shiro权限注解和会话管理

最新推荐文章于 2026-04-19 08:59:37 发布
原创 最新推荐文章于 2026-04-19 08:59:37 发布 · 877 阅读 · 0 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#java #spring #shiro
本文详细介绍了Shiro的权限注解,包括@RequiresAuthentication、@RequiresUser、@RequiresGuest、@RequiresRoles和@RequiresPermissions的用法,并通过一个简单的实验展示了它们在Controller和Service层的应用。此外,还提到了Shiro会话管理的特性,如集群、失效/过期支持,并给出了解决注解失效问题的配置方法。最后,探讨了在Service中使用Shiro Session获取Controller数据的可能性。

1.shiro权限注解

注解可以放在controller对应的方法上,也可以放在service层对应的方法上。

@RequiresAuthentication:表示当前Subject已经通过login进行了身份验证;即Subject.isAuthenticated()返回true。

@RequiresUser:表示当前Subject已经身份验证或者通过记住我登录的。

@RequiresGuest:表示当前Subject没有身份验证或通过记住我登录过,即是游客身份。

@RequiresRoles(value={“admin”,“user”},logical=Logical.AND):表示当前Subject需要角色admin和user。

@RequiresPermissions(value={“user:a”,“user:b”},logical=Logical.OR):表示当前Subject需要权限user:a或user:b。

1.1简单实验

(1)编写ShiroService.java

@Service
public class ShiroService {
    @RequiresRoles({"admin"})
    public void testMethod(){
        System.out.println("testMethod, time: " + new Date());

        Session session = SecurityUtils.getSubject().getSession();
        Object val = session.getAttribute("key");

        System.out.println("Service SessionVal: " + val);
    }
}

(2)编写controller

@Autowired
    private ShiroService shiroService;

    @RequestMapping("/testShiroAnnotation")
    public String testShiroAnnotation(HttpSession session){
        session.setAttribute("key", "value12345");
        shiroService.testMethod();
        return "redirect:/list.jsp";
    }

(3)为方便起见,在list.jsp中测试。

<br><br>
<a href="shiro/testShiroAnnotation">Test ShiroAnnotation</a>

测试结果:

当我们使用admin登录时,我们可以点击测试。当我们使用user登录时,会报错误。

 1.2注意事项

(1)可能会出现shiro注解失效的问题,解决方法就是在springmvc的配置文件中加上如下配置:

 <bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator" depends-on="lifecycleBeanPostProcessor">
        <property name="proxyTargetClass" value="true" />
    </bean>

    <bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
        <property name="securityManager" ref="securityManager"/>
    </bean>

(2)在实际开发的时候,我们往往在service上面加上支持事务的注解,这个时候service已经是一个代理对象了。如果我们还在这里添加shiro的注解就不好用了,故在这种情况下应该加在controller上,否则会出现异常。

2.shiro会话管理

Shiro提供了完整的企业级会话管理功能,不依赖于底层容器(如web容器tomcat),不管JavaSE还是JavaEE环境都可以使用,提供了会话管理、会话事件监听、会话存储/持久化、容器无关的集群、失效/过期支持、对Web的透明支持、SSO单点登录的支持等特性。

在1.1实验中,已经含有session的简单实验(下图为控制台的打印)。这里我们在controller中使用的是http session,而在service中使用shiro session获取,这给我们提供了一个思路,我们在service中可以获得controller中的数据,这也是shiro session的一个重要的应用场景。

