Apache Shiro 角色和权限

最新推荐文章于 2024-08-20 16:00:00 发布
最新推荐文章于 2024-08-20 16:00:00 发布
阅读量1.1w 收藏 5
点赞数 3
分类专栏: apache shiro学习笔记

本文转载自 《跟我学Shiro

授权,也叫访问控制,即在应用中控制谁能访问哪些资源(如访问页面/编辑数据/页面操作等)。在授权中需了解的几个关键对象:主体(Subject)、资源(Resource)、权限(Permission)、角色(Role)。

主体

主体,即访问应用的用户,在Shiro中使用Subject代表该用户。用户只有授权后才允许访问相应的资源。

资源

在应用中用户可以访问的任何东西,比如访问JSP页面、查看/编辑某些数据、访问某个业务方法、打印文本等等都是资源。用户只要授权后才能访问。

权限

安全策略中的原子授权单位,通过权限我们可以表示在应用中用户有没有操作某个资源的权力。即权限表示在应用中用户能不能访问某个资源,如:

访问用户列表页面

查看/新增/修改/删除用户数据(即很多时候都是CRUD(增查改删)式权限控制)

打印文档等等。。。

 

如上可以看出,权限代表了用户有没有操作某个资源的权利,即反映在某个资源上的操作允不允许,不反映谁去执行这个操作。所以后续还需要把权限赋予给用户,即定义哪个用户允许在某个资源上做什么操作(权限),Shiro不会去做这件事情,而是由实现人员提供。

 

Shiro支持粗粒度权限(如用户模块的所有权限)和细粒度权限(操作某个用户的权限,即实例级别的),后续部分介绍。

角色

角色代表了操作集合,可以理解为权限的集合,一般情况下我们会赋予用户角色而不是权限,即这样用户可以拥有一组权限,赋予权限时比较方便。典型的如:项目经理、技术总监、CTO、开发工程师等都是角色,不同的角色拥有一组不同的权限。

隐式角色:即直接通过角色来验证用户有没有操作权限,如在应用中CTO、技术总监、开发工程师可以使用打印机,假设某天不允许开发工程师使用打印机,此时需要从应用中删除相应代码;再如在应用中CTO、技术总监可以查看用户、查看权限;突然有一天不允许技术总监查看用户、查看权限了,需要在相关代码中把技术总监角色从判断逻辑中删除掉;即粒度是以角色为单位进行访问控制的,粒度较粗;如果进行修改可能造成多处代码修改。

显示角色:在程序中通过权限控制谁能访问某个资源,角色聚合一组权限集合;这样假设哪个角色不能访问某个资源,只需要从角色代表的权限集合中移除即可;无须修改多处代码;即粒度是以资源/实例为单位的;粒度较细。

 

 

请google搜索“RBAC”和“RBAC新解”分别了解“基于角色的访问控制”“基于资源的访问控制(Resource-Based Access Control)”。


3.1 角色查询

Shiro支持三种方式的授权:

 

编程式:通过写if/else授权代码块完成: 

public void login(String iniPath,String username,String password){
		 //1、获取SecurityManager工厂,此处使用Ini配置文件初始化SecurityManager  
	    Factory<org.apache.shiro.mgt.SecurityManager> factory =  
	            new IniSecurityManagerFactory(iniPath);  
	    //2、得到SecurityManager实例 并绑定给SecurityUtils  
	    org.apache.shiro.mgt.SecurityManager securityManager = factory.getInstance();  
	    SecurityUtils.setSecurityManager(securityManager);  
	    //3、得到Subject及创建用户名/密码身份验证Token(即用户身份/凭证)  
	    Subject subject = SecurityUtils.getSubject(); 
	    UsernamePasswordToken token = new UsernamePasswordToken(username, password); 
	    try {  
	        //4、登录,即身份验证  
	        subject.login(token);
	      <span style="color:#ff0000;">  //5、角色,即角色查询
	        if(subject.hasRole("admin")) {  
	            //有权限  
	        	System.out.println("当前用户拥有admin权限");
	        } else {  
	            //无权限  
	        	System.out.println("当前用户没有admin权限");
	        }  </span>
	       
