Shiro注解认证授权实现原理

已于 2024-05-14 12:14:22 修改
阅读量90 收藏
点赞数 3
文章标签: Apache Shiro
于 2024-05-14 12:14:13 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/JavaMyDream/article/details/138849111
版权 
@Configuration
@Import(ShiroAnnotationProcessorConfiguration.class)
public class ShiroConfig {

}

// 注册注解的处理器,根据授权认证注解需要生成代理对象的后置处理器
public class ShiroAnnotationProcessorConfiguration {
    @Bean
    @DependsOn("lifecycleBeanPostProcessor")
    protected DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator() {
        // 创建代理对象的BeanPostProcessor
        return new DefaultAdvisorAutoProxyCreator();
    }

    @Bean
    protected AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager) {
        // 注解解析的切面
        AuthorizationAttributeSourceAdvisor advisor = new AuthorizationAttributeSourceAdvisor();
        advisor.setSecurityManager(securityManager);
        return advisor;
    }
}

// 授权认证注解需要生成代理对象的切面,会根据是否存在注解来确定该切面是否可以应用上该切面
public class AuthorizationAttributeSourceAdvisor {
    // 当前切面需要运用的拦截器
    private Advice advice = EMPTY_ADVICE;

    // 支持的授权认证注解
    private static final Class<? extends Annotation>[] AUTHZ_ANNOTATION_CLASSES =
            new Class[]{RequiresPermissions.class,
                    RequiresRoles.class,
                    RequiresUser.class,
                    RequiresGuest.class,
                    RequiresAuthentication.class};

    public AuthorizationAttributeSourceAdvisor() {
        setAdvice(new AopAllianceAnnotationsAuthorizingMethodInterceptor());
    }

    public void setAdvice(Advice advice) {
        this.advice = advice;
    }

    // 匹配当前切面是否可用,只要类,方法,父类,实现的接口,实现的接口方法中包含授权注解,都匹配成功
    public boolean matches(Method method, Class targetClass) {
        Method m = method;
        // 当前执行的方法中是否存在授权相关注解
        if (this.isAuthzAnnotationPresent(m)) {
            return true;
        }
        // 当前执行的方法中不存在授权注解,继续找接口或者
        if (targetClass != null) {
            // 获取父类方法(父类),接口方法(接口)是否存在授权注解
            m = targetClass.getMethod(m.getName(), m.getParameterTypes());
            return this.isAuthzAnnotationPresent(m) || this.isAuthzAnnotationPresent(targetClass);
        }

        return false;
    }

    // 判断方法中或者类中是否存在授权注解
    private boolean isAuthzAnnotationPresent(AnnotatedElement element) {
        for (Class<? extends Annotation> annClass : AUTHZ_ANNOTATION_CLASSES) {
            Annotation a = AnnotationUtils.findAnnotation(element, annClass);
            // 如果存在返回true
            if (a != null) {
                return true;
            }
        }
        return false;
    }

}

// 注解代理对象的统一拦截器入口,内部代理了具体的注解拦截器的处理逻辑
public class AopAllianceAnnotationsAuthorizingMethodInterceptor {
    // 当前拦截器代理的5个注解相关处理的拦截器
    protected Collection<AuthorizingAnnotationMethodInterceptor> methodInterceptors;

    public AopAllianceAnnotationsAuthorizingMethodInterceptor() {
        List<AuthorizingAnnotationMethodInterceptor> interceptors = new ArrayList<AuthorizingAnnotationMethodInterceptor>(5);

