使用shiro标签遇到的坑

最新推荐文章于 2023-08-11 17:32:18 发布
最新推荐文章于 2023-08-11 17:32:18 发布
阅读量3.4k 收藏 3
点赞数 1
CC 4.0 BY-SA版权
分类专栏: 朝花夕拾篇 文章标签: shiro 标签 tag
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/static_coder/article/details/88633516

1、前言

使用shiro框架做权限控制是不错的选择,在使用shiro标签的过程中,是否会遇到一些坑呢。恰好笔者遇到了,在此记录一下。

2、shiro标签坑的描述

标签:

<shiro:haspermission name="你的权限"></shiro:haspermission>

当使用的标签具有层级关系的时候,就有可能掉坑里,并且出不来。

例如:

第一层级权限为:【dealer:clue】,第二层级为:【dealer:clue:add】,这个使用坑就出现了。当你使用【dealer:clue:add】权限,关闭【dealer:clue】权限时,你会发现然并卵。

查了很多资料,有人说shiro标签具有继承关系,其实不是的。是因为shiro框的判断机制引起的。我们来一起看看源码吧。

3、源码追踪

标签调用后台的方法:

核心方法:

protected List<Set<String>> getParts() {
    return this.parts;
}

public boolean implies(Permission p) {
    if (!(p instanceof WildcardPermission)) {
	return false;
    } else {
        WildcardPermission wp = (WildcardPermission) p;
        // 将权限标识转化成set集合
        List otherParts = wp.getParts();
        int i = 0;

        for (Iterator part = otherParts.iterator(); part.hasNext(); ++i) {
	    Set otherPart = (Set) part.next();
	    if (this.getParts().size() - 1 < i) {
	        return true;
	    }

	    Set part1 = (Set) this.getParts().get(i);
            // 判断包含关系【dealer:clue:add】与【dealer:clue】
	    if (!part1.contains("*") && !part1.containsAll(otherPart)) {
	    	return false;
	    }
        }

        while (i < this.getParts().size()) {
	    Set arg7 = (Set) this.getParts().get(i);
	    if (!arg7.contains("*")) {
	        return false;
	    }

	    ++i;
        }

        return true;
    }
}

4、总结

综上所述,有层级关系的权限标识就有可能带来使用的误区。

shiro标签的判断方式是通过集合的包含关系判断的,并不是通过字符串的形式。

5、参考文档

https://blog.csdn.net/bubble21/article/details/78829959

SpringBoot+Vue博客项目中遇到的
ZXin153的博客
07-18 1552
shiro整合jwt,用于用户登录: 登录流程: 用户登录:输入用户名和密码–>后端校验: –>有异常:处理异常 –>正常,生成jwt 访问接口时,统一被jwtFilter,即:shiro过滤器过滤, 进行登录处理: 1.无jwt直接访问接口: 在Controller层中加上@RequirtRole标签,过滤注解拦截,如果用户无jwt直接访问接口,则被拦截,并通过jwtFilter的异常处理功能,进行无权限的异常抛出处理 2.有jwt访问接口: 进行shiro登录处理,有问题(账号密码不对
springBoot(2)整合GoogleKaptcha和整合jsp所遇到的
weixin_35815479的博客
05-29 956
idea中SpringBoot整合kaptcha idea中SpringBoot与jsp整合,路径正确,找不到jsp页面问题解决方法 Kaptcha是一个非常实用的验证码生成工具,可以通过配置生成多样化的验证码。以图片的形式显示,从而无法进行复制粘贴。 在一个web应用中验证码是一个常见的元素。不管是防止机器人还是爬虫都有一定的作用,我们是自己编写生产验证码的工具类,也可以使用一些比较方便的...
shiro
qq_34763130的博客
04-09 385
ShiroConfiguration配置类无法注入是spring的bean 最后发现LifecycleBeanPostProcessor实现了BeanPostProcessor的子类,会导致spring相关的注入无法注入。 解决方案为在该方法加个静态关键词 @Bean(name = "lifecycleBeanPostProcessor") public static LifecycleB...
Spring+Shiro的踩
weixin_34010949的博客
11-06 331
今天想给某个Service的某些方法添加Cache,这个记为A,用的springboot,照常在方法上加上Cacheable注解,测试缓存生效,搞定。然后再在第二个Service,记为B,添加CacheEvict注解,却不生效了,反复测试发现B用Cacheable注解也不生效,而A和B用到的注解总共就那么几个,想不出来有什么差别会导致Cache失效,为什么会这样? 一个小时后 发现了一个怪现象,在...
shiro权限比对的一些
逝水流年染轻尘的博客
04-04 2457
  最近在做shiro权限控制的时候,搭建完了环境给同事使用,同事使用的时候发现了一个bug,让我看看,bug是这样的,       在freemarke中使用shiro标签,&lt;@shiro.hasPermission name="sys:user:1111"&gt;&lt;/@shiro.hasPermission&gt;发现标签不起作用,而这个权限在数据库是没有配置,查询出来的授权管理的...
Shiro遇到的记录
12-27 121
1、Shiro的在web.xml里的过滤器一般配置为/*拦截所有,若拦截的地址没有在filterChainDefinitions中配置,会默认跳到unauthorizedUrl设置的无权限页面。 ...
shiro:hasPermission 标签 :验证当前用户是否拥有指定权限
热门推荐
dxyzhbb的博客
10-11 2万+
1、这些值是存在数据库里的,在哪里找呢?sys_menu 中的permission列。 <shiro:hasPermission name=“cms:article:edit”> 他是怎么入库的呢?非菜单项的权限是怎么加入,怎么取出来使用的? 取出来的sql: SELECT a.id , a.parent_id AS "parent.id" , a.paren...
【爆肝推荐】手摸手带你做后台管理项目(第四章)整合redis添加shiro权限
无术同学的博客
10-09 610
前情提要 遇到一些,可能我太菜了,没研究透,这一篇是关于动态权限和动态目录的 shiro的授权器在碰到权限的校验时候才会去触发,这个时候就可以从数据库中获取到用户关联的角色, 角色绑定的权限,大概就如下图了 有兴趣可以了解一下RBAC,大概就是如下的一个关系 动态目录就更简单了,用户关联的角色,角色所拥有的目录,这个就是展示的目录了,修改数据库数据就可达到动态的目的。 正文开始 设计五个表,管理员表(也就是用户表,已存在) 、角色表、目录表、用户角色表、角色目录表,如果没懂这些关联,可以看一下图片,图
nutz_redis集成依赖包
03-10
如果遇到冲突,可以通过排除特定版本或使用`<dependencyManagement>`标签来控制全局依赖版本。 6. **配置Redis连接**:在Nutz应用中,需要在配置文件(如`conf/nutz.conf`)中设置Redis的连接信息,如主机地址、...
IntelliJ IDEA Spring Boot(8)使用JSP,打包jar文件运行带有jsp的项目
u011998835的博客
10-29 5483
这篇文章就是我最近学习spring boot的一个小结。总结遇到的问题以及各种吧。最主要讲 jsp的集成和 spring boot 打包。
Shiro JSP页面标签授权
qq_41575258的博客
04-15 522
guest标签(与@RequiresGuest对应),验证用户没有登录认证或被记住过,验证是否是一个guest的请求。当前用户拥有指定的所有权限则显示标签体中的内容,一个或多个角色和权限的在项目中会经常使用。user标签(与@RequiresUser对应),登录后(记住我)看到的内容。当前用户拥有指定的所有角色则显示标签体中的内容。当前用户拥有任何一个角色则显示标签体中的内容。当前用户拥有任何一个权限则显示标签体中的内容。当前用户拥有任何一个权限则显示标签体中的内容。用户未登录(记住我功能也算未登录)
Shiro haspermission 权限验证问题
gong_xucheng的专栏
10-11 1万+
Shiro haspermission 权限验证问题 &lt;shiro:hasPermission name="info:link:edit"&gt; !!! &lt;/shiro:hasPermission&gt; 呵呵,今天调试这个permission问题,发现 hasPermission的继承效果 如果定义权限组 group1  有权限 info 那么他自动拥有 info**** 的权限 ...
shiro框架的三种权限控制方式
浩瀚星空
07-27 1291
Shiro权限控制方式
shiro的@RequiresPermissions,@RequiresRoles解析流程
qq_61592687的博客
08-11 6642
全网最新讲解shiro的@RequiresPermissions,@RequiresRoles的解析流程,绝对对你理解这两个验证流程大有脾益。
SpringBoot 和Shiro 的优缺点
曜耀的博客
10-25 507
对于官方来说,由于SpringBoot 官方提供录入大量的非常方便的开箱即用的Starter,包括Spring,Security的Starter ,使得在Spring Boot中使得Spring Security变得更加容易,甚至只需要添加一个依赖就可以保护所有的接口,所以,如果Spring Boot 项目,一般选择 Spring Security。当然,这只是一个建议的组合,单纯从技术上来说,无论怎么组合,都是没有问题的。 Shiro和SpringSecurity相比,主要有如下一些特点: Sprin
Shiro haspermission 权限验证有关问题
