shiro 授权源码解析

最新推荐文章于 2021-02-04 19:40:39 发布
最新推荐文章于 2021-02-04 19:40:39 发布
阅读量128 收藏
点赞数
原文链接:https://my.oschina.net/u/2335171/blog/1514533
版权

 

541e4da3-d1a5-3d13-83a6-b65c3596ee4e.png

流程如下:

1、首先调用Subject.isPermitted*/hasRole*接口,其会委托给SecurityManager,而SecurityManager接着会委托给Authorizer;

2、Authorizer是真正的授权者,如果我们调用如isPermitted(“user:view”),其首先会通过PermissionResolver把字符串转换成相应的Permission实例;

3、在进行授权之前,其会调用相应的Realm获取Subject相应的角色/权限用于匹配传入的角色/权限;

4、Authorizer会判断Realm的角色/权限是否和传入的匹配,如果有多个Realm,会委托给ModularRealmAuthorizer进行循环判断,如果匹配如isPermitted*/hasRole*会返回true,否则返回false表示授权失败。

subject().isPermitted("user:create")调用:

1、首先调用Subject.isPermitted*/hasRole*接口,其会委托给SecurityManager,而SecurityManager接着会委托给Authorizer;

DelegatingSubject实现Subject

  public boolean isPermitted(String permission) {
        return hasPrincipals() && securityManager.isPermitted(getPrincipals(), permission);
    }

AuthorizingSecurityManager 最终实现 SecurityManager

   public boolean isPermitted(PrincipalCollection principals, String permissionString) {
        return this.authorizer.isPermitted(principals, permissionString);
    }

ModularRealmAuthorizer implements Authorizer

2、Authorizer是真正的授权者,如果我们调用如isPermitted(“user:view”),其首先会通过PermissionResolver把字符串转换成相应的Permission实例;

   /**
     * Returns <code>true</code> if any of the configured realms'
     * {@link #isPermitted(org.apache.shiro.subject.PrincipalCollection, String)} returns <code>true</code>,
     * <code>false</code> otherwise.
     */
    public boolean isPermitted(PrincipalCollection principals, String permission) {
        assertRealmsConfigured();
        for (Realm realm : getRealms()) {
            if (!(realm instanceof Authorizer)) continue;
            if (((Authorizer) realm).isPermitted(principals, permission)) {
                return true;
            }
        }
        return false;
    }

AuthorizingRealm 其首先会通过PermissionResolver把字符串转换成相应的Permission实例,把确认user:create转化成[user]:[create],然后AuthorizationInfo([[user]:[update], [user]:[delete], [user]:[create]])的用户已有权限进行匹配

如果Realm进行授权的话,应该继承AuthorizingRealm,其流程是:

1.1、如果调用hasRole*,则直接获取AuthorizationInfo.getRoles()与传入的角色比较即可;

1.2、首先如果调用如isPermitted(“user:view”),首先通过PermissionResolver将权限字符串转换成相应的Permission实例,默认使用WildcardPermissionResolver,即转换为通配符的WildcardPermission;

2、通过AuthorizationInfo.getObjectPermissions()得到Permission实例集合;通过AuthorizationInfo. getStringPermissions()得到字符串集合并通过PermissionResolver解析为Permission实例;然后获取用户的角色,并通过RolePermissionResolver解析角色对应的权限集合(默认没有实现,可以自己提供);

3、接着调用Permission. implies(Permission p)逐个与传入的权限比较,如果有匹配的则返回true,否则false。 

    public boolean isPermitted(PrincipalCollection principals, String permission) {
        Permission p = getPermissionResolver().resolvePermission(permission);
        return isPermitted(principals, p);
    }


    public boolean isPermitted(PrincipalCollection principals, Permission permission) {
        AuthorizationInfo info = getAuthorizationInfo(principals);
        return isPermitted(permission, info);
    }
    
    private boolean isPermitted(Permission permission, AuthorizationInfo info) {
        Collection<Permission> perms = getPermissions(info);
        if (perms != null && !perms.isEmpty()) {
            for (Permission perm : perms) {
                if (perm.implies(permission)) {
                    return true;
                }
            }
        }
        return false;
    }

 

 