 参考:尚硅谷

IamaMartian
关注
Shiro授权&&Shiro注解式开发
qq_63492318的博客
08-28 1103
Shiro授权的代码实现、注解式开发实现Shiro授权...
重写Shiro,拦截RequiresPermissions权限标识获取逻辑,实现Controller多级权限拼接
MinisterOL的博客
04-24 2096
逻辑分析:1、aop 切面拦截 controller 对应调用的方法2、获取对应方法的注解信息3、使用对应的解析器解析获取到的注解信息①、获取方法注解信息②、获取类注解信息③、返回注解信息4、从注解获取权限标识符根据以下代码分析,从注解解析器入手,进行拦截处理。
Shiro权限校验实战:深度解析@RequiresPermissions注解的三种核心用法
最新发布
weixin_30254435的博客
04-19 235
本文深入解析Apache Shiro框架中@RequiresPermissions注解的三种核心用法,包括简单权限字符串、多层级权限设计实例级权限控制。通过实战案例展示如何在Java企业级应用中实现精细化的权限校验,提升系统安全性。特别适合需要实现RBAC权限管理的开发者参考。
springboot集成shiro重写权限验证规则,动态加载权限
qq_36306227的博客
10-20 795
shiro的对接口权限的控制,一般都是在接口上加注解,每次进行请求时,在realm中加载用户的角色信息,由角色信息判断是否拥有对该接口的访问权限,无法动态的增加删除角色对应的接口权限,也无法动态的增加接口绑定的角色权限信息 为此重写shiro权限过滤器能帮助我们去实现自己的权限过滤规则,动态的改变权限,为角色增加减去权限 shiro的过滤器类别 1.重写shiro权限过滤器PathMatchingFilter继承该类 import java.util.HashMap; import java.u
shiro权限注解
m0_67392811的博客
08-30 2571
表示subject没有身份验证或通过记住我登录过,即是游客身份,才可使用。3)登录admin用户(user、admin角色)状态下访问。表示subject已经身份验证或者通过记住我登录,才可使用。表示subject需要xxx(value)权限,才可使用。表示subject需要xx(value)角色,才可使用。注:连接均是可被匿名访问,控制器均是直接调用服务方法。2)登录user用户(user角色)状态下访问。表示subject已经通过登录验证,才可使用。1)未登录状态下访问。...
基于springboot注解shiro 授权及角色认证
一个菜鸡的博客
05-29 2397
验证用户是否被记忆: 登录认证成功subject.isAuthenticated()为true 登录后被记忆subject.isRemembered()为true。通过给接口服务方法添加注解可以实现权限校验,可以加在控制器方法上,也可以加 在业务方法上,一般加在控制器方法上。验证subject是否有相应角色,有角色访问方法,没有则会抛出异常 AuthorizationException。验证subject是否有相应权限,有权限访问方法,没有则会抛出异常 AuthorizationException。
shiro注解,初始化资源权限会话管理
weixin_34111790的博客
11-21 104
有具体问题的可以参考之前的关于shiro的博文,关于shiro的博文均是一次工程的内容 注解: 新建一个类: 此时需要有admin的权限才可以执行下面的代码 public class ShiroService { @RequiresRoles({"admin"}) public void testMethod(){ ...
04 SaaS平台权限shiro的开发
wangyongxun1983的博客
09-14 464
01、spring整合Shiro <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.3.2</version> </dependency> <dependency> <groupId>org.apache.shiro</gro
shiro 的简单应用
aocheqing0591的博客
06-08 151
shiro 的简单应用 shiro官网:https://shiro.apache.org/ shiro 简介: Apache Shiro(日语"堡垒(Castle)"的意思)是一个强大易用的Java安全框架,提供了认证、授权、加密会话管理功能,可为任何应用提供安全保障 - 从命令行应用、移动应用到大型网络及企业应用。 Shiro为解决下列问题(我喜欢称它们为...
shiro授权以及注解式开发
2401_84092068的博客
04-13 1145
RequiresAuthenthentication:表示当前Subject已经通过login进行身份验证;即 Subject.isAuthenticated()返回 true@RequiresUser:表示当前Subject已经身份验证或者通过记住我登录的@RequiresGuest:表示当前Subject没有身份验证或者通过记住我登录过,即是游客身份。
