@RequiresRoles注解在shiro中不起作用
@RequiresRoles注解是Apache Shiro框架中的一个注解,用于限制用户必须具备特定角色才能访问被注解的方法或类。它可以应用于Controller层的方法或类上,用于控制用户访问权限。
在Shiro中,@RequiresRoles注解的作用是进行角色授权验证。当一个方法或类被该注解修饰时,Shiro会检查当前用户是否具备指定的角色,如果不具备则会抛出UnauthorizedException异常,从而阻止用户访问该方法或类。
使用@RequiresRoles注解需要先配置Shiro的角色认证和授权功能。具体步骤如下:
- 在Shiro的配置文件中配置Realm,用于进行用户认证和授权。Realm是Shiro与应用程序之间的桥梁,负责从应用程序中获取用户信息和权限信息。
- 在Realm中实现doGetAuthorizationInfo方法,该方法用于获取用户的角色和权限信息,并将其返回给Shiro进行授权验证。
- 在需要进行角色授权验证的方法或类上添加@RequiresRoles注解,并指定需要的角色。
示例代码如下:
// 在Shiro的配置文件中配置Realm
@Bean
public Realm realm() {
CustomRealm realm = new CustomRealm();
realm.setCredentialsMatcher(hashedCredentialsMatcher());
return realm;
}
// CustomRealm.java
public class CustomRealm extends AuthorizingRealm {
// 用户认证
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
// 实现用户认证逻辑
}
// 用户授权
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
// 实现用户授权逻辑,获取用户的角色和权限信息
}
}
// 在需要进行角色授权验证的方法或类上添加@RequiresRoles注解
@Controller
public class UserController {
@RequiresRoles("admin")
@RequestMapping("/admin")
public String adminPage() {
// 需要admin角色才能访问的方法
}
}在上述示例中,@RequiresRoles注解被应用于adminPage()方法上,表示只有具备"admin"角色的用户才能访问该方法。
腾讯云提供了一系列与云计算相关的产品,其中包括身份与访问管理(CAM)、云服务器(CVM)、云数据库(CDB)、云存储(COS)等。这些产品可以帮助用户构建稳定、安全、高效的云计算环境。
更多关于腾讯云产品的介绍和详细信息,请参考腾讯云官方网站:腾讯云。
相关·内容
1回答
Apache角色和权限无法工作
java、shiro
我正在使用Apache (v1.2.3),我已经正确设置了用户名/密码身份验证,并且它正在工作(我将密码散列和盐类存储在一个远程数据库中)。我现在正在尝试使用角色设置权限。我有一个扩展AuthorizingRealm的领域。
public class MyRealm extends AuthorizingRealm {
@Override
protected AuthenticationInfo doGetAuthenticationInfo(
AuthenticationToken token) throws AuthenticationExcept
浏览 0提问于2017-06-16得票数 0
回答已采纳
1回答
如何使用带有LDAP身份验证的Apache添加角色授权
java、apache、authentication、ldap、shiro
我是Apache Shiro和LDAP的新手。我正在尝试使用Apache创建一个简单的LDAP身份验证。身份验证成功了,但我无法向用户添加角色。下面是我使用的shiro.ini文件:
[main]
realm = org.apache.shiro.realm.ldap.JndiLdapRealm
realm.contextFactory.url = ldap://localhost:389
contextFactory = org.apache.shiro.realm.ldap.JndiLdapContextFactory
contextFactory.systemUsername = cn=
浏览 0提问于2017-09-13得票数 1
回答已采纳
3回答
如何使用单独的域与Shiro和CAS进行身份验证和授权?
spring、security、cas、shiro
我正在开发一个web应用程序,其中多个应用程序通过CAS SSO服务器进行身份验证。但是,每个应用程序都应该维护各自的角色,并且这些角色存储在特定于应用程序的数据库中。因此,我需要有两个领域,一个用于CAS (对于authc),另一个用于DB (对于authz)。
这是我现在的衬衫配置。我将重定向到CAS,但登录用户(Subject)似乎没有加载角色/权限(例如,SecurityUtil.isPermitted()不像预期的那样工作)。
<bean id="jdbcRealm" class="org.apache.shiro.realm.jdbc.JdbcReal
浏览 1提问于2013-05-21得票数 5
1回答
Shiro LDAP授权配置
java、authentication、ldap、vaadin、shiro
你能帮我解决以下情况吗?
