shiro之权限--授予

最新推荐文章于 2022-04-07 16:43:07 发布
最新推荐文章于 2022-04-07 16:43:07 发布
阅读量1.2k 收藏 1
点赞数
分类专栏: shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/withawind/article/details/94602828
版权

上一篇讲了  shiro的登录认证   现在讲下shiro授权

 

首先在config中配置了拦截器

 /**
     * Shiro的过滤器链
     */
    @Bean
    public ShiroFilterFactoryBean shiroFilter(DefaultWebSecurityManager securityManager) {
        ShiroFilterFactoryBean shiroFilter = new ShiroFilterFactoryBean();
        shiroFilter.setSecurityManager(securityManager);
        /**
         * 默认的登陆访问url
         */
        shiroFilter.setLoginUrl("/login");
        /**
         * 登陆成功后跳转的url
         */
        shiroFilter.setSuccessUrl("/");
        /**
         * 没有权限跳转的url
         */
        shiroFilter.setUnauthorizedUrl("/global/error");

        /**
         * 覆盖默认的user拦截器(默认拦截器解决不了ajax请求 session超时的问题,若有更好的办法请及时反馈作者)
         */
        HashMap<String, Filter> myFilters = new HashMap<>();
        myFilters.put("user", new GunsUserFilter());
        shiroFilter.setFilters(myFilters);

        /**
         * 配置shiro拦截器链
         *
         * anon  不需要认证
         * authc 需要认证
         * user  验证通过或RememberMe登录的都可以
         *
         * 当应用开启了rememberMe时,用户下次访问时可以是一个user,但不会是authc,因为authc是需要重新认证的
         *
         * 顺序从上到下,优先级依次降低
         *
         * api开头的接口,走rest api鉴权,不走shiro鉴权
         *
         */
        Map<String, String> hashMap = new LinkedHashMap<>();
        for (String nonePermissionRe : NONE_PERMISSION_RES) {
            hashMap.put(nonePermissionRe, "anon");
        }
        hashMap.put("/**", "user");
        shiroFilter.setFilterChainDefinitionMap(hashMap);
        return shiroFilter;
    }

然后每次请求都进行拦截

 

此时已登陆进去AuthenticationInfo中已保存登录信息

 @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        UserAuthService shiroFactory = UserAuthServiceServiceImpl.me();
        ShiroUser shiroUser = (ShiroUser) principals.getPrimaryPrincipal();
        List<Long> roleList = shiroUser.getRoleList();

        Set<String> permissionSet = new HashSet<>();
        Set<String> roleNameSet = new HashSet<>();

        for (Long roleId : roleList) {
            List<String> permissions = shiroFactory.findPermissionsByRoleId(roleId);
            if (permissions != null) {
                for (String permission : permissions) {
                    if (ToolUtil.isNotEmpty(permission)) {
                        permissionSet.add(permission);
                    }
                }
            }
            String roleName = shiroFactory.findRoleNameByRoleId(roleId);
            roleNameSet.add(roleName);
        }
        //授权执行类
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        info.addStringPermissions(permissionSet);
        info.addRoles(roleNameSet);
        return info;
    }

然后进入permission切面  

@Aspect
@Component
@Order(200)
public class PermissionAop {

    @Autowired
    private PermissionCheckService check;

    @Pointcut(value = "@annotation(cn.stylefeng.guns.core.common.annotion.Permission)")
    private void cutPermission() {

    }

    @Around("cutPermission()")
    public Object doPermission(ProceedingJoinPoint point) throws Throwable {
        MethodSignature ms = (MethodSignature) point.getSignature();
        Method method = ms.getMethod();
        Permission permission = method.getAnnotation(Permission.class);
        Object[] permissions = permission.value();
        if (permissions.length == 0) {

            //检查全体角色
            boolean result = check.checkAll();
            if (result) {
                return point.proceed();
            } else {
                throw new NoPermissionException();
            }

        } else {

            //检查指定角色
            boolean result = check.check(permissions);
            if (result) {
                return point.proceed();
            } else {
                throw new NoPermissionException();
            }
        }
    }

}

之后进入进行检查

/**
 * 权限自定义检查
 */
@Service
@Transactional(readOnly = true)
public class PermissionCheckServiceServiceImpl implements PermissionCheckService {

    @Override
    public boolean check(Object[] permissions) {
        ShiroUser user = ShiroKit.getUser();
        if (null == user) {
            return false;
        }
        ArrayList<Object> objects = CollectionUtil.newArrayList(permissions);
        String join = CollectionUtil.join(objects, ",");
        if (ShiroKit.hasAnyRoles(join)) {
            return true;
        }
        return false;
    }

    @Override
    public boolean checkAll() {
        HttpServletRequest request = HttpContext.getRequest();
        ShiroUser user = ShiroKit.getUser();
        if (null == user) {
            return false;
        }
        String requestURI = request.getRequestURI().replaceFirst(ConfigListener.getConf().get("contextPath"), "");
        String[] str = requestURI.split("/");
        if (str.length > 3) {
            requestURI = "/" + str[1] + "/" + str[2];
        }
        if (ShiroKit.hasPermission(requestURI)) {
            return true;
        }
        return false;
    }

