api postmain 鉴权_单一入口的API接口使用shiro如果进行权限鉴权

最新推荐文章于 2022-07-24 16:56:03 发布
最新推荐文章于 2022-07-24 16:56:03 发布
阅读量251 收藏
点赞数
文章标签: api postmain 鉴权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39827034/article/details/111980618
版权

自定义过滤器,重写

isAccessAllowed

自定义realm,重写

doGetAuthorizationInfo

我需要根据链接参数不同进行授权,就是通过这种方法的。

public class CustomRealm extends AuthorizingRealm

下面是授权代码

/**

* 获取权限

*/

@Override

protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {

logger.info("开始鉴权------------doGetAuthorizationInfo");

User user = (User) principalCollection.getPrimaryPrincipal();

List userRoles = new ArrayList();

Set categoryIds = new HashSet<>();

QueryWrapper queryUserWrapper = new QueryWrapper();

queryUserWrapper.eq("uuid",user.getUuid());

user = userService.getOne(queryUserWrapper);

if(null != user){

Ugroup ugroup = ugroupService.getById(user.getGroupId());

userRoles.add(ugroup.getName());

QueryWrapper queryWrapper = new QueryWrapper();

queryWrapper.eq("idx_group_id",ugroup.getId());

List groupCategories = groupCategoryService.list(queryWrapper);

if (groupCategories.size() > 0){

for (GroupCategory groupCategory : groupCategories){

categoryIds.add(groupCategory.getCategoryId().toString());

}

}

}else{

throw new AuthorizationException();

}

//为当前用户设置角色和权限

SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();

authorizationInfo.addRoles(userRoles);

authorizationInfo.addStringPermissions(categoryIds);

return authorizationInfo;

}

过滤器中重写isAccessAllowed

public class JWTFilter extends AuthorizationFilter {

...

@Override

protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {

logger.info("-----isAccessAllowed----");

if (isLoginAttempt(request, response)) {

try {

executeLogin(request, response);

} catch (Exception e) {

response401(response);

}

}

String id = request.getParameter("id");

Subject subject = getSubject(request,response);

boolean flag = subject.isPermitted(id);

return flag;

}

...

}

需求:对属于不同用户组的用户授权访问不同类型的文章

实现思路:

doGetAuthorizationInfo中根据token获取到用户信息,从数据库中联合查询到可以访问的文章类型id,添加到用户权限中,isAccessAllowed中获取用户访问链接中的参数,调用

subject.isPermitted(id);

判断是否拥有该权限。

注意点:subject.isPermitted(id)调用前一定要先调用subject.login(token);方法,不然在isPermitted时不会进行授权

下面贴上全部代码

CustomRealm.java

package com.zyc.shiro;

import com.baomidou.mybatisplus.core.conditions.Wrapper;

import com.baomidou.mybatisplus.core.conditions.query.QueryWrapper;

import com.zyc.constant.CommonConstant;

import com.zyc.dao.GroupCategoryMapper;

import com.zyc.dao.UgroupMapper;

import com.zyc.entity.GroupCategory;

import com.zyc.entity.Ugroup;

import com.zyc.entity.User;

import com.zyc.redis.JwtRedisDAO;

import com.zyc.service.GroupCategoryService;

import com.zyc.service.UgroupService;

import com.zyc.service.UserService;

import com.zyc.util.JWTUtils;

import org.apache.shiro.authc.AuthenticationInfo;

import org.apache.shiro.authc.AuthenticationToken;

import org.apache.shiro.authc.SimpleAuthenticationInfo;

import org.apache.shiro.authc.UnknownAccountException;

import org.apache.shiro.authz.AuthorizationException;

import org.apache.shiro.authz.AuthorizationInfo;

import org.apache.shiro.authz.SimpleAuthorizationInfo;

import org.apache.shiro.realm.AuthorizingRealm;

import org.apache.shiro.subject.PrincipalCollection;

import org.slf4j.Logger;

import org.slf4j.LoggerFactory;

import org.springframework.beans.factory.annotation.Autowired;

import java.util.*;

