Shiro结合SpEL实现细粒度权限校验笔记

已于 2022-03-19 10:50:17 修改
阅读量830 收藏 1
点赞数
文章标签: java 开发语言 spring
于 2022-03-18 16:29:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hjg719/article/details/123576281
版权
本文介绍如何在Shiro中实现细粒度权限控制,通过创建PermissionResolver接口、定义 RequiresMyPermissions 注解、创建PermitAdvisor鉴权切面类,并在doGetAuthorizationInfo中进行授权,实现动态权限字符串的构建和校验,使得部门成员可以按权限查询、邀请和移除部门成员。
摘要由CSDN通过智能技术生成

文章目录

参考文章

https://www.cnblogs.com/felixwu0525/p/11482419.html

(代码大部分来源于此)

前言

我们遇到的问题是什么?

假设一个简单模型:超级管理员创建了一个 “部门” 对象,部门名下有部门成员(用户),部门成员可以查询本部门的人员名单;部门成员中有部门管理员,可以邀请和移除部门成员

那么按照常规的Shiro权限字符串的构建规则,这里涉及到的权限字符串应当为:

  • 部门成员:邀请:${部门UUID}
  • 部门成员:移除:${部门UUID}
  • 部门成员:查询:${部门UUID}

其中 部门UUID 是一个变量。而我们授权操作是很容易的,在 Realm 类的 doGetAuthorizationInfo 方法中 ,把当前用户所属的部门、是否为该部门的数据从数据库查询出来,addStringPermissions 即可。

问题就是鉴权怎么处理,因为Shiro的@RequiresPermissions注解并没有提供这个支持

本文将补全鉴权部分的处理方案。

代码实现

创建 PermissionResolver 接口

其中 resolve() 方法 表示某一资源在权限字符串中的 表示形式,在本例中 即为权限字符串中 ${部门UUID} 的生成方法

public interface PermissionResolver {

    String resolve();
    
    static List<String> resolve(List<PermissionResolver> list) {
        return Optional.ofNullable(list).map(obj -> obj.stream().map(PermissionResolver::resolve).collect(toList()))
                .orElse(Collections.emptyList());
    }

}

让需要进行细粒度校验的实体实现 PermissionResolver 接口,本例中为 【部门成员关系】, 本例中所有部门成员均归部门管理员管理,所以 resolve() 直接返回部门uuid即可,如果部门下还分 科室 ,还有一级科室管理员的话 ,则需要返回 ${部门uuid}: ${科室uuid}

public class DepartmentMember implements Serializable, PermissionResolver {
    
    @Override
    public String resolve() {
        return departmentUuid;
    }
  
    String uuid;
    String departmentUuid;    
    String userUuid;

定义注解类 RequiresMyPermissions

与原文略有不同 , 因为我们需要构筑出的字符串是前言中的完整字符串,而不是只有一个部门uuid , 而且我们需要区分各种不同的操作(成员都有查询权限,但只有管理员有管理权限),所以注解定义如下

import java.lang.annotation.*;

@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
@Documented
public @interface RequiresMyPermissions {
    String namespace();

    String action();

    /**
     * 前置校验资源权限表达式     *
     */
    String pre() default "";

    /**
     * 后置校验资源权限表达式
     */
    String post() default "";
}

本例中 namespace() = “部门成员” , action() = “邀请” / “移除” / “查询” , pre() 是需要传入的部门UUID

创建认证切面类 PermitAdvisor

代码中需要关注的是构造函数,鉴权过程就在其中。

SpelExpressionParser 为 SpEL表达式解析器 , 它负责把表达式替换为实际的值 (即 占位符替换为部门UUID)

mi.proceed() 表示接口方法的执行,可以看到在它前后分别进行了2次 checkPermission 鉴权 ,其中后一次传入了方法的执行返回值;与原文不同的是这里把注解本体也一并传入,目的是为了拿到 namespace() 和 action() ;

在 checkPermission 方法中我们把 namespace() 、 action() 、 SpEL表达式解析器获取的部门UUID ,拼接得到了完整的权限字符串。并交给Shiro进行校验, SecurityUtils.getSubject().checkPermission 方法将会触发 Realm 类的 doGetAuthorizationInfo 方法请求授权

import com.gin.devicemanagementsystem.sys.utils.StringUtils;
import lombok.extern.slf4j.Slf4j;
import org.aopalliance.intercept.MethodInterceptor;
import org.apache.shiro.SecurityUtils;
import org.springframework.aop.support.StaticMethodMatcherPointcutAdvisor;
import org.springframework.context.expression.MethodBasedEvaluationContext;
import org.springframework.core.DefaultParameterNameDiscoverer;
import org.springframework.core.annotation.AnnotationUtils;
import org.springframework.expression.EvaluationContext;
import org.springframework.expression.spel.standard.SpelExpressionParser;

import java.lang.annotation.Annotation;
import java.lang.reflect.Method;
import java.util.List;

