SHIRO授权(源码分析,转)

最新推荐文章于 2022-08-24 04:57:53 发布
最新推荐文章于 2022-08-24 04:57:53 发布
阅读量163 收藏
点赞数
分类专栏: shiro 文章标签: shiro java
原文链接:https://www.jianshu.com/p/35b89d5502b8?from=singlemessage
版权

原文地址:https://www.jianshu.com/p/35b89d5502b8?from=singlemessage

SHIRO授权

shiro支持两种两种访问控制方式,分别为:基于角色的访问控制、基于资源的访问控制。

基于角色的访问控制:

Subject subject = SecurityUtils.getSubject();
subject.hasRole("tole1");
subject.hasAllRoles("role1","role2");

基于资源的访问控制:

Subject subject = SecurityUtils.getSubject();
subject.isPermitted("user:create");
subject.isPermittedAll("user:update","user:delete");

SHIRO授权过程

“基于角色的访问控制逻辑”和“基于资源的访问控制逻辑”内部过程基本是一样的

使用者调用Subject.isPermitted方法进行授权,isPermitted接口实现是在DelegatingSubject中,代码如下:

public class DelegatingSubject implements Subject {
    public boolean isPermitted(String permission) {
        return hasPrincipals() && securityManager.isPermitted(getPrincipals(), permission);
    }

    public boolean isPermitted(Permission permission) {
        return hasPrincipals() && securityManager.isPermitted(getPrincipals(), permission);
    }

    public boolean[] isPermitted(String... permissions) {
        if (hasPrincipals()) {
            return securityManager.isPermitted(getPrincipals(), permissions);
        } else {
            return new boolean[permissions.length];
        }
    }
    ...
}

从代码可以发现,DelegatingSubject又委托给了SecurityManager,调用SecurityManager中的isPermitted方法。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-MzyOckIT-1618564414405)(E:\笔记整合\shiro\shiro核心逻辑类.png)]

SecurityManager其实是一个代理,SecurityManager代理了Authorizer,SecurityManager子类AuthorizingSecuritymanager为具体代理子类,看看类中相应方法定义:

public boolean isPermitted(PrincipalCollection principals, String permissionString) {
        return this.authorizer.isPermitted(principals, permissionString);
    }

public boolean isPermitted(PrincipalCollection principals, Permission permission) {
    return this.authorizer.isPermitted(principals, permission);
}

public boolean[] isPermitted(PrincipalCollection principals, String... permissions) {
    return this.authorizer.isPermitted(principals, permissions);
}

...

确实是代理模式,类中真正校验是Authorizer做的,具体Authorizer为ModularRealmAuthorizer,ModularRealmAuthorizer中方法定义如下:

public boolean isPermitted(PrincipalCollection principals, String permission) {
    assertRealmsConfigured();
    for (Realm realm : getRealms()) {
        if (!(realm instanceof Authorizer)) continue;
        if (((Authorizer) realm).isPermitted(principals, permission)) {
            return true;
        }
    }
    return false;
}

public boolean isPermitted(PrincipalCollection principals, Permission permission) {
    assertRealmsConfigured();
    for (Realm realm : getRealms()) {
        if (!(realm instanceof Authorizer)) continue;
        if (((Authorizer) realm).isPermitted(principals, permission)) {
            return true;
        }
    }
    return false;
}

从上面代码又可以看出,ModularRealmAuthorizer又把校验的工作交给了Realm,授权的Realm为AuthorizingRealm,AuthorizingRealm中实现了isPermitted方法,方法定义如下:

public boolean isPermitted(PrincipalCollection principals, String permission) {
    Permission p = getPermissionResolver().resolvePermission(permission);
    return isPermitted(principals, p);
}

public boolean isPermitted(PrincipalCollection principals, Permission permission) {
    AuthorizationInfo info = getAuthorizationInfo(principals);
    return isPermitted(permission, info);
}

如果是字符串Permission,首先要进行处理,处理过程如下:
PermissionResolver对字符串权限进行转化处理,其继承类为WildcardPermissionResolver.