/**

* 鉴权

*/

public class CustomRealm extends AuthorizingRealm {

static Logger logger = LoggerFactory.getLogger(CustomRealm.class);

@Autowired

private UgroupService ugroupService;

@Autowired

private GroupCategoryService groupCategoryService;

@Autowired

private UserService userService;

@Autowired

private JwtRedisDAO jwtRedisDAO;

/**

* 必须重写此方法,不然Shiro会报错

*/

@Override

public boolean supports(AuthenticationToken token) {

return token instanceof JWTToken;

}

/**

* 获取权限

*/

@Override

protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {

logger.info("开始鉴权------------doGetAuthorizationInfo");

User user = (User) principalCollection.getPrimaryPrincipal();

List userRoles = new ArrayList();

Set categoryIds = new HashSet<>();

QueryWrapper queryUserWrapper = new QueryWrapper();

queryUserWrapper.eq("uuid",user.getUuid());

user = userService.getOne(queryUserWrapper);

if(null != user){

Ugroup ugroup = ugroupService.getById(user.getGroupId());

userRoles.add(ugroup.getName());

QueryWrapper queryWrapper = new QueryWrapper();

queryWrapper.eq("idx_group_id",ugroup.getId());

List groupCategories = groupCategoryService.list(queryWrapper);

if (groupCategories.size() > 0){

for (GroupCategory groupCategory : groupCategories){

categoryIds.add(groupCategory.getCategoryId().toString());

}

}

}else{

throw new AuthorizationException();

}

//为当前用户设置角色和权限

SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();

authorizationInfo.addRoles(userRoles);

authorizationInfo.addStringPermissions(categoryIds);

return authorizationInfo;

}

@Override

protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) {

logger.info("CustomRealm------------------doGetAuthenticationInfo");

Map claims = JWTUtils.getClaims(CommonConstant.JWT_SECRET, (String) authenticationToken.getPrincipal());

if (claims == null) {

//没找到帐号

throw new UnknownAccountException();

}

String uuid = (String) claims.get("uuid");

QueryWrapper queryWrapper = new QueryWrapper();

queryWrapper.eq("uuid",uuid);

User user = userService.getOne(queryWrapper);

//logger.info(user.toString());

if(null == user){

throw new UnknownAccountException();

}

String token = jwtRedisDAO.get(CommonConstant.ADMIN_JWT_PREFIX + uuid);

//logger.info("token {}", authenticationToken.getPrincipal());

if (token == null || !token.equals(authenticationToken.getPrincipal())) {

throw new AuthorizationException();

}

//交给AuthenticatingRealm使用CredentialsMatcher进行密码匹配,可以自定义实现

return new SimpleAuthenticationInfo(

//用户信息

user,

authenticationToken.getPrincipal(),

//realm name

getName()

);

}

}

JWTFilter.java

package com.zyc.shiro;

import com.alibaba.fastjson.JSON;

import com.zyc.exception.enums.ErrorEnums;

import com.zyc.vo.RestResult;

import org.apache.shiro.authc.AuthenticationToken;

import org.apache.shiro.subject.Subject;

import org.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilter;

import org.apache.shiro.web.filter.authz.AuthorizationFilter;

import org.slf4j.Logger;

import org.slf4j.LoggerFactory;

import org.springframework.http.HttpStatus;

import org.springframework.web.bind.annotation.RequestMethod;

import javax.servlet.ServletRequest;

import javax.servlet.ServletResponse;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;

import java.io.IOException;

import java.io.PrintWriter;

public class JWTFilter extends AuthorizationFilter {

private static Logger logger = LoggerFactory.getLogger(JWTFilter.class);

/**

* 判断用户是否想要登入。

* 检测header里面是否包含Authorization字段即可

*/

//@Override

protected boolean isLoginAttempt(ServletRequest request, ServletResponse response) {

logger.info("-----isLoginAttempt----");

HttpServletRequest req = (HttpServletRequest) request;