@Slf4j
public class PermitAdvisor extends StaticMethodMatcherPointcutAdvisor {

    private static final Class<? extends Annotation>[] AUTH_ANNOTATION_CLASSES = new Class[]{RequiresMyPermissions.class};


    public PermitAdvisor() {
        SpelExpressionParser parser = new SpelExpressionParser();
        // 构造一个通知,当方法上有加入Permitable注解时,会触发此通知执行权限校验
        MethodInterceptor advice = mi -> {
            Method method = mi.getMethod();
            Object targetObject = mi.getThis();
            Object[] args = mi.getArguments();
            RequiresMyPermissions requiresMyPermissions = method.getAnnotation(RequiresMyPermissions.class);
            // 前置权限认证
            checkPermission(parser, requiresMyPermissions, requiresMyPermissions.pre(), method, args, targetObject, null);
            Object proceed = mi.proceed();
            // 后置权限认证
            checkPermission(parser, requiresMyPermissions, requiresMyPermissions.post(), method, args, targetObject, proceed);
            return proceed;
        };
        setAdvice(advice);
    }


    private void checkPermission(SpelExpressionParser parser, RequiresMyPermissions requiresMyPermissions, String expr, Method method, Object[] args, Object target, Object result) {
//        表达式为空则通过
        if (StringUtils.isEmpty(expr)) {
            return;
        }
        Object resources = parser.parseExpression(expr).getValue(createEvaluationContext(method, args, target, result), Object.class);
        final String prefix = requiresMyPermissions.namespace() + ":" + requiresMyPermissions.action() + ":";
        // 调用Shiro进行权限校验
        if (resources instanceof String) {
            SecurityUtils.getSubject().checkPermission(prefix + resources);
        } else if (resources instanceof List) {
            List<?> list = (List<?>) resources;
            list.stream().map(obj -> prefix + obj).forEach(SecurityUtils.getSubject()::checkPermission);
        }
    }

    @Override
    public boolean matches(Method method, Class<?> targetClass) {
        return isAuthAnnotationPresent(method);
    }

    private boolean isAuthAnnotationPresent(Method method) {
        for (Class<? extends Annotation> annClass : AUTH_ANNOTATION_CLASSES) {
            Annotation a = AnnotationUtils.findAnnotation(method, annClass);
            if (a != null) {
                return true;
            }
        }
        return false;
    }


    /**
     * 构造SpEL表达式上下文
     */
    private EvaluationContext createEvaluationContext(Method method, Object[] args, Object target, Object result) {
        MethodBasedEvaluationContext evaluationContext = new MethodBasedEvaluationContext(
                target, method, args, new DefaultParameterNameDiscoverer());
        evaluationContext.setVariable("result", result);
        try {
            evaluationContext.registerFunction("resolve", PermissionResolver.class.getMethod("resolve", List.class));
            evaluationContext.setBeanResolver(new BeanFactoryResolver(Initialization.context));

        } catch (NoSuchMethodException e) {
            log.error("Get method error:", e);
        }
        return evaluationContext;
    }
}

另外 evaluationContext.setBeanResolver 方法会将Spring的BeanFactory注册到上下文中,其中 Initialization.context 为 ApplicationContext 类对象,可以通过实现ApplicationContextAware接口获取。注册后可以在 SpEL表达式 中使用 @+Bean名称 符号引用BeanFactory中的Bean,也即可以使用各种dao,service中的方法

doGetAuthorizationInfo 中进行授权

追加如下代码

查询当前用户所属的部门,若为成员可以查询本部门的成员名单 , 若为部门管理员可以对成员进行邀请和移除

departmentMemberService.listByUserUuid(uuid).forEach(member -> {      
		simpleAuthorizationInfo.addStringPermission(String.format("%s:%s:%s", "部门成员", "查询", member.resolve()));
            if (member.getIsAdmin()) {
                simpleAuthorizationInfo.addStringPermission(String.format("%s:%s:%s", "部门成员", "移除", member.resolve()));
                simpleAuthorizationInfo.addStringPermission(String.format("%s:%s:%s",  "部门成员", "邀请", member.resolve()));
            }
        });

在接口上用注释标注需要的权限

这里的 pre 中的表达式含义为 当方法参数中的 entity非null时,获取它的 resolve() 作为pre的值 (实际上即为部门uuid) 。更多表达式可以看原文或自行百度

