Shiro(4)默认鉴权与自定义鉴权

最新推荐文章于 2024-06-24 15:09:02 发布
最新推荐文章于 2024-06-24 15:09:02 发布
阅读量2.7w 收藏 10
点赞数 6
分类专栏: ----------JavaEE---------- 文章标签: Shiro 自定义鉴权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhengwei223/article/details/9981741
版权
本文介绍了Apache Shiro的默认鉴权过程,包括过滤器中的perms配置和PermissionsAuthorizationFilter工作原理。默认情况下,SecurityManager通过请求路径获取权限字符串,并与Realm中的用户角色和权限进行对比。此外,文章还探讨了自定义鉴权的需求,如针对遗留项目自定义Realm和过滤器,以适应URL直接作为权限字符串的情况。通过实例展示了如何配置和测试自定义鉴权过滤器,适用于需要动态管理权限的场景。
摘要由CSDN通过智能技术生成

=========默认鉴权========

过滤链中定义:

<!-- 过滤链定义 -->
		<property name="filterChainDefinitions">
			<value>
				...
				/pages/User/create.do* = perms[User:create]
				...
			</value>
		</property>

这段配置的含义是:/pages/User/create.do*这样的请求路径,需要鉴权,且需要用户有“User:create”的权限字符串。

perms是拦截器的名字,默认实现类是:org.apache.shiro.web.filter.authz.PermissionsAuthorizationFilter

这个过滤器会得到配置中请求路径对应的权限字符串,如“User:create”,然后到realm中查找当前用户包含的权限,具体来说是调用reaml的回调函数:

