Apache Shiro安全框架(3)-授权

最新推荐文章于 2022-04-07 16:48:01 发布
最新推荐文章于 2022-04-07 16:48:01 发布
阅读量360 收藏 1
点赞数
分类专栏: Java 文章标签: shiro 授权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/heyrian/article/details/80745067
版权

权限

系统中的权限一般是通过用户、角色、权限来管理。每个用户可以对应多个角色;每个角色对应多个权限;每个权限标识一个资源。这样系统中的每个资源都可以通过这种方式来控制,一般情况下一个接口代表一个资源

授权方式

shiro有三种授权方式:

编程式
Subject subject = SecurityUtils.getSubject();
if(subject.hasRole("admin")) {
    //有权限
} else {
    //无权限
}
注解式
@RequiresRoles("admin")
public void test() {
    //有权限
}
JSP标签
<shiro:hasRole name="admin">
<!— 有权限 —>
</shiro:hasRole>

注解式和JSP标签需要整合web,因此这里先不介绍 ,先介绍shiro编程式

基于一下代码分析授权内部流程:

 DefaultSecurityManager securityManager = new DefaultSecurityManager();
        //设置realm
        securityManager.setRealm(definedRealm);
        //绑定securityManager到securityUtils
        SecurityUtils.setSecurityManager(securityManager);
        //创建登录实体
        Subject subject = SecurityUtils.getSubject();
        //创建登录token
        UsernamePasswordToken token = new UsernamePasswordToken("zhangsan","01d7f40760960e7bd9443513f22ab9af");
        //登录
        subject.login(token);
        System.out.println("是否认证通过 " + subject.isAuthenticated());
        System.out.println("是否有角色admin " + subject.hasRole("admin"));
        System.out.println("是否有权限permission1 " + subject.isPermitted("permission1"));

第一步:securityManager.setRealm():内部执行逻辑。


其中securityManager的继承结构如下:


当我们创建DefaultSecurityManager时,它的父类均得到实例化。并且最后一步ModularRealmAuthorizer是AuthorizingSecurityManager中的属性,调用setRealms()是实例化ModularRealmAuthorizer中的Collection<Realm>属性。后面调用hasRole方法时会调用该集合中Realm的hasRole方法。

第二步:subject.hashRole()内部源码:


可以看到是调用securityManager.hasRole方法,因为创建的是DefaultSecurityManager,所以调用的是该类的hasRole()方法。查看该类的所有方法(自己去查),发现并没有hasRole(),因此去父类中查找,找到父类AuthorizingSecurityManager的hasRole()方法:


该类的authorizer属性如下:


因此再去ModularRealmAuthorizer中查找hasRole()方法:


发现其实调用的是realms的hasRole()方法。那realm有哪里来的呢?,其实就是第一部中时序图最后一步setRealms()实例化的

第三步:查看realm中的hasRole()方法:


发现是先获取授权信息,在调用重载的hasRole()方法。获取授权信息方法如下:

protected AuthorizationInfo getAuthorizationInfo(PrincipalCollection principals) {
        if (principals == null) {
            return null;
        } else {
            AuthorizationInfo info = null;
            if (log.isTraceEnabled()) {
                log.trace("Retrieving AuthorizationInfo for principals [" + principals + "]");
            }

            Cache<Object, AuthorizationInfo> cache = this.getAvailableAuthorizationCache();
            Object key;
            if (cache != null) {
                if (log.isTraceEnabled()) {
                    log.trace("Attempting to retrieve the AuthorizationInfo from cache.");
                }

                key = this.getAuthorizationCacheKey(principals);//先从缓存中查找 
                info = (AuthorizationInfo)cache.get(key);
                if (log.isTraceEnabled()) {
                    if (info == null) {
                        log.trace("No AuthorizationInfo found in cache for principals [" + principals + "]");
                    } else {
                        log.trace("AuthorizationInfo found in cache for principals [" + principals + "]");
                    }
                }
            }

            if (info == null) {
                info = this.doGetAuthorizationInfo(principals);//如果缓存中不存在,则调用自定义的Realm中的doGetAuthorizationInfo()方法
                if (info != null && cache != null) {
                    if (log.isTraceEnabled()) {
                        log.trace("Caching authorization info for principals: [" + principals + "].");
                    }

                    key = this.getAuthorizationCacheKey(principals);
                    cache.put(key, info);
                }
            }

