Shiro:学习笔记(2)——授权

最新推荐文章于 2025-09-06 09:26:50 发布
最新推荐文章于 2025-09-06 09:26:50 发布
阅读量56 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: 测试
原文链接:http://www.cnblogs.com/MrSaver/p/7512373.html
本文介绍了Shiro中的三种授权方式:编程式、注解式和JSP标签式,并详细阐述了基于角色和基于资源的访问控制策略,包括字符串通配符权限的使用方法。

Shiro:学习笔记(2)——授权

Shiro的三种授权方式

编程式:

Subject subject = SecurityUtils.getSubject();  
if(subject.hasRole(“admin”)) {  
    //有权限  
} else {  
    //无权限  
}

注解式:

@RequiresRoles("admin")  
public void hello() {  
    //有权限  
}

说明:没有权限将抛出相应的异常

JSP标签:

<shiro:hasRole name="admin">  
<!— 有权限 —>  
</shiro:hasRole>

基于角色的访问控制

1.在ini中配置用户所拥有的角色

[users]
zhang=123,role1,role2
wang=123,role

  规则:用户名=密码,角色1,角色2

  说明:Shiro不负责维护用户-角色信息,需要应用提供,Shiro只提供相应的接口方便验证。

2.测试用例  

  

3.缺点:

  如果有一天摒弃了某个角色,就需要把所有相关的地方进行删除。

基于资源的访问控制

 1.在ini中配置用户所拥有的角色及角色-权限关系

[users]
zhang=123,role1,role2
wang=132,role1
[roles]
role1=user:create,user:update
role2=user:create,user:delete

2.测试用例

  

字符串通配符权限

1、单个资源单个权限 

  subject().checkPermissions("system:user:update");  

用户拥有资源“system:user”的“update”权限。

2.单个资源多个权限

  role41=system:user:update,system:user:delete 

  subject().checkPermissions("system:user:update", "system:user:delete");  

用户拥有资源“system:user”的“update”和“delete”权限。如上可以简写成:

  role42="system:user:update,delete"   //注意引号

  subject().checkPermissions("system:user:update,delete"); 

3.单个资源全部权限

    role51="system:user:create,update,delete,view"  

    subject().checkPermissions("system:user:create,delete,update:view");  

用户拥有资源“system:user”的“create”、“update”、“delete”和“view”所有权限。如上可以简写成:

    role52=system:user:*  

也可以简写为(推荐上边的写法):

    role53=system:user  

然后通过如下代码判断

  1. subject().checkPermissions("system:user:*");  
  2. subject().checkPermissions("system:user");   

通过“system:user:*”验证“system:user:create,delete,update:view”可以,但是反过来是不成立的。

4、所有资源全部权限

  1. role61=*:view  

然后通过如下代码判断

  1. subject().checkPermissions("user:view");  

用户拥有所有资源的“view”所有权限。假设判断的权限是“"system:user:view”,那么需要“role5=*:*:view”这样写才行。

 

5、实例级别的权限

5.1、单个实例单个权限

  1. role71=user:view:1  

对资源user的1实例拥有view权限。

然后通过如下代码判断 

  1. subject().checkPermissions("user:view:1");  

5.2、单个实例多个权限

  1. role72="user:update,delete:1"  

对资源user的1实例拥有update、delete权限。

然后通过如下代码判断

  1. subject().checkPermissions("user:delete,update:1");  
  2. subject().checkPermissions("user:update:1", "user:delete:1");   

5.3、单个实例所有权限

  1. role73=user:*:1  

对资源user的1实例拥有所有权限。

然后通过如下代码判断 

  1. subject().checkPermissions("user:update:1", "user:delete:1", "user:view:1");  

5.4、所有实例单个权限

  1. role74=user:auth:*  

对资源user的1实例拥有所有权限。

然后通过如下代码判断 

  1. subject().checkPermissions("user:auth:1", "user:auth:2");  

5.5、所有实例所有权限

  1. role75=user:*:*  

对资源user的1实例拥有所有权限。

然后通过如下代码判断     

  1. subject().checkPermissions("user:view:1", "user:auth:2");  

6、Shiro对权限字符串缺失部分的处理

如“user:view”等价于“user:view:*”;而“organization”等价于“organization:*”或者“organization:*:*”。可以这么理解,这种方式实现了前缀匹配。

另外如“user:*”可以匹配如“user:delete”、“user:delete”可以匹配如“user:delete:1”、“user:*:1”可以匹配如“user:view:1”、“user”可以匹配“user:view”或“user:view:1”等。即*可以匹配所有,不加*可以进行前缀匹配;但是如“*:view”不能匹配“system:user:view”,需要使用“*:*:view”,即后缀匹配必须指定前缀(多个冒号就需要多个*来匹配)。