}

之后就是jar包中的源码   具体负责权限验证

/**
     * 验证当前用户是否拥有指定权限,使用时与lacksPermission 搭配使用
     *
     * @param permission 权限名
     * @return 拥有权限:true,否则false
     */
    public static boolean hasPermission(String permission) {
        return getSubject() != null && permission != null
                && permission.length() > 0
                && getSubject().isPermitted(permission);
    }

然后执行 getSubject().isPermitted(permission)   方法

这时可以看到 Subject 的实现类DelegatingSubject中的方法看到还是从securityManager中取判断

public boolean isPermitted(String permission) {
        return hasPrincipals() && securityManager.isPermitted(getPrincipals(), permission);
    }

然后可看到AuthorizingRealm中的PermissionResolver   从接口interface PermissionResolver中转化为Permission对象

然后将PrincipalCollection principals转化为保存的认证信息AuthorizationInfo  即将此请求信息与用户权限做比较如果存有此用户权限则可进行访问  否则进行拦截

 public boolean isPermitted(PrincipalCollection principals, String permission) {
        Permission p = getPermissionResolver().resolvePermission(permission);
        return isPermitted(principals, p);
    }

 public boolean isPermitted(PrincipalCollection principals, Permission permission) {
        AuthorizationInfo info = getAuthorizationInfo(principals);
        return isPermitted(permission, info);
    }

protected boolean isPermitted(Permission permission, AuthorizationInfo info) {
        Collection<Permission> perms = getPermissions(info);
        if (perms != null && !perms.isEmpty()) {
            for (Permission perm : perms) {
                if (perm.implies(permission)) {
                    return true;
                }
            }
        }
        return false;
    }

此时整个运行流程运行完毕

 