//追溯源码  WildcardPermission中的setParts(String wildcardString, boolean caseSensitive)方法中
//    protected static final String PART_DIVIDER_TOKEN = ":";
List<String> parts = CollectionUtils.asList(wildcardString.split(PART_DIVIDER_TOKEN));

上面这句代码首先将权限按 " : "进行分割成数组。然后对这个数组中的每个元素再按照 ”,“ 分割。

//    protected static final String SUBPART_DIVIDER_TOKEN = ",";
Set<String> subparts = CollectionUtils.asSet(part.split(SUBPART_DIVIDER_TOKEN));

最终返回形式为List<Set>

那么转化后怎么用了,看看WildcardPermission的继承关系:

public class WildcardPermission implements Permission, Serializable{
......
}

而Permission的定义如下:

public interface Permission {
   boolean implies(Permission p);
}

WildcardPermission的implices方法实现如下:

public boolean implies(Permission p) {
    // By default only supports comparisons with other WildcardPermissions
    if (!(p instanceof WildcardPermission)) {
        return false;
    }

    WildcardPermission wp = (WildcardPermission) p;

    List<Set<String>> otherParts = wp.getParts();

    int i = 0;
    for (Set<String> otherPart : otherParts) {
        // If this permission has less parts than the other permission, everything after the number of parts contained
        // in this permission is automatically implied, so return true
        if (getParts().size() - 1 < i) {
            return true;
        } else {
            Set<String> part = getParts().get(i);
            if (!part.contains(WILDCARD_TOKEN) && !part.containsAll(otherPart)) {
                return false;
            }
            i++;
        }
    }

    // If this permission has more parts than the other parts, only imply it if all of the other parts are wildcards
    for (; i < getParts().size(); i++) {
        Set<String> part = getParts().get(i);
        if (!part.contains(WILDCARD_TOKEN)) {
            return false;
        }
    }

    return true;
}

这个代码的意思就是instance的权限是否包含目标权限,如果包含,那么就鉴权成功,返回True,否则鉴权不通过,这样就完成了权限校验。

需要自定义授权逻辑时,继承AuthorizingRealm,然后自定义实现其授权方法即可!

总结

权限校验流程如下:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-wU0uMVpO-1618564414407)(E:\笔记整合\shiro\权限校验流程如下.webp)]

具体流程为:
1)首先调用Subject.isPermitted/hasRole接口,其会委托给SecurityManager,而SecurityManager接着会委托给Authorizer(SecurityManager继承了Authorizer接口,其真正业务逻辑还是委托给相应的Authorizer实例。ModularRealmAuthenticator是Authenticator的一个实现类,一般主要用这个实现类)。
2)Authorizer是真正的授权者,如果我们调用如isPermitted(“user:view”),其首先会通过PermissionResolver把字符串转换成相应的Permission实例;
3)在进行授权之前,其会调用相应的Realm获取Subject相应的角色/权限用于匹配传入的角色/权限;
4)Authorizer会判断Realm的角色/权限是否和传入的匹配,如果有多个Realm,会委托给ModularRealmAuthorizer进行循环判断,如果匹配如isPermitted/hasRole会返回true,否则返回false表示授权失败。

一般是使用Realm进行授权,此时继承AuthorizingRealm,其流程是:
1.如果调用hasRole,则直接获取AuthorizationInfo.getRoles()与传入的角色比较即可;
2、如果调用isPermitted(“user:view”),首先通过PermissionResolver将权限字符串转换成相应的Permission实例,默认使用WildcardPermissionResolver,即转换为通配符的WildcardPermission;
3、通过AuthorizationInfo.getObjectPermissions()得到Permission实例集合;通过AuthorizationInfo. getStringPermissions()得到字符串集合并通过PermissionResolver解析为Permission实例;然后获取用户的角色,并通过RolePermissionResolver解析角色对应的权限集合(默认没有实现,可以自己提供);
4、接着调用Permission. implies(Permission p)逐个与传入的权限比较,如果有匹配的则返回true,否则false。

ModularRealmAuthorizer进行多Realm匹配流程:
1)首先检查相应的Realm是否实现了实现了Authorizer;
2)如果实现了Authorizer,那么接着调用其相应的isPermitted/hasRole接口进行匹配;
3)如果有一个Realm匹配那么将返回true,否则返回false。

