Shiro快速入门 —— 5.授权

最新推荐文章于 2025-09-10 22:21:01 发布
转载 最新推荐文章于 2025-09-10 22:21:01 发布 · 67 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:https://my.oschina.net/u/3452433/blog/898444
文章标签:

#数据库 #python #数据结构与算法

本文介绍Apache Shiro框架中的权限管理实现方法,包括角色与权限的分配、四种权限验证方式及其应用场景。

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

本系列博文目录:https://my.oschina.net/u/3452433/blog/907396

 

shiro授权的操作主要分为两个步骤

1、匹配登录用户的角色,并将权限赋予当前用户所创建的Subject。

2、访问某一资源时,从当前用户Subject中取得权限并验证是否可以访问这个资源。

 

权限管理

shiro本身并不提供权限管理的机制,权限的管理需要我们自己进行维护。常见的做法是在数据库创建用户、角色和权限表进行管理。数据结构类似于下图

161320_0WDk_3452433.png

权限的标识符(代码中匹配权限的字符串)理论上可以自由定义,但是一般情况我们会赋予含义。

例如:“company_add“或“company:add”。前面代表模块后面代表功能。

 

赋予权限

当一个用户成功登陆后,我们会先取得用户的userId,然后去数据库中找到对应的角色以及下面的所有权限。最后将这些权限存入当前用户的权限信息中,以便访问资源时使用这些权限进行比对。

 

赋予权限时我们要继承AuthorizingRealm类,并实现doGetAuthorizationInfo抽象方法。

    /**
     * 授权
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        //获取当前登录用户的信息(登录认证时取得的)
        Principal principal = (Principal) principals.getPrimaryPrincipal();
        //使用登录信息中存入的userId获取当前用户所有权限
        List<String> authorities = getAuthority(principal.getUserId());
        //创建授权信息类
        SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
        //将权限存入授权信息类
        authorizationInfo.addStringPermissions(authorities);

        return authorizationInfo;
    }

 

验证权限

shiro支持通过四种方式进行权限验证。

1、代码判断(代码级)

使用subject.isPermitted( )方法,验证是否有权限,后进行对应的处理。验证失败逻辑自己实现。

if(SecurityUtils.getSubject().isPermitted("admin_home")){
   System.out.println("我有这个权限");
}else{
   System.out.println("我没有这个权限");
}

 

2、使用注解(方法级)

注解方式属于方法级的权限控制。使用@RequiresPermissions注解的方法时会验证权限。验证失败抛出org.apache.shiro.authz.AuthorizationException异常。

@RequiresPermissions("admin_home")
@RequestMapping(value="/index", method = RequestMethod.GET)
public String index(ModelMap model){
    System.out.println("我有这个权限");
}

 

3、使用标签(页面元素级)

使用标签属于页面元素及的权限控制。访问被标签控制的页面元素时,需要拥有标签指定的权限。验证失败的的内容在页面上是隐藏的。

这里需要注意freemaker是不能直接使用shiro权限验证标签的,如果要使用需要引入shiro-freemarker-tags包,具体方法请参考另一篇博文Shiro快速入门 —— 9.freemaker使用shiro标签

<!-- 验证单个权限 -->
<@shiro.hasPermission name = "admin_company_manage">
  <!-- 被控制的页面元素 -->
</@shiro.hasPermission>


<!-- 验证多个权限是可以在外层嵌套循环,只要拥有其中一个权限就显示标签 -->
<#list ["admin1","admin2","admin3"] as permission>
  <@shiro.hasPermission name = permission>
     <!-- 被控制的页面元素 -->
  </@shiro.hasPermission>
</#list>

 

4、拦截器(路径级)

在拦截器拦截路径配置时,可以指定权限拦截器和所需的权限。当访问此路径时进行权限验证。验证失败会访问在拦截器工厂类中配置的无权限提示页。具体方法可以参考《Shiro快速入门 —— 2.拦截器》

Map<String, String> filterChainDefinitionMap = new LinkedHashMap<String, String>();
filterChainDefinitionMap.put("/home1/**", "perms[admin1]");
filterChainDefinitionMap.put("/home2/**", "perms[admin2]");
filterChainDefinitionMap.put("/home3/**", "perms[admin3]");
shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);//设置拦截规则

拦截器工厂类中配置无权限提示页。具体方法可以参考《Shiro快速入门 —— 2.拦截器》

shiroFilterFactoryBean.setUnauthorizedUrl("/common/unauthorized");//配置没有权限跳转的页面

 

 

