Shiro拦截器给方法授权,赋访问权限

最新推荐文章于 2025-05-31 11:33:00 发布
最新推荐文章于 2025-05-31 11:33:00 发布
阅读量1.1k 收藏 1
点赞数 2
CC 4.0 BY-SA版权
分类专栏: 【框架篇】SpringCloud分布式框架详解和技术搭建 文章标签: Shiro 拦截器 赋权限
未经原作者允许不得转载本文内容,否则将视为侵权。转载或者引用本文内容请注明来源及原作者。谢谢!
本文链接:https://blog.youkuaiyun.com/SpringCYB/article/details/88990636
本文介绍如何使用Shiro框架实现基于角色的权限管理。通过配置ShiroConfig类重写授权方法,从数据库查询用户权限,并利用@RequiresPermissions注解限制访问权限。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

ShiroConfig配置类重写授权方法:


    //授权方法
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principal) {
        //从session中获取到当前登录的用户对象
        //Object principal = SecurityUtils.getSubject().getPrincipal();
        UserBean primaryPrincipal = (UserBean) principal.getPrimaryPrincipal();
        //后台数据库查询是否由此字段并返回权限字
        List<String> powerList = userService.queryPowerKeyByUserId(primaryPrincipal.getId());  
        //List<String> objects = new ArrayList<>();
        //赋权限
        //objects.add("user:findUserList");
        //创建一个授权器
        SimpleAuthorizationInfo sai = new SimpleAuthorizationInfo();
        sai.addStringPermissions(powerList);
        return sai;
    }

Mapper层根据sql查询出权限字:

    @Select("select distinct pm.remark from t_user_role ur,t_role_power rp,t_power_menu pm         where ur.roleid = rp.roleid\n" +
            "            and rp.powerid = pm.powerId\n" +
            "            and ur.userid = #{value}")
    List<String> queryPowerKeyByUserId(Integer  id);

给你的方法加一个注解@RequiresPermissions("user:findUserList")(权限字)

    // 分页用户查询
    @RequiresPermissions("user:findUserList")
    @RequestMapping("findUserList")
    @ResponseBody
    public EasyuiPage findUserList(Integer page, Integer rows, UserBean userBean) {
        return userService.findUser(page, rows, userBean);
    }

如果你从后台查出的权限字和@RequiresPermissions中的权限字一致,则必须给用户赋权限才可以访问,否则无法访问。

MySql remark字段:

