Shiro - 授权那些事

简介: Shiro - 授权那些事

这里继续说授权那些事。


【1】授权几个概念


授权,也叫访问控制,即在应用中控制谁访问哪些资源(如访问页面/编辑数据/页面操作等)。在授权中需了解的几个关键对象:主体(Subject)、资源(Resource)、权限(Permission)、角色(Role)。


① 主体(Subject)

访问应用的用户,在Shiro中使用Subject代表该用户。用户只有授权后才允许访问相应的资源。


② 资源(Resource)

在应用中用户可以访问的URL,比如访问JSP 页面、查看/编辑某些数据、访问某个业务方法、打印文本等等都是资源。用户只有授权后才能访问。


③ 权限(Permission)


安全策略中的原子授权单位,通过权限我们可以表示在应用中用户有没有操作某个资源的权力。即权限表示在应用中用户能不能访问某个资源,如:访问用户列表页面查看/新增/修改/删除用户数据(即很多时候都是CRUD(增查改删)式权限控制)等。权限代表了用户有没有操作某个资源的权利,即反映在某个资源上的操作允不允许。


Shiro支持粗粒度权限(如用户模块的所有权限)和细粒度权限(操作某个用户的权限,即实例级别的)


④ 角色(Role)


权限的集合,一般情况下会赋予用户角色而不是权限,即这样用户可以拥有一组权限,赋予权限时比较方便。典型的如:项目经理、技术总监、CTO、开发工程师等都是角色,不同的角色拥有一组不同的权限。


【2】授权方式

Shiro支持三种方式的授权:


  • 编程式:通过写if/else 授权代码块完成if(subject.hasRole("admin")){...}else{...}
  • 注解式:通过在执行的Java方法上放置相应的注解完成,没有权限将抛出相应的异常
  • JSP/GSP 标签:在JSP/GSP 页面通过相应的标签完成。


【3】Permissions

授权的基本单位,通过Permission进行用户权限控制。


① 规则

权限标识语法为:资源标识符:操作:对象实例ID。即对哪个资源的哪个实例可以进行什么操作。其默认支持通配符权限字符串,:表示资源/操作/实例的分割;,表示操作的分割,*表示任意资源/操作/实例。


② 多层次管理


例如:user:query、user:edit。冒号是一个特殊字符,它用来分隔权限字符串的下一部件:第一部分是权限被操作的领域(打印机),第二部分是被执行的操作。


每个部件能够保护多个值。因此,除了授予用户user:query和user:edit权限外,也可以简单地授予他们一个:user:query, edit。


还可以用*号代替所有的值,如:user:*表示用户具有所有操作权限,也可以写:*:query表示在所有的领域都有query 的权限


③ 实例级访问控制


这种情况通常会使用三个部件:域、操作、被付诸实施的实例。如:user:edit:manager。


也可以使用通配符来定义,如:user:edit:*、user:*:*、user:*:manager。


如果是部分省略通配符,缺少的部件意味着用户可以访问所有与之匹配的值,比如:user:edit等价于user:edit:*、user等价于user:*:*。


注意:通配符只能从字符串的结尾处省略部件,也就是说user:edit并不等价于user:*:edit。


【4】授权流程

① 流程图如下所示:

② 步骤说明如下


首先调用Subject.isPermitted*/hasRole*(或者注解或者JSP标签)接口,其会委托给SecurityManager,而SecurityManager接着会委托给Authorizer;


Authorizer是真正的授权者,如果调用如isPermitted(“user:view”),其首先会通过PermissionResolver把字符串转换成相应的Permission 实例;


在进行授权之前,其会调用相应的Realm(自定义的Realm实现

AuthorizingRealm.doGetAuthorizationInfo()方法)获取Subject 相应的角色/权限用于匹配传入的角色/

权限;


Authorizer 会判断Realm 的角色/权限是否和传入的匹配,如果有多个Realm,会委托给ModularRealmAuthorizer进行循环判断,如果匹配isPermitted*/hasRole*会返回true,否则返回false表示授权失败。


③ ModularRealmAuthorizer


ModularRealmAuthorizer进行多Realm 匹配流程:


首先检查相应的Realm 是否实现了实现了Authorizer;

如果实现了Authorizer,那么接着调用其相应的isPermitted*/hasRole* 接口进行匹配;

如果有一个Realm匹配那么将返回true,否则返回false。即,只要有一个匹配,则OK。


④ 自定义CustomRealm完整代码

在Shiro认证那些事中我们实现了doGetAuthenticationInfo()用法用于如何认证,这里实现doGetAuthorizationInfo()方法用于授权。


