Shiro源码分析(十二)——鉴权流程

最新推荐文章于 2024-01-20 19:24:38 发布
最新推荐文章于 2024-01-20 19:24:38 发布
阅读量212 收藏 1
点赞数
分类专栏: Shiro 文章标签: java shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/MIKE2333/article/details/122179258
版权

2021SC@SDUSC

一.Demo代码

这是在shiro源码的quickstart目录下有QuickStart.java文件,截取了其中鉴权部分的代码。

		// 测试一个角色:
		// 判断当前用户的角色是否为schwartz
        if (currentUser.hasRole("schwartz")) { // 1
            log.info("May the Schwartz be with you!");
        } else {
            log.info("Hello, mere mortal.");
        }

        // 测试类型化权限(而不是实例级)
        // 判断当前用户是否被允许使用lightsaber执行wield动作
        if (currentUser.isPermitted("lightsaber:wield")) { // 2
            log.info("You may use a lightsaber ring.  Use it wisely.");
        } else {
            log.info("Sorry, lightsaber rings are for schwartz masters only.");
        }

        // 实例级权限:
        // 判断当前用户是否被允许驾驶牌照为eagle5的winnebago
        if (currentUser.isPermitted("winnebago:drive:eagle5")) {
            log.info("You are permitted to 'drive' the winnebago with license plate (id) 'eagle5'.  " +
                    "Here are the keys - have fun!");
        } else {
            log.info("Sorry, you aren't allowed to drive the 'eagle5' winnebago!");
        }

二.源码分析

本文针对鉴权中的isPermitted()方法进行分析

2

public class DelegatingSubject implements Subject {
	// 如果允许此Subject执行操作或访问由指定权限字符串汇总的资源,则返回true。
	// 这是对应类型安全的Permission变量的重载方法。
    public boolean isPermitted(String permission) {
    	// hasPrincipals()方法已经在上一篇文章中分析过
        return hasPrincipals() && securityManager.isPermitted(getPrincipals(), permission);
    }
}

public class ModularRealmAuthorizer implements Authorizer, PermissionResolverAware, RolePermissionResolverAware {
    public boolean isPermitted(PrincipalCollection principals, String permission) {
    	// 确保Realm是配置好的
        assertRealmsConfigured();
        for (Realm realm : getRealms()) {
            if (!(realm instanceof Authorizer)) continue;
            if (((Authorizer) realm).isPermitted(principals, permission)) {
                return true;
            }
        }
        return false;
    }
}

public abstract class AuthorizingSecurityManager extends AuthenticatingSecurityManager {
    public boolean isPermitted(PrincipalCollection principals, String permissionString) {
        return this.authorizer.isPermitted(principals, permissionString);
    }
}

public abstract class AuthorizingRealm extends AuthenticatingRealm
        implements Authorizer, Initializable, PermissionResolverAware, RolePermissionResolverAware {
    public boolean isPermitted(PrincipalCollection principals, String permission) {
    	// 获取权限解析器,利用权限解析器的resolvePermission()方法解析字符串形式的权限
    	// 2.1 -> getPermissionResolver()
    	// 2.2 -> resolvePermission()
        Permission p = getPermissionResolver().resolvePermission(permission);
        return isPermitted(principals, p); // 2.3
    }
}

2.1

PermissionResolver解析字符串值并将其转换为Permission实例。
默认的WildcardPermissionResolver应该适用于大多数目的,它构造了WildcardPermission对象。
但是,如果应用程序希望使用不同的Permission实现,可以配置任何解析器。
PermissionResolver被许多Shiro组件使用,比如注释、属性文件配置、URL配置等。
当指定了权限的String表示形式,并且在执行安全检查之前需要将String转换为permission实例时,此方法非常有用。
Shiro默认在几乎所有组件中都支持通配符权限,我们以WildcardPermissionResolver的形式来实现。
WildcardPermissions默认支持的一个优点是,它使得在数据库中存储复杂的权限变得非常容易——也使得在JSP文件、注释等中表示权限变得非常容易,在这些文件中,简单的字符串表示非常有用。
虽然这恰好是Shiro的默认值,但你当然可以通过向Shiro组件提供该接口的任何实例来提供自定义的String-to-Permission转换。

public abstract class AuthorizingRealm extends AuthenticatingRealm
        implements Authorizer, Initializable, PermissionResolverAware, RolePermissionResolverAware {
    public PermissionResolver getPermissionResolver() {
        return permissionResolver;
    }
}

