004-shiro授权

最新推荐文章于 2023-06-27 15:32:05 发布
最新推荐文章于 2023-06-27 15:32:05 发布
阅读量306 收藏
点赞数
分类专栏: 人在江湖之shiro详解 文章标签: shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/forlinkext/article/details/114369227
版权

目录

授权三要素

授权方法

授权顺序

ModularRealmAuthorizer

PermissionResolver和RolePermissionResolver

WildcardPermission的规则简单介绍如下:

授权三要素

授权具有三个在Shiro中引用的核心元素:权限,角色和用户

权限:比如公司给你提供办公电脑,你可以使用该电脑,你的同事不能使用,但你不能将此电脑卖了换钱。(权限就是对某个资源的处理权。处理权分多种,这里就是使用和变卖)

角色:在公司来说,员工就是角色,领导也是角色,他不是具体的某个人,可以只某个岗位(研发、测试、产品),或者是某个部门(组织部、研发部),角色就是代表一类用户,在授权中,角色就是代表拥有某些共同权限的一类用户。

用户:用户是使用系统的用户,一般情况下,用户与角色绑定,角色与权限绑定,那么该用户拥有哪些权限自然就知道了。

三者的简单关系:一个用户可以拥有多个角色,一个角色拥有多个权限。有些系统可能角色和权限一起使用或者没有角色,直接将权限赋予用户。

授权方法

我们使用subject类的如下方法来进行权限认证:

  • boolean isPermitted(String var1);
    • 是否有某个权限
  • boolean isPermitted(Permission var1);
  • boolean[] isPermitted(String... var1);
    • 返回是否有对应权限的数组
  • boolean[] isPermitted(List<Permission> var1);
    • 同上
  • boolean isPermittedAll(String... var1);
    • 是否拥有列表中的所有权限
  • boolean isPermittedAll(Collection<Permission> var1);
    • 同上
  • void checkPermission(String var1) throws AuthorizationException;
    • 是否拥有权限(如果没有将抛出AuthorizationException异常)下同,依此类推
  • void checkPermission(Permission var1) throws AuthorizationException;
  • void checkPermissions(String... var1) throws AuthorizationException;
  • void checkPermissions(Collection<Permission> var1) throws AuthorizationException;
  • boolean hasRole(String var1);
  • boolean[] hasRoles(List<String> var1);
  • boolean hasAllRoles(Collection<String> var1);
  • void checkRole(String var1) throws AuthorizationException;
  • void checkRoles(Collection<String> var1) throws AuthorizationException;
  • void checkRoles(String... var1) throws AuthorizationException;

总结:has*方法,验证失败将返回false,而check*方法,验证失败将抛出AuthorizationException异常。实际使用中根据情况选用,大部分是使用check*方法让他抛出异常。

基于注释的授权

基于注解的授权需要你的程序是支持AOP的,我们常见的是在Spring的AOP框架下使用

RequiresAuthentication注解

调用被该注解修饰的方法时,subject是已认证的,其等效于SecurityUtils.getSubject().isAuthenticated() == true

@RequiresAuthentication
public void updateAccount(Account userAccount) {
    //需要是已认证的Subject才能调用该方法
    ...
}

RequiresGuest注解

允许游客访问

@RequiresGuest
public void signUp(User newUser) {
    //允许游客访问
    ...
}

其等效于如下代码:

Subject currentUser = SecurityUtils.getSubject();
PrincipalCollection principals = currentUser.getPrincipals();
if (principals != null && !principals.isEmpty()) {
      throw new AuthorizationException(...);
}

 RequiresPermissions注解

允许某个或某些权限访问

RequiresRoles注解

允许某个或某些角色访问

RequiresUser注解

允许已知身份的用户访问(Subject具有已知身份的,该身份是由于在当前会话期间进行了身份验证而已知的,或者是从先前会话的“ RememberMe”服务中记住的

关于注解的使用示例,我们将在后面的shiro的web集成中展示。此处了解即可。

 

授权顺序

  • 步骤1:应用程序或框架Subject所有如下方法( hasRole*,checkRole*,isPermitted*,或checkPermission*方法变体)进行权限或角色的授权验证。
  • 步骤2:一般情况下,程序中的Subject是DelegatingSubject(或其子类)调用上面的方法时,实际上是使用的SecurityManager的hasRole*,checkRole*,isPermitted*,或checkPermission*方法变体(securityManager而实现了org.apache.shiro.authz.Authorizer接口,hasRole*,checkRole*,isPermitted*,或checkPermission*方法变体这些方法是Authorizer接口的定义)。
  • 步骤3:在我们使用SecurityManager时。Authorizer接口默认实现是ModularRealmAuthorizer,该实例是一个实例,它支持Realm在任何授权操作期间协调一个或多个实例。
  • 步骤4:Realm检查每个已配置的配置,以查看是否实现了相同的Authorizer接口。如果是这样,ModularRealmAuthorizer调用该领域的各自的hasRole*,checkRole*,isPermitted*,或checkPermission*方法被调用。