转载于:https://my.oschina.net/u/3452433/blog/898444

Shiro快速入门 —— 10.项目实例
哼哼的博客
01-11 410
本文所提供的项目实例,是我将公司项目中的shiro代码进行了抽取、整理并添加了一些注释而形成的。 所以例子中并不包含shiro所有的功能,但是本系列文章前9篇所讲解的内容在这里都是可以找到的。 本示例项目所使用的技术如下: 集成开发环境为IDEA,项目构建使用spring boot,包管理使用maven,页面展示使用freemaker,控制层使用spring mvc等。 在本篇博文中会贴出主要代码,完整的项目已经上传到码云大家可以下载查看使用。 项目码云地址:http://git.oschina.net
Shiro快速入门 —— 2.拦截器
哼哼的博客
01-07 3264
ShiroFilter拦截器是整个Shiro的入口,用于拦截需要安全控制的请求并进行处理。 shiro封装了很多不同用途的拦截器,这里只介绍几个比较常用的拦截器,更详细介绍可以参考博文 《第八章拦截器机制——跟我学Shiro》:http://jinnianshilongnian.iteye.com/blog/2025656 登录拦截器(FormAuthenticationFilter) 由于此拦截器经常需要继承并重写里面的方法,来扩展自己的登录拦截规则,所以会进行详细介绍。 等录拦截器主要有两个作用
Shiro快速入门 —— 7.缓存
哼哼的博客
01-11 148
本篇文章我们使用Ehcache作为Cache实现进行配置。 引入所需jar包 maven坐标 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-ehcache</artifactId> <version>1.2.4</version> </dependency> shiro配置 shiro有两种缓存 Realm缓存
Shiro快速入门 —— 1.概述
哼哼的博客
01-07 136
Shiro简介 Apache Shiro™是一个强大且易用的Java安全框架,用于认证、授权、加密和会话管理。Shiro易于理解的API,使您可以快速、轻松地使用在任何程序中——从最小的移动应用程序到最大的网络和企业应用程序。 Apache Shiro™ is a powerful and easy-to-use Java security framework that performs authentication, authorization, cryptography, and session ma
Shiro快速入门 —— 6.记住我
哼哼的博客
01-11 181
Shiro提供了记住我(RememberMe)的功能,关闭了浏览器下次再打开时还是能记住你是谁,下次访问时无需再登录即可访问。 创建记住我使用的Cookie spring boot配置 /** * 创建保存记住我信息的Cookie */ @Bean(name = "rememberMeCookie") public SimpleCookie getSimpleCookie() { SimpleCookie simpleCookie = new SimpleCookie(); simpl
Shiro快速入门 —— 0.目录
weixin_33734785的博客
05-23 98
2019独角兽企业重金招聘Python工程师标准>>> ...
2024年最全Shiro安全框架——【快速入门、登录拦截、用户认证
05-01 824
);} else {”);//注销//退出三、SpringBoot 集成 Shiro1.编写测试环境1.在刚刚的父项目中新建一个 springboot 模块2.导入 SpringBoot 和 Shiro 整合包的依赖SpringBoot 和 Shiro 整合包1.4.1下面是编写配置文件Shiro 三大要素用户 -> ShiroFilterFactoryBean管理所有用户 -> DefaultWebSecurityManager连接数据。
Shiro权限验证——授权(Authorization)
m0_67401153的博客
04-07 1107
Shiro学习笔记(3)——授权(Authorization) 什么是授权 授权三要素 Shiro的三种授权方式 1 编码方式授权 2 基于注解的授权 3 JSP标签授权 1.什么是授权 授权,就是访问控制,控制某个用户在应用程序中是否有权限做某件事 2.授权三要素 权限 请看Shiro学习笔记(1)——shiro入门中权限部分内容 角色 通常代表一组行为或职责.这些行为演化为你在一个软件应用中能或者不能做的事情。角色通常是分配给用户帐户的,因此,通过分配,用户能够“做”的事情可以归
Shiro基础——快速入门
程序无言
09-26 451
Shiro基础 一. Shiro简介 1. Shiro是什么 Apache Shiro是一个Java的一个安全权限框架。Shiro可以轻松的完成:身份认证,授权,加密,会话管理等功能。 2. 功能简介 Authentication: 身份认证/登录,验证用户是不是拥有相应的身份。 Authorization: 授权,即验证权限,验证某个已认证的用户是否拥有某个权限;即判断用户是否能进行什么操作。如:验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具有某个权限。 Session M
shiro——会话管理
m0_62019369的博客
09-11 805