	    } catch (AuthenticationException e) {  
	        //5、身份验证失败  
	    	System.out.println("身份验证失败");
	    }finally{
	    	//6、退出  
	    	subject.logout(); 	    
	    }	   
	}
	
	public static void main(String[] args){
		Authorization authorization = new Authorization();
		authorization.login("classpath:shiro.ini","zhang","123456");
	}
注解式:通过在执行的Java方法上放置相应的注解完成:  
@RequiresRoles("admin")
public void hello() {
    //有权限
} 
没有权限将抛出相应的异常;

SP/GSP标签:在JSP/GSP页面通过相应的标签完成: 

<shiro:hasRole name="admin">
<!— 有权限 —>
</shiro:hasRole> 



3.2 角色授权

基于角色的访问控制(隐式角色)

 

1、在ini配置文件配置用户拥有的角色(shiro-role.ini) 

[users]
zhang=123456
规则即:“用户名=密码,角色1,角色2”,如果需要在应用中判断用户是否有相应角色,就需要在相应的Realm中返回角色信息,也就是说Shiro不负责维护用户-角色信息,需要应用提供,Shiro只是提供相应的接口方便验证,后续会介绍如何动态的获取用户角色。 

package com.shiro.authentication;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.util.Factory;

public class Authorization {	

	/**
	 * 
	 * @param iniPath
	 * @param username
	 * @param password
	 */

	public void annotation(String iniPath, String username, String password) {
		// 1、获取SecurityManager工厂,此处使用Ini配置文件初始化SecurityManager
		Factory<org.apache.shiro.mgt.SecurityManager> factory = new IniSecurityManagerFactory(iniPath);
		// 2、得到SecurityManager实例 并绑定给SecurityUtils
		org.apache.shiro.mgt.SecurityManager securityManager = factory.getInstance();
		SecurityUtils.setSecurityManager(securityManager);
		// 3、得到Subject及创建用户名/密码身份验证Token(即用户身份/凭证)
		Subject subject = SecurityUtils.getSubject();
		UsernamePasswordToken token = new UsernamePasswordToken(username, password);
		try {
			// 4、登录,即身份验证
			subject.login(token);
		} catch (AuthenticationException e) {
			// 5、身份验证失败
			System.out.println("身份验证失败");
		}
	}

	/**
	 * 返回当前Subject 对象
	 * 
	 * @return
	 */
	public static Subject getsubject() {
		return SecurityUtils.getSubject();
	}

	public static void main(String[] args) {
		Authorization authorization = new Authorization();		
		authorization.annotation("classpath:shiro.ini", "zhang", "123456");
		//判断当前对象Subject 是否包含"role1"角色
	<span style="color:#ff0000;">	boolean hasRole=getsubject().hasRole("role1");
		if(hasRole){
			System.out.println("当前用户Object,拥有role1角色");
		}else{
			System.out.println("当前用户Object,没有role1角色");
		}</span>
		
	}

}
Shiro提供了hasRole/hasRole用于判断用户是否拥有某个角色/某些权限;但是没有提供如hashAnyRole用于判断是否有某些权限中的某一个。  


package com.shiro.authentication;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.authz.UnauthorizedException;
import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.util.Factory;

public class Authorization {	

	/**
	 * 
	 * @param iniPath
	 * @param username
	 * @param password
	 */

	public void annotation(String iniPath, String username, String password) {
		// 1、获取SecurityManager工厂,此处使用Ini配置文件初始化SecurityManager
		Factory<org.apache.shiro.mgt.SecurityManager> factory = new IniSecurityManagerFactory(iniPath);
		// 2、得到SecurityManager实例 并绑定给SecurityUtils
		org.apache.shiro.mgt.SecurityManager securityManager = factory.getInstance();
		SecurityUtils.setSecurityManager(securityManager);
		// 3、得到Subject及创建用户名/密码身份验证Token(即用户身份/凭证)
		Subject subject = SecurityUtils.getSubject();
		UsernamePasswordToken token = new UsernamePasswordToken(username, password);
		try {
			// 4、登录,即身份验证
			subject.login(token);
		} catch (AuthenticationException e) {
			// 5、身份验证失败
			System.out.println("身份验证失败");
		}
	}

