Apache Shiro授权、访问控制(四)

最新推荐文章于 2024-01-07 18:12:56 发布
原创 最新推荐文章于 2024-01-07 18:12:56 发布 · 739 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#Shiro

Apache Shiro授权机制包括Permissions、Roles和Users三个核心概念。Permissions代表具体权限,Roles是一组Permissions集合,Users通过Role获取权限。授权实现包括硬编码、注解和标签库。硬编码分为Role-Based和Permission-Based授权,注解如RequiresAuthentication、RequiresPermissions等简化授权。此外,Shiro的授权流程涉及ModularRealmAuthorizer,支持多Realm协调。

总的参考文档:http://shiro.apache.org/reference.html
本文参考文档:http://shiro.apache.org/authorization.html

1、概念

Shiro授权机制包含三个核心概念:Permissions、Roles、Users。

1.1.Permissions

Permissions代表权限,关涉及用户。它一般是一种语句,表示对什么东西可以做什么事情。Shiro中的权限一般这样子定义:
PermissionDefine1=file:view    这个表示可以查看文件。或者:
PermissionDefine2="table:view,modify"   表示可以查看、修改表。或者更细粒度的控制:
PermissionDefine3="user:view,modify,delete:billy" 表示可以查看、修改、删除名为billy的用户。
关于Shiro中Permission的定义,前文说过了,详细参考:http://shiro.apache.org/permissions.html

1.2.Roles

Role就是角色,它是一组Permission的集合,一个Role可以有多个权限,如:
Role1=PermissionDefine1,PermissionDefine2,PermissionDefine1
上边的这种定义方,等号前边是名称后边是权限,这叫显式Role。

还有一种叫隐式Role,示例如下:
FileViewRole
TableViewModifyRole
这种定义,只有Role名称没有为这种Role赋予权限定义,Role的权限隐藏在Role的名称中。在具体的应用中,要根据Role的名称决定拥有这种Role的用户的权限,所以叫隐式。
Shiro同时支持这两种方式,但一般我们都用显示。

1.3.Users

定义好Permission,然后通过各种Role将它们组织起来,最后再将Role赋予不同的用户,那么用户最终就是相应的权限了。Shiro中为用户指定Role的格式如下:
user1=password,Role1,Role2

最后需要说明的是,以上关于Permission、Role、Users的示例只是具体实现的一种。在实际中Permission如何定义、Role如何定义、User如何定义可以是任何形式,数据可以保存在任何地方,Shiro对此没有任何限制。但是,开发者需要实现自己的Realm接口,将这种细节隐藏起来就可以了。

2、授权的实现

在实际的开发中,Shiro有三种实现授权的方式:

  1. 硬编码:一般就是用if else语句实现
  2. 注解:在定义某个方法时,在前边加注解
  3. 标签:这个主要是在开发JSP时使用

下边详细说明这三种方式。

2.1.硬编码

硬编码也分成几种。

2.1.1.Role-Based-Authorization

基于角色的授权。示例代码如下:

Subject currentUser = SecurityUtils.getSubject();

if (currentUser.hasRole("administrator")) {
    //show the admin button 
} else {
    //don't show the button?  Grey it out? 
}

上例中,首先取得Subject,Subject代表一个User。我们看到这个User并没有输入用户名、密码什么的执行login操作。前边说过了,Subject实例是与线程绑定的,这个时候它应该在线程其它地方login过了,身份是明确的。

以上代码很简单,通过if else语句判断当前Subject是否被指派了某个角色,如果指定了就执行相应的操作,否则不执行。
hasRole()方法是检查角色的一种,还有其它方法可以使用:

Subject Method Description
hasRole(String roleName) 只有Subject有参考指定的角色就返回true,否则返回false。
hasRoles(List<String> roleNames) 在参数中传入Role名称的数组,返回值也是一个代表是否有这些Role的数组。这个就相当于调用了多次hasRole方法,并把各个hasRole的返回值打包成数据再返回,起到简化代码的作用。
hasAllRoles(Collection<String> roleNames) 如果当前Subject拥有参数中指定的全部Role返回true,否则返回false。

还有一种替代方式,称为断言方式。在上边的hasRole、hasRoles、hasAllRoles方法中,方法会返回true或者false。断言不一样,不它不返boolean值,如果授权没有通过它抛出异常,否则不抛出异常,就这点区别,示例如下:

