我现在遇到一个问题。客户端根据session也读到了用户权限,但是客户端的shiro拦截报PrincipalCollection为空
授权信息怎么赋给客户端的PrincipalCollection里面?
3条回答 默认 最新
pandahii 2017-07-14 02:51关注老铁!没完全懂你意思,不过写点自己看法:
首先在使用shiro时候是存在一个叫Realm类,这个类主要实现根据提交PrincipalCollection的获取授权信息,其次该类还提供认证方法。在整体流程上,- 1.认证时即登陆,当调用SecurityUtils.getSubject().login(token)的时候,程序会调用<定义的Realm>中的认证方法doGetAuthenticationInfo
- 2.授权时即访问的<定义授权列表>,程序会调用<定义的Realm>中的认证方法doGetAuthorizationInfo
突然感觉你说的PrincipalCollection为空,应该是token为空造成的,这个token可使用shiro的UsernamePasswordToken进行构造,也可以自己继承定义
附
- 在xml中定义的Realm 如下
<bean id="realm" class="xxx.xxx.xxx.Realm" /> <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager"> <property name="realm" ref="realm" /> </bean> -
Realm类
public class Realm extends AuthorizingRealm { ... /** * 授权信息 */ protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { // 获取请求用户名 String username = (String) principals.getPrimaryPrincipal() // 查询数据库,获得用户相关信息,如角色,权限等 User user = service.find(username); // 角色名、权限名的集合 Set<String> roles = new HashSet<String>(); Set<String> permissions = new HashSet<String>(); // 将角色名和权限名放入shiro里 for (Iterator<Role> roleItr = user.getRoles().iterator(); roleItr.hasNext();) { Role role = roleItr.next(); if (role != null) { roles.add(role.getName()); for (Iterator<Permission> perItr = role.getPermissions().iterator(); perItr.hasNext();) { Permission per = perItr.next(); if (per != null) { permissions.add(per.getName()); } } } } SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo(); authorizationInfo.addRoles(roles); authorizationInfo.addStringPermissions(permissions); return authorizationInfo; } /** * 认证信息 */ protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authcToken) throws AuthenticationException { UsernamePasswordToken token = (UsernamePasswordToken) authcToken; ... return new SimpleAuthenticationInfo(username, password, getName()); } @PostConstruct public void initCredentialsMatcher() { // 该句作用是重写shiro的密码验证,让shiro使用自定义验证 setCredentialsMatcher(new CustomCredentialsMatcher()); } }
本回答被题主选为最佳回答 , 对您是否有帮助呢?解决 无用评论 打赏举报
分享
- 2017-07-14 02:13回答 3 已采纳 老铁!没完全懂你意思,不过写点自己看法: 首先在使用shiro时候是存在一个叫Realm类,这个类主要实现根据提交PrincipalCollection的获取授权信息,其次该类还提供认证方法。在整
- 2020-01-16 17:07回答 2 已采纳 判断是否在线可以通过缓存模拟session来实现,设置一个过期时间,当用户有任何操作的时候重新设置这个过期时间,这样如果想判断用户是否在线的话只需要去获取相应的缓存就可以了,如果对你有帮助的话建议采
- 2021-07-06 21:04回答 6 已采纳 你可以这样试试看 @Configuration public class GlobalCorsConfig { /** * 允许跨域调用的过滤器 */ @Bean
- 2018-12-06 11:28Shiro安全框架, 实现系统的单点登陆和登出功能, 包含数据库文件
- 2023-01-12 15:05回答 1 已采纳 当你realm返回AuthenticationInfo的时候,传入了凭证信息,到后面密码比较器的时候,两个待比较的数据就是请求头的token和SimpleAuthenticationInfo的第二个参
- 2019-12-10 16:24回答 1 已采纳 maven打war吗 springboot打war包是注意把springboot自带的tomcat相关的包排除掉
- 2022-01-20 17:11回答 3 已采纳 原因:前端axios访问没有携带shiro的jsession的cookie 导致shiro每次都会进行认证登录解决:开启axios携带cookie和后端开启跨域允许携带cookie就不会一直进行shi
- 2022-04-19 20:17用了两个多月的时间完成的:Springboot+Mybatis-plus+ SpringMvc+Shiro+Redis企业级开发系统,Springboot作为容器,使用mybatis作为持久层框架 使用官方推荐的thymeleaf做为模板引擎,shiro作为安全框架,主流技术 ...
- 2020-07-01 16:55回答 4 已采纳 java.io.FileNotFoundException,异常是文件找不到? 后边跟的是访问地址的乱码是否需要处理下?
- 2016-11-28 02:10回答 2 已采纳 自己已经解决 详情请看 http://blog.csdn.net/u011267231/article/details/53377992
- 2021-12-01 17:47回答 1 已采纳 单点登录退出,用redis刷新强制过期。
- 2023-06-19 15:46基于 SpringBoot + Spring + SpringMvc + Mybatis + Shiro+ Redis 开发单点登录管理系统 基于 SpringBoot + Spring + SpringMvc + Mybatis + Shiro+ Redis 开发单点登录管理系统 基于 SpringBoot + Spring + ...
- 2019-01-10 17:14回答 3 已采纳 shiro-spring.xml中你那个shirofilter中properties标签里面不应该是ref应该是value
- 2022-04-29 21:10本后台管理系统,采用流行的框架springMvc+spring+mybatis+shiro+redis+ehcache开发,实现了权限管理(菜单权限、数据权限),solr全文搜索引擎,activiti工作流程引擎,cas单点登陆等功能,完善的代码生成器 后期还...
- 2017-10-19 16:40springMVC+mybatis+shiro+redis 项目整合demo。
- 没有解决我的问题, 去提问
悬赏问题
- ¥60 版本过低apk如何修改可以兼容新的安卓系统
- ¥25 由IPR导致的DRIVER_POWER_STATE_FAILURE蓝屏
- ¥50 有数据,怎么建立模型求影响全要素生产率的因素
- ¥50 有数据,怎么用matlab求全要素生产率
- ¥15 TI的insta-spin例程
- ¥15 完成下列问题完成下列问题
- ¥15 C#算法问题, 不知道怎么处理这个数据的转换
- ¥15 YoloV5 第三方库的版本对照问题
- ¥15 请完成下列相关问题!
- ¥15 drone 推送镜像时候 purge: true 推送完毕后没有删除对应的镜像,手动拷贝到服务器执行结果正确在样才能让指令自动执行成功删除对应镜像,如何解决?