背景信息:
我正在使用。
我在用
我在用ssl。
身份验证有效。
用户名语法= pietj@.lcl,jank@.lcl
memberOf字段被用作角色。
shiro.ini
main
contextFactory = org.apache.shiro.realm.ldap.JndiLdapContextFactory
contextFactory.url = ldaps://<SERVER>:636
contextFactory.systemUsername = <USERNAME>@<C
浏览 0提问于2014-06-05得票数 8
2回答
多租户微服务安全性
security、cloud、microservices
简而言之,我正在为我的老板实现一种云。这种云将主要用于基于angular2的前端应用程序,包括移动应用程序.这种云必须有多租户的支持,这样公司才能将这笔投资货币化。他不喜欢依赖第三方供应商。
作为一个平台,我打算使用wso2产品作为云的生态系统。信息可以找到。这个问题的一个是wso2标识服务器(安装在前提下)。您可以找到更多信息,。
微型服务将基于。
为了安全起见,我想实现 OAuth2模式,其中一个不透明令牌与前端共享,企业服务总线将此入站令牌转换为包含RBAC信息的标识令牌,以在云中提供无状态标识。
这是它变得不清楚的部分。为了保护前端应用程序,我需要一个身份存储。对于web应用程序,最好
浏览 7提问于2017-04-12得票数 0
回答已采纳
1回答
如何允许认证用户或授权用户访问控制器方法?
c#、.net、.net-core、asp.net-core-webapi、asp.net-apicontroller
如何允许认证用户或授权用户访问控制器方法?
[Authorize(Roles='admin')]
public void Post(Employee emp){
}
[Authorize]
public void Get(int empid){
}
public void Patch(Employee emp){
}
在上面的代码中,post方法可以由admin角色访问,get方法可以通过身份验证的用户访问,而不需要任何角色。
我需要允许访问Patch方法
没有角色的管理rolea
浏览 7提问于2022-03-10得票数 -1
1回答
在这个Spring项目中,Spring安全配置究竟是如何工作的?
java、spring、spring-mvc、spring-boot、spring-security
我不太喜欢Spring Security。我正在从事一个Spring 项目(实现一些REST服务器),在该项目中,其他人实现了Security来执行身份验证。它看起来很好,但我对它到底是如何工作(体系结构)有一些怀疑。
基本上,我有以下几门课:
1) 用户,即表示用户的模型类:
@Entity
@Table(name = "user",
uniqueConstraints = {
@UniqueConstraint(columnNames = {"email","username"})
})
public clas
浏览 3提问于2017-01-18得票数 1
回答已采纳
5回答
可以有多个腾讯云帐号认证为同一家企业吗?
企业、腾讯云帐号
已经有个腾讯云帐号,脑子迷糊用私人qq号注册的,还完成了企业认证,
后面如果有技术团队了,那不就意味着这个私人qq号要拿出来给团队用。所以想重新申请个腾讯云帐号,做企业认证时能通过吗?(前面已经有一个腾讯云帐号认证为这家企业)
浏览 3233提问于2017-09-14
2回答
如何在Shiro中从多个领域获取特定领域的授权?
java、spring、shiro
我是Spring和Shiro平台的新手。
我有两个url集/admin/--和/vendor/--。两个客户端集都在使用特定的领域进行身份验证。我扩展了ModularRealmAuthenticator类以选择正确的领域进行身份验证。
ModularRealmAuthenticator.java
@Override
protected AuthenticationInfo doAuthenticate(AuthenticationToken authenticationToken) throws AuthenticationException {
assertRealmsConfigu
浏览 0提问于2014-07-04得票数 1
3回答
登录虚拟用户看不到任何内容
authentication、sitecore、rights
我写了一个登录页面,其中有一个Sitecore虚拟用户登录。成功登录后,他将被定向到从Sitecore.sitecore.admin.AdminPage继承的起始页面。这样,我就可以确保只有当用户以Sitecore (虚拟)用户身份登录时,页面才是可访问的。
问题是,登录的虚拟用户在我给他分配sitecore/developer角色之前无法看到任何内容,我猜这并不是正确的方式。我尝试分配一个角色,该角色授予对我希望他看到的内容节点的访问权,但这不起作用。他会被重定向回登录页面。
我遗漏了什么?
编辑:,这是我的安全页面的代码:
public partial class MainPage : S
浏览 4提问于2017-11-24得票数 0
2回答
Shiro Authorization使用远程角色填充授权
java、tapestry、shiro
我使用的是Tapestry-Security,它使用Apache Shiro
我有一个处理授权和身份验证的自定义领域。从技术上讲,我们的身份验证是使用远程服务进行的,该服务返回用户名和一组角色。我只需将用户名传递给我的自定义AuthenticationToken,它允许我查询本地数据库并设置SimpleAuthenticationInfo。
我不知道如何使用从我们的远程服务返回给我的角色列表来填充AuthorizationInfo doGetAuthorizationInfo方法。下面是我用来填充领域的代码。
Login.class
//Remote authentication servic
浏览 1提问于2012-05-02得票数 4
回答已采纳
2回答
如何在Shiro中清除主题的缓存
permissions、shiro、cache-invalidation
Shiro提供了缓存功能,但在我的示例中,我对用户使用动态角色和权限。我需要使特定用户的缓存过期,以便权限的更改立即对用户生效。
Realm中有一个方法,但我如何让相关realm的实例调用清除缓存的方法。
浏览 12提问于2014-03-28得票数 3
1回答
Dropwizard引导用户
java、authentication、dropwizard
我在做一些关于丢包向导安全和认证的研究。下面是我使用的链接。
我的问题是如何真正创建新用户,因为VALID_USERS是静态的,不能更改。我正在考虑创建一个数据库,它将由包含用户名和角色ex的用户对象组成。管理员。(我不需要密码)但我很困惑我会返回什么。在他们的示例中,他们返回了Optional.of(新用户(credentials.getUsername(),VALID_USERS.get(credentials.getUsername();我会返回一个用户对象吗?