	/**
	 * 返回当前Subject 对象
	 * 
	 * @return
	 */
	public static Subject getsubject() {
		return SecurityUtils.getSubject();
	}

	public static void main(String[] args) {
		Authorization authorization = new Authorization();		
		authorization.annotation("classpath:shiro.ini", "zhang", "123456");
		//判断当前对象Subject 是否包含"role1"角色
		boolean hasRole=getsubject().hasRole("role1");
		if(hasRole){
			System.out.println("当前用户Object,拥有role1角色");
		}else{
			System.out.println("当前用户Object,没有role1角色");
		}
		
		//检查当前对象Subject 是否包含"role1"角色[提示:当当前用户Subject,不包含"role1"角色,会提示UnauthorizedException异常]
	<span style="color:#ff0000;">	try{
			getsubject().checkRole("role1");
		}catch(UnauthorizedException e){
			System.out.println("异常抛出:"+e.getMessage());
		}</span>	
	}
}

Shiro提供的checkRole/checkRoles和hasRole/hasAllRoles不同的地方是它在判断为假的情况下会抛出UnauthorizedException异常。

 

到此基于角色的访问控制(即隐式角色)就完成了,这种方式的缺点就是如果很多地方进行了角色判断,但是有一天不需要了那么就需要修改相应代码把所有相关的地方进行删除;这就是粗粒度造成的问题。

基于资源的访问控制(显示角色)

1、在ini配置文件配置用户拥有的角色及角色-权限关系(shiro-permission.ini) 

[users]
zhang=123,role1
[roles]
role1=user:create,user:update
规则:“用户名=密码,角色1,角色2”“角色=权限1,权限2”,即首先根据用户名找到角色,然后根据角色再找到权限;即角色是权限集合;Shiro同样不进行权限的维护,需要我们通过Realm返回相应的权限信息。只需要维护“用户——角色”之间的关系即可 

package com.shiro.authentication;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.authz.UnauthorizedException;
import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.util.Factory;

public class Authorization {	

	/**
	 * 
	 * @param iniPath
	 * @param username
	 * @param password
	 */

	public void annotation(String iniPath, String username, String password) {
		// 1、获取SecurityManager工厂,此处使用Ini配置文件初始化SecurityManager
		Factory<org.apache.shiro.mgt.SecurityManager> factory = new IniSecurityManagerFactory(iniPath);
		// 2、得到SecurityManager实例 并绑定给SecurityUtils
		org.apache.shiro.mgt.SecurityManager securityManager = factory.getInstance();
		SecurityUtils.setSecurityManager(securityManager);
		// 3、得到Subject及创建用户名/密码身份验证Token(即用户身份/凭证)
		Subject subject = SecurityUtils.getSubject();
		UsernamePasswordToken token = new UsernamePasswordToken(username, password);
		try {
			// 4、登录,即身份验证
			subject.login(token);
		} catch (AuthenticationException e) {
			// 5、身份验证失败
			System.out.println("身份验证失败");
		}
	}

	/**
	 * 返回当前Subject 对象
	 * 
	 * @return
	 */
	public static Subject getsubject() {
		return SecurityUtils.getSubject();
	}

	public static void main(String[] args) {
		Authorization authorization = new Authorization();		
		authorization.annotation("classpath:shiro.ini", "zhang", "123456");
//		//判断当前对象Subject 是否包含"role1"角色
//		boolean hasRole=getsubject().hasRole("role1");
//		if(hasRole){
//			System.out.println("当前用户Object,拥有role1角色");
//		}else{
//			System.out.println("当前用户Object,没有role1角色");
//		}
//		
//		//检查当前对象Subject 是否包含"role1"角色[提示:当当前用户Subject,不包含"role1"角色,会提示UnauthorizedException异常]
//		try{
//			getsubject().checkRole("role1");
//		}catch(UnauthorizedException e){
//			System.out.println("异常抛出:"+e.getMessage());
//		}
		
