Shiro:权限控制底层解析

最新推荐文章于 2021-11-17 20:55:02 发布
最新推荐文章于 2021-11-17 20:55:02 发布
阅读量502 收藏 1
点赞数
分类专栏: Shrio
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/apache_z/article/details/103125499
版权
前面:

正如之前写的认证的过程,说授权跟认证很相似,没有错,只是授权需要手动开启,Shiro才回去进行权限的查询和对比.

流程图:

shiro的认证流程

  • 如上图,需要手动开始认证,通过.hasRole(),或者isPermitted(),分别判断用户是否具有这个角色,这个权限.注意:权限里面的字符不是"角色"+"权限",而仅仅是权限表里面存储的字段。可以通过三种方法进行开启:(1)编程式,直接在在代码中调用Subject的hasRole(),和isPermitted()方法. (2)注解式,在方法或者类的头上添加注解。(3)JSP的标签
  • (1)正如上面图片,调用hasrole(),交给securitymanager处理.
//实现subject接口
public class DelegatingSubject implements Subject {
	//交给securitymanager进行处理
   protected transient SecurityManager securityManager;
	//代码或者注释调用这个方法,getPrincipals()是获取身份集合
   public boolean hasRole(String roleIdentifier) {
       return hasPrincipals() && securityManager.hasRole(getPrincipals(), roleIdentifier);
   }
}
  • (2) manager调用自己的hasrole(),这是注意:securitymanager也是一个接口,所以这时候还是有一个类实现了这个接口并去调用hasrole()方法.

//autenticatingSecurityManager的父类的父类的父类CachingSecurityManager实现了securityManager接口
public abstract class AuthorizingSecurityManager extends AuthenticatingSecurityManager {
	//通过这个授权器来调用hasRole()方法
   private Authorizer authorizer;
   //这个就是代码一中所调用的hasRole()方法
   public boolean hasRole(PrincipalCollection principals, String roleIdentifier) {
       return this.authorizer.hasRole(principals, roleIdentifier);
   }
}
  • 通过默认的authorizer的实例对象ModularRealmAuthorizer来调用hasRole().
public class ModularRealmAuthorizer implements Authorizer, PermissionResolverAware, RolePermissionResolverAware {
   //在此处开始进行处理
   public boolean hasRole(PrincipalCollection principals, String roleIdentifier) {
   	//校验是否存在Realm对象,没有的话就抛出异常
       assertRealmsConfigured();
       
       for (Realm realm : getRealms()) {
           if (!(realm instanceof Authorizer)) continue;
           if (((Authorizer) realm).hasRole(principals, roleIdentifier)) {
               return true;
           }
       }
       return false;
   }
}
  • 如果在securityManager中配置的realm实现了authorizer接口,会使用这个Realm来调用hasRole().
@Bean("securityManager")
    public DefaultWebSecurityManager defaultWebSecurityManager(SysUserRealm userRealm) {
        DefaultWebSecurityManager defaultWebSecurityManager = new DefaultWebSecurityManager();
        // 使用自定义Realm,同时Shiro里面只承认这一个Realm
        defaultWebSecurityManager.setRealm(userRealm);
        // 关闭Shiro自带的session
       ....
        return defaultWebSecurityManager;
    }
  • 下面是自己定义的realm
//虽然它没有实现authorizer接口,但是他的父类实现了这个接口
//所以虽然调用的是父类里面的方法,但是实例对象是这个SysUserRealm 的对象
public class SysUserRealm extends AuthorizingRealm {

}
  • 这个就是SysUserRealm 所调用的hasRole()方法.
//可以看到实现了Authorizer接口
public abstract class AuthorizingRealm extends AuthenticatingRealm
        implements Authorizer, Initializable, PermissionResolverAware, RolePermissionResolverAware {
	
