apache shiro框架@RequiresPermissions源码分析

最新推荐文章于 2023-08-11 17:32:18 发布
最新推荐文章于 2023-08-11 17:32:18 发布
阅读量3.3k 收藏 18
点赞数 6
CC 4.0 BY-SA版权
文章标签: apache shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/xiewenfeng520/article/details/89447749
本文详细解析了Shiro框架中的@RequiresPermissions注解使用方法,包括如何通过该注解实现接口权限控制,以及权限检查的具体实现流程。文章还介绍了如何在代码中设置用户权限集合,以确保只有拥有特定权限的用户才能访问相应的接口。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1.@RequiresPermissions使用方法

在对应的方法上使用注解

@RequestMapping("user/list")
@RequiresPermissions("user:list")
@ResponseBody
public Map<String, Object> userList(QueryRequest request, User user) {
    return super.selectByPageNumSize(request, () -> this.userService.findUserWithDept(user, request));
}

功能说明:如果当前登录用户包含该权限(user的list查询权限),用户才能访问这个接口获取数据

2.分析实现过程

1.在用户调用接口userList,通过@RequiresPermissions对方法进行拦截

2.获取到@RequiresPermissions注解中的value字符串“user:list”与数据库中配置的该用户的权限做对比

分析:框架做的事情就是把这些过程封装好,我们要做的很简单,设置user权限集合,在方法上对应的注解中添加权限即可。

3.源码分析

1.shiro源码AOP切面类

用来拦截userList接口

源码中拦截了5个注解,其中包括@RequiresPermissions

在这个切点中,调用了performBeforeInterception方法

继续追踪源码发

调用AnnotationsAuthorizingMethodInterceptor(类名中文意思:注解授权方法拦截者 )中的

继续往下

 5个注解对应5种不同的handler

这里我们只看PermissionAnnotationHandler

看名称就知道终于到了最重要的实现代码

checkPermission(检查权限)

在这里获取到注解中value的权限,与当前用户的权限做对比即可

具体检查的源码就不具体看了,可以想象成字符串比较,当然源码中不会这么简单

下图为关键部分源码,对注释做了翻译

AnnAnnotationsAAnnotationsAuthorizingM

2.下一个问题,如何获取到当前用户的权限?

权限设置(这段不是源码,是我们使用shiro框架需要写的部分

在代码中我们需要继承AuthorizingRealm类,重写doGetAuthorizationInfo方法

@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principal) {
    User user = (User) SecurityUtils.getSubject().getPrincipal();
    String userName = user.getUsername();

    SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();

    // 获取用户角色集
    List<Role> roleList = this.roleService.findUserRole(userName);
    Set<String> roleSet = roleList.stream().map(Role::getRoleName).collect(Collectors.toSet());
    simpleAuthorizationInfo.setRoles(roleSet);

    // 获取用户权限集
    List<Menu> permissionList = this.menuService.findUserPermissions(userName);
    Set<String> permissionSet = permissionList.stream().map(Menu::getPerms).collect(Collectors.toSet());
    simpleAuthorizationInfo.setStringPermissions(permissionSet);
    return simpleAuthorizationInfo;
}

重写的方法会在AuthorizingRealm类的getAuthorizationInfo方法中被调用

代码中红框部分:Shrio会根据用户配置的缓存方式将权限集合存储在缓存中

而在checkPermission 中通过缓存获取该权限集合进行对比检查

这里的session是shrio中session,并不是web容器中的。

最终将注解中value的权限与session中缓存的当前用户权限进行checkpermission,判断用户是否有权限访问。

 

