Shrio + CAS 学习笔记——权限

最新推荐文章于 2024-03-15 16:00:06 发布
最新推荐文章于 2024-03-15 16:00:06 发布
阅读量519 收藏 1
点赞数 1
分类专栏: Shrio 文章标签: java Shrio 权限 CAS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Aetherzzz/article/details/120229136
版权

数据库中相关的表

sys_organization:组织表

基本字段:主键id、组织名称name、排序sort、状态state(0禁用、1启用)
其他字段:创建时间createTime、部门层级level、父id parentId、父级名称parentName、备注remark、更新时间updateTime

sys_user:用户表

基本字段:主键id、用户名username、状态state(0禁用、1启用、2锁定)
其他字段:创建时间createTime、名称nickName、组织主键orgId、组织名称orgName、电话phone、角色主键roleId、角色名称roleName、更新时间updateTime

猜测:基本字段中没有盐值salt、密码password是因为整合了CAS实现了单点登陆

sys_role:角色表

基本字段:主键id、角色唯一编码code(需遵守规范,@RequiresRoles中校验)、角色名称name、状态state(0禁用、1启用)
其他字段:创建时间createTime、备注remark、类型type(不明)

sys_permission:权限表

基本字段:主键id、唯一编码code、层级level、权限名称name、
其他字段:创建时间createTime、图标icon、父id parentId、备注remark、排序sort、状态state(0禁用、1启用)、类型type(1菜单、2按钮)、更新时间updateTime、路径url

sys_role_permission:角色-权限表

基本字段:主键id、权限id permissionId、角色id roleId、状态state(0禁用、1启用)
其他字段:创建时间createTime、备注remark、更新时间updateTime

sys_user_role:用户-角色表

未出现
猜测:sys_user中存在字段roleId,代替了用户角色表的作用

code惯例

资源:操作:实例
user:update:1

可以根据需求自己定义,上面只是Shrio给出的字符串惯例

其中有三个符号:
*星号(通配符,代表所有权限/角色)
:冒号(层级关系,user:update 包裹着 user:update:1)
,逗号(与的关系,而非或,user:add,update:1 代表对1的add和update权限都需要)

权限/角色授权、校验流程

用户授权 doGetAuthorizationInfo

  1. 获取当前用户名称
String userName = (String) principals.getPrimaryPrincipal();
  1. 创建 SimpleAuthorizationInfo(Simple POJO implementation of the AuthorizationInfo interface that stores roles and permissions as internal attributes.)
SimpleAuthorizationInfo auth = new SimpleAuthorizationInfo();
  1. 查询角色表和权限表中对应数据,set 到 auth 中
auth.setRoles(roles);
auth.setStringPermissions(permssions);

第一次访问需要权限的请求(被@RequiresPermissions、@RequiresRoles标注)会通过doGetAuthorizationInfo获取用户角色和权限,然后将其存入缓存,当前会话结束之前无需重复访问doGetAuthorizationInfo获取。

在这里插入图片描述

校验权限

@RequiresPermissions源码👇

@Target({ElementType.TYPE, ElementType.METHOD})
@Retention(RetentionPolicy.RUNTIME)
public @interface RequiresPermissions {

	// 字符串权限数组,例 ["user:add", "user:update:1"]
    String[] value();

	// 逻辑,默认是AND
    Logical logical() default Logical.AND; 

}

SecurityUtils.getSubject().isPermitted(“user:add”) 的作用与 @RequiresPermissions(“user:add”) 一致
@RequiresPermissions(“user:add”) 触发最后的 implies 方法好像是通过切面,还不太清楚…

Subject 接口👇

public interface Subject {
	// 还有很多方法这里不一一列举
	boolean isPermitted(String permission);
	
	boolean isPermitted(Permission permission);
}

DelegatingSubject 类实现了 Subject 接口👇

public class DelegatingSubject implements Subject {
	// 展示部分相关源码
	protected transient SecurityManager securityManager;
	
	public boolean isPermitted(String permission) {
        return hasPrincipals() && securityManager.isPermitted(getPrincipals(), permission);
    }

    public boolean isPermitted(Permission permission) {
        return hasPrincipals() && securityManager.isPermitted(getPrincipals(), permission);
    }
}

SecurityManager 接口继承了 Authorizer 接口👇

public interface SecurityManager extends Authenticator, Authorizer, SessionManager {
	// 省略源码
}