		//检查当前对象Subject 是否包含"role1"角色且该角色拥有"user.add"权限[提示:当前用户Subject,不包含"user.add"权限,会提示UnauthorizedException异常]
		try{
			getsubject().checkPermission("user.add");
			System.out.println("当前Subject 包含user.add权限");
			getsubject().checkPermission("user.delete");
			System.out.println("当前Subject 包含user.delete权限");
		}catch(UnauthorizedException e){
			System.out.println("异常抛出:"+e.getMessage());
		}
		
		
	}

}
Shiro提供了isPermitted和isPermittedAll用于判断用户是否拥有某个权限或所有权限,也没有提供如isPermittedAny用于判断拥有某一个权限的接口。

注意:但是失败的情况下会抛出UnauthorizedException异常。

到此基于资源的访问控制(显示角色)就完成了,也可以叫基于权限的访问控制,这种方式的一般规则是“资源标识符:操作”,即是资源级别的粒度;这种方式的好处就是如果要修改基本都是一个资源级别的修改,不会对其他模块代码产生影响,粒度小。但是实现起来可能稍微复杂点,需要维护“用户——角色,角色——权限(资源:操作)”之间的关系。  

3.3 Permission

字符串通配符权限

规则:“资源标识符:操作:对象实例ID”  即对哪个资源的哪个实例可以进行什么操作。其默认支持通配符权限字符串,“:”表示资源/操作/实例的分割;“,”表示操作的分割;“*”表示任意资源/操作/实例。

  

1、单个资源单个权限 

Java代码   收藏代码
  1. subject().checkPermissions("system:user:update");  

用户拥有资源“system:user”的“update”权限。

 

2、单个资源多个权限

ini配置文件 

Java代码   收藏代码
  1. role41=system:user:update,system:user:delete  

然后通过如下代码判断

Java代码   收藏代码
  1. subject().checkPermissions("system:user:update""system:user:delete");  

用户拥有资源“system:user”的“update”和“delete”权限。如上可以简写成:

 

ini配置(表示角色4拥有system:user资源的update和delete权限)   

Java代码   收藏代码
  1. role42="system:user:update,delete"    

 接着可以通过如下代码判断 

Java代码   收藏代码
  1. subject().checkPermissions("system:user:update,delete");  

通过“system:user:update,delete”验证"system:user:update, system:user:delete"是没问题的,但是反过来是规则不成立。

 

3、单个资源全部权限

ini配置 

Java代码   收藏代码
  1. role51="system:user:create,update,delete,view"  

然后通过如下代码判断 

Java代码   收藏代码
  1. subject().checkPermissions("system:user:create,delete,update:view");  

用户拥有资源“system:user”的“create”、“update”、“delete”和“view”所有权限。如上可以简写成:

 

ini配置文件(表示角色5拥有system:user的所有权限)

Java代码   收藏代码
  1. role52=system:user:*  

也可以简写为(推荐上边的写法):

Java代码   收藏代码
  1. role53=system:user  

然后通过如下代码判断

Java代码   收藏代码
  1. subject().checkPermissions("system:user:*");  
  2. subject().checkPermissions("system:user");   

通过“system:user:*”验证“system:user:create,delete,update:view”可以,但是反过来是不成立的。

 

4、所有资源全部权限

ini配置 

Java代码   收藏代码
  1. role61=*:view  

然后通过如下代码判断

Java代码   收藏代码
  1. subject().checkPermissions("user:view");  

用户拥有所有资源的“view”所有权限。假设判断的权限是“"system:user:view”,那么需要“role5=*:*:view”这样写才行。

 

5、实例级别的权限

5.1、单个实例单个权限

ini配置

Java代码   收藏代码
  1. role71=user:view:1  

对资源user的1实例拥有view权限。

然后通过如下代码判断 

Java代码   收藏代码
  1. subject().checkPermissions("user:view:1");  

