权限验证框架Shiro学习(二)

最新推荐文章于 2023-03-14 16:47:45 发布
最新推荐文章于 2023-03-14 16:47:45 发布
阅读量1.5k 收藏 1
点赞数
分类专栏: Java 文章标签: shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/xiaojiesu/article/details/49559257
版权
本文介绍Shiro权限管理系统中三种授权方式:使用PermissionAuthorizationFilter过滤器、在方法上使用Shiro注解以及使用JSP标签。文章详细解释了每种方式的具体实现,并提供了代码示例。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >


shrio授权,验证主体subject对当前操作有没有该权限

授权,有三种方式

第一种:通过使用PermissionAuthorizationFilter过滤拦截,方式就是通过application-shiro.xml中的<filterChainDefinitions>中配置个perms

例如,对goods/query的访问需要[good:query]权限

<filterChainDefinitions>

    goods/query/** = perms[goods:query]

</filterChainDefinitions>

上一节也说了,这个是通过PermissionAuthorizationFilter进行过滤,这样配置好了,怎么拦截呢,同样是在我们的realm中,realm中有两个方法,一个是认证,认证就是根据token的userCode查询用户基本信息,密码,菜单,等信息构造一个SimpleAuthenticationInfo的bean返回,剩下的就是shiro去验证了

还有一个方式是授权,该方法主要是返回改用户所拥有的权限,剩下的就是shrio根据上面xml的配置,看请求资源的权限是否返回的权限列表中,

// 授权
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        UserInfo userInfo = (UserInfo)principals.getPrimaryPrincipal();

        List<String> permissions = new ArrayList<String>();
        List<UserMenuPermission> permissionList = userInfo.getPermissions();
        if (permissionList != null && permissionList.size() > 0) {
            for (UserMenuPermission permission : permissionList) {
                permissions.add(permission.getUrl());
            }
        }

        SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
        simpleAuthorizationInfo.addStringPermissions(permissions);
        return simpleAuthorizationInfo;
    }

这样就完成了授权验证,如果没有该权限,则跳转到我们xml定义的UnAnthorizationUrl的页面,但是这样授权认证有个缺陷就是每个请求都要配置,这样比较麻烦,而且每次都要访问数据库,就是都要访问上面代码,而该代码又访问数据库,这样对性能肯定也会有影响,所以下面的配置方式,要解决上面的配置麻烦,性能问题。


第二种:在方法上加注解

shrio注解方式是比较推荐的,而且配置也很简单

首先在我们的mvc配置文件中

<!-- 开启aop对类代理 -->
    <aop:config proxy-target-class="true"></aop:config>

    <bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
        <property name="securityManager" ref="securityManager" />
    </bean>

<aop:config proxy-target-class="true"> 开启spring mvc对类的代理,因为我们要在@Controller层的方法上加shrio的注解,@Controller是类,不是接口,所以要开启

<bean>的配置是把shrio的管理也交给spring管理

实例代码:

@RequestMapping("/query")
    @RequiresPermissions("item:query")  // shiro注解
    public String queryGoods(HttpServletRequest request) {

        List<Goods> goodsList = new ArrayList<Goods>();
        for (int i=0; i<5; i++) {
            Goods goods = new Goods(i+1, "商品" + i, 10D, new Date(), "详情");
            goodsList.add(goods);
        }

        request.setAttribute("itemsList", goodsList);

        return "itemsList";
    }


我们只要在该方法上加上个注解,上面的方法表示该方法需要item:query的权限,很简单方便,功能等同于上面那种方式在xml里要加,但很简单

下面我们要解决下缓存的问题:

缓存是为了解决我们在验证授权的时候,频繁访问数据库的情况

配置:

1、新建shiro-cache.xml

<ehcache xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:noNamespaceSchemaLocation="../config/ehcache.xsd">
    <diskStore path="E:\develop\ehcache" />
    <defaultCache
            maxElementsInMemory="1000"
            maxElementsOnDisk="10000000"
            eternal="false"
            overflowToDisk="false"
            diskPersistent="false"
            timeToIdleSeconds="120"
            timeToLiveSeconds="120"
            diskExpiryThreadIntervalSeconds="120"
            memoryStoreEvictionPolicy="LRU">
    </defaultCache>
</ehcache>

2、在application-shiro.xml中增加配置 

 <!-- shiro缓存配置 -->
    <bean id="cacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager">
        <property name="cacheManagerConfigFile" value="classpath:spring/application-shiro-ehcache.xml" />
    </bean>

