返回
将 shiro 作为应用权限基础 三:基于注解实现授权认证过程

将 shiro 作为应用权限基础 三:基于注解实现授权认证过程

ID:1039704

大小:324.50 KB

页数:10页

时间:2017-11-07

将 shiro 作为应用权限基础 三:基于注解实现授权认证过程_第1页
将 shiro 作为应用权限基础 三:基于注解实现授权认证过程_第2页
将 shiro 作为应用权限基础 三:基于注解实现授权认证过程_第3页
将 shiro 作为应用权限基础 三:基于注解实现授权认证过程_第4页
将 shiro 作为应用权限基础 三:基于注解实现授权认证过程_第5页
资源描述:

《将 shiro 作为应用权限基础 三:基于注解实现授权认证过程》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、授权即访问控制,它将判断用户在应用程序中对资源是否拥有相应的访问权限。 如,判断一个用户有查看页面的权限,编辑数据的权限,拥有某一按钮的权限等等。 一、用户权限模型为实现一个较为灵活的用户权限数据模型,通常把用户信息单独用一个实体表示,用户权限信息用两个实体表示。用户信息用LoginAccount表示,最简单的用户信息可能只包含用户名loginName及密码password两个属性。实际应用中可能会包含用户是否被禁用,用户信息是否过期等信息。用户权限信息用Role与Permission表示,Role与Permission之间构成多对多关系。Permission可以理解为对

2、一个资源的操作,Role可以简单理解为Permission的集合。用户信息与Role之间构成多对多关系。表示同一个用户可以拥有多个Role,一个Role可以被多个用户所拥有。权限声明及粒度 Shiro权限声明通常是使用以冒号分隔的表达式。就像前文所讲,一个权限表达式可以清晰的指定资源类型,允许的操作。同时,Shiro权限表达式支持简单的通配符,可以更加灵活的进行权限设置。 下面以实例来说明权限表达式。 可查询用户数据 User:view 可查询或编辑用户数据 User:view,edit 可对用户数据进行所有操作 User:*或user 可编辑id为123的用户数据 Us

3、er:edit:123 授权处理过程认证通过后接受Shiro授权检查,授权验证时,需要判断当前角色是否拥有该权限。只有授权通过,才可以访问受保护URL对应的资源,否则跳转到“未经授权页面”。如果我们自定义Realm实现,比如我后面的例子中,自定义了ShiroDbRealm类,当访问被@RequiresPermissions注解的方法时,会先执行ShiroDbRealm.doGetAuthorizationInfo()进行授权。@Controller@RequestMapping(value="/user")publicclassUserController{@Resour

4、ce(name="userService")privateIUserServiceuserService;/***测试权限*只有拥有user:create权限,才能进行注册*@paramuser*@return*/@RequestMapping(value="/register")@ResponseBody@RequiresPermissions("user:create")publicbooleanregister(Useruser){returnuserService.register(user);}二、授权实现 Shiro支持三种方式实现授权过程: o编码实现o注解

5、实现oJSPTaglig实现1、基于编码的授权实现 1、基于权限对象的实现 创建org.apache.shiro.authz.Permission的实例,将该实例对象作为参数传递给Subject.isPermitted()进行验证。PermissionprintPermission=newPrinterPermission("laserjet4400n","print");SubjectcurrentUser=SecurityUtils.getSubject();if(currentUser.isPermitted(printPermission)){//showtheP

6、rintbutton}else{//don'tshowthebutton?Greyitout?}2、基于字符串的实现 相比笨重的基于对象的实现方式,基于字符串的实现便显得更加简洁。 SubjectcurrentUser=SecurityUtils.getSubject();if(currentUser.isPermitted("printer:print:laserjet4400n")){//showthePrintbutton}else{//don'tshowthebutton?Greyitout?}使用冒号分隔的权限表达式是org.apache.shiro.authz

7、.permission.WildcardPermission默认支持的实现方式。 这里分别代表了资源类型:操作:资源ID 2、基于注解的授权实现 Shiro注解支持AspectJ、Spring、Google-Guice等,可根据应用进行不同的配置。  相关的注解: @RequiresAuthentication 可以用户类/属性/方法,用于表明当前用户需是经过认证的用户。  @RequiresAuthenticationpublicvoidupdateAccount(AccountuserAccount){//thismeth

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。