            return info;
        }
    }

发现先从缓存中查找,如果缓存中不存在,则调用自定义的Realm中的doGetAuthorizationInfo()方法。

最后调用Realm中的hasRole(),判断授权信息中是否包含该角色



以上是对hasRole()方法的内部分析,其实判断角色和判断权限,在最后都会调用我们Realm中的相应方法。首次调用时会调用我们重写的doGetAuthorizationInfo()方法,如果我们开启缓存,则以后会从缓存红查找。

heyrian
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Shiro 安全框架——验证与授权
热心网友
08-21 222
身份验证 身份验证,即在应用中谁能证明他就是他本人。一般提供如他们的身份 ID 一些标识信息来表明他就是他本人,如提供身份证,用户名 / 密码来证明。 在 shiro 中,用户需要提供 principals (身份)和 credentials(证明)给 shiro,从而应用能验证用户身份: principals:身份,即主体的标识属性,可以是任何东西,如用户名、邮箱等,唯一即可。一个主体可以...
Shiro+ehcache配置缓存认证信息和授权信息
KK的博客
09-23 693
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager"> <property name="realm" ref="userRealm"/> <property name="cacheManager" ref="ehCacheMa...
shiro权限认证过程
Super的专栏
11-04 1580
Admin Users 会触发调用Subject.isPermitted*/hasRole*接口。后面的过程和认证过程基本一样,请参考认证过程,实在看不懂联系我,我的资料有联系方式。下面是授权过程的源码: protected AuthorizationInfo getAuthorizationInfo(PrincipalCollection principals) {
shiro学习&授权流程
yGIS
04-26 177
首先,打断点进入到delegateSubject的isPermitted(String perssion)函数中,该函数要对主体进行身份的认证然后才是授权工作。 public boolean isPermitted(String permission) { return this.hasPrincipals() && this.securityManage...
二.shiro安全管理器加入redis缓存
u014203449的博客
02-16 2573
访问地址: 第一步搭建:https://blog.csdn.net/u014203449/article/details/79330811 访问地址地址:点击打开链接http://47.98.153.30:8080/ 账号:melo 密码:12345678 github地址:点击打开链接https://github.com/MeloFocus/focus 1.shiro为...
Apache Shiro安全框架-其他
06-12
Apache Shiro(发音为“shee-roh”,日语为“castle”)是一种功能强大且易于使用的Java安全框架,可执行身份验证,授权,加密和会话管理,可用于保护任何应用程序的安全-从命令行应用程序,移动应用程序到最大的Web...
基于Java的Apache Shiro安全框架设计源码
最新发布
06-01
本源码是基于Java开发的Apache Shiro安全框架设计,包含1040个文件,其中包括724个.java文件,92个.groovy文件,72个.xml文件,36个.jsp文件,以及23个.properties文件,16个.ini文件,10个.md文件,7个.css文件和5...
shiro 安全框架--最好的中文配置文档
04-20
Apache Shiro 是一个强大且易用的 Java 安全框架,它提供了认证、授权、加密和会话管理功能,简化了开发人员在构建安全应用程序时的复杂性。本篇文章将深入探讨 Shiro 的核心概念、配置步骤以及如何利用它来保护你的...
Apache Shiro核心jar包:shiro-core-1.3.2
12-07
Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能。 使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。
shiro-attack-4.7.0-SNAPSHOT-all.zip
10-24
标题提到的"shiro-attack-4.7.0-SNAPSHOT-all.zip"很可能是针对Apache Shiro安全测试工具或者漏洞利用工具包,其主要目的是帮助开发者检测和防范Shiro框架相关的安全问题。 描述中的"序列化验证工具"可能是指该...
shiro授权流程分析
qiuxinfa123的博客
04-05 282
上一篇博客,写了shiro认证流程分析 ,shiro主要功能是认证和授权,接下来,看看授权是如何进行的,既然要授权,当然会执行我们自定义的授权方法,所以在授权方法打个断点看看情况,当访问需要角色或者权限的接口时,就会来到授权方法(这里暂时不考虑缓存的因素,可以看做是第一次请求): 我们看一下方法调用栈: 可以看到控制器AdminController是C...
[原创]Spring boot Shiro授权 授权缓存的清除
qq_40079715的博客
03-18 6130
