Shiro(授权Authorization)

最新推荐文章于 2024-10-24 08:09:13 发布
转载 最新推荐文章于 2024-10-24 08:09:13 发布 · 208 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:https://juejin.im/post/5b7251076fb9a009b16d438f
文章标签:

#java #javascript #ViewUI

本文介绍Shiro权限管理的四种实现方式:硬编码、过滤器配置、注解及自定义标签,并对比不同方式的特点及适用场景。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

什么是授权?
  • 即该用户是否有权限访问某个资源.(即校验权限)
Shiro权限的实现方式
1. 硬编码方式:实现授权访问校验.
  • 在自定义中的realm中的授权方法中进行编写代码.
  • 根据传进来的PrincipalCollection获取用户对象.
  • 该授权方法的返回值是AuthorizationInfo,该对象是一个接口,因此我们需要创建它的实现类,SimpleAuthorizationInfo.
  • 使用该类的方法

addRole 对应action 中的subject.checkRole方法.

/**
* 授权
*
* @param principalCollection
* @return
*/
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {

User user = (User) principalCollection.getPrimaryPrincipal();

SimpleAuthorizationInfo sai  =  new SimpleAuthorizationInfo();
sai.addStringPermission("部门管理");

return sai;
}
复制代码
  • 访问部门列表前需要进行权限校验
 @Action(value = "deptAction_list")
    public String toList() {

        Subject subject = SecurityUtils.getSubject();

        subject.checkPermission("部门管理");

        return "toList";
    }
复制代码
  • 这里通过主体subject,提供用户的权限信息.并将用户的权限信息通过方法与Realm中的进行校验.

使用到的方法区别
subject.isPermitted()返回的是一个boolean,有权限则返回true,没有返回false.该方法需要我们自己处理没有权限后要处理的事
subject.checkPremission该方法如果没有权限会直接报错

以上的两个方法的作用是一样的,都是校验用户是否有权限访问资源.但第一个方法需要自己进行判断.第二个方法我们只需把异常处理了就可以了.

2. 过滤器配置(与Spring整合的配置文件中配置)

特点:权限校验是通过配置文件配置实现,因此权限校验与业务代码完全解耦.

  • 在applicationContext-shiro.xml中的配置

  • 格式为: 左边为需要进行权限校验的url 右边为perms[url所需要的权限]

/sysadmin/deptAction_list = perms[部门列表]
/** = authc
复制代码

如果该用户没有权限,会跳转到错误页面:

是因为在配置文件上我们配置了未授权的跳转页面

<!--未授权校验的页面-->
<property name="unauthorizedUrl" value="/login.jsp"/>
复制代码
<!--1. 创建shiroFilterFactoryBean-->
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
<property name="securityManager" ref="securityManager"/>
<!--认证失败跳转的页面-->
<property name="loginUrl" value="/login.jsp"/>
<!--认证成功的页面.如果代码中指定了,以代码跳转的地址为准,通常会以登录成功跳转的页面为准-->
<property name="successUrl" value="/home.jsp"/>
<!--未授权校验的页面-->
<property name="unauthorizedUrl" value="/login.jsp"/>

<!--过滤器链-->
<property name="filterChainDefinitions">
<value>
    /index.jsp* = anon
    /home* = anon
    /sysadmin/login/login.jsp* = anon
    /sysadmin/login/loginAction_logout* = anon
    /login* = anon
    /logout* = anon
    /components/** = anon
    /css/** = anon
    /img/** = anon
    /js/** = anon
    /plugins/** = anon
    /images/** = anon
    /js/** = anon
    /make/** = anon
    /skin/** = anon
    /stat/** = anon
    /ufiles/** = anon
    /validator/** = anon
    /resource/** = anon
    /sysadmin/deptAction_list = perms[部门列表]
    /** = authc
</value>
</property>
</bean>
复制代码

资源路径问题:如果第一位的过滤所匹配的资源路径为/**的话,因为/**匹配的是所有资源路径,所以下面的过滤器中的资源路径都不会再匹配了.只会执行第一个过滤器.因此配置资源路径为/**的过滤器一般放在过滤器链的最后.

注意:授权过滤器需要放在认证过滤器之前.否则会失效(资源路径为/**的情况下)

方式3:注解

使用shiro注解实现权限校验步骤:

  1. 开启注解支持
  2. 使用注解

根据官方文档说明,开启注解支持我们需要在shiro与Spring的配置文件中,配置三个Bean.