本质上,我希望通过用户名对用户进行身份验证,并赋予他们授权ex的角色。管理员,基本。但我想我很困惑如何生成一个用户列表和他们的
浏览 3提问于2016-11-01得票数 1
回答已采纳
我一直在使用JdbcRealm进行shiro身份验证和授权,它一直运行得很好。我的shiro.ini看起来是这样的:
[main]
authc = org.apache.shiro.web.filter.authc.PassThruAuthenticationFilter
logout = org.apache.shiro.web.filter.authc.LogoutFilter
authc.loginUrl = /login.xhtml
authc.successUrl = /index.xhtml
logout.redirectUrl = /login.xhtml
jdbcRealm
浏览 0提问于2019-02-16得票数 0
1回答
使用cancan gem进行管理控制器身份验证
ruby-on-rails-3、cancan
我正在使用cancan gem和rails3。在这里,我对所有角色都有相同的登录表单。我有一个管理区。正常身份验证检查用户是否登录,但不检查其角色是否为管理员。
所以普通用户可以使用admin url (myapp/com/ admin /users)查看管理页面,如何认证?
谢谢Prasad
浏览 3提问于2013-10-31得票数 0
1回答
使用Grails Shiro插件实现AuthorizingRealm
grails、grails-plugin、shiro、grails-2.0
我正在尝试用Grails Shiro插件实现一个AuthorizingRealm。使用插件生成的类ShiroLdapRealm对Active Directory进行身份验证。角色将在应用程序的数据库中维护。
那么,如何将ShiroLdapRealm身份验证与自定义授权集成在一起呢?在我看来,Grails Shiro插件使用RealmWrapper向Grails世界隐藏了Shiro的内部结构,并且它只实现了一个标准的Realm类,而没有实现AuthorizingRealm。
有什么想法吗?谢谢!
浏览 0提问于2012-03-30得票数 3
回答已采纳
2回答
向Azure移动服务用户(Google、Twitter、Facebook、Microsoft)添加自定义角色
.net、authorization、azure-mobile-services
我有一个.NET Azure移动服务项目,它有一些控制器,我想用典型的授权属性来保护它。我可以创建一个角色表和一个UserProfiles表,并将通过Google、Facebook等认证的各种用户与我的角色表中的角色关联起来。
我的问题是:在身份验证完成后,但在授权过滤器的ServiceUsers方法运行之前,如何向OnAuthorize添加角色声明?这有可能吗?
我想要做的事情的例子:
[Authorize(Roles = "admin")]
public async Task<IHttpActionResult> Put(int id, MyDto dto){.
浏览 2提问于2015-05-17得票数 5
回答已采纳
1回答
Shiro的多租户
multi-tenant、shiro
我们正在评估一个自定义Saas应用,我们正在建立的Shiro。似乎一个伟大的框架可以完成我们想要的90%的东西,不受限制。我对Shiro的理解是基本的,这是我想要完成的。
我们有多个客户端,每个客户端都有相同的数据库All授权(角色/权限)将由客户端在自己的专用数据库中配置,每个客户端都将拥有一个唯一的虚拟主机。client1.mycompany.com,client2.mycompany.com等
场景1
Authentication done via LDAP (MS Active Directory)
Create unique users in LDAP, make app awar
浏览 1提问于2012-02-13得票数 8
回答已采纳
5回答
角色与基于身份的认证?有什么关系?
authentication、access-control、fips
基于角色的认证和基于身份的认证之间有什么区别?如果一个系统只使用密码机制来验证操作符(对于管理员和用户来说是不同的PIN ),那么就说它使用了“标识”或“基于角色的”身份验证?
系统提示操作员输入密码(不询问用户名),然后根据输入的密码(用户或管理员)为这两个角色提供不同的服务,如果密码不匹配,则不提供服务。
这个机制是否真的可以被认为是身份认证,因为身份认证只能基于对PIN的知识进行认证?
此外,FIPS140安全标准在第2级使用“基于角色的身份验证”,对于第3级使用“基于身份的身份验证”(http://en.wikipedia.org/wiki/FIPS_140)。在FIPS140标准中,
浏览 0提问于2013-06-21得票数 6
3回答
使用ASP.Net Identity 2进行基于权限的授权
asp.net-mvc、asp.net-mvc-5、asp.net-identity、claims-based-identity、asp.net-identity-2
我正在开发一个ASP.Net MVC5应用程序,使用的是ASP.Net identity 2,需要根据角色和权限来授权用户。角色和权限彼此不相关。例如,要访问"action1“操作方法,他必须存在( "admin”角色)或( "role1“和"permission1”的组合),但不属于"admin“角色或( "role1”和“permission1”的组合)的其他用户对他们的操作方法不是真的,不允许访问该操作方法。
我该如何做这个场景呢?
基于声明的授权在这种方式下有用吗?还是必须实现权限实体和自定义AuthorizeAttribute?如果是真
浏览 2提问于2015-08-13得票数 1
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
活动推荐
腾讯云开发者
