这里继续说授权那些事。
【1】授权几个概念
授权,也叫访问控制,即在应用中控制谁访问哪些资源(如访问页面/编辑数据/页面操作等)。在授权中需了解的几个关键对象:主体(Subject)、资源(Resource)、权限(Permission)、角色(Role)。
① 主体(Subject)
访问应用的用户,在Shiro中使用Subject代表该用户。用户只有授权后才允许访问相应的资源。
② 资源(Resource)
在应用中用户可以访问的URL,比如访问JSP 页面、查看/编辑某些数据、访问某个业务方法、打印文本等等都是资源。用户只有授权后才能访问。
③ 权限(Permission)
安全策略中的原子授权单位,通过权限我们可以表示在应用中用户有没有操作某个资源的权力。即权限表示在应用中用户能不能访问某个资源,如:访问用户列表页面查看/新增/修改/删除用户数据(即很多时候都是CRUD(增查改删)式权限控制)等。权限代表了用户有没有操作某个资源的权利,即反映在某个资源上的操作允不允许。
Shiro支持粗粒度权限(如用户模块的所有权限)和细粒度权限(操作某个用户的权限,即实例级别的)
④ 角色(Role)
权限的集合,一般情况下会赋予用户角色而不是权限,即这样用户可以拥有一组权限,赋予权限时比较方便。典型的如:项目经理、技术总监、CTO、开发工程师等都是角色,不同的角色拥有一组不同的权限。
【2】授权方式
Shiro支持三种方式的授权:
- 编程式:通过写if/else 授权代码块完成
if(subject.hasRole("admin")){...}else{...} - 注解式:通过在执行的Java方法上放置相应的注解完成,没有权限将抛出相应的异常
- JSP/GSP 标签:在JSP/GSP 页面通过相应的标签完成。
【3】Permissions
授权的基本单位,通过Permission进行用户权限控制。
① 规则
权限标识语法为:资源标识符:操作:对象实例ID。即对哪个资源的哪个实例可以进行什么操作。其默认支持通配符权限字符串,:表示资源/操作/实例的分割;,表示操作的分割,*表示任意资源/操作/实例。
② 多层次管理
例如:user:query、user:edit。冒号是一个特殊字符,它用来分隔权限字符串的下一部件:第一部分是权限被操作的领域(打印机),第二部分是被执行的操作。
每个部件能够保护多个值。因此,除了授予用户user:query和user:edit权限外,也可以简单地授予他们一个:user:query, edit。
还可以用*号代替所有的值,如:user:*表示用户具有所有操作权限,也可以写:*:query表示在所有的领域都有query 的权限
③ 实例级访问控制
这种情况通常会使用三个部件:域、操作、被付诸实施的实例。如:user:edit:manager。
也可以使用通配符来定义,如:user:edit:*、user:*:*、user:*:manager。
如果是部分省略通配符,缺少的部件意味着用户可以访问所有与之匹配的值,比如:user:edit等价于user:edit:*、user等价于user:*:*。
注意:通配符只能从字符串的结尾处省略部件,也就是说user:edit并不等价于user:*:edit。
【4】授权流程
① 流程图如下所示:
② 步骤说明如下
首先调用Subject.isPermitted*/hasRole*(或者注解或者JSP标签)接口,其会委托给SecurityManager,而SecurityManager接着会委托给Authorizer;
Authorizer是真正的授权者,如果调用如isPermitted(“user:view”),其首先会通过PermissionResolver把字符串转换成相应的Permission 实例;
在进行授权之前,其会调用相应的Realm(自定义的Realm实现
AuthorizingRealm.doGetAuthorizationInfo()方法)获取Subject 相应的角色/权限用于匹配传入的角色/
权限;
Authorizer 会判断Realm 的角色/权限是否和传入的匹配,如果有多个Realm,会委托给ModularRealmAuthorizer进行循环判断,如果匹配isPermitted*/hasRole*会返回true,否则返回false表示授权失败。
③ ModularRealmAuthorizer
ModularRealmAuthorizer进行多Realm 匹配流程:
首先检查相应的Realm 是否实现了实现了Authorizer;
如果实现了Authorizer,那么接着调用其相应的isPermitted*/hasRole* 接口进行匹配;
如果有一个Realm匹配那么将返回true,否则返回false。即,只要有一个匹配,则OK。
④ 自定义CustomRealm完整代码
在Shiro认证那些事中我们实现了doGetAuthenticationInfo()用法用于如何认证,这里实现doGetAuthorizationInfo()方法用于授权。
CustomRealm完整代码如下:
public class CustomRealm extends AuthorizingRealm { @Autowired ISysUserService sysUserService; @Override protected AuthorizationInfo doGetAuthorizationInfo( PrincipalCollection principals) { SysUser user = (SysUser) principals.getPrimaryPrincipal(); //处理角色 Set<String> roles = new HashSet<String>(); List<SysRole> sysRoles= sysUserService.getRoleListByUserId(user.getId()); for(SysRole r:sysRoles){ roles.add(r.getCode()); } //处理权限 List<String> powers = new ArrayList<String>(); List<SysPower> sysPowers= sysUserService.getPowerListByUserId(user.getId()); for(SysPower p:sysPowers){ powers.add(p.getCode()); } SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo(); simpleAuthorizationInfo.addStringPermissions(powers); simpleAuthorizationInfo.addRoles(roles); return simpleAuthorizationInfo; } @Override protected AuthenticationInfo doGetAuthenticationInfo( AuthenticationToken authenticationToken) throws AuthenticationException { UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken; //获取页面传来的用户账号 String loginName = token.getUsername(); //根据登录账号从数据库查询用户信息 SysUser user = sysUserService.getUserByLoginCode(loginName); System.out.println("从数据库查询到的用户信息 : "+user); //一些异常新娘西 if (null == user) { throw new UnknownAccountException();//没找到帐号 } if (user.getStatus()==null||user.getStatus()==0) { throw new LockedAccountException();//帐号被锁定 } //其他异常... //返回AuthenticationInfo的实现类SimpleAuthenticationInfo return new SimpleAuthenticationInfo(user, user.getPassword(), this.getName()); //盐值加密 // ByteSource credentialsSalt = ByteSource.Util.bytes(loginName); // return new SimpleAuthenticationInfo(user, user.getPassword(), credentialsSalt, this.getName()); } }
