认证与授权

最新推荐文章于 2024-07-25 14:57:58 发布
最新推荐文章于 2024-07-25 14:57:58 发布
阅读量377 收藏 1
点赞数
文章标签: java
原文链接:https://my.oschina.net/shadowli/blog/3046007
版权

关于授权

  • 一般来说用户通过认证后既可以访问服务获取资源,提交、更新信息,甚至删除信息
  • 但是每个用户存在的环境不同,可以操作的内容也不同,如果所有用户都有权限去新增删除用户那就会乱套了,所以系统中的用户具有角色、部门甚至是岗位的描述。这种描述就是用来对用户做分级,达到不同用户的授权独立
    • 简单的说。比如部门A的用户可以有查询的权限,部门B的用户可以有新增、更新的权限。两个部门用户的权限独立,如果再细分一些,部门B的用户分为insert角色,与update角色
      • insert 角色可以做新增
      • update 角色可以做更新
  • 通过分级授权可以管理和明确权限的分级,保证了业务上的安全性和稳定性
  • 授权一般非为操作权限和数据权限,上面说的是操作权限,数据权限就和业务紧密结合。

关于Shiro

  • Shiro是由Apache基金会开发的开源JAVA权限管理框架,该框架可以很好的Spring整合。
  • Shiro 官网
  • Shiro包含了三个核心的组件
    • 1.Subject 主体 官方文档
      • 在Shiro中Subject不仅仅指人,它指代了所有和软件交互的实体,大部分情况下储存是用户的信息
    • 2.SecurityManager 安全管理器 官方文档
      • 就如同名字一样,Shiro通过SecurityManager管理者所有的内部组件实例,并通过它提供各种服务。是一个典型的Facade模式,默认实现是DefaultSecurityManager
      • 输入图片说明
    • 3.Realms 安全域 官方文档
      • Realm 本质上一个安全相关的DAO,它封装了数据源的连接细节,并在需要时,将合适的信息提供给Shiro使用,可以存在多个Realm,但是最少需要一个
      • Shiro 提供了几种基础的Realm
      • 输入图片说明
      • 一般情况下会自定义Realm,因为需要整合实际的认证逻辑。通过继承AuthorizingRealm 重写两个方法即可,分别是
        • 认证 doGetAuthenticationInfo(AuthenticationToken token)
        • 授权 doGetAuthorizationInfo(PrincipalCollection principals)
        • 输入图片说明
        • 然后交由SecurityManager统一管理
  • Shiro 支持权限URL权限过滤通过不同的Filter来做处理
    • anon 匿名 /user/**=anon 没有任何权限过滤 AnonymousFilter
    • authc 认证 /user/id=authc 必须通过认证才可以访问使用 AuthenticationFilter
    • roles 角色 /user/**=roles[admin,...] 可以指定多个参数,通过逗号分割 AuthorizationFilter
    • perms 权限 /user/update/id=perms[user:update:*],...可以指定多个参数,通过逗号分割 AuthorizationFilter
    • authcBasic 基础认证 /user/**=authcBasic AuthenticationFilter
    • ssl 安全请求 /user/**=ssl 协议必须为https AuthorizationFilter
    • 输入图片说明

如何组合Shiro与Jwt

  • authc 认证的默认实现有两种 输入图片说明
    • 第一种是基础的Http认证
    • 第二种是用户密码的认证方式
  • Shiro管理权限与认证,Jwt负责作为令牌记录信息,这种模式显然原生的Shiro是无法支持的。所以需要对Shiro的authc的filter做自定义。
    • 需要注意的是对应的每个权限认证都是独立的filter完成,比如定义了/xxx/**=anon,自定的filter继承了AuthenticatingFilter,这是不会进入自定的filter,只会进入AnonymousFilter的子类。因为在PathMatchingFilter中对路径进行了匹配,调用对应的filter
    • 输入图片说明
  • 整合Shrio+Jwt 需要自定义filter 与 Realm
    • 自定义filter 来判断哪些哪些请求
    • 自定已Realm 进行具体的认证与授权
    /**
     * 创建token
     *
     * @param request  请求
     * @param response 响应
     * @return {@link ThunderToken}
     */
    @Override
    protected AuthenticationToken createToken(ServletRequest request, ServletResponse response) {
        HttpServletRequest servletRequest = (HttpServletRequest) request;
        return new ThunderToken(servletRequest.getHeader(CommonConstants.AUTHORIZATION_SIGN));
    }

