Shiro---授权源码分析

最新推荐文章于 2022-01-06 10:59:20 发布
最新推荐文章于 2022-01-06 10:59:20 发布
阅读量427 收藏
点赞数
分类专栏: Shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Apple_Andy/article/details/108588738
版权

一.步骤总结

1.首先调用Subject.isPermitted/hasRole接口,其会委托给SecurityManager,而SecurityManage接着委托给Authorizer

2.Authorizer是真正的授权者,如果我们调用如.isPermitted(“user:view”),其首先会通过PermissionResolver把字符串换成相应的permission实例

3.在进行授权之前,其会调用相应的realm获取Subject相应的角色/权限用于匹配传入的角色/权限

4.Authorizer会判断realm的角色/权限是否传入的匹配 ,如果有多个Realm,会委托给ModularRealmAuthorizer进行循环判断,如果匹配如isPermitted/hasRole会返回true,否则返回false表示授权失败

二.源码解析

1.调用Subject.isPermitted/hasRole接口

boolean[] booleans = subject.isPermitted("user:insert", "user:select");

2.进入到isPermitted()中,如果有Principals就开始调用SecurityManager的isPermitted方法,即subject委托给SecurityManager

  public boolean[] isPermitted(String... permissions) {
       //如果有Principals就开始
        if (hasPrincipals()) {
            return securityManager.isPermitted(getPrincipals(), permissions);
        } else {
            return new boolean[permissions.length];
        }
    }

3.进入到isPermitted中,会看到委托给了授权器Authorizer的isPermitted方法

 public boolean[] isPermitted(PrincipalCollection principals, String... permissions) {
        return this.authorizer.isPermitted(principals, permissions);
    }

4.进入到授权器的isPermitted方法中,在这里,我们可以看到底层是用for循环来对我们传进来的权限进行逐一比对
1)当i0时.,在isPermitted(principals, permissions[i])中,把用户信息和传进来的第一个权限传给了isPermitted方法,然后把结果赋值给了new 出来的boolean类型的数组isPermitted[ 0],
2)当i1时.,在isPermitted(principals, permissions[i])中,把用户信息和传进来的第一个权限传给了isPermitted方法,然后把结果赋值给了new 出来的boolean类型的数组isPermitted[1]

    public boolean[] isPermitted(PrincipalCollection principals, String... permissions) {
        assertRealmsConfigured();
        if (permissions != null && permissions.length > 0) {
        //先new了一个boolean的数组,数组的长度由传进来的权限个数决定,数组的默认值都是false,并开始做for循环,对每个权限进行判断是否拥有
            boolean[] isPermitted = new boolean[permissions.length];
            for (int i = 0; i < permissions.length; i++) {
                isPermitted[i] = isPermitted(principals, permissions[i]);
            }
            return isPermitted;
        }
        return new boolean[0];
    }

5.点进去isPermitted(principals, permissions[i]);在这个方法中,会先获取到所有的Realm,在这边我们自定义了一个realm.所以获取到的是我们自己定义的realm,接着(Authorizer) realm).isPermitted(principals, permission)这个的方法内部其实就是把传进来的字符串权限转成了 Permission对象
在这里插入图片描述

  public boolean isPermitted(PrincipalCollection principals, String permission) {
        assertRealmsConfigured();
        for (Realm realm : getRealms()) {
            if (!(realm instanceof Authorizer)) continue;
            if (((Authorizer) realm).isPermitted(principals, permission)) {
                return true;
            }
        }
        return false;
    }

把字符串转成了 Permission对象

 public boolean isPermitted(PrincipalCollection principals, String permission) {
        Permission p = getPermissionResolver().resolvePermission(permission);
        return isPermitted(principals, p);
    }

6.在转成了字符串后,我们进入到 return isPermitted(principals, p)中

   public boolean isPermitted(PrincipalCollection principals, Permission permission) {
        AuthorizationInfo info = getAuthorizationInfo(principals);
        return isPermitted(permission, info);
    }

7.再进入到 getAuthorizationInfo(principals)中,这一步的逻辑是
1)如果principals为空,则返回null
2)如果principals不为空,则先从缓存中获取info信息,如果info不为空,则通过principals获取key,再通过key获取info信息,info包含了该用户授权过的角色和权限
3)如果缓存中没有info,则调用 doGetAuthorizationInfo(principals);方法去获取info,这个方法就是我们自定义的myRealm中的方法,获取到info后判断是否开启了缓存,即cache是否为null,如果不为空,则把principals作为key,info作为值存到缓存中
4)最终返回info

 protected AuthorizationInfo getAuthorizationInfo(PrincipalCollection principals) {

        if (principals == null) {
            return null;
        }

        AuthorizationInfo info = null;

        if (log.isTraceEnabled()) {
            log.trace("Retrieving AuthorizationInfo for principals [" + principals + "]");
        }