	//通过参数可以看到这个就是调用的方法
	public boolean hasRole(PrincipalCollection principal, String roleIdentifier) {
		//首先获取到AuthorizationInfo 
        AuthorizationInfo info = getAuthorizationInfo(principal);
        //看这个参数可以知道它调用的是下面的hasRole()方法
        return hasRole(roleIdentifier, info);
    }
	//这个方法是在获取到AuthorizationInfo 之后,所有的准备工作完成之后,开始进行的角色匹配
	//也就是真正的判断时候具有这个角色的核心方法
    protected boolean hasRole(String roleIdentifier, AuthorizationInfo info) {
        return info != null && info.getRoles() != null && info.getRoles().contains(roleIdentifier);
    }

}
  • 下面是获取AuthorizationInfo 的方法,同时也是AuthorizingRealm里面的方法.
protected AuthorizationInfo getAuthorizationInfo(PrincipalCollection principals) {
   	
       ....
       AuthorizationInfo info = null;

       ....
   	//获取AuthorizationCatch,这个catch里面存储的是info集合,可以通过key来获取对于的info
       Cache<Object, AuthorizationInfo> cache = getAvailableAuthorizationCache();
       if (cache != null) {
         	 ....
           //这个是获取catch中存储信息的key,具体规则看你是自定义了catch还是默认catch
           Object key = getAuthorizationCacheKey(principals);
           //通过key获取到AuthorizationInfo信息,如果还从没有存储过,则为空
           info = cache.get(key);
              ....
       }
   	//如果没找到对应catch中的信息,就重新查数据库
       if (info == null) {
           // 可以看到这个方法是我们自定义的Realm里面的方法,并且现在的实例对象也是我们自定义的Realm
           info = doGetAuthorizationInfo(principals);
           // 将info存储在catch中,下次直接查询使用
           if (info != null && cache != null) {
              ....
               Object key = getAuthorizationCacheKey(principals);
               cache.put(key, info);
           }
       }

       return info;
   }
  • 下面是使用自定义的Realm里面的doGetAuthorizationInfo()方法获取info信息
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {

       SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
       String account = JwtUtil.getClaim(principalCollection.toString(), Constant.ACCOUNT);
       SysUserVo sysUserVo = new SysUserVo();
       sysUserVo.setPhone(account);
       // 查询用户角色
       List<SysRole> roleDtos = sysUserMapper.findRoleByUser(sysUserVo);
       System.out.println(roleDtos.toString());
       for (SysRole roleDto : roleDtos) {
           if (roleDto != null) {
               // 添加角色
               simpleAuthorizationInfo.addRole(roleDto.getRoleName());
               // 根据用户角色查询权限
               List<SysMenuVo> sysMenuVos = SysRoleMapper.selMenuByRole(roleDto.getId());
               System.out.println(sysMenuVos.toString());
               for (SysMenuVo sysMenuVo : sysMenuVos) {
                   if (sysMenuVo != null) {
                       // 添加权限
                       System.out.println(sysMenuVo.getPermission());
                       simpleAuthorizationInfo.addStringPermission(sysMenuVo.getPermission());
                   }
               }
           }
       }
       return simpleAuthorizationInfo;
   }
  • 获取到info就开始进行角色匹配
//这个方法是在获取到AuthorizationInfo 之后,所有的准备工作完成之后,开始进行的角色匹配
   //也就是真正的判断时候具有这个角色的核心方法
   protected boolean hasRole(String roleIdentifier, AuthorizationInfo info) {
   	//如果匹配成功就返回True
       return info != null && info.getRoles() != null && info.getRoles().contains(roleIdentifier);
   }

到此核心代码已经结束,存在角色就代表授权成功,返回true,一次返回上一次,访问继续进行.