@RequiresMyPermissions(namespace = "部门成员", action = "邀请", pre = "#entity?.resolve()")
    public Res<Void> invite(@RequestBody @Validated DepartmentMember4Create entity) {
       // 业务逻辑省略了
    }

创建 PermitAdvisor 实例交给Spring容器管理

原文漏了这最后一步,缺少的话整个机制都不会启动

在你的 ShiroConfig.java 类里添加

 @Bean
    public PermitAdvisor permitAdvisor() {
        return new PermitAdvisor();
    }
银之石
关注
SpringBoot整合shiro实现细粒度动态权限
人生就像一场戏
11-05 1072
1.前言 本文主要介绍使用SpringBoot与shiro实现基于数据库的细粒度动态权限管理系统实例。 使用技术:SpringBoot、mybatis、shiro、freemarker、pagehelper、Mapper插件、druid、 开发工具:intellij idea 数据库:mysql、redis 开发环境 工具 版本或描述 OS Windows 7 JDK 1.8+ IDE IntelliJ IDEA 2017.3 Maven 3.3.1
springmvc+shiro使用Perms实现细粒度验证.rar
07-14
springmvc+shiro使用Perms实现细粒度验证,使我们的验证可以精确到每个按钮,每个请求 抱歉了各位,在下载时需要修改配置文件(org.eclipse.wst.common.component) <?xml version="1.0" encoding="UTF-8"?>
我写了一套几乎无敌的参数校验组件!基于 SpEL 的参数校验组件「SpEL Validator」
最新发布
阿杆的博客
05-07 920
一个强大的 Java 参数校验包,基于 SpEL 实现,扩展自 javax.validation 包,几乎支持所有场景下的参数校验
dexter android权限即时获得权限
weixin_26727575的博客
09-22 521
Google recently released a developer preview of the upcoming Android 11 and this shows just how far android development has come over the last few years. One of the major changes in regards to develop...
Shiro——权限验证框架细颗粒授权控制
武汉小喽啰
03-08 375
我们将建立在URL上的权限控制称之为粗颗粒访问控制,shiro还支持细颗粒授权控制,细颗粒授权控制包括:方法级别与代码级别。 1. 方法级别控制 对某个方法加访问控制,用户必须拥有某项权限才可以访问该方法,没有权限则抛出异常,无法访问 1.1 开启注解 在applicationContext_shiro.xml中添加 <!-- 启动shiro注解 --> &...
shiro细颗粒的方法级别和代码级别
ctmold的博客
01-24 1037
shiro方法级别采用注解方法,如下所示: 如果我们需要对于权限更加细化,可以采用代码级别: 之前未采用isPermitted代码时,我写的代码可够长,看来自己对于Shiro的研究还是有所欠缺。 if(allList.equals("0")){ UpmsUser upmsUser = upmsApiService.selectUpmsUserByUs
基于SpringBoot+shiro实现数据库的细粒度动态权限管理系统
06-13
基于SpringBoot+shiro实现数据库的细粒度动态权限管理系统 项目经过严格测试,确保可以运行!源码无需做任何更改! 基于SpringBoot+shiro实现数据库的细粒度动态权限管理系统 项目经过严格测试,确保可以运行!...
java细粒度权限shiro权限校验 ssh
11-22
Shiro是Apache组织提供的一款强大且易用的Java安全框架,它提供了身份认证、授权、会话管理和加密等功能,非常适合在Spring+Struts+Hibernate(SSH)这样的经典企业级开发框架中实现权限校验细粒度权限管理的...
vue与shiro结合实现权限按钮
12-15
Vue.js作为一个轻量级的前端框架,搭配Apache Shiro这样的安全管理框架,可以有效地实现前端的细粒度权限管理,如按钮级别的权限控制。本文将详细介绍如何在Vue项目中结合Shiro实现这一功能,以及所需的前置技术。 ...
权限控制之粗粒度与细粒度概念及实现简单介绍
08-29
最后,使用权限管理框架可以实现权限控制,例如使用Shiro框架实现粗粒度权限管理,可以节省开发时间,提高开发效率。 知识点: 1. 粗粒度权限控制:对资源类型的权限管理。 2. 细粒度权限控制:对资源实例的权限...
