Shiro授权使用Annotation无效的权限检查
首先,我们需要了解Shiro是什么。Apache Shiro是一个功能强大的Java安全框架,它提供了身份验证、授权、会话管理和加密等功能。Shiro可以帮助开发者轻松地实现安全功能,而无需深入了解底层安全实现细节。
在Shiro中,授权是指根据用户的角色和权限来控制对应用程序资源的访问。Shiro支持基于注解的授权,这意味着可以通过在代码中添加特定的注解来实现权限控制。
如果在使用Shiro的注解进行权限检查时遇到问题,可能有以下原因:
- 未正确配置Shiro:请确保在应用程序中正确配置了Shiro,包括配置文件(如shiro.ini或shiro.xml)和Shiro过滤器。
- 未添加Shiro的依赖:确保在项目的构建配置文件(如pom.xml或build.gradle)中添加了Shiro的依赖。
- 未在代码中添加正确的注解:要使用Shiro的注解进行权限检查,需要在代码中添加正确的注解。例如,要对一个方法进行权限检查,可以使用以下注解:
@RequiresPermissions("user:create")
public void createUser() {
// ...
}- 未启用Shiro的注解拦截器:要使用Shiro的注解拦截器,需要在Shiro配置文件中启用它。例如,在shiro.ini文件中,可以添加以下配置:
[main]
# ...
securityManager.realms = $securityManager.realms
securityManager.realms.myRealm.authorizationCachingEnabled = false
[urls]
# ...
/** = authc, roles[admin]- 未正确配置权限:请确保在Shiro配置文件中正确配置了权限。例如,在shiro.ini文件中,可以添加以下配置:
[roles]
admin = *
user = user:*如果仍然无法解决问题,请提供更多关于问题的详细信息,以便我们能够更好地帮助您。
相关·内容
我发现了一个非常灵活的安全框架Apache Shiro。我使用Shiro成功地实现了身份验证和授权。printer:query:lp7200下面的代码检查对于给定的打印机实例,当前通过身份验证的</
浏览 0提问于2012-01-19得票数 8
回答已采纳
1回答
角色活动和访问级别
、、、、
我开发了一个具有以下体系结构的web应用程序:
我尝试了一些针对KeyCloak的东西,但是我找不到一种方法来添加活动、访问级别和映射角色到它。我认为那里的</e
浏览 1提问于2018-06-20得票数 0
3回答
我使用Shiro注解来检查授权,如下所示: public ModelAndView getCarrierListPage() { }
我的问题是:如果用户没有注释所要求的权限我宁
浏览 2提问于2012-08-08得票数 8
我有一个包含以下权限的列表: book:download:red,book:download:green 现在,我想检查subject是否设置了这些权限。所以,在我的REST控制器上,我给这个注解赋值: @RequiresPermissions(value = book:download:*) 这意味着在我的情况下,主题至少有一本有效的书可以下载,-让他进来但是,令我惊讶的是,我得到了403: Subject
浏览 27提问于2021-05-08得票数 0
我希望能够使用shiro进行身份验证(例如,我会为shiro实现facebook插件,或者将ldap插件用于shiro,我可以轻松地将它插入我的身份验证/授权应用程序)。我还可能希望使用与shiro不同的框架来实现授权。
我在想,与它的自定义会话,它的主题和领域是否有能力做这样的事情,如我所描述的?目前,我认为Shiro</em
浏览 2提问于2014-12-03得票数 5
回答已采纳
1回答
我们正在使用Apache来管理我们的应用程序中的auth。在使用权限时,我使用的是开箱即用的基于内存的缓存,这是我的shiro.ini。在我的JSP中,我使用shiro:taglib检查hasPerimission和lacksPemrissons标记。如果我更新数据库中的用户角色(因此相应的<
浏览 1提问于2013-07-15得票数 3
回答已采纳
2回答
特征标记与授权
、、、、
我刚刚偶然发现了特性标记的概念,以及一个流行的开源Java ,它引用了Martin的一篇博客文章:
例如,用户是否应该能够看到FizzBuzz菜单?在Togglz中,我可以这样实现这个检查:
if(MyFeatures.ShowFizzBuzz.isActiv
浏览 4提问于2014-11-21得票数 12
回答已采纳
1回答
我有一个现有的遗留项目,它是用Spring 3和Apache构建的,用于身份验证和授权。它使用JDBC领域。
选择fooRole,现在<