Spring Boot入门教程(二十五): Apache Shiro
人不风流枉少年
04-05 891
shiro
Shiro安全框架——【快速入门、登录拦截、用户认证、请求授权
2401_83329718的博客
04-17 585
由于文案过于长,在此就不一一介绍了,这份Java后端架构进阶笔记内容包括:Java集合,JVM、Java并发、微服务、SpringNetty与 RPC 、网络、日志 、Zookeeper 、Kafka 、RabbitMQ 、Hbase 、MongoDB、Cassandra 、Java基础、负载均衡、数据库、一致性算法、Java算法、数据结构、分布式缓存等等知识详解。本知识体系适合于所有Java程序员学习,关于以上目录中的知识点都有详细的讲解及介绍,掌握该知识点的所有内容对你会有一个质的提升,
Shiro讲解与实践——实现用户认证、授权、拦截,以及整合Mybatis+Thymeleaf
西瓜的博客
11-06 565
Shiro讲解与实践 下载本文的shiro实战完整代码链接:https://download.youkuaiyun.com/download/shooter7/37712708 说明 shiro讲解与实践,主要用于实现以下的功能: 用户认证、授权 权限限制 记住我、首页定制 登录拦截 整合Mybatis 整合Thymeleaf shiro 1.1 什么是shiro? Apache shiro 是一个Java的安全(权限)框架。 shiro可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以
Shiro权限使用大全
你好, 我在学java的博客
05-31 914
Apache Shiro是一个强大且易用的Java安全框架,提供了认证、授权、加密和会话管理等功能。在本系统中,Shiro主要用于实现权限控制,保护系统资源不被未授权的用户访问
Shiro 自定义登陆、授权拦截器
weixin_30810583的博客
11-23 349
Shiro 登陆、授权、拦截 按钮权限控制 一、目标 Maven+Spring+shiro 自定义登陆、授权 自定义拦截器 加载数据库资源构建拦截链 使用总结: 1、需要设计的数据库:用户、角色、权限、资源 2、可以通过,角色,权限,两个拦截器同时确定是否能访问 3、角色与权限的关系,role1=permission1,permission2,多级的...
Shiro框架的认证拦截实现
m0_38024455的博客
11-24 399
** Shiro框架的认证拦截实现 这篇博客是关于使用shiro框架实现用户未登录的状态下跳转到登录页面提示其登录 shiro框架简介 Shiro是apache旗下一个开源安全框架,它将软件系统的安全认证相关的功能抽取出来,实现用户身份认证,权限授权、加密、会话管理等功能,组成了一个通用的安全认证框架。使用shiro就可以非常快速的完成认证、授权等功能的开发,降低系统成本。 详细架构 Subje...
shiro概述(三)拦截器
w_t_y_y的博客
12-14 1912
也就是说一次请求只会走一次拦截器链;另外提供enabled属性,表示是否开启该拦截器实例,默认enabled=true表示开启,如果不想让某个拦截器工作,可以设置为false即可。当我们组装拦截器链时会根据这个名字找到相应的拦截器实例;4、AdviceFilter:提供了AOP风格的支持,类似于SpringMVC中的Interceptor。3、ShiroFilter:是整个Shiro的入口点,用于拦截需要安全控制的请求进行处理。一、介绍:shiro使用了与servlet一样的Filter进行接口扩展。
Shiro授权(Authorization)
qq_49670207的博客
09-19 820
Shiro授权(Authorization)术语简介授权主体资源权限 术语简介 授权 授权,也叫访问控制,即在应用中控制谁能访问哪些资源(如访问页面/编辑数据/页面操作等)。在授权中需了解的几个关键对象:主体(Subject)、资源(Resource)、权限(Permission)、角色(Role)。 主体 主体,即访问应用的用户,在Shiro中使用Subject代表该用户,用户只有授权后才允许访问相应的资源。 资源 在应用中用户可以访问的任何东西,比如访问JSP页面、查看/编辑某些数据、访问某个业务方法
Shiro权限框架快速上手
qq_46680783的博客
01-05 284
Shiro权限框架 概述 Shiro 可以帮助我们完成:认证(登录)、授权(访问控制)、密码加密、会话管理、与 Web 集成、缓存等 Shiro 主要组件: Subject:主体可以是当前的操作用户、程序等,在程序任意位置可使用:Subject subject = SecurityUtils.getSubject() 获取到 Subject 主体对象 SecurityManager:它是 Shiro 功能实现的核心,负责与其他组件(认证器,授权器,缓存控制器等)进行交互,实现 Subject 委托的各种功能
Java研学-Shiro安全框架(五)
zhlyxx的博客
08-26 1698
/ 自定义异常(向让用户看到的)// 异常也分为页面异常和 ajax 请求的异常。// ajax 请求try {} else{// 页面请求// 系统异常(不想让用户看到的)// 异常也分为页面异常和 ajax 请求的异常。// ajax 请求try {response.getWriter().write(new ObjectMapper().writeValueAsString(new JsonResult(false,"系统繁忙,请联系管理员")));
【springcloud】--zuul+Shiro搭建
寻梦友的博客
01-23 1240
目录一、说明二、代码实现三、基本组件完整架构实现四、zuul+Shiro实现 一、说明 Zuul的主要功能是路由转发和过滤器。路由功能是微服务的一部分。 二、代码实现 引用jar包 <!--zuul --> <dependency> <groupId>org.springframework.cloud</groupId> <artifactId>spring-cloud-starter-netflix-zuul</artif
shiro的执行流程
qq_41782949的博客
06-27 911
一、web.xml 中配置: <filter> <filter-name>shiroFilter</filter-name> <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class> <async-s...
Shiro授权
zhouym_的博客
07-28 170
1、授权的概念 对资源访问管理的控制,即对认证通过的用户授予可以访问那些资源的权限 2、授权的三种实现方式 通过逻辑代码实现 Subject subject = SecurityUtils.getSubject(); if(subject.hasRole("管理员")){ //表示有权限,可以访问权限具有的资源 }else{ //表示未有权限访问不了没有权限的资源 } 通过注解方式实现 @...