相关注解
@RequiresPermissions

//只有当用户拥有这个system:dept:view字符串时才能访问此方法。那怎么知道用户拥有这个字符串呢?
//必须自己定义一个方法继承抽象方法 org.apache.shiro.realm.AuthorizingRealm
// 实现其抽象类doGetAuthorizationInfo方法即可;这样框架就会取到用户权限列表
@RequiresPermissions("system:dept:view")
@GetMapping()
public String dept()
{
    return prefix + "/dept";
}

public class UserRealm extends AuthorizingRealm
{
    /**
     * 授权
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection arg0)
    {
        SysUser user = ShiroUtils.getSysUser();
        // 角色列表
        Set<String> roles = new HashSet<String>();
        // 功能列表
        Set<String> menus = new HashSet<String>();
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        // 管理员拥有所有权限
        if (user.isAdmin())
        {
            info.addRole("admin");
            info.addStringPermission("*:*:*");
        }
        else
        {
            roles = roleService.selectRoleKeys(user.getUserId());
            menus = menuService.selectPermsByUserId(user.getUserId());
            // 角色加入AuthorizationInfo认证对象
            info.setRoles(roles);
            // 权限加入AuthorizationInfo认证对象
            info.setStringPermissions(menus);
        }
        return info;
    }
}
包工头小王
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ssm+shiro基于资源的权限控制框架(包含权限的认证、授权细致讲解),数据库使用mysql
12-27
Java语言的框架整合及权限的控制(粗粒度、细粒度) SSM(spring+springmvc+mybatis)的整合 SSM+shiro基于资源的权限控制整合demo 配置文件原理的注释 shiro的认证、授权、及从数据库mysql获取的认证信息方法都有提供
shiro登录,授权源码简单分析
weixin_43915064的博客
01-06 634
文章目录shiro简介概念架构特色架构shiro使用架构 shiro简介 概念 Apache Shiro是一个强大且安全易用的Java安全框架,可以完成:认证、授权、加密、会话管理、缓存等。与SpringSecurity相比较简单的多,学习成本比较低。 架构 特色 **Authentication:**用户登录认证。 **Authorization:**用户权限认证,如用户拥有的角色,权限。 Session Management:会话管理,保存用户登录的会话信息。 **Cryptography:**加密
源码分析shiro认证和授权
qq_40265247的博客
06-22 182
引言 JWT与Shiro结构示意:JWT无需Cookie,而Shiro可在任何环境下使用session(其自定义session会话管理 当同一个realm域分别拆成构造安全数据(放用户私有服务)与获取安全数据(放公共模块)的两个类时,对应的配置文件在构建realm时得return对应的类。 @Bean public LecRealm getRealm() { return new UserRealm(); //这个点很重要 要是获取数据源则 return new LecRealm() }
基于shiro前后端分离分布式权限管理(完整后端代码)
07-26
前后端分离,前端系统只有html、js 权限管理为shiro,缓存为redis集群 策略:sessionid不随机生成,使用url+用户名作为sessionId
shiro详解-shiro史上最全学习笔记
m0_55613022的博客
04-08 1599
1.shiro简介 1.1.基本功能点 Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在 JavaSE 环境,也可以用在 JavaEE 环境。Shiro 可以帮助我们完成:认证、授权、加密、会话管理、与 Web 集成、缓存等。其基本功能点如下图所示: Authentication:身份认证 / 登录,验证用户是不是拥有相应的身份; Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角色。或者细粒度的验
shiro源码
01-14
- **源码分析**:通过阅读Shiro源码,可以理解其内部的工作机制,包括如何进行身份验证、授权以及会话管理,有助于定制化开发和性能优化。 - **设计模式**:Shiro源码中大量运用了设计模式,如工厂模式、代理...
Shiro 视频教程+源码+课件
08-29
内容涵盖 Shiro 认证、加密、授权、安全标签、安全注解、会话管理、缓存、Rememberme 等 JavaEE 企业级开发的核心技术。视频讲授过程中通过分析源代码使学员知其然更知其所以然。 【课程内容】 第一章 问候 Shiro ...
