shiro@RequiresPermission的设置

最新推荐文章于 2023-08-11 17:32:18 发布
最新推荐文章于 2023-08-11 17:32:18 发布
阅读量873 收藏 1
点赞数 2
CC 4.0 BY-SA版权
文章标签: 数据库
原文链接:http://www.cnblogs.com/leeego-123/p/10721485.html
本文详细介绍了如何在Java项目中使用Shiro框架进行权限和角色管理,包括自定义Realm实现用户认证和授权,以及在Controller层使用@RequiresPermissions注解进行权限检查。 
public class MyShiroRealm extends AuthorizingRealm {
    //slf4j记录日志,可以不使用
    private Logger logger = LoggerFactory.getLogger(MyShiroRealm.class);
 
    /**
     * 设置授权信息
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        logger.info("开始授权(doGetAuthorizationInfo)");
        SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
        HttpServletRequest request = (HttpServletRequest) ((WebSubject) SecurityUtils
                .getSubject()).getServletRequest();//这个可以用来获取在登录的时候提交的其他额外的参数信息
        String username = (String) principals.getPrimaryPrincipal();//这里是写的demo,后面在实际项目中药通过这个登录的账号去获取用户的角色和权限,这里直接是写死的
        //受理权限
        //角色
        Set<String> roles = new HashSet<String>();
        roles.add("role1");
        authorizationInfo.setRoles(roles);
        //权限
        Set<String> permissions = new HashSet<String>();
        permissions.add("user:list");      
        //permissions.add("user:add");
----//下面便是对@RequiresPermission授权,这里写死权限为"user:list";也可以是通过查询数据库,匹配相对应的权限。

 authorizationInfo.setStringPermissions(permissions);           
return authorizationInfo;
    }
 
    /**
     * 设置认证信息
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(
          .....
    }
    
}

Controller:

Controller
@RequestMapping("/user")
public class UserController {
    Logger logger = LoggerFactory.getLogger(UserController.class);
    @RequiresPermissions("user:list")//这个是配置是否有该权限的,如果是按上面的写法,这个是有权限的
    @RequestMapping(value="/list",method=RequestMethod.GET)
    public String getList(){
        logger.info("进入用户列表");
        return "user/list";
    }
    @RequiresPermissions(value={"user:add"})//这个是没有权限的
    @RequestMapping(value="/add",method=RequestMethod.GET)
    public String getAdd(){
        logger.info("进入新增用户界面");
        return "user/add";
    }
    
}

 

