Shiro授权详细解析

最新推荐文章于 2021-01-17 12:28:51 发布
原创 最新推荐文章于 2021-01-17 12:28:51 发布 · 352 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。 

                                            Shiro授权

Shiro支持三种方式的授权:
    1.编程式:通过编写if/else授权代码块的方式完成(不推荐)
    2.注解式:通过在controller方法上面注解完成(用的较多)
    3.JSP标签:在页面上面完成(可以隐藏无权限的东西)

Shiro授权过程:
    1. 授权需要继承 AuthorizingRealm , 并实现其 doGetAuthorizationInfo 方法
    2. AuthorizingRealm 类继承自 AuthenticatingRealm, 但没有实现 AuthenticatingRealm 中的
    doGetAuthenticationInfo, 所以认证和授权只需要继承 AuthorizingRealm 就可以了. 同时实现他的两个抽象方法.

Shiro权限注解:
    @RequiresAuthentication:表示当前的subject已经通过login进行了身份验证,即subject.isAuthenticated()返回true
    @RequiresUser:表示当前subject已经通过身份验证或者通过记住我登录的
    @RequiresGuest:表示游客身份
    @RequiresRoles(value="admin","user",logical=Logical.AND):表示当前subject需要adminuser两个角色
    @RequiresPermissions(value="user:a","user:b",logical=Logical.OR):表示当前subject需要权限a或者b

可以通过实例工厂的方式注入权限资源,实现数据库配置


                                                Shiro会话

【重点】

      Controller里面的httpSession一般情况下我们不允许其他层能访问到
      但是有了shiroshiro支持在任何地方获得session,这是一个很重要的应用

Shiro会话验证

   Shiro提供会话验证调度器

SessionDAO
      实现对session的增删改查(放入数据库)

        create table sessions(
            id varchar(200);
            session varchar(2000);
            constraint pk_sessions primary key(id);
        )charset=utf8 engine=InnoDB

      继承EnterpriseCacheSessionDAO
        protected Serializable doCreate(Session session) {
                Serializable sessionId = generateSessionId(session);
                assignSessionId(session, sessionId);
                return sessionId;
            }
        protected Session doReadSession(Serializable sessionId) {return null;}
        protected void doUpdate(Session session) {}
        protected void doDelete(Session session) {}