mysql最细粒度权限是什么_粗粒度与细粒度权限控制
weixin_34239718的博客
01-26 431
1.1 什么是粗粒度和细粒度权限粗粒度权限管理,对资源类型的权限管理。资源类型比如:菜单、url连接、用户添加页面、用户信息、类方法、页面中按钮。。粗粒度权限管理比如:超级管理员可以访问户添加页面、用户信息等全部页面。部门管理员可以访问用户信息页面包括 页面中所有按钮。细粒度权限管理,对资源实例的权限管理。资源实例就资源类型的具体化,比如:用户id为001的修改连接,1110班的用户信息、行政...
第12章 K8s进阶篇-细粒度权限控制
dluhehe的博客
12-17 469
K8s进阶篇-细粒度权限控制,包括:RBAC,RBAC企业实战等内容。帮助大家更好做好权限管理。
细粒度权限控制
听风的声音
09-15 2371
权限控制,顾名思义,就是对不同的角色显示不同的内容以及给予不同角色不同的操作权限。这里举个非常简单的例子,普通员工只能查看自己发布的消息,而上级领导可以查看底下所有员工发布的消息。 其实权限控制并没有想象中的那么复杂,一般我们在查询列表的时候一般都会用  select * from table 假设我们要筛选列表,只显示部分内容,那么我们必须加上where条件。同理权限控制也是如此,只需要...
Shiro如何进行权限管理?它支持细粒度权限管理吗?Shiro如何进行身份验证?它支持哪些身份验证方法Shiro的会话管理功能包括哪些?如何管理用户的会话状态?
Aaron的博客
03-25 1034
SecurityManager:Shiro的安全管理核心,它管理着所有的Subject,是Shiro的心脏。总的来说,Shiro通过其强大的组件和灵活的权限管理机制,为开发者提供了高效且安全的权限管理方案。会话维护:在用户与应用进行交互的过程中,Shiro会不断更新会话的状态信息,如最后访问时间、访问次数等。Subject是Shiro安全管理的直接对象,它封装了用户的安全信息,提供了认证和授权的方法。用户登录:当用户成功登录时,Shiro会为其创建一个新的会话,并生成一个唯一的会话ID。
Java进击框架:Spring-表达式(三)
码农的艺术
04-06 1680
本章节主要介绍,Spring的表达式。
SpEL 在注解中的使用
xgw的专栏
07-26 7503
前言 SpELSpring Expression Language),即Spring表达式语言,是比JSP的EL更强大的一种表达式语言。为什么要总结SpEL,因为它可以在运行时查询和操作数据,尤其是数组列表型数据,因此可以缩减代码量,优化代码结构。个人认为很有用。 语法说明 SpEL 字面量: 整数:#{8} 小数:#{8.8} 科学计数法:#{1e4} String:可以使用单引号或者双引号作为字符串的定界符号。 Boolean:#{true} SpEL引用bean , 属性和方法
Spring系列19:SpEL详解
m0_67394006的博客
08-02 4104
直接使用new方式,注意多维数组不可以初始化。/***数组生成*/@Test//一维数组可以初始化//多维数组不可以初始化}可以使用语法来引用表达式中的变量。通过在实现上使用方法设置变量。/***变量#*/@Test//使用预先的变量赋值Name属性}#this函数可以当做一种变量来注册和使用的。2种方式注册按变量设置方式按明确的方法设置方式,其实底下也是按照变量处理。/**方法注册和使用*/@Test。标准上下文环境#...
gateway网关细粒度至 指定接口 免鉴权实现
programming132的博客
06-22 703
首先,我们先简单了解一下 JWT 的原理。是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。一个JWT实际上就是一个字符串,它由三部分组成,头部、载荷与签名。头部(Header)头部用于描述关于该JWT的最基本的信息,例如其类型以及签名所用的算法等。这也可以被表示成一个JSON对象。在头部指明了签名算法是HS256算法。我们进行BASE64编码载荷(playload)载荷就是存放有效信息的地方,这里会在 生成 JWT时将信息进行编码。
粗粒度与细粒度权限控制
weixin_30678349的博客
09-11 814
1.1 什么是粗粒度和细粒度权限 粗粒度权限管理,对资源类型的权限管理。资源类型比如:菜单、url连接、用户添加页面、用户信息、类方法、页面中按钮。。 粗粒度权限管理比如:超级管理员可以访问户添加页面、用户信息等全部页面。 部门管理员可以访问用户信息页面包括 页面中所有按钮。 细粒度权限管理,对资源实例的权限管理。资源实例就资源类型的具体化,比如:用户id为001的修改连接...
Spring Boot结合Redis与Shiro实现细粒度权限管理
资源摘要信息: 本资源是一个关于使用Spring Boot结合Shiro和Redis实现细粒度权限控制的教程或项目压缩包。该资源适用于Java开发者,特别是在需要为Spring Boot应用添加安全性和权限管理功能时。Spring Boot是一个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值