  • 开启注解支持
<!--开启shiro授权校验注解支持-->
    <bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>
    <bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator"
          depends-on="lifecycleBeanPostProcessor"/>
    <bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
        <property name="securityManager" ref="securityManager"/>
    </bean>
复制代码

注意:这里使用到了depend-on,表示创建该对象需要depend-on的对象,因此在创建该对象之前先创建depend-on的对象,然后再创建当前对象.

  • 使用注解(@RequiresPermissions)

注意:这个注解要定义到Service上.当使用struts注解开发的时候如果将shiro的注解写到action上会对struts有干扰.传入的service可能会有问题.如果想在action上使用shiro注解,那么使用struts.xml 配置文件来进行开发.

  @RequiresPermissions("部门列表")
    @Override
    public Page<Dept> findAll(Specification<Dept> spec, Pageable pageable) {
        return deptDao.findAll(spec, pageable);
    }
复制代码
  • 该种方式校验到用户没有该权限访问资源,不会报错而是以下的这种效果:

方式4 :shiro的自定义标签

使用前需要把标签库导入

<%@ taglib prefix="shiro"  uri="http://shiro.apache.org/tags" %>
复制代码
  • 使用案列:

<shiro:hasPermission name="">这个标签会去到我们自定义的Realm中进行权限的校验.匹配我们name的值与Realm中的值

<%@ taglib prefix="shiro"  uri="http://shiro.apache.org/tags" %>
<html>
<head>
    <title>Title</title>
</head>
<script type="text/javascript" src="${ctx}/js/jquery-1.11.3.min.js"></script>
<body>
<shiro:hasPermission name="部门列表">
<a href="#">部门列表</a> <br>
</shiro:hasPermission>

<shiro:hasPermission name="删除部门">
<a href="#">删除部门</a> <br>
</shiro:hasPermission>

<shiro:hasPermission name="添加部门">
<a href="#">添加部门</a> <br>
</shiro:hasPermission>

<shiro:hasPermission name="修改部门">
<a href="#">修改部门</a> <br>
</shiro:hasPermission>
</body>
</html>
复制代码

这种方式多用于Jsp页面上.用于动态的显示菜单.

总结:
  1. 在Service上面使用的shiro的授权方式:硬编码,注解.
  2. 在Action上面使用的shiro的授权方式:

  • 如果开发使用的是struts.xml的配置文件, 并且没有引入struts注解开发支持包,action上做权限校验可以使用硬编码,注解,过滤器.

  • 如果开发使用的是struts注解开发支持包,action上做权限校验可以使用硬编码,过滤器.

  1. 在JSp上的权限校验:使用第四种方式,使用shiro的自定义标签
如果有什么地方说得不正确,大家可以在评论写下一起交流。希望我的文章对你有帮助。点个赞阿兄dei!