转载于:https://www.cnblogs.com/leeego-123/p/10721485.html

yuxiaoyu.
关注
【SpringBoot】23、SpringBoot中整合Shiro实现权限管理
Asurplus
07-12 21万+
之前在 SSM 项目中使用过 shiro,发现 shiro 的权限管理做的真不错,但是在 SSM 项目中的配置太繁杂了,于是这次在 SpringBoot 中使用了 shiro,下面一起看看吧 一、简介 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。 三个核心组件: 1、Subject: 即“当前操作用户”。但是,在 Shiro 中,Subje
Apache Shiro授权、访问控制(四)
山不转的博客
11-23 716
总的参考文档:http://shiro.apache.org/reference.html 本文参考文档:http://shiro.apache.org/authorization.html 1、概念 Shiro授权机制包含三个核心概念:Permissions、Roles、Users。 1.1.Permissions Permissions代表权限,关涉及用户。它一般是一种语句,表示对...
shiro授权RequiresPermissions注解使用
nanfang1012的博客
07-20 2万+
权限控制是shiro最核心的东西 Shiro权限声明通常是使用以冒号分隔的表达式。一个权限表达式可以清晰的指定资源类型,允许的操作,可访问的数据。同时,Shiro权限表达式支持简单的通配符,可以更加灵活的进行权限设置。 下面以实例来说明权限表达式。 可查询用户数据 User:view 可查询或编辑用户数据 User:view,edit 可对用户数据进行所有操作 User:* 或 user 可编辑i...
Shiro的permission管理,用户的认证和授权
超人的博客
08-16 3662
以下是步骤: 1.web.xml中配置:<display-name>shirodemo</display-name> <welcome-file-list> <welcome-file>index.jsp</welcome-file> </welcome-file-list> <context-param> <param-name>contex
项目用了shiro,犹如男人娶了老婆,别的妹子想撩需要认证与授权
林高禄
02-04 972
shiro1:简介 1:简介         既然是简介,那就要简单粗暴,shiro是apache旗下一个开源框架,它将软件系统的安全认证相关的功能抽取出来,实现用户身份认证,权限授权,加密和会话管理等功能,组成了一个通用的安全认证框架,官网地址为http://shiro.apache.org/ ...
shiro @RequiresPermissions多权限
afdasfggasdf的博客
08-30 5145
一、RequirePermissions多权限 权限值value用数组代替,再设置logical 多选一:logical = Logical.OR 例如:@RequiresPermissions(value = { "product_create", "product_edit" }, logical = Logical.OR) 必须全部符合:logical = Logical.AND ...
@RequirePermission无法作用在类上面
qq_29648139的博客
03-07 1098
1背景 写项目的时候为了代码看上去更加整洁,把所有的controller、service、mapper都抽出来了,省去写重复的增删改查。 @RestController @RequestMapping("/sysDataDict") @RequiresPermissions("sysDataDict") public class SysDataDictController extends Base...
Shiro介绍(七):扩展自已的@RequiresPermission(修正)
SHARE & TOP
01-30 8523
本文是第六篇的修正版。因为在上一篇结尾,我其实对扩展方案是不太满意的,所以,今天,我重新做一个扩展,本次将注解的类名改成 @RequiresAction。
SpringBoot整合shiro同时解决注解权限不生效(附源码)
临窗,听雨声
11-12 9223
1.shiro apache出品的很好用的权限框架,理论上来说只需要程序员配置两个类,shiro就能为我们工作起来。 这几天研究shiro,集成到springboot中,并使用注解权限,踩了不少坑,希望这篇文章能够帮助到大家 本文我将讲述一下springboot整合shiro,使用 @RequiresPermissions 进行控制器权限控制 1.数据库表设计 具体sql文件以及初始化数据...
Shiro配置跳过权限验证
s724542558的博客
06-16 1万+
通过重写Shiro PermissionAnnotationHandler 和Bean替换 完成 晚点完善
用url作为shiro的permission的范例
03-29
是用菜单URL作为shiro的permission来管理,每一个用户分配其角色(可以有多个角色),这个系统要求必须登录才能使用,如果是对外的公开项目就不合适,shiro一般也是用在需要控制权限的项目. 每个角色分配其可以访问的url,所以当一个用户登录的时候,他会有可以访问的url的清单,这样我们就可以利用动态生成菜单和在页面上配置的方式让其只能看见自己可以访问的菜单,用户登录的时候只能看到他有权限的菜单,只要能看到的菜单或功能,都是有权限访问的. 项目用到spring-boot和mybatis。需要在test数据库里运行代码里的sql脚本,默认登录用户hao或yiqian,密码都是12345
shiro的@RequiresPermissions,@RequiresRoles解析流程
qq_61592687的博客
08-11 6916
全网最新讲解shiro的@RequiresPermissions,@RequiresRoles的解析流程,绝对对你理解这两个验证流程大有脾益。
shiro之授权(二) Permission(*)
weixin_42408447的博客
11-17 590
字符串通配符权限 规则:“资源标识符:操作:对象实例ID” 即对哪个资源的哪个实例可以进行什么操作。 其默认支持通配符权限字符串,“:”表示资源/操作/实例的分割;“,”表示操作的分割;“*”表示任意资源/操作/实例。 1. 单个资源单个权限 subject().checkPermissions("system:user:update"); 用户拥有资源"system:user"的"update"权限 2. 单个资源多个权限 ini配置文件 [users] zhang=123,role1,role2,ro