2.2

WildcardPermission是一个非常灵活的权限构造,支持多级权限匹配。但一般会遵循下面解释的一些标准约定。
在最简单的形式中,WildcardPermission可以用作简单的权限字符串。可以授予用户一个“editNewsletter”权限,然后通过调用检查用户是否拥有editNewsletter权限。
subject.isPermitted("editNewsletter")
这整体相当于:
subject.isPermitted( new WildcardPermission("editNewsletter") )
简单的权限字符串可能适用于简单的应用程序,但它要求你拥有“viewNewsletter”,“deleteNewsletter”,“createNewsletter”等权限。您还可以使用通配符为用户授予“*”权限(赋予该类名称),这意味着它们拥有所有权限。但是使用这种方法,就不能说一个用户拥有“所有通讯权限”。出于这个原因,WildcardPermission支持多级权限。

public interface PermissionResolver {
	// 根据给定的字符串表示形式解析Permission。
    Permission resolvePermission(String permissionString);
}

// PermissionResolver实现,它根据输入字符串返回一个新的通配符权限。
public class WildcardPermissionResolver implements PermissionResolver {
	// 返回基于指定的permissionString构造的新的WildcardPermission实例。
    public Permission resolvePermission(String permissionString) {
        return new WildcardPermission(permissionString, caseSensitive);
    }
}

2.3

本方法和上一篇文章中掉用的方法是一致的。

public abstract class AuthorizingRealm extends AuthenticatingRealm
        implements Authorizer, Initializable, PermissionResolverAware, RolePermissionResolverAware {
    public boolean isPermitted(PrincipalCollection principals, Permission permission) {
        AuthorizationInfo info = getAuthorizationInfo(principals);
        return isPermitted(permission, info);
    }
}

(完)