Subject curr
最低0.47元/天 解锁文章
重写Shiro,拦截RequiresPermissions权限标识获取逻辑,实现Controller多级权限拼接
MinisterOL的博客
04-24 1998
逻辑分析:1、aop 切面拦截 controller 对应调用的方法2、获取对应方法的注解信息3、使用对应的解析器解析获取到的注解信息①、获取方法注解信息②、获取类注解信息③、返回注解信息4、从注解获取权限标识符根据以下代码分析,从注解解析器入手,进行拦截处理。
Apache shiro 1.13.0源码
最新发布
01-17
例如,你可以编写自定义 Realm 实现特定的认证逻辑,或者利用 Shiro 的 Filter 框架实现细粒度的访问控制。 总之,Apache Shiro 1.13.0 源码提供了深入了解 Java 安全框架的机会,无论是对于学习安全基础知识,还是...
Shiro之@RequiresPermissions注解原理详解
热门推荐
敲代码的小小酥的博客
02-28 5万+
前言 shiro为我们提供了几个权限注解,如下图: 这几个注解原理都类似,这里我们讲解@RequiresPermissions的原理。 铺垫 第一 首先要清楚@RequiresPermissions的基本用法。就是在Controller的方法里,加上@RequiresPermissions注解,并写上权限标识。那么,有该权限标识的用户,才能访问到请求。如下图: 第二 先剧透一下,@RequiresPermissions注解的原理是使用了Spring的AOP进行了增强。来判断当前用户是否有该权限标识。我们
@RequiresPermissions注解的使用
qq_35227352的博客
03-12 1万+
@RequiresPermissions是shiro的常用注解,用于获取权限 实例:@RequiresPermissions{“xxx1:xxx2:xxx3”} 执行这个方法会判断用户有没有相应的权限 会在某个地方进行配置,比如controller层其xxx1/xxx2/xxx3的url路径访问相应资源就可以正常访问。 ...
Apache Shiro 授权
百威
03-30 192
Apache Shiro 授权 授权,亦即访问控制,是管理资源访问的过程,换言之,也就是控制在一个程序中“谁”有权利访问“什么”。 授权的例子有:是否允许这个用户查看这个页面,编辑数据,看到按钮,或者从这台打印机打印?这些决定是一个用户可以访问什么的决断。 授权组件 授权有三个核心组件,在Shiro中我们经常要用到它们:权限(permissions)、角色(roles)和用户(u...
Apache Shiro 注解方式授权
王浩的技术博客
11-09 4万+
除了通过API方式外,Shiro 提供Java 5+注解的集合,以注解为基础的授权控制。在你可以使用Java 注释之前,你需要在你的应用程序中启用AOP 支持。 Shiro注解支持AspectJ、Spring、Google-Guice等,可根据应用进行不同的配置。 相关的注解如下: The RequiresAuthentication annotation(RequiresAuthentic
Apache Shiro 使用手册() Shiro授权
09-15
总的来说,Apache Shiro授权机制提供了灵活和强大的访问控制,可以根据实际需求选择合适的角色和权限模式,以及适合的授权实现方式,以确保应用程序的安全性和用户体验。通过理解这些概念和用法,开发者可以构建...
Apache Shiro教程
12-30
Apache Shiro是一个强大的Java安全框架,它为应用程序提供了身份验证、授权、会话管理和加密等功能。这个教程将帮助你深入理解和有效地使用Shiro框架。在本文中,我们将详细探讨Shiro的核心概念、主要功能和常见用法...
精选资源
Apache shiro1.10.0依赖
10-25
Shiro的Permission机制允许精细控制访问权限,包括角色(Role)和权限(Permission)的概念。1.10.0版本可能增强了对复杂权限模型的支持,例如支持基于资源的权限控制,使得权限分配更加灵活。 3. **加密**:Shiro...
Apache shiro集群实现 (shiro授权(Authentication)--访问控制
04-23 1万+
授权访问控制,它将判断用户在应用程序中对资源是否拥有相应的访问权限。  如,判断一个用户有查看页面的权限,编辑数据的权限,拥有某一按钮的权限,以及是否拥有打印的权限等等。  授权三要素 授权有着三个核心元素:权限、角色和用户。  权限 权限是Apache Shiro安全机制最核心的元素。它在应用程序中明确声明了被允许的行为和表现。一个格式良好好的权限声明可以清晰表达出用户对该资
Apache Shiro授权
q1392928762的博客
04-22 200