总结:从上我们可以了解到,所有的认证权限的方法,最终都是调用的Realm中对应的hasRole*,checkRole*,isPermitted*,或checkPermission*方法

ModularRealmAuthorizer

上面我们提到,ModularRealmAuthorizer是Authorizer接口的默认实现,而且我们的SecurityManager也默认使用它,它来协调执行每个配置好的Realm。它的执行规则如下:

  • 如果Realm自身实现Authorizer接口,其各自的Authorizer对应的方法(hasRole*,checkRole*,isPermitted*,或checkPermission*)被调用。
    • 如果Realm的方法导致异常,则将抛出AuthorizationException异常给Subject调用方。这会缩短授权过程,并且该授权操作将不再执行任何剩余的领域。
    • 如果Realm的方法是返回布尔值的hasRole*或isPermitted*变体,并且返回值是true,则该true值将立即返回,并且所有剩余的Realms都将不再执行。
  • 如果Realm不实现该Authorizer接口,则将其忽略。

PermissionResolver和RolePermissionResolver

Resolver顾名思义,就是权限和角色的解析器(默认情况下,我们的权限或角色我们都直接通过字符串的形式进行表示,如果你需要自定义其他方式,或其他的解析方式,就需要使用这两个接口来实现--建议是使用默认方式就够了)

这两个接口都会将我们提供的角色或权限的字符串解析为Permission对象,Permission对象的默认实现是WildcardPermission,WildcardPermission定义了权限字符串的解析方式和定义规则。

一般情况下,我们的Realm会实现PermissionResolverAware和RolePermissionResolverAware两个接口,这两个接口提供了PermissionResolver和RolePermissionResolver的设置,如果我们自定义Resolver的话,就需要使用realm的对应的set方法进行设置。

WildcardPermission的规则简单介绍如下:

单个权限表示:query

多级的权限表示:

  • test:query:我们可以用test来表示菜单,query表示操作,该权限表示拥有test菜的的query操作权限
  • a:test:query:更多级的权限表示

"*"的使用:

  • test:*:表示我们可以使用test菜单下的所有操作(该权限表示包含了test:query权限)