        Cache<Object, AuthorizationInfo> cache = getAvailableAuthorizationCache();
        if (cache != null) {
            if (log.isTraceEnabled()) {
                log.trace("Attempting to retrieve the AuthorizationInfo from cache.");
            }
            Object key = getAuthorizationCacheKey(principals);
            info = cache.get(key);
            if (log.isTraceEnabled()) {
                if (info == null) {
                    log.trace("No AuthorizationInfo found in cache for principals [" + principals + "]");
                } else {
                    log.trace("AuthorizationInfo found in cache for principals [" + principals + "]");
                }
            }
        }


        if (info == null) {
            // Call template method if the info was not found in a cache
            info = doGetAuthorizationInfo(principals);
            // If the info is not null and the cache has been created, then cache the authorization info.
            if (info != null && cache != null) {
                if (log.isTraceEnabled()) {
                    log.trace("Caching authorization info for principals: [" + principals + "].");
                }
                Object key = getAuthorizationCacheKey(principals);
                cache.put(key, info);
            }
        }

        return info;
    }
  1. 此时第6步中的
  2. AuthorizationInfo info = getAuthorizationInfo(principals)就会得到info信息,并返回
 return isPermitted(permission, info)

10.再进到return isPermitted(permission, info)中,看看得到是怎么进行权限认证的,这个认证的思路就是
1)先将info中包含的权限集合获取出来,并遍历这个集合,逐一和传进来的第一个权限对象permission进行比对,如果相等,就返回true,如果都不相等,就返回false
2)最后将这个结果逐一返回给最前面,就得到了boolean数组中的第一个值
3)再返回来进行第二个权限判断