转载于:https://juejin.im/post/5b7251076fb9a009b16d438f

Shiro授权Authorization
qq_49670207的博客
09-19 820
Shiro授权Authorization)术语简介授权主体资源权限 术语简介 授权 授权,也叫访问控制,即在应用中控制谁能访问哪些资源(如访问页面/编辑数据/页面操作等)。在授权中需了解的几个关键对象:主体(Subject)、资源(Resource)、权限(Permission)、角色(Role)。 主体 主体,即访问应用的用户,在Shiro中使用Subject代表该用户,用户只有授权后才允许访问相应的资源。 资源 在应用中用户可以访问的任何东西,比如访问JSP页面、查看/编辑某些数据、访问某个业务方法、
第十章 Shiro授权(Authorization)
最新发布
上官花雨滴博客!!!
10-24 754
RBAC(Role-Based Access Control,基于角色的访问控制)是一种在组织和企业中广泛使用的访问控制机制。它的核心概念是将权限分配给角色,而不是直接分配给用户。用户则被分配一个或多个角色,从而继承这些角色的权限。这种方法简化了权限管理,因为当员工的职责发生变化时,只需要更改他们的角色分配,而不需要逐一修改他们的权限。
Shiro】Apache Shiro架构之权限认证(Authorization
武哥聊编程
07-03 1万+
上一篇博文总结了一下Shiro中的身份认证,本文主要来总结一下Shiro中的权限认证(Authorization)功能,即授权。如下: 本文参考自Apache Shiro的官方文档:http://shiro.apache.org/authorization.html。 本文遵循以下流程:先介绍Shiro中的权限认证,再通过一个简单的实例来具体说明一下API的使用(基于maven)。 1
shiro 授权(Authorization)
weixin_44659712的博客
09-18 303
术语简介 1、授权 授权,也叫访问控制,即在应用中控制谁能访问哪些资源。在授权中需了解的几个关键对象:主体(Subject)、资源(Resource)、权限(Permission)、角色(Role) 2、主体 主体,即访问应用的用户,在shiro中使用shiro中使用subject代表该用户,用户只有授权后才允许访问相应的资源。 3,资源 在应用中用户可以访问的任何东西,比如访问jsp页面、查看/编辑某些数据、访问某个业务方法,打印文件等都是资源,用户只有授权后才能访问。 4、资源 安全策略中
shiro实战系列()Authorization(授权)
weixin_34290096的博客
06-10 396
授权,又称作为访问控制,是对资源的访问管理的过程。换句话说,控制谁有权限在应用程序中做什么。 授权检查的例子是:该用户是否被允许访问这个网页,编辑此数据,查看此按钮,或打印到这台打印机?这些都是 决定哪些是用户能够访问的。 授权的要素: Apache Shiro 中的权限代表着安全政策中最基础的元素。它们从根本上作出了对行为的声明,并明...
Shiro授权(Authorization)
qq_45136677的博客
09-19 261
授权 授权,也叫访问控制,既在应用中控制谁能访问哪些资源(如访问页面/编辑数据/页面操作等).在授权中需了解几个关键对象:主体(Subject),资源(Resource),权限(Permission).角色(Role). 主体 主体,既访问应用的用户,在Shiro中使用Subject代表该用户.用户只有授权后才允许访问相应的资源. 资源 在应用中用户可以访问的任何东西,比如访问JSP页面,查看/编辑某些数据,访问某个业务方法,打印文本等等都是资源.有货只有授权以后才能访问. 权限 安全策略中的原子授权单位,
第十章:Shiro 授权Authorization
hezhixiang202100的博客
10-24 643
Subject:请求主体,外部应用与 subject进行交互,subject记录当前操作用户,用户就是当前操作的主体;外部程序通过subject进行认证授权,subject通过Security Manager安全管理器进行认证授权;:安全管理器,相当于SpringMVC中的DispatcherServlet是Shiro的心脏;所有的交互都通过SecurityManager进行控制,管理着所有Subject负责进行认证和授权、会话及缓存的管理;
Apache Shiro 使用手册() Shiro授权
09-15
Apache Shiro 是一款强大的安全管理框架,它提供了身份验证(Authentication)、授权Authorization)和会话管理(Session Management)等功能。本篇文章将详细讲解 Shiro授权机制,即如何控制用户在应用程序中...
shiro授权设计的两种思路
05-03
Shiro授权设计中,主要存在两种思路,分别是基于角色的访问控制(Role-Based Access Control, RBAC)和基于权限的访问控制(Permission-Based Access Control)。这两种思路各有特点,适用于不同的应用场景。 **1...
shiro授权过程
jasnet_u的博客
03-25 1474
一、授权的核心概念 授权,也就是权限认证或访问控制,即在应用中控制谁能访问哪些资源 授权中的核心要素: 1 用户,在shiro中代表访问系统的任何客户端,即subject 2 角色,是权限的集合,或字符串值表示的一种能力。 3 权限,即操作资源的权利。比如访问某个页面,以及对某功能模块的添加、修改、删除、查看的权利 (http://shiro.apache.org/authorization.ht...