上一篇:003-认证

下一篇:005-shiro的Realm源码解析与自定义Realm

没事儿写两篇
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Shiro介绍(五):WildcardPermission解读
SHARE & TOP
12-10 9365
对于Role-Permission两级权限体系,大多数情况下,我们都是直接使用Shiro提供的WildcardPermission来实现细粒度的权限控制。
springboot-shiro
10-18
而Apache Shiro则是一款强大的安全框架,能够很好地处理认证、授权等问题。本文将深入探讨如何利用SpringBoot和Shiro搭建一个基于数据库的细粒度动态权限管理系统。 首先,SpringBoot是Spring框架的简化版,它集成...
用url作为shiropermission的范例
03-29
是用菜单URL作为shiropermission来管理,每一个用户分配其角色(可以有多个角色),这个系统要求必须登录才能使用,如果是对外的公开项目就不合适,shiro一般也是用在需要控制权限的项目. 每个角色分配其可以访问的url,所以当一个用户登录的时候,他会有可以访问的url的清单,这样我们就可以利用动态生成菜单和在页面上配置的方式让其只能看见自己可以访问的菜单,用户登录的时候只能看到他有权限的菜单,只要能看到的菜单或功能,都是有权限访问的. 项目用到spring-boot和mybatis。需要在test数据库里运行代码里的sql脚本,默认登录用户hao或yiqian,密码都是12345
WildcardPermission的格式应用
天下布武之信长的专栏
05-05 2918
WildcardPermission,权限字符串的表示方式。 这里重点声明一下。WildcardPermissionShiro 的精妙之处,我们可以将权限表示成字符串,这样对权限的控制可以不拘泥于物理存储,比如对 messagge 类具有修改和删除权限可以标识为:message:update,delete:*,其中‘ * ’表示所有;第一级分隔符为‘ : ’;第二级分隔符为‘ , ’,
shiro权限控制原理及权限分隔符使用
最新发布
h363659487的博客
06-27 1209
shiro鉴权的原理及权限code的使用和测试DEMO
shiro
qq_62803338的博客
10-28 450
Shiro是一个强大易用的java安全框架,提供了认证、授权、加密、会话管理、与web集成、缓存等功能,对于任何一个应用程序,都可以提供全面的安全服务,相比其他安全框架,shiro要简单的多。为什么要使用Apache Shiro?自2003年以来,框架格局发生了很大变化,因此今天仍然有充分的理由使用Shiro。实际上有很多原因。易于使用:易于使用是该项目的最终目标。应用程序安全性可能非常令人困惑和沮丧,并被视为“必要的邪恶”。如果您使它易于使用,以使新手程序员可以开始使用它,那么就不必再痛苦了。全面。
thymeleaf-extras-shiro-2.0.1
03-09
这个项目是基于Thymeleaf的扩展,它引入了Apache Shiro的安全特性,为Java Web应用提供了强大的认证和授权功能。让我们深入了解这个版本2.0.1的具体内容。 Thymeleaf-extras-shiro是Thymeleaf模板引擎的一个插件,...
SpringMVC-Mybatis-Shiro-redis-master
01-18
**Apache Shiro** 是一个强大且易用的Java安全框架,负责认证、授权、会话管理和加密等功能。在Web应用中,Shiro可以帮助控制用户的访问权限,实现用户登录、权限验证以及安全相关的操作。例如,它可以限制未登录...
apache-shiro-sample:Apache Shiro授权示例项目
04-03
Apache ShiroSpring启动示例可以使用Apache Maven命令运行此示例: mvn spring-boot:run 然后浏览或使用cURL到: curl --user emperor:secret http://localhost:8080/users
SpringMVC-Mybatis-Shiro-redis
02-23
Shiro是Apache开源组织的一个强大且易用的安全框架,它提供了身份认证、授权、会话管理和密码加密等功能。在SpringMVC-Mybatis-Shiro-Redis体系中,Shiro负责用户登录验证、权限控制和会话管理。开发者可以方便地...
Springboot Shiro 多Realm 认证和授权
weixin_43224937的博客
04-06 746
Shiro 多Realm 认证和授权 一本正经教学时间 新人博主,求点赞求关注 1、多Realm 先分别编写好多个Realm各种认证和授权的规则 这里是StaffRealm.java 和 StudentRealm.java //StaffRealm public class StaffRealm extends AuthorizingRealm { @Autowired StaffRoleServiceImpl staffRoleService; @Autowired Rol
shiro授权(二) Permission(*)
weixin_42408447的博客
11-17 506
字符串通配符权限 规则:“资源标识符:操作:对象实例ID” 即对哪个资源的哪个实例可以进行什么操作。 其默认支持通配符权限字符串,“:”表示资源/操作/实例的分割;“,”表示操作的分割;“*”表示任意资源/操作/实例。 1. 单个资源单个权限 subject().checkPermissions("system:user:update"); 用户拥有资源"system:user"的"update"权限 2. 单个资源多个权限 ini配置文件 [users] zhang=123,role1,role2,ro
第三章 授权——《跟我学Shiro
jinnianshilongnian的专栏
02-21 713
  目录贴: 跟我学Shiro目录贴   授权,也叫访问控制,即在应用中控制谁能访问哪些资源(如访问页面/编辑数据/页面操作等)。在授权中需了解的几个关键对象:主体(Subject)、资源(Resource)、权限(Permission)、角色(Role)。 主体 主体,即访问应用的用户,在Shiro中使用Subject代表该用户。用户只有授权后才允许访问相应的资源。 资源 在应...
第三章 授权(三)Authorizer、PermissionResolver及RolePermissionResolver(自定义Realm+JDBCRealm)
yifanSJ的博客
08-18 1844
Authorizer的职责是进行授权(访问控制),是Shiro API中授权核心的入口点,其提供了相应的角色/权限判断接口,具体请参考其Javadoc。 SecurityManager 继承了Authorizer 接口,且提供了ModularRealmAuthorizer用于多Realm时的授权匹配。 PermissionResolver用于解析权限字符串到Permission实例。 Rol
拓展shiro的字符串权限匹配
coooooding
03-15 2756
shiro框架中,可以使用字符串匹配权限。 比如user:query匹配查询用户的权限。 user:*可以匹配user:query,user:delete等。 然而,却不可以匹配user:id:query。即不可以跨级(分隔符:将字符串分为多个级)。 这里提供了一个可以多级匹配的实现。 MyRealm.java public class MyRealm extends Authoriz...
Shiro基础知识03----shiro授权(编程式授权),Permission详解,授权流程
热门推荐
ChangWen的博客
10-01 1万+
授权,也叫访问控制,即在应用中控制谁能访问哪些资源(如访问页面/编辑数据/页面操作等)。   在权限认证中,最核心的是:主体/用户(Subject)、权限(Permission)、角色(Role)、资源(Resource)。     1、权限,即操作资源的权利,通过权限我们可以表示在应用中用户有没有操作某个资源的权力。即权限表示在应用中用户能不能访问某个资源,比如访问某个页面,以及对某个模块的
java springboot 项目关于org.apache.shiro.authz.UnauthorizedException: Subject does not have permission
YHLSunshine的博客
06-07 2308
java springboot 项目关于org.apache.shiro.authz.UnauthorizedException: Subject does not have permission
shiro Wildcard Permissions 权限学习
weixin_33974433的博客
06-05 213
2019独角兽企业重金招聘Python工程师标准>>> ...
权限解决方案:Shiro自定义Permission、AOP + Shiro
qq_45716444的博客
06-01 2670
权限解决方案 Shiro自定义Permission Shiro授权扩展 Shiro AuthorizerRealm重写isPermitted AOP + Shiro AOP 加 Shiro
thymeleaf-extras-shiro
04-11
'b'thymeleaf-extras-shiro'是一个Thymeleaf模板引擎的扩展,用于和Apache Shiro安全框架集成,方便在Thymeleaf模板中显示和控制用户的身份验证和授权信息。'

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值