AnnotationsAuthorizingAnnotationsAuthorizingMethodInterceptorMethodInterceptor

若依源码分析(3)——用户管理
Felix_hyfy的博客
04-19 1万+
系统管理-用户管理 /system/user /** * @RequiresPermissionsShiro的注解 * 只有当用户拥有system:user:list这个字符串时才能访问此方法 */ @RequiresPermissions("system:user:list") @PostMapping("/list") @Respo...
Shiro框架-史上详解
qq_46416934的博客
08-02 649
权限管理概述某个拥有什么,被允许做什么事情()用户登录—>分配角色---->(权限关联映射)---->鉴权(拥有什么什么权限)
shiro授权RequiresPermissions注解使用
热门推荐
nanfang1012的博客
07-20 2万+
权限控制是shiro最核心的东西 Shiro权限声明通常是使用以冒号分隔的表达式。一个权限表达式可以清晰的指定资源类型,允许的操作,可访问的数据。同时,Shiro权限表达式支持简单的通配符,可以更加灵活的进行权限设置。 下面以实例来说明权限表达式。 可查询用户数据 User:view 可查询或编辑用户数据 User:view,edit 可对用户数据进行所有操作 User:* 或 user 可编辑i...
shiro@RequiresPermissions,@RequiresRoles解析流程
qq_61592687的博客
08-11 6849
全网最新讲解shiro@RequiresPermissions,@RequiresRoles的解析流程,绝对对你理解这两个验证流程大有脾益。
shiro @RequiresPermissions设计与 实现
u013995395的博客
05-31 4081
本篇主要以@RequiresPermissions 注解为例,讲解shiro中如何设计与实现 首先定义注解 @Target({ElementType.TYPE, ElementType.METHOD}) @Retention(RetentionPolicy.RUNTIME) public @interface RequiresPermissions { /** * Th...
shiro@RequiresPermission校验实现
wangzibai的博客
05-29 1239
shiro-spring 借助Spring AOP特性实现shiro的注解式校验 引入shiro-spring依赖后一定要注入AuthorizationAttributeSourceAdvisor以便借助spring aop进行shiro注解校验 @Bean public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager) ...
shirodemo:SpringBoot集成Shiro博客源码-源码客
03-24
【标题】"shirodemo:SpringBoot集成Shiro博客源码-源码客" 提供的是一个基于SpringBoot框架并集成了Apache Shiro安全框架的博客系统的源代码。这个项目对于学习如何在SpringBoot应用中实现用户认证和授权功能非常有...
SpringBoot与Shiro框架集成详解及完整源码示例
资源摘要信息: "本教程主要讲解如何在Spring Boot项目中集成Apache Shiro安全框架,并提供完整的源码和数据库配置,适用于对Shiro框架刚接触或者需要深入学习Shiro的开发者。Shiro是一个功能强大、易于使用且灵活的...
Apache Shiro与Spring集成实践教程
标签“源码 工具”说明本资源可能包含关于Shiro和Spring框架源码分析和使用方法的介绍。对于想要深入了解框架工作原理的开发者来说,通过源码学习是一个很好的途径。 压缩包子文件的文件名称列表中的“.classpath...
shiro @RequiresPermissions 权限控制问题排查
Mccsosix的博客
08-01 2007
最近在使用权限控制遇到了一些坑,分享一下我的排查思路大致问题普遍如下:前端请求接口,页面显示并无权限部分接口可以访问,少部分接口无权限。
项目中使用shiro @RequiresPermissions:注解 为登录用户授予权限
可控的事情要谨慎,不可控的事情要乐观。
09-01 5687
在这之前,Shiro的具体验证过程 链接: https://blog.youkuaiyun.com/qq_37767455/article/details/99771312 和 https://blog.youkuaiyun.com/qq_37767455/article/details/91351791 下面完整代码地址: https://gitee.com/never_enough/jxc_system 一、表设计 ...
shiroRequiresPermissions注解使用
qq_34567887的博客
07-10 2663
https://blog.youkuaiyun.com/MOTU_/article/details/74941419
shrio中@RequiresPermissions 解释
QieXingQieMingJi的博客
09-26 1186
@RequiresAuthentication 验证用户是否登录,等同于方法subject.isAuthenticated() 结果为true时。 @RequiresUser 验证用户是否被记忆,user有两种含义: 一种是成功登录的(subject.isAuthenticated() 结果为true); 另外一种是被记忆的(subject.isRemembered()结果为true)。...
重写Shiro,拦截RequiresPermissions权限标识获取逻辑,实现Controller多级权限拼接
MinisterOL的博客
04-24 1916
逻辑分析:1、aop 切面拦截 controller 对应调用的方法2、获取对应方法的注解信息3、使用对应的解析器解析获取到的注解信息①、获取方法注解信息②、获取类注解信息③、返回注解信息4、从注解获取权限标识符根据以下代码分析,从注解解析器入手,进行拦截处理。
Shiro权限—— @RequiresPermissions注解使用
野的博客
10-24 7274
@RequiresPermissions多权限是分两种的,这里要注意 第一种:必须全部符合(默认不写或者在后面添加logical = Logical.AND) @RequiresPermissions(value={“stuMan:find_record_list”,“tea:find_record_list”}) 上面这种情况是默认当前对象必须同时全部拥有指定权限 第二种:符合其中一个即可(lo...
shiro@RequiresPermissions 注解使用
愿我如星君如月 ... 夜夜流光相皎洁 ...
11-15 6698
权限控制是shiro最核心的东西 Shiro权限声明通常是使用以冒号分隔的表达式。一个权限表达式可以清晰的指定资源类型,允许的操作,可访问的数据。同时,Shiro权限表达式支持简单的通配符,可以更加灵活的进行权限设置。 下面以实例来说明权限表达式。 可查询用户数据 User:view 可查询或编辑用户数据 User:view,edit 可对用户数据进行所有操作 User:* 或 u...
shiro@RequiresPermissions注解不生效的解决办法
半城山半城水
05-17 6295
shiro@RequiresPermissions注解不生效的解决办法 项目采用springboot和shiro,需要对用户的访问权限进行控制,就在controller层的方法上加上@RequiresPermissions(“AUTH_USER”)注解,发现并没有生效。查阅一些资料后才明白,原来是没有开启shiro的注解支持,需要在ShiroConfiguration 配置类中,加上开启注解的代...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值