String authorization = req.getHeader("Authorization");

return authorization != null;

}

/**

* 实现用户登录

*/

//@Override

protected boolean executeLogin(ServletRequest request, ServletResponse response) throws Exception {

logger.info("-----executeLogin----");

HttpServletRequest httpServletRequest = (HttpServletRequest) request;

String authorization = httpServletRequest.getHeader("Authorization");

JWTToken token = new JWTToken(authorization);

// 提交给realm进行登入,如果错误他会抛出异常并被捕获

getSubject(request, response).login(token);

// 如果没有抛出异常则代表登入成功,返回true

return true;

}

/**

* 该注释并非现在方法的注释,是以前版本的,不要受影响,写在这里只是提醒还有其他写法

*

* 这里我们详细说明下为什么最终返回的都是true,即允许访问

* 例如我们提供一个地址 GET /article

* 登入用户和游客看到的内容是不同的

* 如果在这里返回了false,请求会被直接拦截,用户看不到任何东西

* 所以我们在这里返回true,Controller中可以通过 subject.isAuthenticated() 来判断用户是否登入

* 如果有些资源只有登入用户才能访问,我们只需要在方法上面加上 @RequiresAuthentication 注解即可

* 但是这样做有一个缺点,就是不能够对GET,POST等请求进行分别过滤鉴权(因为我们重写了官方的方法),但实际上对应用影响不大

*/

@Override

protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {

logger.info("-----isAccessAllowed----");

if (isLoginAttempt(request, response)) {

try {

executeLogin(request, response);

} catch (Exception e) {

response401(response);

}

}

String id = request.getParameter("id");

Subject subject = getSubject(request,response);

boolean flag = subject.isPermitted(id);

return flag;

}

/**

* 对跨域提供支持

*/

@Override

protected boolean preHandle(ServletRequest request, ServletResponse response) throws Exception {

logger.info("-----preHandle----");

HttpServletRequest httpServletRequest = (HttpServletRequest) request;

HttpServletResponse httpServletResponse = (HttpServletResponse) response;

httpServletResponse.setHeader("Access-control-Allow-Origin", httpServletRequest.getHeader("Origin"));

httpServletResponse.setHeader("Access-Control-Allow-Methods", httpServletRequest.getMethod());

httpServletResponse.setHeader("Access-Control-Allow-Credentials", "true");

httpServletResponse.setHeader("Access-Control-Allow-Headers", httpServletRequest.getHeader("Access-Control-Request-Headers"));

// 跨域时会首先发送一个option请求,这里我们给option请求直接返回正常状态

if (httpServletRequest.getMethod().equals(RequestMethod.OPTIONS.name())) {

httpServletResponse.setStatus(HttpStatus.OK.value());

return true;

}

return super.preHandle(request, response);

}

/**

* onAccessDenied:表示当访问拒绝时是否已经处理了;如果返回 true 表示需要继续处理;如果返回 false 表示该拦截器实例已经处理了,将直接返回即可。

* @param servletRequest

* @param servletResponse

* @return

* @throws Exception

*/

@Override

protected boolean onAccessDenied(ServletRequest servletRequest, ServletResponse servletResponse) {

logger.info("当 isAccessAllowed 返回 false 的时候,才会执行 method onAccessDenied ");

try {

HttpServletResponse httpServletResponse = (HttpServletResponse) servletResponse;

RestResult result = new RestResult();

result.setCode(ErrorEnums.PERMISSION_DENIED.getCode());

result.setMsg(ErrorEnums.PERMISSION_DENIED.getMsg());

httpServletResponse.setContentType("application/json;charset=UTF-8");

PrintWriter out = httpServletResponse.getWriter();

out.print(JSON.toJSONString(result));

out.flush();

out.close();

} catch (IOException e) {

logger.error(e.getMessage());

}

// 返回 false 表示已经处理,例如页面跳转啥的,表示不在走以下的拦截器了(如果还有配置的话)

return false;