      写和读session时候需要对Session进行序列化和反序列化操作(因为存入数据库的session是个对象,而不是字段)
      做法:
            利用对象输入输出流进行读写,而对象输入输出流需要包装字节输入输出流
Shiro 认证授权详解
皓晨的架构笔记
03-27 8252
1     权限管理1.1用户身份认证1.1.1  概念         身份认证,就是判断一个用户是否为合法用户的处理过程。最常用的简单身份认证方式是系统通过核对用户输入的用户名和口令,看其是否与系统中存储的该用户的用户名和口令一致,来判断用户身份是否正确。对于采用指纹等系统,则出示指纹;对于硬件Key等刷卡系统,则需要刷卡。1.1.2  用户名密码身份认证流程1.1.3  关键对象      ...
shiro实现APP保持登录状态,以及web统一登录认证和权限管理,会话保持在web和APP之间。
热门推荐
gaofeihu_的博客
03-05 1万+
先说下背景,项目包含一个管理系统(web)和门户网站(web),还有一个手机APP(包括Android和IOS),三个系统共用一个后端,在后端使用shiro进行登录认证和权限控制。好的,那么问题来了:先说web端1.因为一般网页主需要记住7天密码(或者稍微更长)的功能就可以了,可以使用cookie实现,而且shiro也提供了记住密码的功能,在服务器端session不需要保存过长时间。再说app端2...
shiro】(4)---Shiro认证、授权案例讲解
a8892117的博客
06-07 259
Shiro认证、授权案例讲解 一、认证 1、 认证流程 2、用户密码已经加密、加盐的用户认证 (1)测试类 // 用户登陆和退出,这里我自定了一个realm(开发肯定需要自定义realm获取数据库密码和权限) @Test public void testCustomRealmMd5() { // 创建secu...
shiro实战系列(六)之Authorization(授权)
weixin_34290096的博客
06-10 414
授权,又称作为访问控制,是对资源的访问管理的过程。换句话说,控制谁有权限在应用程序中做什么。 授权检查的例子是:该用户是否被允许访问这个网页,编辑此数据,查看此按钮,或打印到这台打印机?这些都是 决定哪些是用户能够访问的。 授权的要素: Apache Shiro 中的权限代表着安全政策中最基础的元素。它们从根本上作出了对行为的声明,并明...
Shiro 中的 SessionDAO
易梦南蝶的博客
06-13 3920
SessionDAO是用于session持久化的,SessionManager只是负责session的管理,持久化的工作是由SessionDAO完成的。 SessionDAO的继承结构 SessionDAO 接口 SessionDAO接口是Shiro中所有SessionDAO的顶级接口,给出了从持久层(一般而言是关系型数据库)操作session的标准。方法如下: Serializabl...
SpringBoot Shiro授权实现过程解析
08-25
在本文中,我们将详细介绍SpringBoot Shiro授权实现过程解析,通过示例代码详细介绍了Shiro授权实现过程。 首先,我们需要在SpringBoot项目中配置Shiro的基本配置,包括创建ShiroFilterFactoryBean和...
Shiro授权机制解析:主体、资源与权限
"本文主要介绍了Apache Shiro框架的授权实现原理...Shiro授权机制提供了一套完整的工具,用于实现灵活且强大的访问控制策略。开发者可以根据需求定义资源、权限和角色,从而精确控制用户的操作权限,确保应用的安全性。
基于springboot实现整合shiro实现登录认证以及授权过程解析
08-25
在本文中,我们将详细介绍如何使用Spring Boot框架实现整合Shiro进行登录认证和授权过程的解析Shiro是Apache软件基金会下的一个基于Java的开源安全框架,提供了身份验证、授权、加密和会话管理等功能。在Spring ...
shiro认证授权的过程
05-01
Apache Shiro 是一个强大且易用的Java安全框架,提供了认证、授权、加密和会话管理功能,可以非常方便地为应用程序提供全面的安全控制。在本文中,我们将深入理解Shiro的认证授权过程,以及如何利用它来保护我们的...
Shiro系列十:授权源码解析
苍穹尘的博客
06-07 1257
一、授权流程   1、首先调用 Subject.isPermitted或hasRole 接口,其会委托给 SecurityManager,而 SecurityManager 接着会委托给 Authorizer;   2、Authorizer是真正的授权者,如果调用如 isPermitted(“user:view”),其首先会通过 PermissionResolver 把字符串转换成相应的 Per...
SessionDao系列源码
ystyaoshengting的专栏
09-16 1593
sessionDao接口的源码如下,通过名字就可以知道方法的作用,就不翻译解释了 public interface SessionDAO { Serializable create(Session session); Session readSession(Serializable sessionId) throws UnknownSessionException; ...
shiro会话监听_Shiro权限控制_(二)_session
weixin_39992072的博客
01-17 160
ShiroShiro Session共享配置以及实现Shiro我们通过重写AbstractSessionDAO ,来实现Session共享。再重写Session的时候(其实也不算重写),因为和HttpSession 没有任何实现或者继承关系。Session的每个回话的ID 生成器,我们用JavaUuidSessionIdGenerator (UUID 规则)。Session的创建、获取、删除。Se...
shiro安全框架扩展教程--如何扩展实现集中式session管理
dawuafang
09-03 201
上一章节我和大家分享的是如何扩展异步请求分支处理,这一章节我准备分享如何实现集中式session管理,shiro一大特色就是有自己一套session机制,与原生的httpsession差不多风格的api,用起来比较顺手,我个人也比较喜欢;spring security是比较依赖与原生httpsession,所以比较难扩展这会话机制,但是我们shiro使用者就不用担心这个问题,请大家准备好鸡蛋壳,...
极简入门,Shiro的认证与授权流程解析
java思维导图
05-08 545
小Hub领读:接下来的几天,我们开讲Shiro,从入门到分析、集成、单点登录整合等几篇。今天我们先来认识一下Shiro吧~其实Shiro框架并不难,我梳理了一下,你只需要学会以下内容基本...
shiro权限框架详解05-shiro授权
在路上
02-07 6450
介绍shiro授权的流程、自定义realm实现授权
【Cas】Shiro+Cas集成分布式多系统单点登录服务器端搭建
【冯立雄】的博客
02-06 3363
Web权限管理系统
【冯立雄】的博客
05-11 3061
权限管理系统: Who:权限的拥用者或主体(Principal(负责人)、User、Group、Role、Actor等等) What:权限针对的对象或资源(Resource、Class)。 How:具体的权限(Privilege, 正向授权与负向授权)。 Role:是角色,拥有一定数量的权限。 Operator:操作。表明对What的How操作。真正将Privilege与具体Resource
Spring Security权限管理相关配置加注解
【冯立雄】的博客
05-11 1893
xml version="1.0" encoding="UTF-8"?> xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:security="http://www.springframework.
Spring security 相关名词解释
【冯立雄】的博客
05-11 760
Spring security 获取用户登录信息: Spring Security框架的核心共享组件 1.SecurityContextHolder: 最基础的对象就是SecurityContextHolder。 我们把当前应用程序的当前安全环境的细节存储到它里边了。 默认情况下,SecurityContextHolder使用ThreadLoc
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

花生糖葫芦侠

创作不易,请多多支持!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值