    /**
     * 做令牌拦截
     * 判断请求头是否包含令牌 
     *
     * @param request     请求
     * @param response    响应
     * @param mappedValue mappedValue
     * @return 通过/拒绝
     */
    @Override
    protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
        // 生成令牌
        ThunderToken token = (ThunderToken) createToken(request, response);
        boolean isAccessAllowed = false;
        // 判断令牌是否存在
        if (token.getToken() != null && !token.getToken().isEmpty()) {
            try {
                // 如果存在交由Realm认证
                getSubject(request, response).login(token);
                // 没有异常表示通过认证,如果Realm有异常向上抛出由Filter统一处理,反馈友好的认证信息
                isAccessAllowed = true;
            } catch (TokenExpiredException e) {
                expiredToken(response);
            } catch (IllegalTokenException e) {
                illegalToken(response);
            } catch (Exception e) {
                unknownError(response);
            }
        } else {
            unAuthorized(response);
        }
        return isAccessAllowed;
    }       

/**
 * 系统令牌
 * 因为前后端分离,所以只需要记录TOKEN密钥即可
 */
public class ThunderToken implements AuthenticationToken {

    private String token;

    public ThunderToken(String token) {
        this.token = token;
    }

    @Override
    public Object getPrincipal() {
        return token;
    }

    @Override
    public Object getCredentials() {
        return token;
    }

    public String getToken() {
        return token;
    }

    public void setToken(String token) {
        this.token = token;
    }

    @Override
    public String toString() {
        return "ThunderToken{" +
                "token='" + token + '\'' +
                '}';
    }
}

各种问题的解决办法

  • 请求不进入filter
    • 确认配置的是否是 authc 如果不是不会进入filter
  • 服务之间调用令牌不会传递
    • 如果使用的Feign需要自定义拦截器,获取到RequestTemplate对象自定义请求头
    • 输入图片说明
    • 输入图片说明