 

5.2、单个实例多个权限

ini配置           

Java代码   收藏代码
  1. role72="user:update,delete:1"  

对资源user的1实例拥有update、delete权限。

然后通过如下代码判断

Java代码   收藏代码
  1. subject().checkPermissions("user:delete,update:1");  
  2. subject().checkPermissions("user:update:1""user:delete:1");   

  

5.3、单个实例所有权限

ini配置  

Java代码   收藏代码
  1. role73=user:*:1  

对资源user的1实例拥有所有权限。

然后通过如下代码判断 

Java代码   收藏代码
  1. subject().checkPermissions("user:update:1""user:delete:1""user:view:1");  

   

5.4、所有实例单个权限

ini配置 

Java代码   收藏代码
  1. role74=user:auth:*  

对资源user的1实例拥有所有权限。

然后通过如下代码判断 

Java代码   收藏代码
  1. subject().checkPermissions("user:auth:1""user:auth:2");  

  

5.5、所有实例所有权限

ini配置 

Java代码   收藏代码
  1. role75=user:*:*  

对资源user的1实例拥有所有权限。

然后通过如下代码判断     

Java代码   收藏代码
  1. subject().checkPermissions("user:view:1""user:auth:2");  

  

6、Shiro对权限字符串缺失部分的处理

如“user:view”等价于“user:view:*”;而“organization”等价于“organization:*”或者“organization:*:*”。可以这么理解,这种方式实现了前缀匹配。

另外如“user:*”可以匹配如“user:delete”、“user:delete”可以匹配如“user:delete:1”、“user:*:1”可以匹配如“user:view:1”、“user”可以匹配“user:view”或“user:view:1”等。即*可以匹配所有,不加*可以进行前缀匹配;但是如“*:view”不能匹配“system:user:view”,需要使用“*:*:view”,即后缀匹配必须指定前缀(多个冒号就需要多个*来匹配)。

 

7、WildcardPermission

如下两种方式是等价的:  

Java代码   收藏代码
  1. subject().checkPermission("menu:view:1");  
  2. subject().checkPermission(new WildcardPermission("menu:view:1"));   

因此没什么必要的话使用字符串更方便。

 

8、性能问题

通配符匹配方式比字符串相等匹配来说是更复杂的,因此需要花费更长时间,但是一般系统的权限不会太多,且可以配合缓存来提供其性能,如果这样性能还达不到要求我们可以实现位操作算法实现性能更好的权限匹配。另外实例级别的权限验证如果数据量太大也不建议使用,可能造成查询权限及匹配变慢。可以考虑比如在sql查询时加上权限字符串之类的方式在查询时就完成了权限匹配。 

 

3.4 授权流程


流程如下:

1、首先调用Subject.isPermitted*/hasRole*接口,其会委托给SecurityManager,而SecurityManager接着会委托给Authorizer;

2、Authorizer是真正的授权者,如果我们调用如isPermitted(“user:view”),其首先会通过PermissionResolver把字符串转换成相应的Permission实例;

3、在进行授权之前,其会调用相应的Realm获取Subject相应的角色/权限用于匹配传入的角色/权限;

4、Authorizer会判断Realm的角色/权限是否和传入的匹配,如果有多个Realm,会委托给ModularRealmAuthorizer进行循环判断,如果匹配如isPermitted*/hasRole*会返回true,否则返回false表示授权失败。


ModularRealmAuthorizer进行多Realm匹配流程:

1、首先检查相应的Realm是否实现了实现了Authorizer;

2、如果实现了Authorizer,那么接着调用其相应的isPermitted*/hasRole*接口进行匹配;

3、如果有一个Realm匹配那么将返回true,否则返回false。

 

如果Realm进行授权的话,应该继承AuthorizingRealm,其流程是:

1.1、如果调用hasRole*,则直接获取AuthorizationInfo.getRoles()与传入的角色比较即可;