        // 注解解析器
        AnnotationResolver resolver = new SpringAnnotationResolver();
        // 添加处理RequiresRoles的拦截器
        interceptors.add(new RoleAnnotationMethodInterceptor(resolver));
        // 添加处理RequiresPermissions的拦截器
        interceptors.add(new PermissionAnnotationMethodInterceptor(resolver));
        // 添加处理RequiresAuthentication的拦截器
        interceptors.add(new AuthenticatedAnnotationMethodInterceptor(resolver));
        // 添加处理RequiresUser的拦截器
        interceptors.add(new UserAnnotationMethodInterceptor(resolver));
        // 添加处理RequiresGuest的拦截器
        interceptors.add(new GuestAnnotationMethodInterceptor(resolver));

        this.methodInterceptors = interceptors;
    }

    // 代理的拦截方法
    public Object invoke(MethodInvocation methodInvocation) throws Throwable {
        org.apache.shiro.aop.MethodInvocation mi = createMethodInvocation(methodInvocation);
        // 断言授权
        this.assertAuthorized(mi);
        // 继续执行下一个拦截器
        return mi.proceed();
    }

    protected void assertAuthorized(MethodInvocation methodInvocation) throws AuthorizationException {
        Collection<AuthorizingAnnotationMethodInterceptor> aamis = this.methodInterceptors;
        // 如果存在处理注解的拦截器
        if (aamis != null && !aamis.isEmpty()) {
            // 遍历所有支持的拦截器
            // AuthorizingAnnotationMethodInterceptor为具体拦截器的父类
            for (AuthorizingAnnotationMethodInterceptor aami : aamis) {
                // 只要支持处理该注解的拦截器都会执行
                if (aami.supports(methodInvocation)) {
                    // 执行授权认证的断言操作
                    aami.assertAuthorized(methodInvocation);
                }
            }
        }
    }

}

// 授权注解的通用方法拦截器
public class AuthorizingAnnotationMethodInterceptor {
    public void assertAuthorized(MethodInvocation mi) throws AuthorizationException {
        try {
            // 执行handler的处理逻辑,这个Handler在创建对应注解的拦截器就已经设置好固定处理注解的Handler
            AuthorizingAnnotationHandler handler = (AuthorizingAnnotationHandler) getHandler();
            // 使用具体的注解处理器进行断言
            handler.assertAuthorized(getAnnotation(mi);
        } catch (AuthorizationException ae) {
            if (ae.getCause() == null) {
                ae.initCause(new AuthorizationException("Not authorized to invoke method: " + mi.getMethod()));
            }
            throw ae;
        }
    }


}

// 解释两个,处理RequiresAuthentication注解,处理RequiresRoles注解
// 处理RequiresRoles注解
public class RoleAnnotationMethodInterceptor extends AuthorizingAnnotationMethodInterceptor {

    // RequiresRoles注解指定处理器
    public RoleAnnotationMethodInterceptor() {
        super(new RoleAnnotationHandler());
    }


}

// 授权注解的通用处理器
public class AuthorizingAnnotationHandler {
    // 授权注解的处理器,需要传递该Handler需要处理的注解
    public AuthorizingAnnotationHandler(Class<? extends Annotation> annotationClass) {
        super(annotationClass);
    }

    // 根据具体的注解进行断言的方法
    public abstract void assertAuthorized(Annotation a) throws AuthorizationException;

}

// 处理RequiresRoles注解的处理器
public class RoleAnnotationHandler extends AuthorizingAnnotationHandler {
    public RoleAnnotationHandler() {
        super(RequiresRoles.class);
    }

