Shiro身份验证/授权源码学习小结

已于 2023-12-08 00:41:39 修改
阅读量2.6k 收藏
点赞数 2
分类专栏: 常用技术记录 文章标签: shiro
于 2020-12-17 11:38:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ShangHai0123/article/details/111030517
版权

shiro身份验证流程

token委托

  1.  Subject调用login(token) 方法,将用户产生的token委托给SecurityManager
  2.  SecurityManager将token委托给Authenticator
  3.  Authenticator将token委托给子类ModularRealmAuthenticator进行身份验证的处理

ModularRealmAuthenticator会根据注入Realm的个数决定验证流程

单Realm情况

  1.  ModularRealmAuthenticator调用doSingleRealmAuthentication(realm,token)方法
  2.  直接比对Realm(含有正确的身份/凭证)和token的身份/凭证
  3.  验证成功则返回身份认证信息AuthenticationInfo;验证失败则抛出相应的验证异常

多Realm情况

  1.  ModularRelamAuthenticator调用doMultiRealmAuthentication(realms,token)方法
  2.  获取默认验证策略AtLeastOneSuccessfulStrategy(只要有一个Realm验证成功即可,并返回所有验证成功的身份认证信息)【用户可自定义策略】
  3.  [逐一比对]Realm(含有正确的身份/凭证)和token的身份/凭证
  4.  token仅需要匹配一个Realm的身份/凭证即表示验证成功,而后返回所有验证成功的身份认证信息AuthenticationInfo;在比对时,每有一个Realm验证失败则抛出一个相应的异常

shiro身份授权流程  

 访问控制--角色控制

  1. 此方式进行权限控制,其粒度粗,先判断用户是否具备某些角色,而后需要手动对用户进行可操作的资源授权
  2. 判断角色的方法包括(以下均是触发身份授权流程的方法,调用者为Subject):
  • hasRole(String var1)、hasRoles(List<String> var1)、hasAllRoles(Collection<String> var1)
  • checkRole(String var1)、checkRoles(String... var1)、checkRoles(Collection<String> var1)

 访问控制--权限控制

  1.  此方式进行权限控制,其粒度细, 直接判断用户是否具备某些资源的可操作权限
  2.  判断权限的方法包括(以下均是触发身份授权流程的方法,调用者为Subject):
  • isPermitted(String var1)、isPermitted(String... var1)、isPermitted(Permission var1)、isPermitted(List<Permission> var1)、isPermittedAll(String... var1)、isPermittedAll(Collection<Permission> var1)
  • checkPermission(String var1)、checkPermissions(String... var1)、checkPermission(Permission var1)、checkPermissions(Collection<Permission> var1)

注意:

① has、is开头的方法判断用户是否具备角色、权限时,返回true表示具备、返回false表示不具备

② check开头的方法判断用户是否具备角色、权限时,无任何返回表示具备、抛出UnauthorizedException异常表示不具备

角色/权限字符串委托

  1. 身份认证成功的Subject调用上述任意一种判断方法,将需要验证的角色/权限字符串委托给SecurityManager
  2. SecurityManager将角色/权限字符串委托给Authorizer
  3. Authorizer将角色/权限字符串委托给子类ModularRealmAuthorizer进行身份授权的处理

 ModularRealmAuthorizer身份授权处理

  1. ModularRealmAuthorizer首先会获取Subject身份验证成功的Realm集合,并[逐一判断]该Realm是否实现Authorizer,如果实现则通过Realm调用上述相应的判断方法委托给AuthorizingRealm类处理
  2. AuthorizingRealm类会根据传入字符串的粒度(角色字符串/权限字符串)进行不同的处理
  • 粗粒度(角色字符串)处理

AuthorizingRealm执行Realm中的doGetAuthorizationInfo方法,此方法专用于查询用户的角色以及权限信息,即授权专用方法.

