在spring配置文件中开启shiro注解         bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">           property name="securityManager" ref="securityManager"/> 
各种函数声明和定义模块
最新发布
09-16
各种函数声明和定义模块
《跟我学Shiro》- 开涛大神的全面教程
Shiro的权限注解可以在方法级别进行权限控制,极大地简化了权限管理的实现。 这个教程涵盖了Shiro的主要功能和使用方法,对于想要学习和掌握Shiro的开发者来说,是一份非常宝贵的参考资料。通过学习,开发者不仅...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值