    // 断言
    public void assertAuthorized(Annotation a) throws AuthorizationException {
        // 如果不存在RequiresRoles注解,不处理
        if (!(a instanceof RequiresRoles)) {
            return;
        }
        // 获取注解中的角色信息
        RequiresRoles rrAnnotation = (RequiresRoles) a;
        String[] roles = rrAnnotation.value();
        // 如果只有一个,直接调用Suject的校验权限方法
        if (roles.length == 1) {
            /**
             * <pre>
             * 校验流程
             *    1. 先判断是否认证,如果没有认证,抛出认证异常
             *    2. 在调用securityManager(为AuthorizingSecurityManager的子类)的校验方法
             *    2.1 在该securityManager包含一个Authorizer授权器,该类型为ModularRealmAuthorizer
             *    2.2 最终是调用ModularRealmAuthorizer.hasRoles方法
             *    3. 断言ModularRealmAuthorizer设置的Realm是否为空(必须存在一个Realm才行)
             *    4. 遍历所有的授权Realm(实现了Authorizer的Realm,一般都是AuthorizingRealm),调用Realm的hasRole方法
             *    5. 获取该用户的授权信息,先根据用户查缓存,如果不存在,调用Realm的doGetAuthorizationInfo方法获取权限并缓存
             *    6. 最终从获取的权限信息中,判断是否存在指定的权限,如果不存在抛出UnauthorizedException异常
             * </pre>
             */
            getSubject().checkRole(roles[0]);
            return;
        }
        // 一些表达式的授权逻辑,和上面的逻辑一样
        // AND运算符,必须同时拥有多个权限
        if (Logical.AND.equals(rrAnnotation.logical())) {
            getSubject().checkRoles(Arrays.asList(roles));
            return;
        }
        // OR运算符,只需要拥有其中一个权限
        if (Logical.OR.equals(rrAnnotation.logical())) {
            boolean hasAtLeastOneRole = false;
            for (String role : roles) {
                if (getSubject().hasRole(role)) {
                    hasAtLeastOneRole = true;
                }
            }
            if (!hasAtLeastOneRole) {
                getSubject().checkRole(roles[0]);
            }
        }
    }
}

// 处理RequiresAuthentication注解的处理器
public class AuthenticatedAnnotationHandler extends AuthorizingAnnotationHandler {
    public AuthenticatedAnnotationHandler() {
        super(RequiresAuthentication.class);
    }

    // 断言
    public void assertAuthorized(Annotation a) throws UnauthenticatedException {
        // 如果Subject没有进行认证,抛出异常
        if (a instanceof RequiresAuthentication && !getSubject().isAuthenticated()) {
            throw new UnauthenticatedException("The current Subject is not authenticated.  Access denied.");
        }
    }
}

// 处理RequiresAuthentication注解
public class AuthenticatedAnnotationMethodInterceptor extends AuthorizingAnnotationMethodInterceptor {

    // RequiresAuthentication注解指定处理器
    public AuthenticatedAnnotationMethodInterceptor(AnnotationResolver resolver) {
        super(new AuthenticatedAnnotationHandler(), resolver);
    }