    protected boolean isPermitted(Permission permission, AuthorizationInfo info) {
        Collection<Permission> perms = getPermissions(info);
        if (perms != null && !perms.isEmpty()) {
            for (Permission perm : perms) {
                if (perm.implies(permission)) {
                    return true;
                }
            }
        }
        return false;
    }
Catalina_yep
关注
专栏目录
shiro授权
weixin_44939526的博客
11-02 177
授权的自定义Realm(数据源) /** * 授权方法 * @param principalCollection * @return */ @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) { /*获取登陆进来的对象的所有信息, 这个对象是在认证的时候传递进来的*/
Shiro授权源码分析
zhaoqx的博客
11-06 209
最终执行用户名的认证是在SimpleAccountRealm类中在doGetAuthenticationInfo方法中 最终密码的校验完成是在AuthenticatingRealm类中的assertCredentialsMatch方法 protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException { UsernamePassword
源码分析shiro认证授权流程
04-17 204
1. shiro介绍 Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能: 认证 - 用户身份识别,常被称为用户“登录”; 授权 - 访问控制; 密码加密 - 保护或隐藏数据防止被偷窥; 会话管理 - 每用户相关的时间敏感的状态。 对于任何一个应用程序,Shiro都可以提供全面的安全管理服务。并且相对于其他安全框架,Sh...
Shiro授权过程--源码分析
↓ ↓ ↓ ↓
03-15 2353
现在来分析授权的过程这篇文章会接着上一篇文章,根据源码分析一下Shiro实现授权的过程,(其中Subject之前的方法不做过多解释)注: 配置文件和代码都放在文章最下面准备工作:1. AuthorizedRealm:  这是一个继承了AuthorizingRealm(是AuthenticatingRealm的子类,同样是抽象类)的Realm类,用来从数据库中获取用户的身份安全信息(本例中使用静...
Shiro系列十:授权源码解析
苍穹尘的博客
06-07 1185
一、授权流程   1、首先调用 Subject.isPermitted或hasRole 接口,其会委托给 SecurityManager,而 SecurityManager 接着会委托给 Authorizer;   2、Authorizer是真正的授权者,如果调用如 isPermitted(“user:view”),其首先会通过 PermissionResolver 把字符串转换成相应的 Per...
shiro-root-1.4.1-source-release.zip
06-10
Apache Shiro 是一款强大且易用的 Java 安全框架,提供身份认证、授权、加密以及会话管理功能,简化了安全实现。...此外,源码分析还能帮助开发者发现潜在的性能瓶颈和优化点,提升应用的安全性和效率。
shiro-root-1.7.0_ROOT_shirocore1.7_shiro1.7源码_
10-01
- **Authorization**: 分析`org.apache.shiro.authz`包,了解权限和角色的处理逻辑。 - **Session Management**: 研究`org.apache.shiro.session`和`org.apache.shiro.session.mgt`包,理解Shiro如何管理和存储会话...
shiro-rbac-system-master.zip
12-05
标题"shiro-rbac-system-master.zip"表明这是一个基于Shiro权限管理系统的源码包,其中"master"通常代表这是项目的主要分支或版本。"rbac"是"Role-Based Access Control"的缩写,指的是基于角色的访问控制,这是一种...
shiro-master.zip
06-03
通过阅读和分析这些源码,我们可以理解Shiro的工作原理,学习如何自定义Realm以连接不同的数据源,如何配置和使用Filter进行Web安全控制,以及如何实现更复杂的权限管理策略。此外,对于想要扩展Shiro功能或解决特定...
shiro-web例子源代码
03-24
Apache Shiro是一个强大的Java安全框架,它提供了身份验证、授权、会话管理和加密等功能,用于构建安全的应用程序。...通过阅读和分析源代码,你可以逐步理解Shiro在实际项目中的应用场景和实现方式。
Shiro安全登录认证、权限授权封装模块代码
01-23
只提供实现相关代码,不提供demo。关于实现源码分析,可以查看博客:http://blog.csdn.net/FJeKin
Shiro权限框架完整源码
06-30
这个源码很详细 可以配合之前我上传的shiro框架技术的pdf文档结合起来参考学习
shiro权限管理框架代码
03-29
Shiro是apache旗下一个开源框架,它将软件系统的安全认证相关的功能抽取出来,实现用户身份认证,权限授权、加密、会话管理等功能,组成了一个通用的安全认证框架
shiro 授权源码解析
08-18 152
流程如下: 1、首先调用Subject.isPermitted*/hasRole*接口,其会委托给SecurityManager,而SecurityManager接着会委托给Authorizer; 2、Authorizer是真正的授权者,如果我们调用如isPermitted(“u...
shiro登录,授权源码简单分析
weixin_43915064的博客
01-06 764
文章目录shiro简介概念架构特色架构shiro使用架构 shiro简介 概念 Apache Shiro是一个强大且安全易用的Java安全框架,可以完成:认证、授权、加密、会话管理、缓存等。与SpringSecurity相比较简单的多,学习成本比较低。 架构 特色 **Authentication:**用户登录认证。 **Authorization:**用户权限认证,如用户拥有的角色,权限。 Session Management:会话管理,保存用户登录的会话信息。 **Cryptography:**加密
shiro授权源码分析(session的作用)
qq_43469298的博客
11-05 393
文章目录前言一、shiro的认证授权流程?二、使用步骤1.引入库2.读入数据总结 前言 深入源码才能了解框架正真的运行机制,在看到shiro授权流程过后,我就在思考在权限得到认证过后,shiro是否会将认证信息进行保存,保存在什么地方,下一次用户进行访问的时候shiro是通过什么样的方法判断用户已经得到认证,可以直接进行权限的判定。 提示:以下是本篇文章正文内容,下面案例可供参考 一、shiro的认证授权流程? 二、使用步骤 1.引入库 代码如下(示例): import numpy as np im
shiro注解授权源码分析
wpeng_1024的博客
11-16 2808
老问题,要知道注解授权方式为什么能生效,首先得找到入口,相比登录的过程不同,对于这个验证权限的这个过程shiro采用了springAOP的方式 首先在spring配置文件中 我们得开启shiro的注解: 那么我们的入门就找到了,AuthorizationAttributeSourceAdvisor类继承了StaticMethodMatcherPoi
shiro认证授权源码分析
一只蜗牛的博客
10-16 3160
shiro内置了许多过滤器用来控制认证授权 anon : org.apache.shiro.web.filter.authc.AnonymousFilter authc : org.apache.shiro.web.filter.authc.FormAuthenticationFilter authcBasic : org.apache.shiro.web.filter.authc.Basi
Shiro使用和源码分析---1
conansonic的博客
11-01 8457
FormAuthenticationFilter使用和原理分析—1网上有很多介绍shiro框架的文章,但是没有讲解shiro如何和web spring框架相结合的文章。由于实际项目的需要,这里首先顺带分析一下shiro中FormAuthenticationFilter的源码。先看一段Spring中applicationContext.xml的配置。 <bean id="shiroFilter"
Java私塾《深入浅出学Shiro》- 权限管理实战教程
6. **Shiro的Realms**:讲解Realms在认证中的作用,分析Shiro默认的Realms实现,特别是JdbcRealm的使用,以及如何自定义Realm。 7. **Session管理**:涵盖SessionDAO的概念,Web应用中的Session处理,以及如何...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值