CustomRealm完整代码如下:

public class CustomRealm extends AuthorizingRealm {
  @Autowired
  ISysUserService sysUserService;
  @Override
  protected AuthorizationInfo doGetAuthorizationInfo(
      PrincipalCollection principals) {
    SysUser user = (SysUser) principals.getPrimaryPrincipal();
    //处理角色
    Set<String> roles = new HashSet<String>();
    List<SysRole> sysRoles= sysUserService.getRoleListByUserId(user.getId());
    for(SysRole r:sysRoles){
      roles.add(r.getCode());
    }
    //处理权限
     List<String> powers = new ArrayList<String>();
     List<SysPower> sysPowers= sysUserService.getPowerListByUserId(user.getId());
     for(SysPower p:sysPowers){
       powers.add(p.getCode());
     }
     SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
          simpleAuthorizationInfo.addStringPermissions(powers);
          simpleAuthorizationInfo.addRoles(roles);
    return simpleAuthorizationInfo;
  }
  @Override
  protected AuthenticationInfo doGetAuthenticationInfo(
      AuthenticationToken authenticationToken) throws AuthenticationException {
      UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken;
          //获取页面传来的用户账号
      String loginName = token.getUsername();
          //根据登录账号从数据库查询用户信息
          SysUser user = sysUserService.getUserByLoginCode(loginName);
          System.out.println("从数据库查询到的用户信息 : "+user);
          //一些异常新娘西
          if (null == user) {
            throw new UnknownAccountException();//没找到帐号
          }
          if (user.getStatus()==null||user.getStatus()==0) {
            throw new LockedAccountException();//帐号被锁定
          }
          //其他异常...
          //返回AuthenticationInfo的实现类SimpleAuthenticationInfo
          return new SimpleAuthenticationInfo(user, user.getPassword(), this.getName());
          //盐值加密
//          ByteSource credentialsSalt = ByteSource.Util.bytes(loginName);
//          return new SimpleAuthenticationInfo(user, user.getPassword(), credentialsSalt, this.getName());
  }
}


目录
相关文章
|
7月前
|
数据库
shiro认证和授权
shiro认证和授权
61 3
|
Java Spring
Shiro 支持三种方式的授权
Shiro 支持三种方式的授权
|
Java 数据库
springboot整合shiro (四) shiro实现权限授权
springboot整合shiro (四) shiro实现权限授权
|
移动开发 安全 前端开发
SpringSecurity认证和授权
目前,我们的测试环境,是谁都可以访问的,我们使用 Spring Security 增加上认证和授权的功能
SpringSecurity认证和授权
|
程序员 数据库 数据安全/隐私保护
2021年你还不会Shiro?----5.使用Shiro实现授权功能
每个用户对系统的访问都会对应着身份认证,那么身份认证完了以后呢,自然就是对该用户进行授权,判断用户请求的资源是否拥有权限,或者从数据中获取该用户对应的角色,从而判断对应的资源,该用户是否可以访问。
95 0
|
Java 数据安全/隐私保护
【Shiro】1、Shiro实现登录授权认证功能(下)
之前在 SSM 项目中使用过 shiro,发现 shiro 的权限管理做的真不错,但是在 SSM 项目中的配置太繁杂了,于是这次在 SpringBoot 中使用了 shiro,下面一起看看吧
138 0
|
安全 Java 数据库连接
【Shiro】1、Shiro实现登录授权认证功能(上)
之前在 SSM 项目中使用过 shiro,发现 shiro 的权限管理做的真不错,但是在 SSM 项目中的配置太繁杂了,于是这次在 SpringBoot 中使用了 shiro,下面一起看看吧
322 0
|
Java 数据安全/隐私保护
【Shiro】1、Shiro实现登录授权认证功能(中)
之前在 SSM 项目中使用过 shiro,发现 shiro 的权限管理做的真不错,但是在 SSM 项目中的配置太繁杂了,于是这次在 SpringBoot 中使用了 shiro,下面一起看看吧
139 0
|
安全 数据库
SpringSecurity(安全框架)用户认证和授权
SpringSecurity(安全框架)用户认证和授权
SpringSecurity(安全框架)用户认证和授权
|
缓存 数据库 数据安全/隐私保护
Shiro自定义Realm实现认证和授权(五)上
Shiro自定义Realm实现认证和授权(五)
356 0
Shiro自定义Realm实现认证和授权(五)上