}

/**

* 非法请求返回code401

*/

private void response401(ServletResponse resp) {

logger.info("-----response401----");

try {

HttpServletResponse httpServletResponse = (HttpServletResponse) resp;

RestResult result = new RestResult();

result.setCode(ErrorEnums.TOKEN_MISS.getCode());

result.setMsg(ErrorEnums.TOKEN_MISS.getMsg());

httpServletResponse.setContentType("application/json;charset=UTF-8");

PrintWriter out = httpServletResponse.getWriter();

out.print(JSON.toJSONString(result));

out.flush();

out.close();

} catch (IOException e) {

logger.error(e.getMessage());

}

}

}

JWTToken.java

package com.zyc.shiro;

import org.apache.shiro.authc.AuthenticationToken;

public class JWTToken implements AuthenticationToken {

private String token;

public JWTToken(String token) {

this.token = token;

}

@Override

public Object getPrincipal() {

return token;

}

@Override

public Object getCredentials() {

return getPrincipal();

}

}

ShiroConfigurer.java

package com.zyc;

import com.zyc.shiro.*;

import org.apache.shiro.authc.credential.HashedCredentialsMatcher;

import org.apache.shiro.authz.ModularRealmAuthorizer;

import org.apache.shiro.authz.permission.PermissionResolver;

import org.apache.shiro.authz.permission.RolePermissionResolver;

import org.apache.shiro.mgt.DefaultSecurityManager;

import org.apache.shiro.mgt.DefaultSessionStorageEvaluator;

import org.apache.shiro.mgt.DefaultSubjectDAO;

import org.apache.shiro.mgt.SecurityManager;

import org.apache.shiro.realm.Realm;

import org.apache.shiro.spring.LifecycleBeanPostProcessor;

import org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor;

import org.apache.shiro.spring.web.ShiroFilterFactoryBean;

import org.apache.shiro.web.mgt.DefaultWebSecurityManager;

import org.slf4j.Logger;

import org.slf4j.LoggerFactory;

import org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator;

import org.springframework.context.annotation.Bean;

import org.springframework.context.annotation.Configuration;

import org.springframework.context.annotation.DependsOn;

import java.util.*;

@Configuration

public class ShiroConfigurer {

private static final Logger logger = LoggerFactory.getLogger(ShiroConfigurer.class);

/**

* Shiro的Web过滤器Factory 命名:shiroFilter

*

* @param securityManager

* @return

*/

@Bean(name = "shiroFilter")

public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager) {

logger.info("注入Shiro的Web过滤器-->shiroFilter {}", ShiroFilterFactoryBean.class);

ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();

// Shiro的核心安全接口,这个属性是必须的

shiroFilterFactoryBean.setSecurityManager(securityManager);

// 要求登录时的链接(可根据项目的URL进行替换),非必须的属性,默认会自动寻找Web工程根目录下的"/login.jsp"页面

// shiroFilterFactoryBean.setLoginUrl("/login")

// 登录成功后要跳转的连接,逻辑也可以自定义,例如返回上次请求的页面

// shiroFilterFactoryBean.setSuccessUrl("/index")

// 用户访问未对其授权的资源时,所显示的连接

// shiroFilterFactoryBean.setUnauthorizedUrl("/pages/403")

/* 定义shiro过滤器,例如实现自定义的FormAuthenticationFilter,需要继承FormAuthenticationFilter

**本例中暂不自定义实现,在下一节实现验证码的例子中体现

*/

/*定义shiro过滤链 Map结构

* Map中key(xml中是指value值)的第一个'/'代表的路径是相对于HttpServletRequest.getContextPath()的值来的

* anon:它对应的过滤器里面是空的,什么都没做,这里.do和.jsp后面的*表示参数,比方说login.jsp?main这种

* authc:该过滤器下的页面必须验证后才能访问,它是Shiro内置的一个拦截器org.apache.shiro.web.filter.authc.FormAuthenticationFilter