贝多芬也爱敲代码
关注
专栏目录
自定义Realm 认证 密码加密 自定义realm的授权功能
qq_55682798的博客
08-08 371
/什么时候执行该方法: 当你进行权限校验时会执行该方法//根据账号查询该用户具有哪些权限if(list!}}////1.根据token获取账号//2.根据账号查询用户信息if(user!=null){//从数据库中获取的密码}}}try {System.out.println("账号密码错误");}}}...
Shiro权限控制
n009ww的博客
01-19 163
方法上添加注解 /** * RequiresPermissions:权限的拦截,对应用户的权限列表。logical是各 * 个权限的关系,or是满足一个就行,and是都得满足 * RequiresRoles:角色的拦截,对应用户的角色 **/ @GetMapping("/role") @RequiresPermissions(value={"user:update","user:*"},logical= Logical.OR) @RequiresRoles("user")
Shiro (2. Shiro 认证和授权的底层源码分析) 学习笔记
圆的博客
09-24 404
文章目录1. 源码分析2. 使用 1. 源码分析 在自定义 Realm 的时候,继承了一个,``AuthorizingRealm·· 点进去,发现还继承了一个 再进 这个里有一个 获得凭证适配器的方法,这个就是配置加密的一个方法 点进该方法发返回值 发现这是一个接口,有需要实现 默认的是SimpleCredentialsMatcher Debug 测试一下 在 UserRealm 中打个断点 可以看到这里的加密方式为简单的 2. 使用 ...
shiro
shangtongc的博客
10-03 139
2020-10-3 文章目录前言一、shiro是什么二.shiro使用流程三、使用步骤1.配置文件2.读入数据总结 前言 shiro数据安全控制 提示:以下是本篇文章正文内容,下面案例可供参考 一、shiro是什么 shiro安全框架: shiro是做网页数据安全的一种框架,比如,在访问某个网站时没有登录的情况下是不能访问别的网页 似的产品:spring security, 学习成本过高,过于复杂,控制粒度细 shiro框架相对简单,足够应用在企业级项目中 springmvc中的拦截器,也可以做到
Apache Shiro权限框架
热门推荐
weixin_42183336的博客
08-11 2万+
简介 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码学和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。 主要功能 三个核心组件:Subject, SecurityManager 和 Realms. Subject:即“当前操作用户”。但是,在Shiro中,Subject这...
Shiro-底层如何校验账户与凭证
qq_43713040的博客
03-20 96
自定义校验: package com.hzh.test; import org.apache.shiro.authc.AuthenticationException; import org.apache.shiro.authc.AuthenticationInfo; import org.apache.shiro.authc.AuthenticationToken; import org.apache.shiro.authc.SimpleAuthenticationInfo; import org.ap
权限控制框架-shiro
qq_37126868的博客
12-21 756
一。 shiro简介 Apache Shiro(发音为“shee-roh”,日语“堡垒(Castle)”的意思)是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理功能,可为任何应用提供安全保障 - 从命令行应用、移动应用到大型网络及企业应用。 Shiro为解决下列问题(我喜欢称它们为应用安全的四要素)提供了保护应用的API: 认证 - 用户身份识别,常被称
shiro-jwt-oauth权限认证
11-11
Shiro负责处理JWT的验证和权限控制,提供了细粒度的权限分配和会话管理。 在这个项目中,可能包含以下关键组件和步骤: - 用户注册与登录接口,用于获取OAuth2.0的授权码或令牌。 - 授权服务器,处理OAuth2.0的授权...
Shiro基础应用——角色和权限校验
qq_45337431的博客
10-10 2824
1.shiro的概述 2.相关依赖和配置文件 3.shiro工厂启动的初始化原理 4.整个的使用过程以及注意事项 5.自定义的标签的使用
权限系统框架shiro教程
07-10
Shiro允许对并发登录人数进行控制,以及对动态URL进行权限控制,进一步增强了应用的安全性。 #### 无状态Web应用集成和在线会话管理 Shiro还支持无状态Web应用集成,使得应用能够更容易地扩展和维护。在线会话管理...
shiro授权的实现原理
08-29