1.2、首先如果调用如isPermitted(“user:view”),首先通过PermissionResolver将权限字符串转换成相应的Permission实例,默认使用WildcardPermissionResolver,即转换为通配符的WildcardPermission;

2、通过AuthorizationInfo.getObjectPermissions()得到Permission实例集合;通过AuthorizationInfo. getStringPermissions()得到字符串集合并通过PermissionResolver解析为Permission实例;然后获取用户的角色,并通过RolePermissionResolver解析角色对应的权限集合(默认没有实现,可以自己提供);

3、接着调用Permission. implies(Permission p)逐个与传入的权限比较,如果有匹配的则返回true,否则false。










在奋斗的大道
关注
专栏目录
Shiro 权限处理(自我学习版)
m0_56532446的博客
05-06 1220
Shiro初步学习了解基础理论以及和SpringBoot整合
SpringBoot + Apache Shiro1.9.1 最新版本详细教程,基于RBAC角色访问、安全管理框架、用户角色权限
07-26
0、重点!重点!...1、本教程适用所有开发人员简单易懂,结合文章教程与demo示例。...5、基于RBAC五张表:用户表 tb_user、角色表tb_role、权限表tb_permission、用户角、表tb_user_role、角色权限tb_role_permissio
shiro角色配置
chen1218chen的专栏
07-05 5375
角色验证 数据库表 roles user indexjsp 配置文件 myRealm 角色验证数据库表 tuser:用户表 uid + uname + upassword roles:角色表 rid + rname user_to_role:用户角色表,hibernate会自动建立 user_id + role_id roles@Entity @Table(name = "roles",
Java Apache Shiro 入门指南
最新发布
java专栏
08-20 335
我们将在上面的基础上添加权限控制的功能。以下是修改后的shiro.ini[main]# 指定 Realm# 设置默认的登录 URL# 设置未授权的 URL[users]# 用户名: 密码: 角色[roles]# 角色: 权限[urls]通过以上的步骤,我们已经了解了如何使用 Apache Shiro 来实现用户登录和权限控制。Shiro 是一个非常强大的工具,支持多种复杂的安全功能。你可以根据需要添加更多的安全机制,以满足各种安全需求。
apache mesos 角色
xiaomin1991222的专栏
01-04 215
mesos根据角色(ROLE)在不同的framework之间分配资源,在启动master时可以指定系统中的角色和每种角色的权重,例如: mesos-master --ip=127.0.0.1 --work_dir=/var/lib/mesos --roles=qarole,devrole --weights='qarole=1,devrole=3' 指定了两种角色parole和devrole...
shiro角色配置,一图看清楚!
neymar_jr的博客
01-07 755
看下图,配文字,说得比较清楚了。欢迎留言~
创建和使用 apache 角色
moyuan_4s的博客
01-10 302
student@workstation ansible]$ ansible-playbook /home/student/ansible/newrole.yml ## 记得回到ansible目录下执行playbook。其中,HOSTNAME 是受管节点的完全限定域名,IPADDRESS 则是受管节点的 IP 地址。- name: user templates ## 按题要求,使用模板模块拷贝文件。要求在所有受管主机生成文件:/etc/welcome.txt。1、jinjia2模板。
Apache Shiro权限框架实战+项目案例视频课程
06-09
3. **授权机制**:学习Shiro权限控制,如Role(角色)和Permission(权限)的概念,以及基于角色的访问控制(RBAC)。 4. **会话管理**:掌握如何使用Shiro管理用户的会话,包括会话超时、分布式会话支持等。 5....
Apache Shiro教程
12-30
Apache Shiro是一个强大的Java安全框架,它为应用程序提供了身份验证、授权、会话管理和加密等功能。这个教程将帮助你深入理解和有效地使用Shiro框架。在本文中,我们将详细探讨Shiro的核心概念、主要功能和常见用法...
apache shiro 管理用户权限与数据库交互
02-10