转载于:https://my.oschina.net/u/2335171/blog/1514533

chengkan6391
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SpringBoot Shiro授权实现过程解析
08-25
主要介绍了SpringBoot Shiro授权实现过程解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
shiro授权的实现原理
08-29
主要介绍了shiro授权的实现原理,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Shiro---授权源码分析
Apple_Andy的博客
09-14 369
一.步骤总结 1.首先调用Subject.isPermitted/hasRole接口,其会委托给SecurityManager,而SecurityManage接着委托给Authorizer 2.Authorizer是真正的授权者,如果我们调用如.isPermitted(“user:view”),其首先会通过PermissionResolver把字符串换成相应的permission实例 3.在进行授权之前,其会调用相应的realm获取Subject相应的角色/权限用于匹配传入的角色/权限 4.Authoriz
shiro认证授权源码分析
一只蜗牛的博客
10-16 3127
shiro内置了许多过滤器用来控制认证授权 anon : org.apache.shiro.web.filter.authc.AnonymousFilter authc : org.apache.shiro.web.filter.authc.FormAuthenticationFilter authcBasic : org.apache.shiro.web.filter.authc.Basi
Shiro授权过程--源码分析
↓ ↓ ↓ ↓
03-15 2323
现在来分析授权的过程这篇文章会接着上一篇文章,根据源码分析一下Shiro实现授权的过程,(其中Subject之前的方法不做过多解释)注: 配置文件和代码都放在文章最下面准备工作:1. AuthorizedRealm:  这是一个继承了AuthorizingRealm(是AuthenticatingRealm的子类,同样是抽象类)的Realm类,用来从数据库中获取用户的身份安全信息(本例中使用静...
Shiro使用和源码分析---1
conansonic的博客
11-01 8423
FormAuthenticationFilter使用和原理分析—1网上有很多介绍shiro框架的文章,但是没有讲解shiro如何和web spring框架相结合的文章。由于实际项目的需要,这里首先顺带分析一下shiro中FormAuthenticationFilter的源码。先看一段Spring中applicationContext.xml的配置。 <bean id="shiroFilter"
shiro原理_从源码上分析shiro登录认证原理
weixin_39604897的博客
12-08 110
上篇文章我们在架构上分析了Shiro的三大核心概念:Subject、SecurityManager、Realms,现在我们从源码认证三步走对于我们开发者人,官方提供给我,需要我们做三步1. 收集信息,即提供你的账号和密码 如:UsernamePasswordToken token = new UsernamePasswordToken(username, password); token.setR...
shiro授权类图关系简化版
04-13
shiro授权类图关系简化版
shiro授权.pdf
08-13
shiro 授权 #资源达人分享计划 # 技术文档
shiro1.9.1源码及jar
08-25
目前无漏洞版本shiro1.9.1源码+jar
shiro注解授权源码分析
wpeng_1024的博客
11-16 2765
老问题,要知道注解授权方式为什么能生效,首先得找到入口,相比登录的过程不同,对于这个验证权限的这个过程shiro采用了springAOP的方式 首先在spring配置文件中 我们得开启shiro的注解: 那么我们的入门就找到了,AuthorizationAttributeSourceAdvisor类继承了StaticMethodMatcherPoi
Shiro源码分析----授权流程
镜水灵动
03-24 501
在一个用户登录后,即身份认证通过,只能证明该登录身份是合法的,至于具体能访问系统中的什么资源,需要通过授权来控制。一般系统中都是通过用户关联角色、角色再关联权限来实现判断一个用户是否有某资源的使用权限,Shiro也提供了相应的实现权限控制。    Shiro中的权限控制也是通过Filter来实现的,在前面认证流程中讲到,Shiro的DefaultFilterChainManager类会创建Filt...
Shiro系列十:授权源码解析
苍穹尘的博客
06-07 1144
一、授权流程   1、首先调用 Subject.isPermitted或hasRole 接口,其会委托给 SecurityManager,而 SecurityManager 接着会委托给 Authorizer;   2、Authorizer是真正的授权者,如果调用如 isPermitted(“user:view”),其首先会通过 PermissionResolver 把字符串转换成相应的 Per...
Shiro源码分析-----认证流程/授权流程----------Subject
zhouzhiwengang的专栏
12-29 8893
源码分析的第二篇以Subject的初始化为题。 一、回顾Apache Shiro创建Subject的步骤如下:  //1、获取SecurityManager工厂,此处使用Ini配置文件初始化SecurityManager Factory factory = new IniSecurityManagerFactory("classpath:s
Shiro源码分析④ :鉴权流程
猫吻鱼的博客
02-04 1759
一、前言 由于之前没有使用过 Shiro,最近开始使用,故对其部分流程和源码进行了阅读,大体总结了一些内容记录下来。本系列并不会完完全全分析 Shiro 的全部代码,仅把主(我)要(用)流(到)程(的) 简单分析一下。由于本系列大部分为个人内容理解 并且 个人学艺实属不精,故难免出现 “冤假错乱”。如有发现,感谢指正,不胜感激。 二、FormAuthenticationFilter 三、流程 org.apache.shiro.web.filter.AccessControlFilter#onPreHand
Shiro认证源码解析和工作原理
Ascend2015的博客
11-18 5318
先行回顾一下使用shiro的步骤: 1. 创建Subject实例对象currUser; 2. 判断当前currUser是否认证过; 3. 如果没有认证过,那么应当调用currUser的login(token)方法,token也就是令牌,用以封装用户输入的登录信息; 4. 实现自定义Realm,用以完成和数据库的交互,由Shiro底层来完成用户输入信息和数据库信息的比对,完成认证。 当然与
shiro——授权原理(源码流程)
dgh112233的博客
08-29 982
目录 1. 授权入口 2. 源码追踪 1. 授权入口 subject.isPermitted(url); 这就是入口,如果用户有这个url权限,那么就返回true,如果没有,则返回false。 2. 源码追踪 由于我们的Subject默认是由DelegatingSubject 类实现的,所以调用的是DelegatingSubject类的isPermitted(String url...
74LS90实现十进制计数器、百进制计数器-multisim电路仿真设计
最新发布
06-14
该文件包含两个由74LS90设计的十进制计数器与百进制计数器,通过四引脚数码管显示加法计数,并且可以实现清零效果。电路由multisim软件电路仿真设计,电路设计详尽解析可见主页博文。
【抖音方案】2021年个人抖音账号打造执行方案-抖音账号运营方案.pptx
06-14
【抖音方案】2021年个人抖音账号打造执行方案-抖音账号运营方案.pptx
shiro判断session是否失效_SpringBoot + Shiro登出源码解析
05-26
Shiro中,判断session是否失效可以通过以下代码实现: ```java Subject subject = SecurityUtils.getSubject(); if (subject != null) { Session session = subject.getSession(false); if (session == null) {...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值