*/

// 添加自己的过滤器并且取名为jwt

Map filterMap = new HashMap();

filterMap.put("jwt", new JWTFilter());

shiroFilterFactoryBean.setFilters(filterMap);

Map filterChainDefinitionMap = new LinkedHashMap<>();

// 配置退出过滤器,其中的具体的退出代码Shiro已经替我们实现了

// :这是一个坑呢,一不小心代码就不好使了

//

// filterChainDefinitionMap.put("/webui/**", "anon")

// filterChainDefinitionMap.put("/webjars/**", "anon")

//filterChainDefinitionMap.put("/sys/login", "anon");

//filterChainDefinitionMap.put("/sys/logout", "anon");

//filterChainDefinitionMap.put("/token/callback", "anon");

//filterChainDefinitionMap.put("/dist", "anon");

//filterChainDefinitionMap.put("/download/excel", "anon");

//登陆相关api不需要被过滤器拦截

filterChainDefinitionMap.put("/user/login", "anon");

filterChainDefinitionMap.put("/**", "authc");

// 所有请求通过JWT Filter

filterChainDefinitionMap.put("/**", "jwt");

shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);

return shiroFilterFactoryBean;

}

@Bean

public JWTFilter jwtFilter() {

return new JWTFilter();

}

/**

* Shiro Realm 继承自AuthorizingRealm的自定义Realm,即指定Shiro验证用户登录的类为自定义的

*

* @param

* @return managerRealm

*/

@Bean

public CustomRealm userRealm() {

CustomRealm userRealm = new CustomRealm();

// 告诉realm,使用credentialsMatcher加密算法类来验证密文

// userRealm.setCredentialsMatcher(hashedCredentialsMatcher())

userRealm.setCachingEnabled(false);

//自定义权限解析器

return userRealm;

}

/**

* 不指定名字的话,自动创建一个方法名第一个字母小写的bean

*

* @return

* @Bean(name = "securityManager")

*/

@Bean

public SecurityManager securityManager() {

logger.info("注入Shiro的Web过滤器-->securityManager {}", ShiroFilterFactoryBean.class);

DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();

securityManager.setRealm(userRealm());

DefaultSubjectDAO subjectDAO = new DefaultSubjectDAO();

// 关闭自带session

DefaultSessionStorageEvaluator defaultSessionStorageEvaluator = new DefaultSessionStorageEvaluator();

defaultSessionStorageEvaluator.setSessionStorageEnabled(false);

subjectDAO.setSessionStorageEvaluator(defaultSessionStorageEvaluator);

securityManager.setSubjectDAO(subjectDAO);

return securityManager;

}

/**

* 凭证匹配器

* (由于我们的密码校验交给Shiro的SimpleAuthenticationInfo进行处理了

* 所以我们需要修改下doGetAuthenticationInfo中的代码;

* )

* 可以扩展凭证匹配器,实现 输入密码错误次数后锁定等功能,下一次

*

* @return

*/

@Bean(name = "credentialsMatcher")

public HashedCredentialsMatcher hashedCredentialsMatcher() {

HashedCredentialsMatcher hashedCredentialsMatcher = new HashedCredentialsMatcher();

hashedCredentialsMatcher.setHashAlgorithmName("SHA-512");

//散列的次数,比如散列两次,相当于 md5(md5(""))

hashedCredentialsMatcher.setHashIterations(2);

//storedCredentialsHexEncoded默认是true,此时用的是密码加密用的是Hex编码;false时用Base64编码

hashedCredentialsMatcher.setStoredCredentialsHexEncoded(true);

return hashedCredentialsMatcher;

}

/**

* Shiro生命周期处理器

*

* @return

*/

@Bean

public LifecycleBeanPostProcessor lifecycleBeanPostProcessor() {

return new LifecycleBeanPostProcessor();

}

/**

* 开启Shiro的注解(如@RequiresRoles,@RequiresPermissions),需借助SpringAOP扫描使用Shiro注解的类,并在必要时进行安全逻辑验证

* 配置以下两个bean(DefaultAdvisorAutoProxyCreator(可选)和AuthorizationAttributeSourceAdvisor)即可实现此功能