MIKE2333
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro分析
06-01
shiro入门及深入,对于想学习shiro的同学,是不错的学习资料。
easy-shiro的登录认证、例子,
04-09
Easy-Shiro是一个基于Apache Shiro框架的轻量级限管理组件,主要负责处理登录认证和。在本文中,我们将深入探讨Easy-Shiro如何实现这些核心功能,并结合提供的"easy-shiro-intercept-method-sample"示例来...
Shiro认证和流程
web13985085406的博客
08-24 1336
Realm: 域,shiro从Realm获取安全数据(如用户、角色、限),就是说SecurityManager要验证用户身份,那么它需要从Realm获取相应的用户进行比较以确定用户身份是否合法;8.认证器Authenticator会拿到传入token中的password和返回认证信息对象SimpleAuthenticationInfo中的password进行比对,如果不一致则抛出异常.4.然后判断用户的角色/限集合中是否包含当前判断的限,如果包含返回true,否则返回false.
11、Shiro入门学习
执手天涯@的博客
03-14 287
认证授加密会话管理与web集成缓存User类UserMapper类static {} /*** 根据用户名返回user对象* @param username 用户名} }UserRealm类// 授 @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
Shiro框架:Shiro用户访问控制流程-内置过滤器方式码解析
博客园
01-18 1402
Shiro作为一款比较流行的登录认证、访问控制安全框架,被广泛应用在程序员社区;Shiro登录验证、访问控制、Session管理等流程内部都是委托给SecurityManager安全管理器来完成的,SecurityManager安全管理器前面文章已经进行了详细解析;在此基础上,上篇文章已对Shiro用户登录认证流程进行了码跟踪,本篇文章继续对下一个核心流程---用户访问控制流程进行码解析;
shiro web 身份、限验证流程
TheThirdMoon的博客
03-27 254
1. 限验证更灵活的方式是使用aop和注解方式 2. 除了限验证还有一个角色验证,流程限验证类似,使用了UserFilter, RolesAuthorizationFilter
简单又灵活的安全框架--Shiro构架和身份认证流程
Karka_的博客
12-27 992
Apache Shiro是一款强大易用的安全框架,它可以在任何应用环境中使用,能够跟第三方框架良好的耦合,它的设计目标就是简化应用程序的安全工作管理。那Shiro究竟是如何工作的?我们先来看看架构总览:值得一提的是Shiro不提供用户限的维护,而是从一个或多个配置好的Realms(相当于DAO)中寻找相关数据,来完成用户的授管理和身份验证(登录)。
shiro分析(四)具体的Realm
08-08
在“shiro分析(四)具体的Realm”这一主题中,我们将深入探讨Shiro的核心组件——Realm,它是Shiro与应用程序安全数据交互的桥梁。 Realm在Shiro中的地位至关重要,它负责验证用户身份并执行授操作。 ...
shiro分析
06-01
shiro入门及深入,对于想学习shiro的同学,是不错的学习资料。
shiro码包
01-14
- **分析**:通过阅读Shiro码,可以理解其内部的工作机制,包括如何进行身份验证、授以及会话管理,有助于定制化开发和性能优化。 - **设计模式**:Shiro码中大量运用了设计模式,如工厂模式、代理...
shiro认证授的过程
05-01
NULL 博文链接:https://yuhuiblog695685688425687986842568269.iteye.com/blog/2405483
Shiro整合JWT实现认证和定(执行流程清晰详细)
qq_25046827的博客
04-23 8480
文章目录一、前情提要二、整合Shiro与JWT1、编写JWT工具类2、编写JWTToken3、编写JWTFilter4、编写JWTRealm5、编写Shiro配置类三、编写异常处理类四、编写Controller 一、前情提要 JWT:服务端根据规范生成一个令牌(token),并且发放给客户端(保存在客户端)。此时客户端请求服务端的时候就可以携带者令牌,以令牌来证明自己的身份信息。 Shiro:Java的一个安全(限)框架,用户登录时把身份信息(用户名/手机号/邮箱地址等)和凭证信息(密码/证书等)封装成
Shiro的认证和授过程
weixin_44736853的博客
07-30 2265
认证:是一个身份验证的过程,要证明他们的身份,需要提供principals(身份)和credentials(凭证)。身份有多种,包括邮箱,账号等能表示subject身份的信息,凭证有密码,指纹,数字证书等。一般就是登录,获取账号和密码。 认证过程主要分为三步: step1:收集subject的principals(身份)和credentials(凭证) 1.首先拿到当前currentUser, Subject currentUser = SecurityUtils.getSubject(); 1.1利用c
Shiro框架:Shiro用户访问控制流程-Aop注解方式码解析
最新发布
博客园
01-20 955
Shiro作为一款比较流行的登录认证、访问控制安全框架,被广泛应用在程序员社区;Shiro登录验证、访问控制、Session管理等流程内部都是委托给SecurityManager安全管理器来完成的,SecurityManager安全管理器前面文章已经进行了详细解析;在此基础上,前面文章已对Shiro用户登录认证流程进行了码跟踪,对Shiro用户访问控制流程-内置过滤器方式进行了详细解析;本篇文章继续对用户访问控制流程-Aop注解方式进行码解析,了解不同的使用方式以便更好的应用到实际项目中。
springboot整合shiro入门,实现认证和授功能(非常详细)
沐雨橙风ιε的博客
07-02 5669
自定义过滤器AuthorizationFilter实现功能。/*** 过滤器*/@WebFilter@Override= null &&!// 构建返回对象JsonResult<Void> jsonResult= JsonResult.error(ResponseCode.UNAUTHORIZED, "正在访问未授的资");return;
3.Apache Shiro认证授流程
相互学习 共同进步
06-17 818
Apache Shiro认证授流程 继承AuthorizingRealm类然后重写doGetAuthorizationInfo()和doGetAuthenticationInfo()方法 (1)身份认证流程:doGetAuthenticationInfo() 在用户登录的时候调用的也就是执行SecurityUtils.getSubject().login()的时候调用(登录验证) 如果用户未登录,将跳转到loginUrl进行登录,登录表单中,包含了两个主要参数:用户名username、密码passwo
限认证框架---Shiro
qq_60067835的博客
12-07 1053
带你从0到1开始学习安全认证框架,采用图文结合和案例分析的模式,实操体验认证全流程
因为眼花而引发的悲剧 -- Spring 整合Shiro框架中注入RolePermissionResolver到AuthorizingRealm...
Jack_Yin的专栏
04-25 429
因为眼花而引发的悲剧 -- Shiro框架中注入RolePermissionResolver到AuthorizingRealm   使用shiro安全框架,自定义了一个Realm: public class UserRealm extends AuthorizingRealm   AuthorizingRealm详细类型是: public abstract class Author...
springboot+shiro+jwt 分析
luxinghong199106的博客
04-23 333
项目地址:https://github.com/headMe/shiro-jwt.git shiro本质上是基于一系列filter的,根据不同的路径进入不同的filter,进行不同的逻辑处理,并决定是否要继续执行下一个filter。 因此我们就可以控制整个应用程序的流转。(默认的在 DefaultFilter 中共12个) 下面简单理一下shiro的执行逻辑: 1. 因为shiro是基于f...
Shiro码入门与实战剖析
Shiro分析是一系列针对Apache Shiro安全框架的深入研究,适合希望学习和理解Shiro内部工作机制的开发者。本文档以入门级教程入手,结合实际编程示例,逐步剖析框架的工作流程和核心组件。 首先,Shiro框架的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值