Shiro三种授权方式


编程式:通过写 if/else 授权代码块完成:


Subject subject = SecurityUtils.getSubject();

if(subject.hasRole(“admin”)) {

    //有权限

} else {

    //无权限

}


注解式:通过在执行的 Java 方法上放置相应的注解完成:


@RequiresRoles("admin")

public void hello() {

    //有权限

}


没有权限将抛出相应的异常;


JSP/GSP 标签:在 JSP/GSP 页面通过相应的标签完成:


Shiro 提供了 JSTL 标签用于在 JSP/GSP 页面进行权限控制,如根据登录用户显示相应的页面按钮。


导入标签库


<%@taglib prefix="shiro" uri="http://shiro.apache.org/tags" %>


<shiro:hasRole name="admin">

<!— 有权限 —>

</shiro:hasRole>


授权流程




流程如下:


  1. 首先调用 Subject.isPermitted*/hasRole*接口,其会委托给 SecurityManager,而 SecurityManager 接着会委托给 Authorizer;
    2. 

  2. Authorizer 是真正的授权者,如果我们调用如 isPermitted(“user:view”),其首先会通过 PermissionResolver 把字符串转换成相应的 Permission 实例;
    3. 

  3. 在进行授权之前,其会调用相应的 Realm 获取 Subject 相应的角色/权限用于匹配传入的角色/权限;
    4. 

  4. Authorizer 会判断 Realm 的角色/权限是否和传入的匹配,如果有多个 Realm,会委托给 ModularRealmAuthorizer 进行循环判断,如果匹配如 isPermitted*/hasRole* 会返回 true,否则返回 false 表示授权失败。


ModularRealmAuthorizer 进行多 Realm 匹配流程:


  • 首先检查相应的 Realm 是否实现了实现了 Authorizer;
    • 

  • 如果实现了 Authorizer,那么接着调用其相应的 isPermitted*/hasRole* 接口进行匹配;
    • 

  • 如果有一个 Realm 匹配那么将返回 true,否则返回 false。


如果 Realm 进行授权的话,应该继承 AuthorizingRealm,其流程是:


  • 如果调用 hasRole*,则直接获取 AuthorizationInfo.getRoles() 与传入的角色比较即可;首先如果调用如 isPermitted(“user:view”),首先通过 PermissionResolver 将权限字符串转换成相应的 Permission 实例,默认使用 WildcardPermissionResolver,即转换为通配符的 WildcardPermission;
    • 

  • 通过 AuthorizationInfo.getObjectPermissions() 得到 Permission 实例集合;通过 AuthorizationInfo.getStringPermissions() 得到字符串集合并通过 PermissionResolver 解析为 Permission 实例;然后获取用户的角色,并通过 RolePermissionResolver 解析角色对应的权限集合(默认没有实现,可以自己提供);
    • 

  • 接着调用 Permission.implies(Permission p) 逐个与传入的权限比较,如果有匹配的则返回 true,否则 false。


自定义 Realm设置权限


public class MyRealm extends AuthorizingRealm {

    @Override

    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {

        SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();

        authorizationInfo.addRole("role1");

        authorizationInfo.addRole("role2");

        authorizationInfo.addObjectPermission(new BitPermission("+user1+10"));

        authorizationInfo.addObjectPermission(new WildcardPermission("user1:*"));

        authorizationInfo.addStringPermission("+user2+10");

        authorizationInfo.addStringPermission("user2:*");

        return authorizationInfo;

    }

    @Override

    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {

        //身份认证

    }

}


QQ群:785071190
查看原文:http://www.coder306.cn/?p=210
												


											
​Shiro授权的更多相关文章
	

    
						
  1. Apache Shiro 使用手册(三)Shiro 授权
		
    授权即访问控制,它将判断用户在应用程序中对资源是否拥有相应的访问权限. 如,判断一个用户有查看页面的权限,编辑数据的权限,拥有某一按钮的权限,以及是否拥有打印的权限等等. 一.授权的三要素 授权有着三 ...
    
		
    2. 
						
  2. Apache shiro集群实现 (四)shiro授权(Authentication)--访问控制
		
    Apache shiro集群实现 (一) shiro入门介绍 Apache shiro集群实现 (二) shiro 的INI配置 Apache shiro集群实现 (三)shiro身份认证(Shiro ...
    
		
    3. 
						
  3. Shiro笔记(五)Shiro授权
		
    Shiro授权 也叫访问控制,即在应用中控制谁能访问那些资源(如访问页面.编辑数据.页面操作等).在授权中需要了解几个关键对象:主体(subject).资源(resource).权限(Permissi ...
    
		
    4. 
						
  4. Shiro授权管理
		
    一.授权 授权,也叫访问控制,即在应用中控制谁能访问哪些资源(如访问页面/编辑数据/页面操作等).在授权中需了解的几个关键对象:主体(Subject).资源(Resource).权限(Permissi ...
    
		
    5. 
						
  5. 转:JAVAWEB开发之权限管理(二)——shiro入门详解以及使用方法、shiro认证与shiro授权
		
    原文地址:JAVAWEB开发之权限管理(二)——shiro入门详解以及使用方法.shiro认证与shiro授权 以下是部分内容,具体见原文. shiro介绍 什么是shiro shiro是Apache ...
    