*

* @return

*/

@Bean

@DependsOn({"lifecycleBeanPostProcessor"})

public DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator() {

DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator = new DefaultAdvisorAutoProxyCreator();

advisorAutoProxyCreator.setProxyTargetClass(true);

advisorAutoProxyCreator.setUsePrefix(true);

return advisorAutoProxyCreator;

}

@Bean

public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor() {

AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();

authorizationAttributeSourceAdvisor.setSecurityManager(securityManager());

return authorizationAttributeSourceAdvisor;

}

}

pom.xml

org.springframework.boot

spring-boot-starter-aop

io.jsonwebtoken

jjwt

0.7.0

org.apache.shiro

shiro-spring

1.3.2

weixin_39827034
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
api postmain 鉴权_API鉴权
weixin_40008033的博客
12-18 534
API鉴权为提高API访问安全性,OneNET API鉴权参数Authorization作为Header参数存在。Authorization计算的核心密钥为accessKey,用户需要使用核心密钥通过签名算法计算签名,与其他参数共同组成鉴权参数,然后将鉴权参数Authorization作为请求Header参数进行鉴权。通过避免核心密钥在网络上直接传输,增加认证参数时效控制,增加密钥权限粒度控制(...
shiro-core-1.3.2-API文档-中文版.zip
04-08
赠送jar包:shiro-core-1.3.2.jar; 赠送原API文档:shiro-core-1.3.2-javadoc.jar; 赠送源代码:shiro-core-1.3.2-sources.jar; 包含翻译后的API文档:shiro-core-1.3.2-javadoc-API文档-中文(简体)版.zip 对应Maven信息:groupId:org.apache.shiro,artifactId:shiro-core,version:1.3.2 使用方法:解压翻译后的API文档,用浏览器打开“index.html”文件,即可纵览文档内容。 人性化翻译,文档中的代码和结构保持不变,注释和说明精准翻译,请放心使用
api-gateway:API Gateway 扮演单一入口点的角色,用于调用不同的外部服务(REST 或 Web 服务)
06-28
API 网关 - 统一访问 REST 或 Web 服务 API Gateway 意图扮演单一入口点的角色,用于调用不同的服务,无论是 REST 还是 WebServices。 统一调用 API 的方式。 主要目标是: 所有请求都是异步处理的(没有线程阻塞); 输入输出数据格式统一。 客户端和可调用 API 之间的数据格式分离; 它是 REST API 本身; 支持多种调用方式:SYNC、ASYNC、EVENT(即发即忘); 遵循#microservices 的规则。 在 Sam Newmans 的著作Building Microservices 中定义: 很小,专注于做好一件事 是一个单独的、独立的过程 通过与语言无关的 API 进行通信 高度解耦 API Gateway 是基于的项目。 所有类都是用编写的。 它使用构建子系统。 API Gateway 倾向于遵循。 ht
由浅入深掌握Shiro权限框架视频教程
08-12