Shiro授权时我们开启了缓存,导致更改用户权限无法生效,必须要清除缓存才能生效。Shiro他去查询你当前是否开始缓存和缓存中是否有改Subject的principals。 Shiro查询授权的源码: protected AuthorizationInfo getAuthorizationInfo(PrincipalCollection principals) { if...
shiro 刷新认证以及权限缓存(略坑)
qq_37959142的博客
04-20 1万+
这里提供两种清除用户缓存的方法1、通过ehcache清除缓存(已验证)这种方法简单明了,适合对cache比较了解的人思路:从shiroCacheManager获取用户的认证缓存,以及权限缓存,然后根据principal(username等可以确定用户信息的key,在配置shiro的时候由用户指定)对cache进行remove操作。代码:@Resource(name = "shiroCacheMan...
触发shiro中重写realm中doGetAuthorizationInfo 授权方法的几种方式
taiguolaotu的博客
10-20 548
shiro 标签 controller接口上的权限注解 等等 还有就是 清空用户授权信息缓存getAuthorizationCache() 看源码 清空shiro缓存 ,会重新走realm中重写的doGetAuthorizationInfo方法从数据看查询数据权限 参考链接 这辈子坚持与不坚持都不可怕,怕的是独自走在坚持的道路上!!! ...
SpringBoot集成Shiro、Redis,开启权限缓存,序列化SimpleAuthenticationInfo对象与AuthenticationInfo对象不匹配
易梦南蝶的博客
06-18 2400
1、场景 新建RedisCacheManager类,实现CacheManager,重写getCache(Stirng name) /** * @Description: RedisCacheManager 实例 * @author chenhang * @date 2019年6月13日 */ public class RedisCacheManager implements CacheMan...
关于shiro后台权限改动,重新登录后发现权限还是以前的问题的解决
lilovfly的专栏
10-23 2324
我们项目中用的是shiro而且允许一个用户多个地方同时登录。在后台修改权限后,让用户登录,发现用户登录后,用户的角色还是以前的那个角色,这个问题出现了,我发现只有去看看源代码才能知道如何解决这个问题?        经过几天的查看,以及周末在家看源代码,我终于在源代码中找到了shiro对角色的管理的流程,首先我们从DelegatingSubject这个类的public void checkRol
spring boot后台管理系统,shiro权限管理, restful风格的接口
热门推荐
zwzw1219的博客
08-18 1万+
spring security版 源码地址:https://gitee.com/zhang.w/boot-security.git shiro版 源码地址:https://gitee.com/zhang.w/boot-backend.git   随着spring boot的出现,java又上升了一个层次,以往tomcat部署war的形式也改变了,现在可以直接一个jar包、一行命令,真正实现一...
shiro修改用户权限后并刷新对应用户缓存授权
m0_54861649的博客
04-07 1705
shiro修改用户权限后并刷新缓存授权 在网上找了很多关于刷新缓存认证的文章,很多都是刷新自己的授权信息,本文案例为修改他人权限后,刷新他人的缓存授权信息。由于第一次写博文,写的不好还请手下留情,废话不多说,直接上干货 先看一下原理 先看一下我在自定义的Realm中认证的方法 protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection arg0) { Long userId = ShiroUtils.getUserId(
Apache Shiro 安全框架700字
04-23
Apache Shiro是一个开源的安全框架,主要用于Java应用程序的安全管理。它提供了一套细粒度的安全授权和认证机制,可帮助开发人员简化应用程序的安全管理,并提高应用程序的安全性。 Apache Shiro采用了标准的JavaEE-Security API,并提供了自己的API,可以无缝集成到常见的Web应用程序中。 Apache Shiro的主要功能包括: 1. 身份认证:验证用户的身份,确保用户是合法用户。 2. 访问控制:控制用户对系统资源的访问权限,确保用户只能访问他们被授权的资源。 3. 密码加密:对用户的密码进行加密,确保用户的密码不被恶意攻击者窃取。 4. 会话管理:管理用户的会话,确保用户的会话不被恶意攻击者窃取或篡改。 Apache Shiro的优点包括: 1. 简单易用:相比其他安全框架Apache Shiro的设计非常简单,API易于理解和使用。 2. 灵活性高:Apache Shiro可以与其他框架和技术无缝集成,可以应用于各种类型的应用程序。 3. 安全性高:Apache Shiro提供了一套完整的安全管理机制,可以有效地保护应用程序不受攻击。 4. 社区活跃:Apache Shiro的社区非常活跃,有更新快速和版本稳定的特点。 总之,Apache Shiro是一款优秀的安全框架,提供了一整套安全管理机制,可以帮助开发人员更轻松地管理应用程序的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值