主要介绍了shiro授权的实现原理,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Shiro权限框架深入浅出.pdf
05-09
Apache ShiroJava 的一个安全框架。我们经常看到它被拿来和 Spring 的 Security 来对比。大部分人认为 Shiro 比 Security 要简单
Shiro安全框架最全面解析
S_mengyong的博客
06-28 1296
Shiro 一、权限框架介绍 1. 什么是权限管理 权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。   权限管理包括用户身份认证和授权两部分,简称认证授权。对于需要访问控制的资源用户首先经过身份认证,认证通过后用户具有该资源的访问权限方可访问。 1.1 用户身份认证 身份认证,就是判断一个用户是否为合法用户的处理过程。最常用的简单身份认证方式是系统通过核对用户输入的用户名和口令,看其是否与系统中存储的该用户的用户名和口令一
全程配图超清晰的Springboot权限控制后台管理项目实战第二期(Springboot+shiro+mybatis+redis)
qq_47376720的博客
09-04 392
全程配图超清晰的Springboot权限控制后台管理项目实战第二期(Springboot+shiro+mybatis+redis) 众所周知,作为一个后端新手学习者,通过项目来学习,增长项目经验,是一个非常好的学习途径,所以我就找到了一个个人博客的项目,经过自己的调试和学习,现在已经比较完全的掌握了这个项目的创作过程,和一些细节方面的东西,在这里我把项目源码和项目实例都给出来,并且在后面进行一些细节和整体思路上的详解。 Springboot加Springsceurity实现权限管理系统全程配图超清晰的Spr
Shiro权限控制+整合shiro
Armymans的博客
03-02 1万+
Shiro权限控制 0.1传统的权限认证方式 特点:为每个人单独的分配权限模块,能够实现权限控制,但是当公司人员庞大之后,非常难管理 上述权限控制如何设计表? 关系:员工和菜单权限的关系:多对多 员工id 菜单名称 1 取派管理 2 快递员管理 2 运单管理 好处:可以方便的 实现权限控制 缺陷:比如当修改权限的时候,公司统一的给组长级别的人 加一个“计算工资”权限,...
2021-11-10 shiro-core 从CachingRealm看realm底层实现(二)
Niall_Tonshall的博客
11-17 488
2021SC@SDUSC CachingRealm的继承关系图 CachingRealm的变量 Logger:使用指定初始化日志对象,在日志输出的时候,可以打印出日志信息所在。 INSTANCE_COUNT:原子数,用来标识当前实例,仅在默认构造函数中为当前实例命名是参与命名标识。 CachingRealm的实例变量 name:该实例Realm的标识 cachingEnabled:此Realm是否使用缓存 caheManager: 缓存管理器,使用缓存可以避免需要授权信息时频繁的调用数据库查询的问
SpringBoot+druid+mybatis+shiro小demo
weixin_41826973的博客
02-14 224
shiro简介 shiro介绍 实现原理理解: 也就是说对于我们而言,最简单的一个 Shiro 应用: 应用代码通过 Subject 来进行认证和授权,而 Subject 又委托给 SecurityManager; 我们需要给 Shiro 的 SecurityManager 注入 Realm,从而让 SecurityManager 能得到合法 的用户及其权限进行判断。 环境搭建 1、pom文件 &...
Shiro 授权实现
嵩园
09-28 521
一. 授权 授权,也叫访问控制,即在应用中控制谁能访问哪些资源(如访问页面/编辑数据/页面操作等)。在授权中需了解的几个关键对象:主体(Subject)、资源(Resource)、权限(Permission)、角色(Role)。 主体:即访问应用的用户,在 Shiro 中使用 Subject 代表该用户。用户只有授权后才允许访问相应的资源。 资源:在应用中用户可以访问的任何东西,比如访问 J
shiro深入浅出
邵兵帅的博客
03-06 327
一,介绍 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。 ----- 百度百科 shiro是一个安全框架。可以进行认证,授权,密码加密,回话管理等 二,主要功能 主要功能可以用下面的一张图来概括 Subject...
Apache Shiro入门教程:权限与角色控制解析
"这篇自学笔记主要介绍了Apache Shiro框架,包括其基本概念、身份认证、权限授权、Web集成以及URL匹配规则,旨在帮助读者掌握如何使用Shiro进行权限和角色控制。" Apache Shiro是一个全面的Java安全框架,提供身份...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

贝多芬也爱敲代码

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值