}

安缇吖
关注
  • 3
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SpringBoot + Shiro + JWT 实现认证授权
鹿谷門実的博客
08-05 1339
1、JWT JWT是JSON WEB TOKEN的缩写,它是基于 RFC 7519标准定义的一种可以安全传输的的JSON对象,由于使用了数字签名,所以是可信任和安全的。 1.JWT的组成 JWT token的格式:header.payload.signature header中用于存放签名的生成算法 {"alg": "HS512"} payload中用于存放用户名、token的生成时间和过期时间{"sub":"admin","created":1489079981393,"exp":148968478
Shiro 认证授权流程实现
weixin_43532718的博客
05-16 572
Shiro 框架认证流程应用实现 基本配置 添加shiro框架依赖 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.3.2</version> ...
不解释,全网最全Shiro认证授权原理分析
程序新视界
01-25 913
本篇为《Shiro从入门到精通》系列第二篇,在上篇《还在手写filter进行权限校验?尝试一下Shiro吧》中,我们学习了Shiro的基本功能、架构以及各个组件的概念。本篇文章继续深入,以官方示例为基础,讲解使用Shiro的流程以及认证授权原理分析。下面开始正文: 前言 Shiro作为常用的权限框架,可被用于解决认证授权、加密、会话管理等场景。Shiro对其API进行了友好的封装,如果单纯的使用Shiro框架非常简单。但如果使用了多年Shiro,还依旧停留在基本的使用上,那么这篇文章就值得你学习一下。
java shiro原理_Springboot shiro认证授权实现原理及实例
weixin_39702714的博客
02-27 96
关于认证授权,需要的数据表有:用户表,角色表,用户角色关联表,权限表,角色权限关联表,一次如下之前写过了shiro的登录认证,在自定义的realm中,我们实现AuthorizingRealm接口中的方法:package com.zs.springboot.realm;import com.zs.springboot.model.User;import com.zs.springboot.servi...
shiro认证授权
xiaopang2020的博客
08-16 511
shiro
Shiro整合Mybatis实现用户认证授权
静水流深,沧笙踏歌
04-23 4783
Apache Shiro是一个功能强大且易于使用的Java安全框架,可执行身份验证、授权、加密和会话管理。目前,使用 Apache Shiro 的人越来越多,因为它相当简单,对比 Spring Security,可能没有 Spring Security 做的功能强大,但是在实际工作时可能并不需要那么复杂的东西,所以使用小而简单的 Shiro 就足够了。本文使用Shiro整合Mybatis,利用Druid数据库连接池,实现用户认证授权。 一、Shiro介绍 可以根据官网或者github快速入门S
快速上手Shiro—Java认证授权框架
03-19 6303
文章以官方指南为基础,包括快速上手,Shiro的架构以及如何使用Springboot整合Shiro实现简单登录认证Shiro的架构 快速入门 环境搭建 QuickStrat.java Springboot整合Shiro 两种方式引入Shiro依赖 Shiro登录原理 Shiro核心配置类 自定义Realm类 ShiroConfig类
shiro原理
tiantian929的博客
02-19 3915
shiro原理
shiro原理解析
sebeefe的博客
04-22 1912
1、shiro原理图如下: 框架解释: subject:主体,可以是用户也可以是程序,主体要访问系统,系统需要对主体进行认证授权。 securityManager:安全管理器,主体进行认证授权都 是通过securityManager进行。它包含下面的认证器和授权器。 authenticator:认证器,主体进行认证最终通过authenticator进行的。 authorizer:授权器,主体进行授权最终通过authorizer进行的。 sessionManager:web应用中一般是用web容器对ses
Springboot shiro认证授权实现原理及实例
08-19
主要介绍了Springboot shiro认证授权实现原理及实例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
shiro授权实现原理
08-29
主要介绍了shiro授权实现原理,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
shiro认证授权demo
10-28
包含使用Shiro实现认证授权的Demo,对应博客:https://blog.csdn.net/fancheng614/article/details/83477345
基于springboot实现整合shiro实现登录认证以及授权过程解析
08-25
主要介绍了基于springboot实现整合shiro实现登录认证以及授权过程解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Python数据挖掘课程作业(第06周-第10周).zip
最新发布
06-14
适合大学生的Python学习笔记,复习巩固,作业!!!
python课后作业,论文题目和简易的内容查重.zip
06-14
适合大学生的Python学习笔记,复习巩固,作业!!!
【弹孔计数】基于matlab GUI机器视觉弹孔检测计数(开闭运算 canny算子)【含Matlab源码 4679期】.mp4
06-14
Matlab研究室上传的视频均有对应的完整代码,皆可运行,亲测可用,适合小白; 1、代码压缩包内容 主函数:main.m; 调用函数:其他m文件;无需运行 运行结果效果图; 2、代码运行版本 Matlab 2019b;若运行有误,根据提示修改;若不会,私信博主; 3、运行操作步骤 步骤一:将所有文件放到Matlab的当前文件夹中; 步骤二:双击打开main.m文件; 步骤三:点击运行,等程序运行完得到结果; 4、仿真咨询 如需其他服务,可私信博主或扫描视频QQ名片; 4.1 博客或资源的完整代码提供 4.2 期刊或参考文献复现 4.3 Matlab程序定制 4.4 科研合作
智慧工业园区解决方案.pptx
06-14
智慧工业园区解决方案.pptx
人社数据治理平台建设方案.pptx
06-14
人社数据治理平台建设方案.pptx
shiro怎么实现授权
05-05
Shiro实现授权主要包括以下几个步骤: 1. 定义角色和权限:在Shiro中,角色和权限是通过字符串来定义的。可以使用Shiro提供的Configuration API来定义角色和权限,也可以使用注解来定义。 2. 认证用户身份:在进行...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值