做最好的自己
12-22 7155
Shiro haspermission 权限验证问题 !!! 呵呵,今天调试这个permission问题,发现 hasPermission的继承效果 如果定义权限组 group1  有权限 info 那么他自动拥有 info**** 的权限 修改: info:info"> !!!
bug解决:Element xxx must be declared
zhang___yong的博客
07-10 1万+
在打包的时候报了这个错误·,具体报错的文件是一个animation-list标签的xml文件。 原因在于AS有类型检查,drawable文件必须放在drawable文件夹下,不只是这个标签的元素,如果其他的元素报了这个错,一般也是因为没有放到正确的文件夹下。 这里我把这个文件放到了anim下,移动到drawable问题就解决了。
配置web.xml文件时出现Element web-app must be declared错误的解决办法
xiong_backbone的博客
05-19 7379
今天在使用maven创建web项目配置web.xml文件时出现了Element web-app must be declared问题,起因是默认的xml文件中的内容如下: 为了保证web-app版本与Tomcat版本匹配,需要将此内容进行修改,由于没有考虑到Tomcat版本问题,就找了一个下图的内容复制,结果报了Element web-app must be declared错误; **解决办法:**去自己的Tomcat文件夹的conf文件夹中找到web.xml文件,然后复制如图的内容粘贴到web.xm
用thymeleaf给shiro:hasPermission拼接权限字符串
qq_44381427的博客
09-23 1203
问题描述 前几天的一个项目里有几张逻辑表结构相同,就整合一张表来存,通过一个类型字段区分。于是这几张表同样用一个页面来展示数据。页面上的一些操作按钮通过shiro:hasPermission判断权限是否显示,于是就出现了一个问题。不同类型的数据要配置不同的字符串区分。 <div shiro:hasPermission="haveXXXPermission">xx操作</div> 比如一个苹果表,一个香蕉表。我想让苹果表显示xx操作,香蕉表不显示xx操作。就需要给haveXXXPer
shiro jsp标签使用
最新发布
05-20
### Shiro 框架中 JSP 标签使用方法 #### 1. **引入 Shiro 标签库** 在 JSP 页面中使用 Shiro 提供的标签之前,需要先引入 Shiro标签库。通过以下代码声明标签库: ```jsp <%@ taglib prefix="shiro" uri="http://shiro.apache.org/tags" %> ``` 此语句的作用是告诉 JSP 引擎加载 Shiro 的自定义标签库,并为其设置前缀 `shiro`[^1]。 #### 2. **常用 Shiro 标签及其功能** ##### (1)`<shiro:hasRole>` 标签 用于检测当前用户是否拥有指定的角色。如果有,则显示标签体内的内容;如果没有,则忽略。 ```jsp <shiro:hasRole name="admin"> <!-- 如果用户有 admin 角色 --> <button>删除</button> </shiro:hasRole> ``` 当页面渲染时,Shiro 自动调用 `doGetAuthorizationInfo` 方法获取用户的授权信息,并据此决定是否渲染按钮[^3]。 ##### (2)`<shiro:lacksRole>` 标签 与 `<shiro:hasRole>` 相反,用于检测当前用户是否缺少指定角色。 ```jsp <shiro:lacksRole name="admin"> <!-- 如果用户没有 admin 角色 --> <p>您无权访问此功能。</p> </shiro:lacksRole> ``` ##### (3)`<shiro:hasPermission>` 标签 用于检测当前用户是否具备某种权限。 ```jsp <shiro:hasPermission name="user:create"> <!-- 如果用户有 user:create 权限 --> <a href="/createUser">创建用户</a> </shiro:hasPermission> ``` ##### (4)`<shiro:lacksPermission>` 标签 与 `<shiro:hasPermission>` 相反,用于检测当前用户是否缺乏某种权限。 ```jsp <shiro:lacksPermission name="user:create"> <!-- 如果用户没有 user:create 权限 --> <p>您无法创建新用户。</p> </shiro:lacksPermission> ``` ##### (5)`<shiro:user>` 和 `<shiro:guest>` - `<shiro:user>`:仅当用户已登录时才显示其内部的内容。 - `<shiro:guest>`:仅当用户未登录时才显示其内部的内容。 ```jsp <shiro:user> <p>欢迎您,<shiro:principal /></p> </shiro:user> <shiro:guest> <p>请<a href="/login">登录</a>以继续。</p> </shiro:guest> ``` #### 3. **注意事项** - 在使用 Shiro 标签时,需确保项目中已经正确配置了 ShiroFilter 并启用了相应的过滤规则[^5]。 - 若页面中有多个 Shiro 标签,每次都会触发 `doGetAuthorizationInfo` 方法来验证权限。因此,在实际开发中应优化该方法的性能,例如加入缓存机制[^3]。 --- ### 示例代码展示 以下是一个综合使用的示例: ```jsp <%@ page language="java" contentType="text/html; charset=UTF-8" pageEncoding="UTF-8"%> <%@ taglib prefix="shiro" uri="http://shiro.apache.org/tags" %> <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>Shiro JSP 标签示例</title> </head> <body> <h1>欢迎来到管理系统</h1> <shiro:user> <p>您好:<shiro:principal /></p> </shiro:user> <shiro:guest> <p><a href="/login">点击此处登录</a></p> </shiro:guest> <hr /> <shiro:hasRole name="admin"> <button onclick="location.href='/delete'">删除记录</button> </shiro:hasRole> <shiro:hasPermission name="user:create"> <a href="/createUser">创建新用户</a> </shiro:hasPermission> <shiro:lacksPermission name="user:create"> <p>抱歉,您没有权限创建新用户。</p> </shiro:lacksPermission> </body> </html> ``` --- ### 总结 Shiro 提供了一套简单易用的 JSP 标签库,能够方便地实现界面级别的权限控制。通过这些标签,开发者可以在前端层面屏蔽掉未经授权的操作入口,从而提升用户体验的同时也增强了系统的安全性[^1]。 ---
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

智_永无止境

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值