因此在 DelegatingSubject 中的 isPermitted 方法即为 Authorizer 中 isPermitted 方法

public interface Authorizer {
	// 同样只展示部分相关源码
	boolean isPermitted(PrincipalCollection principals, String permission);

    boolean isPermitted(PrincipalCollection subjectPrincipal, Permission permission);
}

而 AuthorizingRealm 类实现了 Authorizer 为 isPermitted 提供具体实现

public abstract class AuthorizingRealm extends AuthenticatingRealm
        implements Authorizer, Initializable, PermissionResolverAware, RolePermissionResolverAware {
    // 省略源码
}

在 AuthorizingRealm 类中三个 isPermitted 方法:

  1. isPermitted(PrincipalCollection principals, String permission)
	// 将 String 类型的字符串权限装配成 Permission 类型
    public boolean isPermitted(PrincipalCollection principals, String permission) {
        Permission p = getPermissionResolver().resolvePermission(permission);
        return isPermitted(principals, p);
    }

PermissionResolver 接口中存在 resolvePermission 方法👇

public interface PermissionResolver {
    Permission resolvePermission(String permissionString);
}

WildcardPermissionResolver 实现了 PermissionResolver 接口👇

public class WildcardPermissionResolver implements PermissionResolver {
    public Permission resolvePermission(String permissionString) {
    	// WildcardPermission 实现了 Permission 接口
        return new WildcardPermission(permissionString);
    }
}

WildcardPermission 部分相关源码👇
通过 setParts 方法处理为 String 类型的权限

public class WildcardPermission implements Permission, Serializable {
    protected static final String WILDCARD_TOKEN = "*";
    protected static final String PART_DIVIDER_TOKEN = ":";
    protected static final String SUBPART_DIVIDER_TOKEN = ",";
    protected static final boolean DEFAULT_CASE_SENSITIVE = false;

    private List<Set<String>> parts;

    protected WildcardPermission() {
    }

    public WildcardPermission(String wildcardString) {
        this(wildcardString, DEFAULT_CASE_SENSITIVE);
    }

    public WildcardPermission(String wildcardString, boolean caseSensitive) {
        setParts(wildcardString, caseSensitive);
    }

    protected void setParts(String wildcardString, boolean caseSensitive) {
        if (wildcardString == null || wildcardString.trim().length() == 0) {
            throw new IllegalArgumentException("Wildcard string cannot be null or empty. Make sure permission strings are properly formatted.");
        }

        wildcardString = wildcardString.trim();

        List<String> parts = CollectionUtils.asList(wildcardString.split(PART_DIVIDER_TOKEN));

        this.parts = new ArrayList<Set<String>>();
        for (String part : parts) {
            Set<String> subparts = CollectionUtils.asSet(part.split(SUBPART_DIVIDER_TOKEN));
            if (!caseSensitive) {
                subparts = lowercase(subparts);
            }
            if (subparts.isEmpty()) {
                throw new IllegalArgumentException("Wildcard string cannot contain parts with only dividers. Make sure permission strings are properly formatted.");
            }
            this.parts.add(subparts);
        }

        if (this.parts.isEmpty()) {
            throw new IllegalArgumentException("Wildcard string cannot contain only dividers. Make sure permission strings are properly formatted.");
        }
    }
}
  1. isPermitted(PrincipalCollection principals, Permission permission)
	// 获取授权时存的权限信息
    public boolean isPermitted(PrincipalCollection principals, Permission permission) {
        AuthorizationInfo info = getAuthorizationInfo(principals);
        return isPermitted(permission, info);
    }
  1. isPermitted(Permission permission, AuthorizationInfo info)

implies 为 Shrio 校验权限的核心

    private boolean isPermitted(Permission permission, AuthorizationInfo info) {
        Collection<Permission> perms = getPermissions(info);
        if (perms != null && !perms.isEmpty()) {
            for (Permission perm : perms) {
                if (perm.implies(permission)) {
                    return true;
                }
            }
        }
        return false;
    }

Permission 接口👇

public interface Permission {
    boolean implies(Permission p);
}

WildcardPermission 实现了 Permission 接口为 implies 提供具体实现👇

    public boolean implies(Permission p) {
        // By default only supports comparisons with other WildcardPermissions
        if (!(p instanceof WildcardPermission)) {
            return false;
        }

        WildcardPermission wp = (WildcardPermission) p;