	/**
	 * 鉴权回调函数,提取当事人的角色和权限
	 * principals  当事人
	 */
    protected AuthorizationInfo doGetAuthorizationInfo(
            PrincipalCollection principals) {
    	//用户名
        String username = (String) principals.fromRealm(
最低0.47元/天 解锁文章
小9
关注
专栏目录
shiro自定义未登录返回状态, 认证失败返回json
马句
01-14 2720
Shiro框架默认认证失败后会返回到登录页面,在前后端分离项目中,需要返回JSON数据,以便前端或者app端解析处理。 如果访问的地址没有登陆,会根据配置文件内定义返回登陆页 shiroFilterFactoryBean.setLoginUrl("/login"); 实现方式: 1. 建一个过滤器ShiroLoginFilter,内容如下: import com.alibaba....
Shiro自定义Realm的作用(FormAuthenticationFilter和PermissionAuthorizationFilter)以及源码解析
oppoppoppo的专栏
02-15 2543
在使用shiro时都会自定义一个Realm,Realm的作用就是提供给shiro和数据库进行交互的一个中间层,这样shiro能够帮助我们处理登录(成功、失败),授权,访问控制等功能,但是用户登录的用户信息和用户具体的权限信息是shiro未知的,所以需要每次都请求Realm,由Realm提供 比如授权的流程 使用PermissionAuthorizationFilter 在xml中设置权限 ${
Shiro | 实现权限验证完整版
冯文议技术博客
10-22 7955
写在前面的话 提及权限,就会想到安全,是一个十分棘手的话题。这里只是作为学校Shiro的一个记录,而不是,权限就应该这样设计之类的。 Shiro框架 1、Shiro是基于Apache开源的强大灵活的开源安全框架。 2、Shiro提供了 认证,授权,企业会话管理、安全加密、缓存管理。 3、Shiro与Security对比 4、Shiro整体架构 5、特性 6、认证流程 认证 当我们理解Shi...
如何通过isAccessAllowed方法实现访问控制
最新发布
GP的空间
06-24 972
在开始详细解析代码之前,先简单介绍一下相关的框架和类。:一个强大且易用的Java安全框架,提供了认证、授权、加密和会话管理等功能。本文中的方法就是Shiro框架的一部分。Subject类:Shiro中的核心类,代表当前运行的用户。通过这个类可以获取用户的身份信息、权限信息等。Principal:表示当前用户的身份信息,例如用户名或用户对象。Class
Spring项目集成ShiroFilter简单实现权限管理
weixin_33860737的博客
02-13 271
Shiros是我们开发中常用的用来实现权限控制的一种工具包,它主要有认证、授权、加密、会话管理、与Web集成、缓存等功能。我是从事javaweb工作的,我就经常遇到需要实现权限控制的项目,之前我们都是靠查询数据获取列表拼接展示的,还有的是及时的判断权限的问题的,现在有了Shiros了,我们就可以统一的进行设置权限问题,Shrios的实现也是很简单的,下面让我们来看看具体实现步骤 ...
shiro中给某个接口添加权限的两种方法,若没有权限则返回特定值
m0_67402341的博客
04-07 778
shiro中给某个接口添加权限的两种方法,若没有权限则返回特定值 1、在ShiroConfig中的ShiroFilterFactoryBean这个bean中添加过滤器,在过滤器中对接口添加访问权限 1> 添加访问权限 Map<String, String> filterMap = new LinkedHashMap<>(); filterMap.put("/user/add", "perms[user:add]"); //授权 shiroFilterFactoryBean.
(六)授权(下):自定义permission
weixin_33733810的博客
11-15 396
一、Authorizer、PermissionResolver及RolePermissionResolver Authorizer的职责是进行授权(访问控制),是Shiro API中授权核心的入口点,其提供了相应的角色/权限判断接口,具体请参考其Javadoc。SecurityManager继承了Authorizer接口,且提供了ModularRealmAuthorizer用于多Realm时的授...
springboot-shiro用户登录鉴权
weixin_47681367的博客
12-11 667
springboot-shiro用户登录鉴权;重定向login.jsp
springboot整合Shiro鉴权
qq_57323935的博客
01-29 243
shiro整合springboot之后的使用方法
鉴权 shiro realm
06-12
Shiro中,Realm是用于验证用户身份和授权的组件。Realm是一个接口,用于定义如何从数据源(如数据库、LDAP、文件...通过配置Shiro安全管理器的Realm属性,可以将自定义Realm与Shiro集成,实现对用户身份和权限的验证。
Shiro学习笔记(四)——shiro实现授权
驼君的小小博客园
02-07 377
授权概述 授权,也叫访问控制,即在应用中控制谁能访问哪些资源(如访问页面/编辑数据/页面操作等)。 在授权中需了解的几个关键对象:主体(Subject)、资源(Resource)、权限(Permission)、 角色(Role) 主体 主体,即访问应用的用户,在Shiro中使用Subject代表该用户。用户只有授权后才允许访问相应的资源。 资源 在应用中用户可以访问的任何东西,比如访问JS...
Shiro中的授权问题(二)
江南一点雨的专栏
03-21 5749
上篇博客(Shiro中的授权问题 )我们介绍了Shiro中最最基本的授权问题,以及常见的权限字符的匹配问题。但是这里边还有许多细节需要我们继续介绍,本节我们就来看看Shiro中授权的一些细节问题。验证流程首先我们要搞明白整个的验证流程是什么样子的。 在上篇博客(Shiro中的授权问题 )中,我们验证Subject是否具备某项权限的时候使用的是isPermitted方法,但是在上上篇博客(初识Shi
shiro学习--------shiro权限控制
qq_43719634的博客
05-15 472
1.简介 Apache Shiro™是一个功能强大且易于使用的Java安全框架,它执行身份验证、授权、加密和会话管理。通过Shiro易于理解的API,您可以快速轻松地保护任何应用程序——从最小的移动应用程序到最大的web和企业应用程序。 shiro官网 2.SE环境下测试 public static void main(String[] args) { //获取SecurityManager对象 DefaultSecurityManager defaultS
shiro进行权限控制的四种方式
m0_67402026的博客
04-07 6504
我们使用shiro进行权限控制 有以下几种方式 1. URL拦截权限控制:基于filter过滤器实现 我们在spring配置文件中配置shiroFilter时配置 /css/ = anon /js/ = anon /images/ = anon /validatecode.jsp = anon /login.jsp = anon /userActionlogin.action = anon /pagebasestaff.action = perms\["staff-
Shiro 基于权限授权的简单应用与授权注解
Charge8的博客
04-25 839
上篇文章有必要看一下:Shiro 基于角色授权的简单应用与权限过滤器配置含义 一、基于权限授权的简单应用 数据库: 用户admin, 只拥有角色 admin 和 user 与访问 /admin/userlist 的权限资源,如果 pid 为1和2,则两者都可访问。 1、spring.xml 在配置 shiro 的过滤器上,配置权限控制的拦截规则: ...
在前后端分离的SpringBoot项目中集成Shiro权限框架
热门推荐
Ian的博客
12-12 24万+
项目背景 公司在几年前就采用了前后端分离的开发模式,前端所有请求都使用ajax。这样的项目结构在与CAS单点登录等权限管理框架集成时遇到了很多问题,使得权限部分的代码冗长丑陋,CAS的各种重定向也使得用户体验很差,在前端使用vue-router管理页面跳转时,问题更加尖锐。于是我就在寻找一个解决方案,这个方案应该对代码的侵入较少,开发速度快,实现优雅。最近无意中看到springbo...
Shiro 学习笔记(5)—— 自定义权限解析器和角色解析器
李威威的博客
09-17 8178
Shiro 学习笔记(5)—— 自定义角色权限解析器步骤1:实现 Permission 接口public class MyPermission implements Permission { private String resourceId; private String operator; private String instanceId; // 这里为了说明问题,
shiro分布式鉴权
08-11
Shiro分布式鉴权是指在分布式系统中使用Shiro进行身份验证和授权的过程。对于这个问题,可以参考引用和引用中提供的相关文档和示例代码来实现Shiro分布式鉴权的功能。首先,可以查看jsets-shiro-spring-boot-starter项目详情以了解如何在Spring Boot项目中集成Shiro。并且可以参考jsets-shiro-demo示例源码来了解如何在具体项目中应用Shiro进行鉴权。另外,可以查看使用说明来了解jsets-shiro-spring-boot-starter的具体使用方法。引用中提到了一种防止重放攻击的方法,通过将token的ID放入缓存(如redis、memcached)进行阅后即焚或销毁缓存来确保token只能使用一次。这是一种常见的防止重放攻击的解决方案。通过这些参考资料,你可以更好地理解和实践Shiro分布式鉴权的方案。123 #### 引用[.reference_title] - *1* *2* [shiro jwt 构建无状态分布式鉴权体系](https://blog.csdn.net/wj596/article/details/84914572)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] - *3* [分布式鉴权之JWT整合shiro](https://blog.csdn.net/weixin_43769053/article/details/107643606)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] [ .reference_list ]
评论 12
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值