7、WildcardPermission

如下两种方式是等价的:  

subject().checkPermission("menu:view:1");  
subject().checkPermission(new WildcardPermission("menu:view:1"));

因此没什么必要的话使用字符串更方便。

转载于:https://www.cnblogs.com/MrSaver/p/7512373.html

Shiro学习笔记
KISS
07-12 703
Shiro教学视频 源码 文章目录1. 简介功能简介Shiro 架构Shiro 架构(Shiro外部来看)Shiro 架构(Shiro内部来看)2. HelloWorldshiro.ini配置文件解析Quickstart.java解析运行结果3. 集成Spring配置web.xml配置spring-servlet.xml配置applicationContext.xml4. Shiro工作流程5. DelegatingFilterProxy6. 权限URL配置细节URL 匹配模式Shiro中默认的过滤器URL
SpringBoot笔记(狂神说)
qq_39831512的博客
01-18 1614
SpringBoot部分知识 基础 自动配置原理 pom.xml: spring-boot-dependencies:核心依赖在父工程中 引入SpringBoot依赖时,不需要指定版本,就是因为有这些版本仓库 启动器: <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter
shiro笔记
qq_17825641的博客
05-20 160
# 1.在 shiro 中的概念 # 用户需要提供 principals (身份)和 credentials(证明)给 shiro,从而应用能验证用户身份 Subject 及 Realm,分别是主体及验证主体的数据源 认证[身份验证]: 验证在应用中是否是他本人. 授权[访问控制]: 控制谁能访问哪些资源 主体, 即访问应用的用户,Subject 资源, 在应用中用户可以访问的任何东西,用户授权之...
黑马程序员笔记:小白必看——Java学习路线
Future_yzx的博客
07-24 1974
Java面试宝典(含阿里、腾迅大厂java面试真题,java数据结构,java并发,jvm等java面试真题)以100+企业大厂真实高频Java面试真题为主干,辅以数据结构的可视化展示、算法的可视化展示,窥探底层的工具使用等等可视化手段,用直观、形象的方式展现复杂的知识内容,让学生更清晰、更容易地掌握这些Java面试题与Java知识点。同时在多通道的加持下,通过智能动态的通道评级、选举、降级、热插拔,增强了系统的健壮性,摆脱对单一通道的依赖,并且提供多种对接方式,满足企业内部的各种需求。
shiro学习笔记4——认证流程+授权流程
xinpz的博客
08-03 735
shiro第二天 shiro授权 shiro和企业项目整合开发   1 复习   什么是权限管理? 权限管理是系统的安全范畴,要求必须是合法的用户才可以访问系统(用户认证),且必须具有该 资源的访问权限才可以访问该 资源(授权)。 认证:对用户合法身份的校验,要求必须是合法的用户才可以访问系统。 授权:访问控制,必须具有该 资源的访问权限才可以访问该 资源。   权限模型:标准权...
shiro学习笔记——shiro拦截器与url匹配规则
JEECG官方博客
03-18 7077
一、使用场景举例 注:shiro过滤器与url匹配规则一般使用在定义的shiroFilter中,用于对指定的资源进行过滤 二、URL匹配规则 (1)“?”:匹配一个字符,如”/admin?”,将匹配“ /admin1”、“/admin2”,但不匹配“/admin” (2)“*”:匹配零个或多个字符串,如“/admin*”,将匹配“ /admin”、“/admin123...
Shiro学习笔记——权限与授权
shen的博客
09-13 204
概念 授权:访问控制,即在应用中控制谁访问哪些资源。 主体: 访问应用的用户,Shiro里面的Subject代表该用户。 资源:Web应用里面体现为用户可以访问的URL。 权限:应用中,用户能不能访问某个资源。 角色:权限的集合。 授权方式 编程式:通常写if/else授权代码块完成。 if(subject.hasRole("admin")){ //有权限 }els...
Shiro学习笔记(四)——shiro实现授权
驼君的小小博客园
02-07 434
授权概述 授权,也叫访问控制,即在应用中控制谁能访问哪些资源(如访问页面/编辑数据/页面操作等)。 在授权中需了解的几个关键对象:主体(Subject)、资源(Resource)、权限(Permission)、 角色(Role) 主体 主体,即访问应用的用户,在Shiro中使用Subject代表该用户。用户只有授权后才允许访问相应的资源。 资源 在应用中用户可以访问的任何东西,比如访问JS...
Shiro学习笔记(六)——SpringBoot整合shiro
驼君的小小博客园
02-07 630