视频详细讲解,需要的小伙伴自行百度网盘下载,链接见附件,永久有效。​ 课程目标: ​ 1、权限系统的整体概念 ​ 2、shiro权限框架的核心组件 ​ 3、springboot下shiro使用 ​ 4、shiro认证鉴权的缓存机制 ​ 5、分布式下使用shrio处理统一会话 ​ 6、密码重试次数,并发登录控制 ​ 7、前后端分离的鉴权方式 ​ 8、建立分布式统一鉴权系统 技术栈: ​ 权限shiro ​ 分层构建:maven ​ 主架构:spring-boot ​ 服务架构:dubbo、zookeeper ​ 缓存:redission ​ 持久化:mybatis ​ 事务:JTA ​ 令牌管理:JWT 学习收获: ​ 记得住认证、鉴权的意义 ​ 记得住shiro的常用组件 ​ 会设计权限系统 ​ 能解决前后端分离鉴权的问题 ​ 能解决会话统一管理的问题 ​ 会运用shrio解决并发登录控制、密码重试限制 ​ 能搭建分布式统一的鉴权系统
shiro-web-1.3.2-API文档-中文版.zip
04-08
赠送jar包:shiro-web-1.3.2.jar; 赠送原API文档:shiro-web-1.3.2-javadoc.jar; 赠送源代码:shiro-web-1.3.2-sources.jar; 包含翻译后的API文档:shiro-web-1.3.2-javadoc-API文档-中文(简体)版.zip 对应Maven信息:groupId:org.apache.shiro,artifactId:shiro-web,version:1.3.2 使用方法:解压翻译后的API文档,用浏览器打开“index.html”文件,即可纵览文档内容。 人性化翻译,文档中的代码和结构保持不变,注释和说明精准翻译,请放心使用
shiro-spring-1.3.2-API文档-中文版.zip
04-08
赠送jar包:shiro-spring-1.3.2.jar; 赠送原API文档:shiro-spring-1.3.2-javadoc.jar; 赠送源代码:shiro-spring-1.3.2-sources.jar; 包含翻译后的API文档:shiro-spring-1.3.2-javadoc-API文档-中文(简体)版.zip 对应Maven信息:groupId:org.apache.shiro,artifactId:shiro-spring,version:1.3.2 使用方法:解压翻译后的API文档,用浏览器打开“index.html”文件,即可纵览文档内容。 人性化翻译,文档中的代码和结构保持不变,注释和说明精准翻译,请放心使用
postman通过shiro验证直接发请求
qq_43077857的博客
11-18 1705
shiro登录后每次都要做session校验的 所以postman发请求需要带一个session才行 前端发请求session是放在cooike中的如下 所以只要在postman中的cookie中加入session就可以了 这样就可以通过验证了 ...
Postman 通过Shiro权限验证问题 Postman绕过Shiro Postman保持登录状态 Shiro 认证
HaHa_Sir的博客
04-01 2137
Postman 通过Shiro权限验证问题 Postman绕过Shiro Postman保持登录状态 Shiro 认证 一、问题描述 1、在使用Postman 测试接口时,遇到一个问题,比如某些接口需要登录才能测试,而使用Postman去登录,发现无法成功,导致了接口无法测试 ... 2、判断是否登录,使用权限验证框架:Shiro , 那么这个问题变成 --- Postman绕过Shiro 登录测试。 二、解决办法 1、了解Shiro验证是...
API权限控制
jhkj_5154的博客
02-28 1万+
API不存在用户登录这样的概念,我们是通过令牌来管理用户身份的。在传统网站用户登录的概念,转换成用户获取令牌,这个令牌,是代表用户身份的 。虽然都是类似用户输入账号密码的东西,但是理解和概念上时不一样的。API是用户拿到令牌,这个令牌具有用户的身份,而且这个身份是分级别的。有些级别是管理员级别,有些级别是普通用户级别。用户在每一次调用接口的时候,都需要携带他所获取的令牌,如果令牌合法,那我们认为...
Apipost协作功能使用场景详解
weixin_42900858的博客
07-12 336
Apipost是一款基于协作,更懂中国程序员的接口调试工具。它不仅包含接口调试、自动生成API文档、Mock服务、流程测试等功能,还可以做到真正意义上的实时协作,最大程度缩短沟通交流上的时间成本,也减少了因数据层层传递产生的丢失风险。......
由浅入深掌握Shiro权限框架资料.zip
07-31
详细的资料(统一鉴权模块、shiro的创建机制、Shiro相关数据库脚本、shiro知识体系图谱)、每个知识点的源代码 学习目标: 1、权限系统的整体概念;2、shiro权限框架的核心组件;3、springboot下shiro使用; 4、...