shiro-root-1.3.2-source-release
12-11
Shiro 提供了角色(Role)和权限(Permission)的概念,通过 `AuthorizingRealm` 来实现权限授予和检查。 3. **会话管理**(Session Management):Shiro 可以独立于Web容器进行会话管理,支持分布式会话,这在多...
shiro-springboot-thymeleaf模板 登录认证权限授予验证案例.zip
09-06
shiro+springboot+thymeleaf模板,做的登录认证权限授予验证案例,讲解很全面,对登录认证和权限授予都做了详细说明,其中 shiro 权限验证的三种方式:add()(编程方式) delete()(注解方式) update()和select()(JSP...
Shiro-Permissions 对权限的深入理解
weixin_30786657的博客
03-22 240
单个权限 query单个资源多个权限 user:query user:add    多值 user:query,add单个资源所有权限 user:query,add,update,delete    user:*所有资源单个权限 *.view 实例级别的权限控制单个实例的单个权限 printer:query:lp7200    printer:print:epsoncolor所有实例的单个权...
第三章 授权——《跟我学Shiro
jinnianshilongnian的专栏
02-21 754
  目录贴: 跟我学Shiro目录贴   授权,也叫访问控制,即在应用中控制谁能访问哪些资源(如访问页面/编辑数据/页面操作等)。在授权中需了解的几个关键对象:主体(Subject)、资源(Resource)、权限(Permission)、角色(Role)。 主体 主体,即访问应用的用户,在Shiro中使用Subject代表该用户。用户只有授权后才允许访问相应的资源。 资源 在应...
_013_Shiro_Permissions
poiuyppp的博客
01-23 388
• 授权,也叫访问控制,即在应用中控制谁访问哪些资源(如访问页面/编辑数据/页面操作 等)。在授权中需了解的几个关键对象:主体(Subject)、资源(Resource)、权限(Permission)、角色(Role)。 • 主体(Subject):访问应用的用户,在 Shiro 中使用 Subject 代表该用户。用户只有授权 后才允许访问相应的资源。 • 资源(Resource):在应用中...
Shiro基础知识03----shiro授权(编程式授权),Permission详解,授权流程
热门推荐
ChangWen的博客
10-01 1万+
授权,也叫访问控制,即在应用中控制谁能访问哪些资源(如访问页面/编辑数据/页面操作等)。   在权限认证中,最核心的是:主体/用户(Subject)、权限(Permission)、角色(Role)、资源(Resource)。     1、权限,即操作资源的权利,通过权限我们可以表示在应用中用户有没有操作某个资源的权力。即权限表示在应用中用户能不能访问某个资源,比如访问某个页面,以及对某个模块的
SHiro学习笔记
dananhai381的专栏
09-03 434
简介 Shiro 是一个强大而灵活的开源安全框架,能够非常清晰的处理认证、授权、管理会话以及密码加密。如下是它所具有的特点: 1.   易于理解的 Java Security API; 2.   简单的身份认证(登录),支持多种数据源(LDAP,JDBC,Kerberos,ActiveDirectory等); 3.   对角色的简单的签权(访问控制),支持细粒度的签权; 4.   支持一
shiro项目基本运行架包以及全部的架包shiro-all.jar
04-17
Shiro支持基于角色的访问控制(RBAC),你可以为角色分配权限,然后将这些权限授予用户。 3. **会话管理(Session Management)**:Shiro可以管理应用程序中的会话,包括会话创建、更新、删除和超时处理。这对于Web...
注释最全,一步步详解 shiro-ssm登录认证权限授予验证案例.zip
09-04
在本案例中,我们将深入探讨如何将 Shiro 与 Spring(SSM)框架整合,实现用户登录认证和权限授予功能。 1. **Shiro 的核心组件**: - **Authentication(认证)**:验证用户身份,通常涉及到用户名和密码的验证。...
shiro 个人总结
02-25
个人shiro总结,主要参考来源来自张开涛的博客,加入一些自己的理解很整理,整合成这个文档
Shiro学习笔记(四)——shiro实现授权
驼君的小小博客园
02-07 422
授权概述 授权,也叫访问控制,即在应用中控制谁能访问哪些资源(如访问页面/编辑数据/页面操作等)。 在授权中需了解的几个关键对象:主体(Subject)、资源(Resource)、权限(Permission)、 角色(Role) 主体 主体,即访问应用的用户,在Shiro中使用Subject代表该用户。用户只有授权后才允许访问相应的资源。 资源 在应用中用户可以访问的任何东西,比如访问JS...
shiro中给某个接口添加权限的两种方法,若没有权限则返回特定值
m0_67402341的博客
04-07 853
shiro中给某个接口添加权限的两种方法,若没有权限则返回特定值 1、在ShiroConfig中的ShiroFilterFactoryBean这个bean中添加过滤器,在过滤器中对接口添加访问权限 1> 添加访问权限 Map<String, String> filterMap = new LinkedHashMap<>(); filterMap.put("/user/add", "perms[user:add]"); //授权 shiroFilterFactoryBean.
Apache Shiro学习笔记(三)用户授权自定义Permission
weixin_34029949的博客
07-25 495
鲁春利的工作笔记,好记性不如烂笔头Shiro配置文件(shiro-customize-permission.ini)[main] myRealmA=com.invicme.apps.shiro.permission.MyRealmOne myPermissionResolver=com.invicme.apps.shiro.permission.MyPermissionRe...
shiro权限认证
lqzxpp的博客
01-23 404
用了shiro很长时间了,经常在controller的某个方法前加上注解: @RequiresPermissions("xx:xx"),就可以试用shiro权限认证。 现在想研究下spring是如何调用这个过程的. 1、 public class AopAllianceAnnotationsAuthorizingMethodInterceptor extends Anno...
Shiro 基于权限授权的简单应用与授权注解
Charge8的博客
04-25 901
上篇文章有必要看一下:Shiro 基于角色授权的简单应用与权限过滤器配置含义 一、基于权限授权的简单应用 数据库: 用户admin, 只拥有角色 admin 和 user 与访问 /admin/userlist 的权限资源,如果 pid 为1和2,则两者都可访问。 1、spring.xml 在配置 shiro 的过滤器上,配置权限控制的拦截规则: ...
修改 ShiroUser 缓存用户
BIG.KE的博客
03-23 492
// 这个用户可能由于框架不同而设计不同 ShiroUser user = ShiroKit.getUser(); Subject subject = ShiroKit.getSubject(); PrincipalCollection principalCollection = subject.getPrincipals(); String realmName = principalCollection.getRealmNames().iterator().next(); PrincipalCollec
shiro简单的密码加盐与密码验证
qq1026432050的博客
01-06 4158
shiro简单的密码加盐与登录验证 最近对后台管理框架非常的感兴趣,于是研究了通过什么进行了密码加盐加密的,并如何进行验证的,本次的所有讲解都是根据guns后端管理框架进行的个人理解 一、pom.xml配置 首先导入依赖,从guns项目的pom.xml中拽出并把版本号替换成1.3.2 &amp;lt;!--shiro依赖和缓存--&amp;gt; &amp;lt;dependency&amp;gt; &amp;lt;groupId...
Shiro笔记 教程
huangyueranbbc的博客
11-23 331
     1.什么是shiro? Apache Shiro 是一个基于JAVA的强大而灵活的开源安全框架,它干净利落地处理身份认证,授权,企业会话管理和加密。 Shiro比较简单,而且比较独立。可以在javese和j2ee中使用,并且可以在分布式集群环境下使用。     a) Shiro结构体系   · Authentication:认证。验证用户是否合法。也就是登录。 · ...
shiro-ssm登录权限全面解析案例教程
本案例文档对shiro-ssm整合的具体步骤进行了详细讲解,特别是针对登录认证与权限授予验证方面,深入探讨了权限验证的三种主要方式:编程方式、注解方式以及JSP标签方式。 首先,介绍Shiro框架的基本概念,它包含了...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值