(若用户需要自定义Realm,可继承AuthorizingRealm并重写doGetAuthorizationInfo身份授权专用方法与doGetAuthenticationInfo身份验证方法即可)

doGetAuthorizationInfo方法执行完后,返回AuthorizationInfo对象,此对象包含此用户的角色与权限信息,然后使用Subject传递的角色字符串依次进行比较,匹配则返回相应类型的值.

  • 细粒度(权限字符串)处理(权限字符串需要转换成权限对象方可执行授权逻辑)

AuthorizingRealm先将"权限字符串"委托给PermissionResolver,

PermissionResolver委托给子类WildcardPermissionResolver将"权限字符串"转换成权限实例,

AuthorizingRealm执行Realm中的doGetAuthorizationInfo方法,此方法专用于查询用户的角色以及权限信息,即授权专用方法.

(若用户需要自定义Realm,可继承AuthorizingRealm并重写doGetAuthorizationInfo身份授权专用方法与doGetAuthenticationInfo身份验证方法即可)

doGetAuthorizationInfo方法执行完后,返回AuthorizationInfo对象,

此对象包含此用户的角色与权限信息.

Subject传递的角色字符串依次进行比较,匹配则返回相应类型的值.

泛冬以南
关注
专栏目录
SpringBoot2.x系列教程(六十九)Spring Boot整合Shiro,两种方式实战总结(含源码
程序新视界
01-27 889
Shiro是历史悠久的权限管理框,简单易用,易用集成,同时权限管理也是每个项目必不可少的功能。Spring Boot是Java领域炙手可热的脚手架框架。今天这篇文章就带大家将这两个框架进行整合。 通常Spring Boot中整合Shiro,有两种方案:第一,基于原生API进行整合;第二,基于Shiro官方Starter整合。 整体而言,官方Starter整合并没有方便很多,因此,本文主要以原则API进行整合, 下面就来看看具体的整合方式。 创建Spring Boot项目 创建Spring Boot项目通常有
狂神说——SpringBoot学习
weixin_44543307的博客
12-06 5154
Springboot 学习笔记Springboot简介什么是微服务?ThymeleafDuridSpringboot整合mybatisSpringSecurity安全Shiroswagger定时任务springboot 整合分布式 dubbo+ zookeeper+ springbootDubboRPC(两大核心:通讯,序列化)Zookeeper总结 学习源码 spring官网 springboot官网 spring-security版本下载 狂神官网学习 也可以搜索B站 (狂神说) Springboot简
shiro授权
weixin_44939526的博客
11-02 163
授权的自定义Realm(数据源) /** * 授权方法 * @param principalCollection * @return */ @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) { /*获取登陆进来的对象的所有信息, 这个对象是在认证的时候传递进来的*/
Shiro源码分析----授权流程
云原生之家
01-14 1216
在一个用户登录后,即身份认证通过,只能证明该登录身份是合法的,至于具体能访问系统中的什么资源,需要通过授权来控制。一般系统中都是通过用户关联角色、角色再关联权限来实现判断一个用户是否有某资源的使用权限,Shiro也提供了相应的实现权限控制。 Shiro中的权限控制也是通过Filter来实现的,在前面认证流程中讲到,Shiro的DefaultFilterChainManager类会创建
SHIRO授权过程源码
lds的博客
08-01 244
Shiro权限相关标签调用此类 省略2步,继续往下:     再省略2步,调用doGetAuthorizationInfo(principals),将信息存入cache,相当于一个权限域。   这个方法是程序员重写的 ...
Shiro授权-SSM
qq_59025975的博客
12-23 569
一、shiro授权 原因:登录进来有的菜单看不到 有的没有权限 1、 在ShiroUserMapper.xml中新增内容 <select id="getRolesByUserId" resultType="java.lang.String" parameterType="java.lang.Integer"> select r.roleid from t_shiro_user u,t_shiro_user_role ur,t_shiro_role r w.