Apache Shiro为Java应用程序提供了全面的安全解决方案,特别是在管理用户权限和与数据库交互方面。通过定义清晰的URL规则,Shiro可以轻松地控制不同角色对系统资源的访问。同时,利用`JdbcRealm`,Shiro能够无缝地...
Apache shiro权限控制基础配置代码
04-15
在本文中,我们将深入探讨Apache Shiro的基础配置和代码实现,以帮助你理解如何有效地使用Shiro进行权限控制。 **1. Shiro架构组件** Shiro的核心组件包括:Subject、Realms、Caches、Session Manager、...
最新协同软件源代码60页(包括核心代码,不过不是全部代码)
05-02
最新协同软件源代码,60页,每页代码量都在50页上。不过已经申请软件著作权。
SSM+Shiro+Bootstrap实现权限整合(信息管理系统)
01-25
IMS:信息管理系统,基于SSM+Shiro+Bootstrap开发,包含用户管理、角色管理、权限管理(权限树)、系统管理等模块。其他功能:注册邮件校验、发送邮件找回密码、系统性能监控。系统截图请参照“东云网”小编博客。
Spring+SpringMVC+Mybatis+AdminLTE(BootStrap) +Shiro整合项目
11-23
帮助新手同学搭建了一个开发环境,项目用maven管理。集成了Spring4.0.6,SpringMvc,Mybatis3.2.7重要的是集成了目前比较流行的前端框架AdminLTE。并且对AdminLTE首页进行了框架式的处理。欢迎下载使用。
shrio实现自定义的角色自定义filter
Jz_Stu的博客
08-02 301
bug: 使用shiro对某一个接口路径进行角色限制的时候,发现只要设置了多角色之后权限失效的问题。 shiro配置的部分代码如下: //DefaultFilter @Bean("shiroFilter") public ShiroFilterFactoryBean shiroFilter(@Qualifier("securityManager") SecurityManager securityManager){ System.out.println("shiroFilt
Apache Shiro身份验证功能-04
javaZhong的博客
04-24 211
Apache Shiro身份验证功能 身份验证是身份验证的过程 - 您试图验证用户是否是他们所说的人。为此,用户需要提供系统理解和信任的某种身份证明。 Shiro框架旨在使身份验证尽可能干净和直观,同时提供丰富的功能。以下是Shiro身份验证功能的一个亮点。 特征 基于主题- 您在Shiro中执行的几乎所有操作都基于当前正在执行的用户,称为主题。您可以轻松地在代码中的任何位置检索主题...
Shiro角色权限验证
qq_35752835的博客
12-17 287
需要开启Shiro注解 先前已经配置过了 //开启Shrio注解 @Bean public AuthorizationAttributeSourceAdvisor getAuthorizationAttributeSourceAdvisor(UserRealm userRealm){ AuthorizationAttributeSourceAdvisor aasa = new AuthorizationAttributeSourceAdvisor(); aas
shiro角色( roles)自定义Filter----同一个URL配置多个角色的或关系
热门推荐
直到世界的尽头
03-08 1万+
情况介绍roles:正常情况下URL路径的拦截设置如下:/admins/user/**=roles[admin]参数可以写多个,多个时必须加上引号,并且参数之间用逗号分割,当有多个参数时,例如/admins/user/**=roles["admin,guest"]但是这个设置方法是需要每个参数满足才算通过,相当于hasAllRoles()方法。也就是我们的角色必须同时拥有admin和guest权限
通俗易懂的Shiro教程(含配套资料)
07-21
本教程为授权出品教程Apache Shiro 是目前使用率较高的一个 Java 安全框架。本视频基于 Shiro 的新版本 1.3.2 录制。内容涵盖 Shiro 认证、加密、授权、安全标签、安全注解、会话管理、缓存、Rememberme 等 JavaEE 企业级开发的核心技术。视频讲授过程中通过分析源代码使学员知其然更知其所以然。
Apache Shiro入门教程:权限角色控制解析
"这篇自学笔记主要介绍了Apache Shiro框架,包括其基本概念、身份认证、权限授权、Web集成以及URL匹配规则,旨在帮助读者掌握如何使用Shiro进行权限角色控制。" Apache Shiro是一个全面的Java安全框架,提供身份...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值