Apache Shiro学习笔记(三)用户授权自定义Permission
weixin_34029949的博客
07-25 506
鲁春利的工作笔记,好记性不如烂笔头Shiro配置文件(shiro-customize-permission.ini)[main] myRealmA=com.invicme.apps.shiro.permission.MyRealmOne myPermissionResolver=com.invicme.apps.shiro.permission.MyPermissionRe...
无法识别的属性requirePermission
weixin_34360651的博客
10-04 300
分析器错误信息: 无法识别的属性“requirePermission”。 原因:站点使用了.net1.1,所以无法识别的属性“requirePermission” 解决:把网站或者虚拟目录设置成asp.net2.0就可以解决问题 方法:站点属性-ASP.NET标签-ASP.NET version 选择 2.0,OK 转载于:https://www.cnblogs.com/cwy173/...
@RequiresPermissions 解释
热门推荐
ATwill的专栏
12-01 8万+
@RequiresAuthentication 验证用户是否登录,等同于方法subject.isAuthenticated() 结果为true时。 @RequiresUser 验证用户是否被记忆,user有两种含义: 一种是成功登录的(subject.isAuthenticated() 结果为true); 另外一种是被记忆的(subject.isRemembered(
shiro入门实战笔记(6)--Permission配置
y-yg的博客
02-17 3085
[本系列文章是博主的学习笔记,而非经典教程,特此说明] 在前面的两篇文章中,我们讲述了shiro中关键的用户,角色,权限这三个关键的概念,和与之密切相关的概念。接下来我们来深入学习在权限认证当中的Permission配置。下面讲述的内容,在实际应用中不一定都会用到,请读者按照自己的需求使用即可。具体示例在后续中给出。 --------------------------------------
shiro@RequiresPermission校验实现
wangzibai的博客
05-29 1247
shiro-spring 借助Spring AOP特性实现shiro的注解式校验 引入shiro-spring依赖后一定要注入AuthorizationAttributeSourceAdvisor以便借助spring aop进行shiro注解校验 @Bean public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager) ...
使用shiro后@Cacheable不生效
最新发布
09-09
使用Shiro后`@Cacheable`注解不生效可能有以下原因及对应的解决办法: ### 原因一:AOP代理关系 Shiro整合Redis时,由于AOP的关系,在授权时,会出现授权执行的部分service代码不走Redis,而是直接进行数据库查询。 解决办法:在`UserRealm`中,将所有`@Autowired`注解的service层类进行懒加载处理,即直接加`@Lazy`注解。示例代码如下: ```java import org.slf4j.LoggerFactory; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.context.annotation.Lazy; import org.apache.shiro.authz.AuthorizationInfo; import org.apache.shiro.authz.SimpleAuthorizationInfo; import org.apache.shiro.realm.AuthorizingRealm; import org.apache.shiro.subject.PrincipalCollection; import java.util.HashSet; import java.util.Set; public class UserRealm extends AuthorizingRealm { private static final Logger LOGGER = LoggerFactory.getLogger(UserRealm.class); @Autowired @Lazy private SysLoginService loginService; @Autowired @Lazy private IRoleService roleService; @Autowired @Lazy private IUserRoleService userRoleService; @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) { User user = ShiroUtils.getSysUser(); Set<String> roles = new HashSet<>(); SimpleAuthorizationInfo info = new SimpleAuthorizationInfo(); roles.add(roleService.getDataByRoleId(userRoleService.getDataByUserId(user.getUserId()).getRoleId()).getRoleKey()); info.setRoles(roles); return info; } @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException { // 省略其他代码 return null; } } ``` ### 原因二:Bean未被AOP代理 查询启动日志发现使用到的bean出现`is not eligible for getting processed by all BeanPostProcessors (for example: not eligible for auto - proxying)`,而`@Cacheable`是需要走代理模式的。 解决办法:需要检查启动日志,确保使用到的bean能够被AOP代理。具体可以检查相关配置,保证Spring的AOP自动代理机制能够正常处理这些bean。 ### 原因三:Shiro整合导致注解失效 Spring Boot整合Shiro后,`UserRealm`类里自动注入的service中的注解失效。 解决办法:可以参考上述因AOP代理关系导致失效的解决办法,对`UserRealm`中注入的service类进行懒加载处理。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值