第二章 Apache Shiro 授权1.理解授权授权,即访问控制,在应用中,用来控制各种角色对资源的访问权限等, 在授权中,有几个关键对象,主体(Subject),资源()Resuorce),权限(Permission),角色(Role)主体:  即访问者,应用的任何访问者,不只是人,也有可能是个爬虫.资源: 在应用中,主体可以访问的任何东西,比如页面,某个业务方法,某些数据等权限: 安全策略中...
Apache Shiro 标签模式授权
爱笑的博客
08-30 843
Apache Shiro 标签方式授权 Shiro提供了一套JSP标签库来实现页面级的授权控制。 在使用Shiro标签库前,首先需要在JSP引入shiro标签: 下面一一介绍Shiro的标签: guest标签 验证当前用户是否为“访客”,即未认证(包含未记住)的用户。   Hi there!  Please Login or Signup today!  
Apache认证、授权访问控制
李永亮的专栏
05-20 1083
       在做这部分验证的时候遇到一些曲折。我尝试了一些地方,一直都不行,后来发现我在Directory上的目录选项上,把目录弄错了,导致了后来的问题。认证授权访问控制的技术是非常常用的技术,我在Dialogic的Web Management Console上就看到了使用这项技术。在遇到问题的时候一定要仔细分析,找到关键所在。       以下内容摘自金步国翻译的Apache文档:认
Shiro授权
liubopro666的博客
01-07 1287
在当今的应用开发中,安全是至关重要的一环。而 Shiro 作为一个强大而灵活的安全框架,为我们提供了一种简单而有效的方式来管理应用程序的授权。在这篇博客中,我将带领大家深入了解 Shiro授权功能,以及如何使用 Shiro 来保护我们的应用程序。通过实际的案例和代码示例,我将向你展示如何使用 Shiro 来控制对资源的访问,以及如何实现细粒度的权限控制。你将了解到如何定义权限、分配角色,以及在运行时进行动态的授权决策。
1.Apache Shiro(认证,授权)基本介绍
相互学习 共同进步
06-15 2483
Apache Shiro(认证,授权)基本介绍 什么是Apache ShiroApache Shiro是一个功能强大且灵活的开源安全框架,可以干净地处理身份验证、授权、企业会话管理和加密,提供了一种直观,全面的身份验证、授权、加密和会话管理解决方案 Apache Shiro的首要目标是易于使用、理解。安全有时可能非常复杂,甚至会很痛苦,但这不是必须的。框架应尽可能掩盖复杂性,并公开简洁直观的API,以简化开发人员确保其应用程序安全的工作 官网:http://shiro.apache.org/ 同类的比
Apache Shiro 授权例子
王浩的技术博客
01-22 1万+
概述 在本例中使用Apache Shiro进行授权控制,基于事先定义好的角色控制用户的操作权限。 基于Apache Shiro 提供的标签库,在JSP页面上根据用户的授权状态来控制不同的操作行为。 业务逻辑 定义两种角色:administrator,common。administrator代表管理员,可查看,修改,删除用户; common代表普通用户,可查看用户,只能修改自己,不能删除用
apache的认证授权访问控制
qq_42499737的博客
07-12 985
文章目录 前言 ip访问控制 用户身份认证授权 主要参数 配置案例 a. 创建访问用户及密码 b. 配置文件修改 c. 重启服务 d. 测试 前言 上篇文章我们探讨了虚拟主机,我们可以通过ip或者ip+端口号或者域名访问一个网站,但有的网站我们不希望别人访问或者有权限的人才能访问,或者你点击某个连接时,你的浏览器会弹出一个身份验证的对话框,要求输入账号及密码,如果没有,就无法继续浏览了。这其实就是www服务器的用户授权访问控制在发挥作用 今天我们就来聊聊apache的认证授权访问控制。 ip访问控制
Apache的认证、授权访问控制
dmtnewtons的专栏
08-13 1606
原文链接:   http://man.chinaunix.net/newsoft/Apache2.2_chinese_manual/howto/auth.html Apache认证、授权访问控制 认证(Authentication)是指任何识别用户身份的过程。授权(Authorization)是允许特定用户访问特定区域或信息的过程。 相关模块和指令 认证和授权涉及
Apache Shiro 基于权限授权
王浩的技术博客
02-11 1万+
授权即是访问控制,是对资源访问的管理过程。它将判断用户在应用程序中是否对资源有相应的访问权限。 基于角色的访问控制 在谈到应用程序的安全性时,大家都熟悉一个概念:角色。角色代表了一组行为或责任,角色通常被分配给用户,然后通过关联代表用户可以‘做’各种归因于角色的事情。 但现在很多程序都使用隐式的角色进行访问控制,定义一个角色来代表一系列的操作。当需要对某一操作进行授权验证时,只需判断是否拥有
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值