什么是shiro 3——组件之授权
甲凹I饕餮的博客
05-23 484
授权,也叫访问控制,即在应用中控制谁能访问哪些资源(如访问页面/编辑数据/页面操作 等)。在授权中需了解的几个关键对象:主体(Subject)、资源(Resource)、权限(Permission)、角色(Role)。 主体 主体,即访问应用的用户,在Shiro中使用Subject代表该用户。用户只有授权后才允许访 问相应的资源。 资源 在应用中用户可以访问的任何东西,比如访问JSP 页
Shiro 授权(权限)
我的博客----机械鱼人
01-09 2188
一、授权(权限) 1.1 什么是权限 授权,也叫访问控制,即在应用中控制谁能访问哪些资源(如访问页面/编辑数据/页面操作等)。 1.2 权限框架 shiro spring security Apache ShiroJava的一个安全框架。目前,使用Apache Shiro的人越来越多,因为它相当简单, 对比Spring Security,可能没有Spring Security做的功能强大,但...
第五章:Shiro授权Authorization
逸轩
04-09 756
Authorization概述 概述   授权,又称作为访问控制,是对资源的访问管理的过程。换句话说,控制谁有权限在应用程序中做什么。   授权检查的例子是:该用户是否被允许访问这个网页,编辑此数据,查看此按钮,或打印到这台打印机?这些都是决定哪些是用户能够访问的。 授权的三要素   授权有着三个核心元素:权限、角色和用户 。   我们需要在应用程序中对用户和权
shiro讲解 之 Authorization ()
Dusty丶one的博客
10-30 665
shiro讲解之 多Realm 之 Authorization(一)本节我们将学习一下 ShiroAuthorization(授权)。 官方文档The Authorizer is the component responsible determining users’ access control in the application. It is the mechanism that ult
Shiro安全框架(Shiro与SpringBoot整合开发)授权部分(一)编码
JavaJieRui的博客
12-19 365
对于shiro框架我们之前已经分别叙述了shiro在.ini文件中的认证,shiro代码中硬编码的认证实现,以及我们将shiro与springboot整合的认证实现,还有我们将shiro与springboot整合之后,连接数据库的认证实现,接下来我们继续为大家展开来研究一下shiro与springboot整合之后连接数据库的授权方面的实现,其实与之前shiro连接数据库做认证的实现思路相似,我们也首先来理一下思路。 一、关于shiro与springboot整合的授权实现思路 首先,shiro这个安全框架
shiro支持的编码/解码和散列算法
zy1992As的博客
03-15 341
散列算法一般用于生成数据的摘要信息,是一种不可逆的算法,一般适合存储密码之类的数据,常见的散列算法如MD5、SHA等。一般进行散列时最好提供一个salt(),比如加密密码“admin”,产生的散列值是“21232f297a57a5a743894a0e4a801fc3”,可以到一些md5解密网站很容易的通过散列值得到密码“admin”,即如果直接对密码进行散列相对来说破解更容易,此时我们可以加一些只有系统知道的干扰数据,如salt(即盐);【1.4】新建ClientTest。·(HEX)16进制字符串。
shiro550代码审计(巨详细)--加密部分
zyer
03-16 6041
找了一下大佬的文章借鉴了一下shiro550的利用流程 (Shiro 550 反序列化漏洞 详细分析+poc编写) 简单介绍利用: 通过在cookie的rememberMe字段中插入恶意payload, 触发shiro框架的rememberMe的反序列化功能,导致任意代码执行。 shiro 1.2.24中,提供了硬编码的AES密钥:kPH+bIxk5D2deZiIxcaaaA== 由于开发人员未修改AES密钥而直接使用Shiro框架,导致了该问题 于是我们......
Shiro学习笔记(3)——授权Authorization
热门推荐
君君的专栏
05-28 1万+
什么是授权 授权三要素 Shiro的三种授权方式 1 编码方式授权 2 基于注解的授权 3 JSP标签授权1.什么是授权授权,就是访问控制,控制某个用户在应用程序中是否有权限做某件事2.授权三要素 权限 请看Shiro学习笔记(1)——shiro入门中权限部分内容角色 通常代表一组行为或职责.这些行为演化为你在一个软件应用中能或者不能做的事情。角色通常是分配给用户帐户的,因此,通过分配,用户
shiro反序列化漏洞
qq_41696518的博客
06-27 1723
在请求包的Cookie中为 rememberMe字段赋任意值,收到返回包的 Set-Cookie 中存在 rememberMe=deleteMe 字段,说明目标有使用Shiro框架,可以进一步测试。,然后将其作为cookie的rememberMe字段发送,Shiro将rememberMe进行解密并且反序列化,最终造成反序列化漏洞。硬编码要求程序的源代码在输入数据或所需格式发生变化时进行更改,以便最终用户可以通过程序外的某种方式更改细节。在攻击机:192.168.43.131 中生成rememberMe。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值