Shiro授权源码分析
zhaoqx的博客
11-06 198
最终执行用户名的认证是在SimpleAccountRealm类中在doGetAuthenticationInfo方法中 最终密码的校验完成是在AuthenticatingRealm类中的assertCredentialsMatch方法 protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException { UsernamePassword
Penetration_Testing_POC-About 渗透测试有关的POC、EXP、脚本、提权、小工具等
weixin_46280935的博客
09-10 5551
Penetration_Testing_POC 搜集有关渗透测试中用到的POC、脚本、工具、文章等姿势分享,作为笔记吧,欢迎补充。 Penetration_Testing_POC 请善用搜索[Ctrl+F]查找 IOT Device&Mobile Phone Web APP 提权辅助相关 PC tools-小工具集合 文章/书籍/教程相关 说明 请善用搜索[Ctrl+F]查找 IOT Device&Mobile Phone 天翼创维awifi路由器存在多处未授权访问漏
SpringBoot 教程详解 项目演示 资源整合 个人总结 狂神笔记(下)
super_song的博客
04-19 981
文章目录十一、Shiro1.Shiro 简介什么是 shiro有哪些功能Shiro架构(外部)Shiro 架构(内部)2.快速使用Subject 分析3.SpringBoot 集成 ShiroSpringBoot整合Shiro环境搭建Shiro实现登录拦截Shiro实现用户认证Shiro整合MybatisShiro实现用户授权Shiro整合Thymeleaf完整代码Shiro 个人理解十二、SpringBoot 开源项目十三、Swagger1.Swagger简介2.SpringBoot集成Swagger创建
Java代码审计漏洞挖掘(入门)
Ms08067安全实验室
11-10 4670
出品|MS08067实验室(www.ms08067.com)双十一最有意义的事情莫过于是学习一门高级渗透技术了!代码审计属于高级渗透测试服务的一环,顾名思义就是检查源代码中的安全缺陷,检查...
Shiro安全登录认证、权限授权封装模块代码
01-23
只提供实现相关代码,不提供demo。关于实现源码分析,可以查看博客:http://blog.csdn.net/FJeKin
shiro认证授权
08-03
shiro入门认证和授权的相关代码,博客地址:http://blog.csdn.net/u014532775/article/details/76620643
shiro权限管理框架代码
03-29
Shiro是apache旗下一个开源框架,它将软件系统的安全认证相关的功能抽取出来,实现用户身份认证,权限授权、加密、会话管理等功能,组成了一个通用的安全认证框架
shiro 权限认证以及授权demo
09-10
shiro 权限认证以及授权demo
身份证号码验证源代码
12-24
用汇编语言实现的身份证号码验证,可以判断用户输入的身份证号码是否合法,不合法时提示不合法信息,如果合法,则显示该身份证号码拥有者的年龄,籍贯,以及出生日期。有详细的附加说明。是txt文档,可以直接粘贴使用。
Shiro----授权
qq_48788523的博客
01-12 2230
Shiro授权 , 各司其职 , 慢慢道来
shiro登录,授权源码简单分析
weixin_43915064的博客
01-06 756
文章目录shiro简介概念架构特色架构shiro使用架构 shiro简介 概念 Apache Shiro是一个强大且安全易用的Java安全框架,可以完成:认证、授权、加密、会话管理、缓存等。与SpringSecurity相比较简单的多,学习成本比较低。 架构 特色 **Authentication:**用户登录认证。 **Authorization:**用户权限认证,如用户拥有的角色,权限。 Session Management:会话管理,保存用户登录的会话信息。 **Cryptography:**加密
shiro授权
yzq102873的博客
08-29 989
shiro授权
Shiro教程详解:身份验证授权与Web集成
Shiro教程PDF版是一份详尽的指南,旨在帮助读者深入了解Apache Shiro,一个强大的安全框架,用于实现Web应用中的身份验证授权和会话管理等功能。该教程分为多个章节,内容涵盖以下几个关键部分: 1. **第一章:...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值