Shiro权限管理】17.Shiro权限注解
程序猿之洞
12-10 1万+
注:该系列所有测试均在之前创建的Shiro3的Web工程的基础上。 前面我们讲解了Shiro的标签属性,下面我们来讲解Shiro的有关权限注解属性。 Shiro注解是使用在相应的Java类的方法上,当用户不满足注解的要求时,是无法执行 方法内部逻辑的。这相当于在代码层做了权限校验。 Shiro注解可以放置在Controller层对应的方法上,也可以放置在Service层对应的方法
shiro 授权 & 注解式开发
oyang的博客
08-29 779
RequiresPermissions(value = {"user:delete","user:b"},logical = Logical.OR):表示当前Subject需要权限user:delete或者user:b。@RequiresRoles(value = {"admin","user"},logical = Logical.AND):表示当前Subject需要角色adminuser。@RequiresUser:表示当前Subject已经身份验证或者通过记住我登录的。只有权限含2的才可访问。...
Shiro注解
qq_43654581的博客
10-15 3296
1.开启注解功能,比较使用注解 2.解决注解式,登录页无权访问页面不跳转问题 3.拦截器跟注解同时使用的执行顺序
Shiro之@RequiresPermissions注解原理详解
热门推荐
敲代码的小小酥的博客
02-28 5万+
前言 shiro为我们提供了几个权限注解,如下图: 这几个注解原理都类似,这里我们讲解@RequiresPermissions的原理。 铺垫 第一 首先要清楚@RequiresPermissions的基本用法。就是在Controller的方法里,加上@RequiresPermissions注解,并写上权限标识。那么,有该权限标识的用户,才能访问到请求。如下图: 第二 先剧透一下,@RequiresPermissions注解的原理是使用了Spring的AOP进行了增强。来判断当前用户是否有该权限标识。我们
8.Shiro权限控制注解
相互学习 共同进步
06-29 1115
Controller中角色权限访问控制(注解★) 在其他的Controller中,使用注解来做权限控制访问 @RequiresPermissions("system:user:view") @RequestMapping(value = {"list", ""}) public String list() { return "/admin/index"; } // 只用同时具有user:viewuser:create权限才能访问 @RequiresPermissions(value = { "sys
shiro权限设置
sunon_的博客
11-29 1254
spring配置文件spring-config-mvc.xml中配置开启shiro注解支持。注解要求当前的Subject被允许一个或多个权限,以便执行注解的方法。logical=Logical.OR 表示设置多个权限;1、在jsp页面中引入shiro标签库。技术:使用shiro标签进行权限控制。配置事务注解,强制使用cglib代理。技术:使用shiro注解权限控制。备注:项目已声明,无需再次配置。在controller配置注解。2、在页面中使用标签。
Shiro(七):shiro 注解权限控制-5个权限注解
12程序猿的博客
10-23 4699
shiro提供了相应的注解用于权限控制,如果使用这些注解就需要使用aop的功能来进行判断。shiro提供了spring aop集成,用于权限注解的解析验证 shiro注解权限控制-5个权限注解 Shiro共有5个注解,接下来我们就详细说说吧 1.@RequiresAuthentication: 使用该注解标注的类,实例,方法在访问或调用时,当前Subject必须通过login 进行了身份验证;即 Subject.isAuthenticated() 返回 true 2.@RequiresUser: 表
springboot使用shiro框架实现在controller层加注解权限控制
weixin_42759398的博客
04-09 1210
2. 配置Shiro的安全管理器其他必要的组件,比如Realm、CacheManager等。// 从数据库或其他数据源中获取用户的角色权限信息,并添加到AuthorizationInfo中。以上就是使用Shiro框架在Spring Boot中进行权限控制的基本操作,希望能够对你有所帮助。// 获取用户输入的账号密码。// 模拟数据库中的账号密码。return "用户列表";return "添加用户";return "删除用户";// 获取用户身份信息。// 实现用户认证逻辑。// 实现用户授权逻辑。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值