3、在securityManager引入cacheManager bean 
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
        <property name="realm" ref="myRealm" />
        <property name="cacheManager" ref="cacheManager" />
    </bean>

这样就第一次访问某个请求的时候才会到自定义realm的授权方法,同时还要注意缓存的清除

4、清除缓存

在自定义的realm重写

public void clearCached() {
        PrincipalCollection principalCollection = SecurityUtils.getSubject().getPrincipals();
        super.clearCache(principalCollection);
    }
在需要清除调用的时候清除缓存,一般是在权限修改后调用


第三种 jsp标签

在jsp页面引入标签库

<%@ tagliburi="http://shiro.apache.org/tags" prefix="shiro" %>


标签名称    标签条件(均是显示标签内容)
<shiro:authenticated>    登录之后
<shiro:notAuthenticated>    不在登录状态时
<shiro:guest>    用户在没有RememberMe时
<shiro:user>    用户在RememberMe时
<shiro:hasAnyRoles name="abc,123" >    在有abc或者123角色时
<shiro:hasRole name="abc">    拥有角色abc
<shiro:lacksRole name="abc">    没有角色abc
<shiro:hasPermission name="abc">    拥有权限资源abc
<shiro:lacksPermission name="abc">    没有abc权限资源
<shiro:principal>    显示用户身份名称
 <shiro:principal property="username"/>     显示用户身份中的属性值