        List<Set<String>> otherParts = wp.getParts();

        int i = 0;
        for (Set<String> otherPart : otherParts) {
            // If this permission has less parts than the other permission, everything after the number of parts contained
            // in this permission is automatically implied, so return true
            if (getParts().size() - 1 < i) {
                return true;
            } else {
                Set<String> part = getParts().get(i);
                if (!part.contains(WILDCARD_TOKEN) && !part.containsAll(otherPart)) {
                    return false;
                }
                i++;
            }
        }

        // If this permission has more parts than the other parts, only imply it if all of the other parts are wildcards
        for (; i < getParts().size(); i++) {
            Set<String> part = getParts().get(i);
            if (!part.contains(WILDCARD_TOKEN)) {
                return false;
            }
        }

        return true;
    }

还是看这个吧,我自己琢磨写完👆,然后看了这个👇发现自己写的像 shit 😓

https://www.iteye.com/blog/jinnianshilongnian-2020017

qwqwqwqwqwqwqwq115
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java学习教程,Java从入门到精通,全套Java视频教程+笔记+配套工具
Java___interview的博客
07-20 910
目录 一、大纲 一、Java基础 二、计算机基础 三、工具的使用 四、数据库 五、web前端 六、JavaWeb 七、框架 八、互联网分布式技术 发现身边很多自学java却放弃的,真的挺可惜的。 白白浪费了几个月宝贵的时间,且放弃一次,就会有下一次。 如何学习Java并成功?——要有一个清晰的目标! 比如培训还是其他学习方式,都是达成目标的一个方法,这个方法不够,可以找别的方法来达成目标。 所以,在学Java前希望你想清楚,你想不想成为一个程序员,想得话就做好准备,知道自己选
Java 学习路线大全,再也不用迷路啦(持续更新)
腾讯全栈-ITCJF
10-14 2692
路线特点 最新,完整一条龙,从入门到入土(⭐ 表示推荐学习) 给出目标学习建议、关键知识点、最优资源以及各类资源推荐(视频、书籍、文档、项目、工具等) 划分阶段、更有计划,且在最后给出持续学习的方向、探索 Java 程序员发展的无限可能 前言 首先呢,我们要了解 Java 的应用场景和就业方向,看看和自己的学习目的是否一致,目前,Java 的岗位需求多,是后台开发的主流编程语言,功能强大,还是很值得学习的。 阶段 1:Java 入门 目标 培养兴趣、快速上手 前期准备 准备好一款在线、随时随地
单点登录CAS权限管理框架Shiro集成
10-19
CAS权限管理框架Shiro集成
CAS权限管理系统学习
zccmp的博客
08-24 1197
最近决定研究网站的权限管理系统,大致认为可以分为四大块:单点登录、网页访问控制、菜单权限管理、数据库访问限制。 这周打算做单点登录的部分。我们一共三个人,当然另外两个是辅助的。找到了一个学习的好网址: http://linliangyi2007.javaeye.com/blog/165307。 关键字: ja-sig cas sso https 单点登录 统一认证 ...
shiro cas 学习整理
Jesse_cool的博客
05-23 1001
shiroshiro运行过程简单来说是这样:Subject:主体,代表了当前“用户”,这个用户不一定是一个具体的人,与当前应用交互的任何东西都是Subject,如网络爬虫,机器人等;即一个抽象概念;所有Subject都绑定到SecurityManager,与Subject的所有交互都会委托给SecurityManager;可以把Subject认为是一个门面;SecurityManager才是实际的...
权限框架——CAS之工作原理
Flash~
10-31 4759
CAS:Central Authentication Service,中央认证服务,是实现SSO的一个框架。由于本篇博客主要介绍CAS的工作原理,所以首先要简单介绍下SSO的相关内容。 SSO概要 SSO:Single Sign On,单点登录,简单说就是用户一次登录就可以访问多个项目,这样就免去用户访问多个系统时进行的多次登录过程,也避免了用户要访问N个系统要记住N套用户名和密码所带
菜单权限管理
weixin_34256074的博客
11-23 163