Shiro提供了完整的企业级会话管理功能,不依赖于底层容器(如Tomcat、WebLogic),不管是J2SE还是J2EE环境都可以使用,提供了会话管理,会话事件监听,会话存储/持久化,容器无关的集群,失效/过期支持,对Web的透明支持,SSO单点登录的支持等特性。 所谓会话,即用户访问应用时保持的连接关系,在多次交互中应用能够识别出当前访问的用户是谁,且可以在多次交互中保存一些数据。如访问一些网站时登录成功后,网站可以记住用户,且在退出之前都可以识别当前用户是谁。
Shiro安全框架【快速入门】及上手应用
qq_52252193的博客
05-09 437
目录 Shiro 简介 为什么是 Shiro? Apache Shiro Features 特性 High-Level Overview 高级概述 Shiro 认证过程 Shiro 授权过程 自定义 Realm Shiro 加密 加盐 + 多次加密 SpringBoot 简单实例 第一步:新建SpringBoot项目,搭建基础环境 第二步:新建实体类 第三步:配置 Shiro 第四步:准备 DAO 层和 Service 层 第五步:controller层 第六步:准备页面..
基于SpringBoot和uni-app开发的陪诊陪护软件系统源码
程序员创业中
09-06 1440
中国60岁以上人口已突破3.1亿,独居老人超1.3亿,而一线城市三甲医院日均门诊量超万人次。在这组数据背后,是无数家庭面临的困境:子女异地工作无法陪同父母就医,独居老人因不会操作智能设备在挂号机前徘徊,异地患者因不熟悉流程在医院迷路……当“就医”从个人事务演变为社会难题,陪诊陪护系统正以“专业服务+技术赋能”的双重模式,成为破解这一困局的关键。
从Java全栈开发到微服务架构的实战经验分享
CatchLight的博客
09-09 727
应聘者:我认为最重要的是能够理解业务需求,并将其转化为技术方案。同时,持续学习新技术,保持对行业趋势的关注也很关键。毕竟,技术更新很快,只有不断学习才能跟上节奏。通过这次面试,我们可以看到一位资深Java全栈开发者的专业能力和实践经验。他不仅掌握了多种技术栈,还能在实际业务场景中灵活运用,解决实际问题。同时,他也展现了良好的沟通能力和学习能力,这些都是成为一名优秀工程师的关键素质。
Date、BigDecimal类型值转换
2301_81922209的博客
09-06 421
本文展示了前后端数据交互中日期和数值类型的转换处理。前端输入JSON数据包含日期字符串(yyyy-MM-dd和yyyy/MM/dd格式)和数值,后端通过@JsonFormat注解自动转换为Date类型,BigDecimal类型则用于精确计算。数据库中存储datetime和decimal类型数据。后端处理时,使用工具类对价格和利率进行格式化:价格保留两位小数(四舍五入),利率转换为百分比格式。最终响应数据将日期转为时间戳或格式化字符串,数值转为格式化字符串,并转换支付方式编码为描述文本。完整流程涵盖数据接收、
Redis哨兵
2502_92141759的博客
09-10 441
哨兵的结构如图::Sentinel 会不断检查您的master和slave是否按预期工作:如果master故障,Sentinel会将一个slave提升为master。当故障实例恢复后也以新的master为主:Sentinel充当Redis客户端的服务发现来源,当集群发生故障转移时,会将最新信息推送给Redis的客户端。
SAP HANA Scale-out 03:Performance Guide
SAP攻城狮
09-10 654
HEX EngineThe SAP HANA Execution Engine (HEX)是一个查询执行引擎,从长远来看将取代其他SAP HANA引擎,如连接引擎和OLAP引擎.所有功能都整合在HEX中,从而消除不同引擎之间的物化过程。HEX引擎通过在准备阶段创建适当的SQL计划来连接SQL层和存储层。HEX引擎中的数据是流式处理的,因此可以快速获取第一批结果行,而无需等待所有结果行都被处理。HEX引擎中的操作符是管道化的,改进了并行化并可以减少内存消耗。
计算机毕设 java 高校饭堂点餐系统 基于微信小程序 + SSM 的高校餐饮服务平台 Java+MySQL 的点餐运营系统
最新发布
毕设源码伍学长
09-10 681
在高校饭堂就餐需求增长的背景下,传统点餐依赖窗口排队、效率低,存在高峰期拥堵、菜品信息不透明等问题,难以满足师生便捷就餐需求。采用 Java 技术、SSM 框架、Uni-weixin 技术及 MySQL 数据库,开发高校饭堂点餐系统(微信小程序端 + 服务端),整合菜品展示、在线点餐、订单跟踪等功能,支持管理员、商家、用户三类角色协同,打造专业化餐饮服务平台。该系统既能帮助管理员监管平台内容,商家高效管理菜品订单,又能让用户便捷查询菜品、完成点餐,提升高校饭堂服务效率用户体验。
知识图谱——图数据库项目构建
renjt01的博客
09-10 162
知识图谱——图数据库项目构建 一、图数据库 1.Neo4j 2.neo4j使用 3.创建节点 4.创建关系 5.删除所有节点和关系 6.效果展示 二、知识问答项目构建 1、前端构建 2、大模型进行问题分类和命名实体识别 3、python操作neo4j数据库 4、后端构建
分布式专题——1.1 Redis单机、主从、哨兵、集群部署
念头通达
09-05 1422
Redis 部署(单机、主从、哨兵、集群)、文件目录、配置文件
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值