Shiro | 实现权限验证完整版
冯文议技术博客
10-22 7903
写在前面的话 提及权限,就会想到安全,是一个十分棘手的话题。这里只是作为学校Shiro的一个记录,而不是,权限就应该这样设计之类的。 Shiro框架 1、Shiro是基于Apache开源的强大灵活的开源安全框架。 2、Shiro提供了 认证,授权,企业会话管理、安全加密、缓存管理。 3、Shiro与Security对比 4、Shiro整体架构 5、特性 6、认证流程 认证 当我们理解Shi...
关于shiro doGetAuthorizationInfo授权方法和doGetAuthenticationInfo登陆认证方法的执行时机
weixin_43874015的博客
09-12 1807
1.默认情况下不关闭shiro自带的session 登陆时生成JESSIONID,执行doGetAuthorizationInfo的时机 1、subject.hasRole(“admin”) 或 subject.isPermitted(“admin”):自己去调用这个是否有什么角色或者是否有什么权限的时候; 2、@RequiresRoles(“admin”) :在方法上加注解的时候; 3、[@shiro.hasPermission name = “admin”][/@shiro.hasPermission]
Shiro结合SpEL实现细粒度权限校验笔记
hjg719的博客
03-18 775
SpEl shiro 细粒度 权限校验
Apipost使用技巧
m0_68823781的博客
06-11 989
随着web技术的发展,特别是前后端分离的架构主键成为主流,我们后端程序员调试的时候不再依赖页面去操作,而是直接调试接口。对于没有权限控制的GET接口而言,这是一个非常轻松的工作,但是对于有权限的或者使用了其他方法(POST,PUT,DELETE等)的Rest接口,事情就不那么美好了,还好有apipost这个神器能够帮我们解决这些问题,基本的使用我就不讲了,这一块网上的教程很多。这里主要提一些相对来说比较高级的用法。配置环境设置这其实也算是一个比较基本的功能了,由于跟后续的操作相关,所以也提一下。现在我们开发
API管理神器—Apipost
小皮皮LL的博客
05-05 1万+
API管理神器—Apipost 1.背景 作为互联网工作者,只要是从事开发的,无论前端、后端、测试。 而一般完成整个接口的管理的解决方案如下: 使用 Swagger 管理 API 文档 使用 Postman 调试 API 使用 RAP等根据 Mock API 数据 使用 JMeter 做 API 自动化测试 可以看出每个步骤使用的工具不同,这样就需要维护不同根据之间的数据一致性,从而造成一定的风险和低效率。除此之外,不同工具之间需要共同服务一个对象,这样会造成协作低效,出问题的几率大大增强! 而我们今天
spring boot中shiro使用自定义注解屏蔽接口鉴权
LLittleF的博客
07-05 2471
spring boot整合shrio后,所有接口都需要在鉴权通过后才能使用。某些接口(比如登录接口)是不需要鉴权的,就需要手动配置一下。本文介绍了一种通过自定义注解,实现屏蔽接口鉴权的功能的方法,这样在需要屏蔽接口鉴权的时候,就不用反复修改shiro配置了。...
ApiPost使用教程
热门推荐
qq_41780297的博客
07-24 1万+
学习下国产工具中接口测试工具,大赞,感觉比较好用,哈哈
1.Apache Shiro(认证,授权)基本介绍
相互学习 共同进步
06-15 2240
Apache Shiro(认证,授权)基本介绍 什么是Apache Shiro? Apache Shiro是一个功能强大且灵活的开源安全框架,可以干净地处理身份验证、授权、企业会话管理和加密,提供了一种直观,全面的身份验证、授权、加密和会话管理解决方案 Apache Shiro的首要目标是易于使用、理解。安全有时可能非常复杂,甚至会很痛苦,但这不是必须的。框架应尽可能掩盖复杂性,并公开简洁直观的API,以简化开发人员确保其应用程序安全的工作 官网:http://shiro.apache.org/ 同类的比
shiro分布式鉴权
最新发布
08-11
并且可以参考jsets-shiro-demo示例源码来了解如何在具体项目中应用Shiro进行鉴权。另外,可以查看使用说明来了解jsets-shiro-spring-boot-starter的具体使用方法。引用中提到了一种防止重放攻击的方法,通过将token...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值