浏览 0提问于2018-05-18得票数 2
回答已采纳
1回答
Shiro和客户端证书
、、、
我想实现安全和,但我热衷于尝试第三方库-可能是Shiro或PicketLink。规则是用户将使用客户端证书对自己进行身份验证,如果未提供客户端证书,则将作为默认访客用户进行身份验证。令人惊讶的是,我在Shiro中找到一些关于如何做到这一点的信息有点困难,它看起来不是直接向前的。令我有点惊讶的是,Shiro中没有任何“开箱即用”的东西来实现客户端证书身份验证。所以我想我必须创建一个域来“连接”Shiro和我的<
浏览 8提问于2017-06-27得票数 1
回答已采纳
我正在做一个Grails 3项目,该项目使用Spring Security Shiro进行身份验证和授权。权限仅在登录时刷新。有没有办法手动刷新权限?任何指导都将不胜感激。
浏览 34提问于2019-01-02得票数 0
这是一个无效的应用程序配置。我希望避免的具体事情是让Shiro将任何东西放入ThreadLocal中,或者让Shiro使用它的ThreadContext支持类。我正在使用,我不想将自己投入到一个线程每个请求的网络设计中。我在我的应用程序中使用Guice,但我是而不是使用shiro-guice的,因为Shiro依赖于与Thread
浏览 4提问于2013-05-03得票数 11
回答已采纳
平台: Shiro 1.1.0,Spring 3.0.5我的shiro配置: <bean id="cacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager&quo
浏览 2提问于2011-10-13得票数 6
回答已采纳
1回答
提供不可知的授权系统
、、、
我正在尝试设计一个小型的web平台,它可以承载多个“应用程序”,并有一个共同的用户池。我的思考现在集中在授权系统上。我非常希望对授权系统进行概括,并使其与应用程序无关;我正在考虑将其实现为一个and服务,利用非结构化文档数据库。假设:如上
浏览 0提问于2013-12-20得票数 2
或者shiro有任何方法来检测这个uri是允许的?
println "$isPermitted -> ${it.permission.controller}:${it.permission.action}"}
那么,你认为什么是更好的方法来存储菜
浏览 2提问于2010-12-11得票数 1
1回答
我正在开发一个基于REST的web应用程序,其中rest服务集成了Apache来执行基本的身份验证和基于角色的授权。因此,要实现基于HTTP方法的权限功
浏览 2提问于2017-01-29得票数 0
回答已采纳
我一直试图为web应用程序的shiro.ini文件的url部分中的不同角色分配不同的未经授权的url,但是我似乎无法做到,it.Below是我尝试过的代码。shiro.ini文件 authc2= org.apache.shiro.we
浏览 3提问于2014-12-10得票数 5
回答已采纳
在我解释这个问题之前,我应该说我们只需要Apache Shiro进行授权,而且OAuth2已经启用了身份验证。
因此,我启用Shiro的代码与此中的代码完全相同。我也检查过这个。但是对我来说,如果我启用了LifecycleBeanPostProcessor,几乎大多数bean都将是空的。我按照第二个链接中的建议,将config类中的create方法设为静态方法,但没有成功。所以我的问题是,有没有办法只启用授权
浏览 2提问于2016-02-24得票数 4
我正在尝试探索shiro框架。身份验证工作正常。我在授权时遇到了一个问题。我使用shiro注解@RequiresRoles进行授权。尽管我正在使用注释,但它并不只授权给我指定的角色。它允许所有角色。我用的是球衣和shiro。;
@Path("/tes
浏览 4提问于2017-11-29得票数 0
1回答
我想在我从头开始开发的Spring boot应用程序中使用Shiro实现授权和身份验证。目前,只需要用户名和密码就可以在数据库中检查正确性。谁能帮我理解一下实现的概念,比如如何在Spring Boot中实现基于角色的授权,以及如何使用Shiro和OAuth2进行身份验证?提前谢谢你。
浏览 13提问于2018-09-03得票数 0
0回答
我有一个基于Apache Shiro的现有web应用程序,用于身份验证/授权部分。我想实现一种生成/检查CSRF令牌的机制,但Shiro不支持这一点。我在考虑使用Spring Security生成令牌,并以某种方式将Shiro会话传递给Spring。有什么聪明的方法可以做到这一点吗?或者任何其他方法来实现基于Shiro的应用程序的CSRF保护?
浏览 9提问于2017-06-08得票数 1
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
即时通信 IM
实时音视频活动推荐
腾讯云开发者