MAP集合key value 应用 <div class="accordion" fillSpace="sidebar"> <c:forEach var="setting" items="${settings}"> <div class="accordionHeader"> <h2> &lt...
Java学习专栏!全网最牛!
weixin_70730532的博客
08-12 2557
00254:《SpringCloud Alibaba微服务实战十四 - SpringCloud Gateway集成Oauth2.0》00242:《SpringCloud Alibaba微服务实战二十四 - SpringCloud Gateway的全局异常处理》00251:《SpringCloud Alibaba微服务实战十五 - SpringCloud 容器化部署》00248:《SpringCloud Alibaba微服务实战十八 - Oauth2.0 自定义授权模式》00184:《TCP网络那点破事!..
人类高质量 Java 学习路线【一条龙版】
Feng_clay的博客
12-04 1543
大家好,我是张讨嫌。现在网上的编程资料实在太多了,而且人人肯定都说自己的最好,那就导致大家又不知道怎么选了。大部分的博主推荐资源,也就是把播放量高的视频说一遍,水一期视频,没有一条很清晰的学习路线。 所以今天我的这个 Java 学习路线就做做减法,给大家来个一条龙服务,Java 要学的知识点、对应的最佳学习资源和预计要花费的时间,都安排的明明白白的,不用选了,有计划了,也别再迷茫和纠结了,就无脑跟着学就行了。 我还在文档中整理了链接,也不用自己搜了,还有思维导图。 大纲 实在太长了,没办法全部展开,
java架构师进阶之路
henhenha的博客
03-30 3394
包含了计算机基础、算法和数据结构、常用工具、java核心知识、性能优化、基础框架、数据库、消息队列、缓存中间件、搜索引擎、大数据、RPC、网关、容器、面试等知识
SpringSecurity、Shiro、Oauth2.0、Cas 权限控制
dong1018645785的博客
06-23 1805
权限控制框架
cas security等权限框架的密码加密处理异同
yuhui666666的博客
02-14 191
cas security等权限框架的密码加密处理异同       cas服务端加密的处理: (其他的第三方框架加密用法类似比如security登陆)   1,需要自己写一个类实现cas的加密接口PasswordEncoder即可,纳入spring容器管理 2,在需要配置 加密的地方直接引用这个bean即可   登陆的时候输入用户名,密码由于直接调用cas的登陆请求,所以数据直...
RuoYi-Vue前后端分离版集成cas并接入自己系统的权限
最新发布
kdjfh的博客
03-15 585
若依框架集成CAS并接入统用的人员信息
Casbin-authz-plugin:基于Casbin的Docker权限管理、访问控制插件
Casbin开源社区
05-28 3093
Docker是目前主流的一种容器技术。为了解决多用户同时访问Docker时产生的安全问题,Docker设计了访问控制插件(Authorization Plugin,见官方文档)这一机制,通过对Docker请求进行过滤,来实现对Docker的权限管理。 这里需要注意,Docker并没有自己设计一套权限管理机制,而是设计了一套权限管理插件的机制,允许第三方的开发者自行设计权限管理的架构、模型、策...
Java开发企业级权限管理系统(八)
WuF_Black的博客
07-23 157
角色模块开发
第十六章 综合实例——《跟我学Shiro》
refire
08-01 1114
博客分类:  跟我学Shiro 跟我学Shiro    目录贴: 跟我学Shiro目录贴   简单的实体关系图   简单数据字典 用户(sys_user) 名称 类型 长度 描述 id bigint   编号 主键 username varc
系统-用户管理
qq_35366466的博客
08-05 1036
系统中的用户管理模块设计
用户权限管理spring security
u010880345的专栏
12-05 5765
分享一下自己的经验,还望大神能够指点。目前此项目只是基础的,后面会加入用户,角色,资源的管理界面。 暂时导入的jar包,等界面好后,会改成maven项目。以后会把此项目放到github上。 暂时用jquery easy-ui,以后界面会改成bootstrap,如果是只想要源码的可以直接看结尾。 由于时间关系只是简单说了下,若有不懂的,还望见谅。如有哪位大神知道多租户架构,还望指点。
单点登录——实现CAS统一用户菜单及权限管理
LSY_CSDN_的博客
05-22 3380
实现思路就是,有一个平台中心系统,该系统读取一个数据库,该平台中心系统的主要功能就是这个平台的入口,然后还有对用户、菜单、角色、部门、等基础功能的管理,并且菜单管理中要有所属系统字段。 其余子系统的基础功能比如:菜单、用户、角色等都从平台中心系统连接的数据库中进行读取数据,每个子系统配置一个当前系统的代码,子系统中的用户只是读取该用户角色下属于该系统的菜单。其它的业务功能表在另外的一个数据库中,在子系统中配置多数据源就可以快速、方便的解决这个问题。 通过以上这个思路,可以快速的解决开发一个全新的平台系统
Springboot学习笔记之springboot+shiro+cas
05-21
下面是一个简单的 Spring Boot + Shiro + CAS 的示例应用程序: 1. 创建一个 Spring Boot 应用程序,并添加依赖: ```xml <groupId>org.springframework.boot <artifactId>spring-boot-starter-web ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值