在spring中整合shiro可以通过在xml文件中进行配置,但是在SpringBoot中,我们可以通过@Configuration注解写一个配置类来对shiro进行配置 Shiro配置文件 @Configuration @EnableConfigurationProperties(ShiroProperties.class) public class ShiroAutoConfiguration...
Shiro框架学习笔记全解
资源摘要信息:"learning-shiro:Shiro学习笔记" Apache Shiro是一个强大且易于使用的Java安全框架,提供了认证、授权、加密和会话管理功能。在学习Shiro的过程中,我们会涉及到以下几个重要的知识点: 1. Shiro的...
狂神说——SpringBoot学习
weixin_44543307的博客
12-06 5671
Springboot 学习笔记Springboot简介什么是微服务?ThymeleafDuridSpringboot整合mybatisSpringSecurity安全Shiroswagger定时任务springboot 整合分布式 dubbo+ zookeeper+ springbootDubboRPC(两大核心:通讯,序列化)Zookeeper总结 学习源码 spring官网 springboot官网 spring-security版本下载 狂神官网学习 也可以搜索B站 (狂神说) Springboot简
Jeesite 4.0 学习笔记
m0_61580275的博客
09-27 1285
Jeesite是一个 Java EE 企业级快速开发平台。 框架:SpringBoot + SpringMVC + Apache Shiro + MyBatis + Beetl(模板) + Boostrap + AdminLTE(UI) 核心模块:组织机构、角色用户、菜单及按钮授权、数据授权、系统参数等。 技术选型:见官方文档。
过滤器(Filter)和拦截器(Interceptor)的取舍
09-03 821
【摘要】在表单JSON/参数权限判断场景中,过滤器与拦截器的选择需基于三个关键维度:技术特性上,过滤器更早执行且与Spring解耦,拦截器可获取Spring上下文;业务依赖上,仅需基础参数时优先过滤器,涉及Spring服务必须用拦截器;实践层面二者常分工协作,过滤器处理全局校验(如Token格式),拦截器处理业务权限(如角色校验)。最终选择取决于权限逻辑是否需要Spring服务支持,多数场景建议组合使用以兼顾性能与灵活性。
Java开发中的依赖环境管理
m0_69564658的博客
09-04 736
Java开发依赖环境管理是项目成功的关键,涉及开发工具、构建工具和依赖管理等方面。主流IDE包括IntelliJ IDEA、Eclipse和NetBeans,需根据项目需求选择。构建工具推荐Maven和Gradle,前者适合中小型项目,后者更具灵活性。依赖管理需明确版本,可使用BOM统一管理。现代实践强调容器化(Docker)、持续集成(Jenkins等)和云原生开发(Spring Boot/Kubernetes),同时要注重JVM调优、安全实践和监控日志系统的建设。合理配置这些工具能显著提升开发效率和应用
【高级】系统架构师 | 2025年上半年综合真题DAY2
jingling555的博客
09-03 599
解析了多项计算机科学相关知识点,包括大模型生成代码的核心架构(Transformer)、测试组合计算(32种)、避免死锁的最小资源数(6个)、边缘计算特点(低延迟、高可靠性等)、需求跟踪的正向与反向区分、断路器状态(闭合、断开、半开)、单元测试依据(详细设计文档)、三层C/S架构(B/S属于三层)、净室软件理论基础(函数与抽样理论)、首次打开文件操作(加载FCB)、白盒测试分类(静态与动态)、Web服务器性能测试(不含UI测试)、开放式互联安全服务(数据机密性等)、服务关系描述语言(WSDL)
AI驱动的软件测试:革命性的自动化、缺陷检测与实验优化
最新发布
zzywxc787的博客
09-06 579
人工智能(AI)和机器学习(ML)技术的融入,正在从根本上重塑软件测试的格局,将其从一种主要是手动的、重复性的任务转变为一种智能的、预测性的、且持续优化的过程。*说明:多臂老虎机算法(MAB)由于将更多流量分配给了更好的版本B,其累积回报(点击次数)的增长速度远快于传统A/B测试固定50/50分流)。: 利用NLP技术(如文本分类)自动分析新提交的Bug报告的内容、标题和描述,将其自动分类(如“前端UI问题”、“后端API错误”),并推荐或分配给最合适的开发人员(基于谁修改了相关代码文件)。
软件测试常见Bug清单
HUACE4600的博客
09-04 259
这些资料,对于做【软件测试】的朋友来说应该是最全面最完整的备战仓库,这个仓库也陪伴我走过了最艰难的路程,希望也能帮助到你!凡事要趁早,特别是技术行业,一定要提升技术功底。
SpringBoot与Shiro:实战登录认证与授权详解
本文档深入探讨了如何在SpringBoot项目中集成Apache Shiro库来实现全面的身份验证(login authentication)和授权(authorization)功能。首先,我们关注的是添加Shiro的依赖项,以便在项目中引入Shiro的核心功能。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值