		
    6. 
						
  6. shiro授权-记调试过程
		
    根据张开涛老师的shiro教程学习过程中 感觉shiro授权这块有点绕 调试了十几遍 大概有个思路  记录一下 1.单元测试入口 2.subject().isPermitted("+user ...
    
		
    7. 
						
  7. frame shiro 授权及原理简述
		
    shiro 授权模式 shiro采用的是rbac授权模式rbac,基于角色的权限管理,谁扮演什么角色,被允许做什么事情. shiro 授权流程 shiro 授权方式 1.编程式 通过写if/else授 ...
    
		
    8. 
						
  8. Apache Shiro 使用手册(三)Shiro 授权(转发:http://kdboy.iteye.com/blog/1155450)
		
    授权即访问控制,它将判断用户在应用程序中对资源是否拥有相应的访问权限. 如,判断一个用户有查看页面的权限,编辑数据的权限,拥有某一按钮的权限,以及是否拥有打印的权限等等. 一.授权的三要素 授权有着三 ...
    
		
    9. 
						
  9. Shiro授权流程
		
    1,授权中涉及的一些概念      [1]授权:访问控制,即在应用中认证用户能否访问的系统资源(如一个页面,一个按钮等).      [2]资源:在Web应用中反应为用户可以访问的URL.       ...
    
		
    10. 
						
  10. shiro授权+注解式开发
		
    shiro授权和注解式开发 1.shiro授权角色.权限 2.Shiro的注解式开发 ShiroUserMapper.xml <select id="getRolesByUserId& ...
    
		
    11. 
		

	


随机推荐
	

    
									
  1. [jQuery插件]手写一个图片懒加载实现
			
    教你做图片懒加载插件 那一年 那一年,我还年轻 刚接手一个ASP.NET MVC 的 web 项目, (C#/jQuery/Bootstrap) 并没有做 web 的经验,没有预留学习时间, (作为项 ...
    
			
    2. 
						
  2. 需求:一个页面中需要用到多个字典数据。用于下拉选项,同时,需要将其保存为json格式。以便于key,value的相互转换。记录在实现过程中踩的坑
			
    本文涉及到的知识: Promise,all()的使用 js处理机制 reduce的用法 map的用法 同步异步 需求: 一个页面中需要用到多个字典数据.用于下拉选项,同时,需要将其保存为json格式. ...
    
			
    3. 
						
  3. 货车运输  noip2013 luogu P1967 (最大生成树+倍增LCA)
			
    luogu题目传送门! 首先,题目让我们求每个货车的最大运输量,翻译一下就是求路径上边权最小的边. 利用一下贪心思想可知,所有货车肯定都会尽量往大的边走. 进一步翻译,即为有一些小边货车根本不会走,或 ...
    
			
    4. 
						
  4. Python数据分析:pandas玩转Excel(三)
			
    将对象写入Excel工作表. 要将单个对象写入 Excel .xlsx 文件,只需指定目标文件名即可.要写入多个工作表,必须创建具有目标文件名的ExcelWriter对象,并在文件中指定要写入的工作表 ...
    
			
    5. 
						
  5. C++ 海量代码 排查内存/GDI泄漏历程
			
    排查分两大部分: 1.代码静态分析,通过Code Review查找不合规范的代码点: 2.运行目标软件,结合内存监控工具,分析目标软件的代码,定位内存泄漏点. 目前能找到的代码静态分析软件:Cover ...
    
			
    6. 
						
  6. (Java实现) 洛谷 P1098 字符串的展开
			
    import java.util.ArrayList; import java.util.Scanner; public class zifuchuandezhankai { static Array ...
    
			
    7. 
						
  7. Java实现 蓝桥杯 算法提高 摩尔斯电码
			
    算法提高 9-3摩尔斯电码 时间限制:1.0s 内存限制:256.0MB 提交此题 问题描述 摩尔斯电码破译.类似于乔林教材第213页的例6.5,要求输入摩尔斯码,返回英文.请不要使用"zy ...
    
			
    8. 
						
  8. Java实现 蓝桥杯VIP 基础练习 FJ的字符串
			
    问题描述 FJ在沙盘上写了这样一些字符串: A1 = "A" A2 = "ABA" A3 = "ABACABA" A4 = "AB ...
    
			
    9. 
						
  9. Java实现 LeetCode 199 二叉树的右视图
			
    199. 二叉树的右视图 给定一棵二叉树,想象自己站在它的右侧,按照从顶部到底部的顺序,返回从右侧所能看到的节点值. 示例: 输入: [1,2,3,null,5,null,4] 输出: [1, 3,  ...
    
			
    10. 
						
  10. Java实现 LeetCode 101 对称二叉树
			
    101. 对称二叉树 给定一个二叉树,检查它是否是镜像对称的. 例如,二叉树 [1,2,2,3,4,4,3] 是对称的. 1 / \ 2 2 / \ / \ 3 4 4 3 但是下面这个 [1,2,2 ...
    
			
    11.