前面说了认证那些事,这里继续说授权那些事。
【1】授权几个概念
授权,也叫访问控制,即在应用中控制谁访问哪些资源(如访问页面/编辑数据/页面操作等)。在授权中需了解的几个关键对象:主体(Subject)、资源(Resource)、权限(Permission)、角色(Role)。
① 主体(Subject)
访问应用的用户,在Shiro中使用Subject代表该用户。用户只有授权后才允许访问相应的资源。
② 资源(Resource)
在应用中用户可以访问的URL,比如访问JSP 页面、查看/编辑某些数据、访问某个业务方法、打印文本等等都是资源。用户只有授权后才能访问。
③ 权限(Permission)
安全策略中的原子授权单位,通过权限我们可以表示在应用中用户有没有操作某个资源的权力。即权限表示在应用中用户能不能访问某个资源,如:访问用户列表页面查看/新增/修改/删除用户数据(即很多时候都是CRUD(增查改删)式权限控制)等。权限代表了用户有没有操作某个资源的权利,即反映在某个资源上的操作允不允许。
Shiro支持粗粒度权限(如用户模块的所有权限)和细粒度权限(操作某个用户的权限,即实例级别的)
④ 角色(Role)
权限的集合,一般情况下会赋予用户角色而不是权限,即这样用户可以拥有一组权限,赋予权限时比较方便。典型的如:项目经理、技术总监、CTO、开发工程师等都是角色,不同的角色拥有一组不同的权限。
【2】授权方式
Shiro支持三种方式的授权:
- 编程式:通过写if/else 授权代码块完成
if(subject.hasRole("admin")){...}else{...}
- 注解式:通过在执行的Java方法上放置相应的注解完成,没有权限将抛出相应的异常
- JSP/GSP 标签:在JSP/GSP 页面通过相应的标签完成。
【3】Permissions
授权的基本单位,通过Permission进行用户权限控制。
① 规则
权限标识语法为:资源标识符:操作:对象实例ID
。即对哪个资源的哪个实例可以进行什么操作。其默认支持通配符权限字符串,:
表示资源/操作/实例的分割;,
表示操作的分割,*
表示任意资源/操作/实例。
② 多层次管理
例如:user:query、user:edit。冒号是一个特殊字符,它用来分隔权限字符串的下一部件:第一部分是权限被操作的领域(打印机),第二部分是被执行的操作。
每个部件能够保护多个值。因此,除了授予用户user:query和user:edit权限外,也可以简单地授予他们一个:user:query, edit。
还可以用*
号代替所有的值,如:user:*
表示用户具有所有操作权限,也可以写:*:query
表示在所有的领域都有query 的权限
③ 实例级访问控制
这种情况通常会使用三个部件:域、操作、被付诸实施的实例
。如:user:edit:manager。
也可以使用通配符来定义,如:user:edit:*、user:*:*、user:*:manager
。
如果是部分省略通配符,缺少的部件意味着用户可以访问所有与之匹配的值,比如:user:edit等价于user:edit:*、user等价于user:*:*
。
注意:通配符只能从字符串的结尾处省略部件,也就是说user:edit并不等价于user:*:edit
。
【4】授权流程
① 流程图如下所示:
② 步骤说明如下
- 首先调用
Subject.isPermitted*/hasRole*
(或者注解或者JSP标签)接口,其会委托给SecurityManager,而SecurityManager接着会委托给Authorizer; - Authorizer是真正的授权者,如果调用如
isPermitted(“user:view”)
,其首先会通过PermissionResolver把字符串转换成相应的Permission 实例; - 在进行授权之前,其会调用相应的Realm(自定义的Realm实现AuthorizingRealm.doGetAuthorizationInfo()方法)获取Subject 相应的角色/权限用于匹配传入的角色/权限;
- Authorizer 会判断Realm 的角色/权限是否和传入的匹配,如果有多个Realm,会委托给ModularRealmAuthorizer进行循环判断,如果匹配
isPermitted*/hasRole*
会返回true,否则返回false表示授权失败。
③ ModularRealmAuthorizer
ModularRealmAuthorizer进行多Realm 匹配流程:
- 首先检查相应的Realm 是否实现了实现了Authorizer;
- 如果实现了Authorizer,那么接着调用其相应的isPermitted*/hasRole* 接口进行匹配;
- 如果有一个Realm匹配那么将返回true,否则返回false。即,只要有一个匹配,则OK。
④ 自定义CustomRealm完整代码
在Shiro认证那些事中我们实现了doGetAuthenticationInfo()用法用于如何认证,这里实现doGetAuthorizationInfo()方法用于授权。
CustomRealm完整代码如下:
public class CustomRealm extends AuthorizingRealm {
@Autowired
ISysUserService sysUserService;
@Override
protected AuthorizationInfo doGetAuthorizationInfo(
PrincipalCollection principals) {
SysUser user = (SysUser) principals.getPrimaryPrincipal();
//处理角色
Set<String> roles = new HashSet<String>();
List<SysRole> sysRoles= sysUserService.getRoleListByUserId(user.getId());
for(SysRole r:sysRoles){
roles.add(r.getCode());
}
//处理权限
List<String> powers = new ArrayList<String>();
List<SysPower> sysPowers= sysUserService.getPowerListByUserId(user.getId());
for(SysPower p:sysPowers){
powers.add(p.getCode());
}
SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
simpleAuthorizationInfo.addStringPermissions(powers);
simpleAuthorizationInfo.addRoles(roles);
return simpleAuthorizationInfo;
}
@Override
protected AuthenticationInfo doGetAuthenticationInfo(
AuthenticationToken authenticationToken) throws AuthenticationException {
UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken;
//获取页面传来的用户账号
String loginName = token.getUsername();
//根据登录账号从数据库查询用户信息
SysUser user = sysUserService.getUserByLoginCode(loginName);
System.out.println("从数据库查询到的用户信息 : "+user);
//一些异常新娘西
if (null == user) {
throw new UnknownAccountException();//没找到帐号
}
if (user.getStatus()==null||user.getStatus()==0) {
throw new LockedAccountException();//帐号被锁定
}
//其他异常...
//返回AuthenticationInfo的实现类SimpleAuthenticationInfo
return new SimpleAuthenticationInfo(user, user.getPassword(), this.getName());
//盐值加密
// ByteSource credentialsSalt = ByteSource.Util.bytes(loginName);
// return new SimpleAuthenticationInfo(user, user.getPassword(), credentialsSalt, this.getName());
}
}
参考博文: