程序新视界

Shiro中通过@RequiresRoles注解可检验权限，在检验权限之前先要设置权限：授权方法中给用户添加角色在自定义的Realm中（继承实现AuthorizingRealm）的doGetAuthorizationInfo方法中授权方法中给用户添加角色。@Overrideprotected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) { String userName =

什么情况下会触发shiro的授权检测呢？通常有以下三种方式：方式一：代码中通过Subject对象主动调用权限校验subject.hasRole(“admin”);//或subject.isPermitted(“admin”);这种方式属于在代码中需要校验权限的时候主动调用，判断返回结果来确定是否通过。方式二：通过注解的形式检查对用的方法请求@RequiresRoles("admin")这种方式通常用在Controller的方法上。方式三：页面shiro标签针对ftl等页面，可直接在页

所谓的身份验证，即在应用中证明用自己的身份。一般比如提供如身份证ID、用户名等来证明是他本人，而用密码来验证。在《02.Shiro认证与授权原理分析》中我们分析了Shiro验证和授权的基本原理。其中，在验证的流程中涉及到2个概念：principals和credentials。在shiro中，用户需要提供principals（身份）和credentials（证明）给shiro，从而应用能验证用户身份：principals/身份什么是principal？principals：身份，即主体的标识属性，如

本篇为《Shiro从入门到精通》系列第二篇，在上篇《还在手写filter进行权限校验？尝试一下Shiro吧》中，我们学习了Shiro的基本功能、架构以及各个组件的概念。本篇文章继续深入，以官方示例为基础，讲解使用Shiro的流程以及认证和授权的原理分析。下面开始正文：前言Shiro作为常用的权限框架，可被用于解决认证、授权、加密、会话管理等场景。Shiro对其API进行了友好的封装，如果单纯的使用Shiro框架非常简单。但如果使用了多年Shiro，还依旧停留在基本的使用上，那么这篇文章就值得你学习一下。

在实践中，发现很多朋友虽然在使用Shiro，但貌似对其并不了解，甚至有的项目还在使用filter来实现权限管理，而网络上相关教程又比较古老。因此，决定为大家更新这么一个关于Shiro的系列教程，最后会整理成册，分享给大家。如果你也想深入学习一下Shiro框架，那么关注一下公众号“程序新视界”，可及时获取最新的文章，等本系列更新完毕会也会第一时间整理成电子版文档分享给大家。第一篇，给大家科普一些基础概念，下面开始正文。前言权限管理是每个系统不可缺少的，它隶属于系统安全的范畴，实现对用户访问系统的控制，按照