转载于:https://my.oschina.net/shadowli/blog/3046007

chenhui88889
关注
说透OAuth 2.0 [1] - 什么是认证授权
李浩好好学习
10-11 2752
说透OAuth 2.0 [1] - 什么是认证授权?引子认证认证实体变更认证方式变更信任系统变更授权总结 引子 我在面试Web相关岗位时,经常会问面试者一个问题,什么是认证,什么是授权?(也请你花一分钟时间思考一下) … 部分面试者会给我如下的答案: 当用户打开浏览器或者App的时候,如果某些功能不是匿名用户能操作的,那么我们就会将用户引导到登录页面,让用户输入自己的用户名和密码、当然也可能是手机短信验证等方式,在安全性较高的系统还会要求输入验证码。如果验证通过,那么用户就拥有了可以操作这些功能的权限。
Spring Security+OAuth2 精讲,打造企业级认证授权2022升级
10-25
Spring Security+OAuth2 精讲,打造企业级认证授权(2022升级版) 1、企业级认证授权专项解决方案 系统解锁后端开发者必备的"安全"技能 2、主流安全框架核心一网打尽,只学实用的
项目总结:认证授权
最新发布
weixin_46117680的博客
07-25 1030
会议发布后用户通过页面进行查看。如何去记录用户的会议记录呢?要想掌握用户需要参会的情况就需要知道用户的身份信息,记录哪个用户在什么时间参加什么会议,如果用户要下载会议资料也需要知道用户的身份信息。所以,去管理用户的参会过程最基本的要实现用户的身份认证认证授权模块实现平台所有用户的身份认证与用户授权功能。
认证授权详解
白帽子佳奇的博客
05-29 1306
当资源服务器只依赖自包含令牌提供的信息来校验access_token时(真正的无状态令牌验证机制),授权服务器无法影响资源服务器对access_token的校验,只能删除自己数据库中的refresh_token,当客户机应用使用此refresh_token申请新的access_token时,授权服务器将不予签发,而对于之前已签发的access_token,只能等待其自行到期。1、读库令牌:access token值是一个随机生成的标识符,在数据库中存储有效期,谁颁发的,颁发给谁的,权限范围等元数据信息。
认证 (authentication) 和授权 (authorization)
原创学无止尽
08-15 1318
认证 (authentication) 和授权 (authorization) 的区别        你要登机,你需要出示你的 passport 和 ticket,passport 是为了证明你张三确实是你张三,这就是 authentication;而机票是为了证明你张三确实买了票可以上飞机,这就是 authorization。        在 computer science 领域再举...
Spring Security+OAuth2 精讲,打造企业级认证授权
10-12
本课程"Spring Security+OAuth2 精讲,打造企业级认证授权"深入浅出地讲解了这两个框架的使用和集成,旨在帮助开发者构建安全、高效的应用系统。 Spring Security是Spring生态系统中的一个强大安全框架,它提供了...
Spring Security技术栈开发企业级认证授权.zip
06-05
集成 spring securit, spring security oauth 和 spring social,实现 用户名密码登录,手机验证码登录,社交账号登录,基于jwt的sso,集群session管理等功能。
非常珍贵的Spring Security企业级认证授权全套视频(自鉴过后,良心推荐)
04-02
SpringSecurity 全套开发,设计源码解读,整个拦截器链分析,QQ登录,微信登录,短信验证,短信登录,在security基础上学习写一个自定义验证授权设计模式,整套视频讲解的分享细致认真,非常值得学习。不管小白还是...
财政身份认证授权管理系统 (2014年)
05-11
财政身份认证授权管理系统是一项旨在提升财政信息系统安全性的工程,其核心在于通过技术手段实现对用户身份的准确验证和权限的严格控制,以确保财政业务应用的安全稳定运行。 信息安全是财政信息系统设计和构建的...
我眼中的认证授权
ovowovo的博客
02-25 786
区别 OpenId: Authentication :认证 Oauth: Aurhorize :授权 输入账号密码,QQ确认输入了正确的账号密码可以登录 —>认证 下面需要勾选的复选框(获取昵称、头像、性别)----->授权 OpenID 当你需要访问A网站的时候,A网站要求你输入你的OpenId,即可跳转到你的OpenId服务网站,输入用户名和密码之后,再调回A网站,则认证成功。 ...
认证授权
小码哥222的博客
03-18 384
参考:《认证授权基础》 1. 认证 (Authentication) 和授权 (Authorization)的区别是什么? 说简单点就是: 认证 (Authentication): 你是谁。 授权 (Authorization): 你有哪些权限 干什么事情。 稍微正式点(啰嗦点)的说法就是: Authentication(认证) 是验证您的身份的凭据(例如用户名/用户ID和密码),通过这个凭据,系统得以知道你就是你,也就是说系统存在你这个用户。所以,Authentication 被称为身份/用户验证
认证/授权
zyydecsdn的博客
05-11 569
Vert.x附带一些用于处理认证授权的开箱即用的处理程序。创建一个Auth处理程序router.route().handler(CookieHandler.create()); router.route().handler(SessionHandler.create(LocalSessionStore.create(vertx))); AuthHandler basicAuthHandler ...
怎样理解认证授权
04-10 4565
认证授权是web开发中绕不开的话题,任何开发的系统都需要对用户身份信息进行认证授权,那什么是认证授权呢?
《Enterprise Application Pattern—using Xamarin.Forms》中文简述九——认证授权
catshitone的专栏
03-10 605
认证是一个获取身份证明的过程,一般都是验证用户名和密码是否匹配。如果身份验证通过,然后授权就会决定哪些数据是这身份可以访问的。 有很多种方式可以将认证授权组件添加到基于ASP.NET MVC的Xamarin.Forms应用程序中,如ASP.NETCore Identity,Microsoft、Google、Facebook等的认证API,或者一些其它的认证中间件。eShopOnContainer...
认证授权操作
m0_54227097的博客
08-19 445
1.java基础 String和StringBuffer,StringBuilder的区别是什么,为说是String是不可变的? 1.可变性 String使用final关键字字符数组保存字符串 private final char value[],所以String对象是不可变的 StringBuilder与StringBuffer继承了AbstractStringBuilder类,它虽然也是使用字符数组来保存字符串char[] value 但是没有final关键字修饰,所以说会可变的 2.线程安全性 St
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值