这个类似我们的EL表达式上的逻辑判断,比如

<shiro:hasPermisson name="item:query">

   拥有权限

</shiro:hasPermission>


日常开发中可以用注解 加 标签的方式结合使用













shiro @RequiresPermissions多权限
afdasfggasdf的博客
08-30 5051
一、RequirePermissions多权限 权限值value用数组代替,再设置logical 多选一:logical = Logical.OR 例如:@RequiresPermissions(value = { "product_create", "product_edit" }, logical = Logical.OR) 必须全部符合:logical = Logical.AND ...
学习 权限框架shiro 的ssm
11-22
以上就是关于"学习权限框架Shiro的SSM"的知识点介绍,通过整合Shiro与SSM,我们可以构建出一套完整的权限管理体系,实现对用户访问的精细控制。在实际项目中,Shiro的灵活性和易用性使得它成为许多开发者首选的安全...
shiro:hasPermission 标签 :验证当前用户是否拥有指定权限
热门推荐
dxyzhbb的博客
10-11 2万+
1、这些值是存在数据库里的,在哪里找呢?sys_menu 中的permission列。 <shiro:hasPermission name=“cms:article:edit”> 他是怎么入库的呢?非菜单项的权限是怎么加入,怎么取出来使用的? 取出来的sql: SELECT a.id , a.parent_id AS "parent.id" , a.paren...
shiro:hasPermission name=“...“>咋用啊
m0_59834108的博客
07-27 4206
如有错误欢迎指正 shirohaspermission这个标签,对应的是官网给出的一个类,可以判断是否有操作权限,name属性呢,可以理解为名为sys:menu:add的一个操作,传入标签以后,标签来判断一下这个sys:menu:add操作有没有权限运行 如有错误欢迎指正 ...
Shiro原理一】shiro:hasPermission 隐藏页面无权访问的资源
朱赤墨黑
09-03 6117
shiro:hasPermission 隐藏页面无权访问的资源,因为层层调用方法,下面可能有点儿乱,注意上下结合看方法名。 jsp: organ_list.jsp &lt;shiro:hasPermission name="jigouxinxi-xinzeng"&gt; &lt;button class="layui-btn layui-btn-primary" onclick="a...
@shiro.hasPermission 使用
ywb201314的专栏
10-26 3506
在页面上加上@shiro.hasPermission 如下用.ftl为例子: 当加上shiro标签后,会与后台代码结合使用: 需要继承AuthorizingRealm 下的protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection)进行业务的处理。 关系点:@shiro.hasPermission name=的值要与authorizatio...
Apache Shiro权限框架实战+项目案例视频课程
06-09
Apache Shiro一个强大的Java安全框架,它为应用程序提供了身份验证(Authentication)、授权(Authorization)以及会话管理(Session Management)等功能。本课程旨在通过实战演练和项目案例,帮助学习者深入理解...
最全的安全框架shiro学习视频
08-09
### 安全框架Shiro详尽学习指南 #### 一、Shiro简介 Apache Shiro一个强大且易用的Java安全框架,它提供了认证、授权、加密和会话管理等功能,可以非常容易地开发出足够安全的应用。Shiro的目标是帮助开发者更...
Shiro权限框架由浅入深讲解教程课件
01-07
Apache Shiro一个轻量级的 Java 安全框架,主要负责身份验证、授权、加密以及会话管理。它的设计目标是简化应用安全的实现,让开发者能够快速地为各种类型的程序添加安全特性,从简单的命令行应用到复杂的 web ...
权限系统框架shiro教程
07-10
- **Authorization(授权)**:权限验证过程,用于判断用户是否拥有执行特定操作的权限。 - **Session(会话)**:用户与应用交互时维持状态的机制。 ### 功能详细解析 #### 身份验证 身份验证是确定用户是否是...
shiro框架的三种权限控制方式
浩瀚星空
07-27 1167
Shiro权限控制方式
shiro
qq_32295383的博客
04-29 213
Shiro核心api subject: 用户主体(把操作交给SecurityManager) SecurityManager:安全管理器(关联Realm) Realm:shiro连接数据库的桥梁 --------------------------------用户认证 1.Controller //使用shiro编写认证 Subject subject=SecurityUtils.ge...
springboot+shiro+layuimini实现后台管理系统的权限控制(三)利用shiro实现对用户的授权
superyu1992的专栏
07-27 1361
用户成功登入我们系统之后,下一步就是要根据用户的角色给用户授予相应的权限Shiro支持的权限控制范围很广,大到一个模块的权限,小到一个按钮的操作权限都可以通过shiro来进行控制。一、shiro基于权限的访问控制主要有三种调用方式:1、编码: 2、注解: 3、标签: 无论是哪一种访问控制的调用方式,都会从主体(Subject)委托给SecurityManager,最终委托给Realm下的doGetAuthorizationInfo()中来执行授权操作,并把授权结果返回到上层。shiro的授
Shiro---角色和权限的校验方法
Apple_Andy的博客
09-11 975
一.角色校验 1.hasRole(String role) hasRole是判断是否具有某个角色:有就返回true,没有就返回false 2.hasRoles(List roles) 判断是否具有多个角色:返回值是一个boolean的数组,数组中的每一个元素代表了是否具有的角色 3.hasAllRoles(Collection roles) 判断是否具有多个角色:如果提供列表中没有用户所具有的角色,则返回false,如果都存在,返回true 4. subject.checkXxx() 也是判断用户是否具有角
js获取shiro权限
m0_67393295的博客
08-18 438
function getMyAuth() { return true; return false; }
shiro标签 与 权限注解
面朝大海
08-07 3275
引入shiro标签 如下: <%@ taglib prefix=”shiro” uri=”http://shiro.apache.org/tags” %> <!-- authenticated 用户已经经过身份验证,但不是记住我登录的 --> <shiro:authenticated> <shiro:principal />已经经过身份验证<br><br> </shiro:au
Shiro 权限验证方式
fhjkkkjh的博客
03-14 251
注解@RequiresPermissions()
Shiro权限管理】16.Shiro标签
程序猿之洞
12-10 3550
注:该系列所有测试均在之前创建的Shiro3的Web工程的基础上。 前面我们剖析了Shiro的授权流程,并且编写了授权的小实例。下面我们来探讨一下Shiro的 标签。 Shiro提供了JSTL标签用于在JSP页面进行权限控制,如根据登录用户显示相应的页面按钮。 Shiro提供的标签有如下几种: (1)guest标签:用户没有身份验证时显示相应信息,即游客访问信息。 例如:
Shiro haspermission 权限验证问题
gong_xucheng的专栏
10-11 1万+
Shiro haspermission 权限验证问题 &lt;shiro:hasPermission name="info:link:edit"&gt; !!! &lt;/shiro:hasPermission&gt; 呵呵,今天调试这个permission问题,发现 hasPermission的继承效果 如果定义权限组 group1  有权限 info 那么他自动拥有 info**** 的权限 ...
Shiro权限管理框架学习笔记
Apache Shiro一个强大且易用的Java安全框架,主要用于身份验证、授权、会话管理和加密等安全相关功能。在学习Shiro的过程中,我们可以了解到它的一些核心概念和常见应用场景。 首先,Shiro提供了一种简单的方式...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值