Shiro的三种授权(十二)
qq_35222843的博客
05-11 597
前提就是在Realm的授权方法中查询出权限并返回List<String>形式 @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { // 从 principals获取主身份信息 // 将getPrimaryPrincipal方法返回值转为真实身份类型(在上边的doGetAuthentication...
springmvc整个shiro实现Perms的权限认证(细粒度)(三)
xcc_2269861428的博客
07-14 9652
前言:上一篇文章讲述了如何使用角色url进行粗粒度验证。地址:https://blog.youkuaiyun.com/xcc_2269861428/article/details/95768417 这篇说下如何使用perms进行细粒度验证,已经我写代码过程中碰见的坑。 看下角色界面 我在数据库中分别为2个就是设置了perms权限 用户界面 图中可以看出,xcc是没有角色管理权限的,所以不...
Java整合Shiro使用详情
Nothing is impossible to a willing heart.
02-28 512
Java整合shiro使用详情
第七节 shiro自带的拦截器分析
大宇的博客,欢迎访问
01-30 3838
一、Shiro框架携带的拦截器 首先来温故一下最常见的shiro拦截器。anon表示不拦截,authc表示需要认证,roles表示需要某种角色,perms就更狠了,直接表明需要某种权限。ssl是https相关的拦截器,上次项目中客户要求以https方式启动项目,当时是项目经理配置的,我暂时还没有掌握这种拦截器。 anon:匿名拦截器,即不需要登录即可访问;一般用于静态资源过滤...
Shiro 作为应用的权限基础 三:基于注解实现的授权认证过程
热门推荐
时光在路上
10-31 1万+
授权访问控制,它将判断用户在应用程序中对资源是否拥有相应的访问权限。  如,判断一个用户有查看页面的权限,编辑数据的权限,拥有某一按钮的权限等等。    一、用户权限模型 为实现一个较为灵活的用户权限数据模型,通常把用户信息单独用一个实体表示,用户权限信息用两个实体表示。 用户信息用 LoginAccount 表示,最简单的用户信息可能只包含用户名 loginName 及密码
Shiro 基于权限授权的简单应用与授权注解
Charge8的博客
04-25 930
上篇文章有必要看一下:Shiro 基于角色授权的简单应用与权限过滤器配置含义 一、基于权限授权的简单应用 数据库: 用户admin, 只拥有角色 admin 和 user 与访问 /admin/userlist 的权限资源,如果 pid 为1和2,则两者都可访问。 1、spring.xml 在配置 shiro 的过滤器上,配置权限控制的拦截规则: ...
shiro拦截器
最新发布
07-16
Apache Shiro拦截器机制是其安全框架中的核心功能之一,用于控制对 Web 应用程序中资源的访问拦截器可以通过配置来实现不同的权限控制策略,包括认证、授权、拒绝访问等。 在 Shiro 中,拦截器的配置主要通过 `shiro.ini` 文件或 Java 配置类完成。以下是一个基于 `shiro.ini` 的典型配置示例: ```ini [main] # 定义一个拦截器,并设置属性 hostFilter = org.apache.shiro.web.filter.authz.HostFilter hostFilter.authorizedIps = 192.168.1.0/24 hostFilter.deniedIps = 10.0.0.1 [urls] # 使用定义的拦截器保护特定 URL /admin/** = hostFilter /login = authc /logout = logout /static/** = anon ``` 上述配置中,`hostFilter` 被用来限制 `/admin/**` 路径下的所有请求只能从指定的 IP 地址范围访问。`authorizedIps` 指定了允许访问的 IP 地址段,而 `deniedIps` 则指定了明确拒绝访问的 IP 地址 [^1]。 对于更复杂的场景,可以利用 Shiro 提供的一系列默认拦截器,例如: - `authc`:需要用户登录后才能访问。 - `anon`:匿名访问,不需要登录。 - `roles[role1, role2]`:要求用户具有指定的角色。 - `perms[file:read, file:write]`:要求用户拥有特定的权限 [^3]。 当使用 Spring Boot 整合 Shiro 时,可以通过创建自定义的 `ShiroConfig` 类来进行更加灵活的配置。下面是一个简单的 Java 配置示例: ```java @Configuration public class ShiroConfig { @Bean public ShiroFilterFactoryBean shirFilter(SecurityManager securityManager) { ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean(); shiroFilterFactoryBean.setSecurityManager(securityManager); // 设置登录的URL shiroFilterFactoryBean.setLoginUrl("/login"); // 设置未授权页面 shiroFilterFactoryBean.setUnauthorizedUrl("/error"); // 配置访问规则 Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>(); filterChainDefinitionMap.put("/admin/**", "roles[admin]"); filterChainDefinitionMap.put("/user/**", "authc"); filterChainDefinitionMap.put("/**", "anon"); shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap); return shiroFilterFactoryBean; } // 其他必要的 bean 配置... } ``` 此代码片段展示了如何在 Spring Boot 应用中配置 Shiro 拦截器。首先设置了安全管理器,然后定义了登录和未授权页面的 URL,最后通过 `filterChainDefinitionMap` 来指定不同路径下的访问规则 [^4]。 通过这些配置方法,开发者可以根据实际需求灵活地应用 Shiro拦截器机制以达到预期的安全控制效果。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

听风动

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值