shiro-root-1.7.0_ROOT_shirocore1.7_shiro1.7源码_
10-01
- **Authorization**: 分析`org.apache.shiro.authz`包,了解权限和角色的处理逻辑。 - **Session Management**: 研究`org.apache.shiro.session`和`org.apache.shiro.session.mgt`包,理解Shiro如何管理和存储会话...
shiro学习源码与资料
02-24
2. **案例分析**:通过具体的场景,演示如何使用Shiro实现登录、权限控制等功能。 3. **最佳实践**:提供在实际项目中使用Shiro时的一些最佳实践和注意事项,帮助避免常见问题。 4. **实战教程**:可能包含一系列...
shiro源码分析(四)具体的Realm
08-08
在“shiro源码分析(四)具体的Realm”这一主题中,我们将深入探讨Shiro的核心组件——Realm,它是Shiro与应用程序安全数据源交互的桥梁。 Realm在Shiro中的地位至关重要,它负责验证用户身份并执行授权操作。 ...
shiro框架了解
ABestRookie的博客
06-28 441
shiro框架
Shiro---授权源码分析
Apple_Andy的博客
09-14 384
一.步骤总结 1.首先调用Subject.isPermitted/hasRole接口,其会委托给SecurityManager,而SecurityManage接着委托给Authorizer 2.Authorizer是真正的授权者,如果我们调用如.isPermitted(“user:view”),其首先会通过PermissionResolver把字符串换成相应的permission实例 3.在进行授权之前,其会调用相应的realm获取Subject相应的角色/权限用于匹配传入的角色/权限 4.Authoriz
Shiro自定义Token
drhrht的博客
08-24 1271
***//*** 公司ID*//*** 用户名称*//*** 用户密码*/}}}}}}}@Override}@Override}}/***//*** 重写supports方法,使 Shiro 能够识别自定义的 Token* @return*/@Override}@Override/*PrincipalCollection 身份的集合一个主体可以有多个身份,但是只有一个主身份*/// 获取主体的主身份。
Apache Shiro 使用手册(三)Shiro 授权
kdboy的专栏
08-23 348
授权即访问控制,它将判断用户在应用程序中对资源是否拥有相应的访问权限。 如,判断一个用户有查看页面的权限,编辑数据的权限,拥有某一按钮的权限,以及是否拥有打印的权限等等。 [size=large][b][color=darkblue]一、授权的三要素[/color][/b][/size] 授权有着三个核心元素:权限、角色和用户。 [color=darkblue][b]权限[/b...
SecurityUtils.getSubject().getPrincipal() 为null
热门推荐
坤哥的博客
08-23 5万+
使用shiro时,如果正常登陆(执行subject.login(token)成功)就能在全局通过SecurityUtils.getSubject().getPrincipal()获取用户信息。 之前的项目是OK的,新项目中突然出问题。现在给出我自己问题的解决方案。 shiro的配置中有个use-prefix选项,其配置有两点需要注意: 要在配置文件的最上边(或者相关属性的最前边); 一定要...
Apache Shiro学习笔记(三)用户授权isPermitted过程
weixin_33724046的博客
07-27 1428
鲁春利的工作笔记,好记性不如烂笔头Shiro配置文件(shiro-authorize-permission.ini)[main] #定义变量 #变量名=全类名 [users] #用户名=密码,角色1,角色2,...,角色N lucl=123,role1,role2 zs=123,role1 [roles] #角色=权限1,权限2,...,权限N role1=use...
shiro角色权限验证
qq_30881357的博客
10-09 1797
shiro提供了对外验证角色和权限的API,都是通过Subject来调用。 @Test public void auth(){ Subject subject=SecurityUtils.getSubject(); UsernamePasswordToken token=new UsernamePasswordToken("zhang", "123"); subject.login
shiro授权和权限限制
adolph_jun的博客
08-14 1091
  AuthorizingRealm//权限验证核心类 //验证角色 public boolean hasRole(PrincipalCollection principal, String roleIdentifier) { AuthorizationInfo info = getAuthorizationInfo(principal); return hasRole(roleIden...
Shiro权限验证最详细的代码流分析
【冯立雄】的博客
09-05 489
Shiro权限验证 1.测试类 首先调用 subject().isPermitted("user1:update"); subject会委托给SecurityManager 而SecurityManager接着会委托给Authorizer; Authorizer是真正的授权者 Authorizer是个接口,会接着调用它实现类(ModularRealmAuthori
shiro springboot 源码
最新发布
07-13
通过阅读Shiro Spring Boot源码,我们可以了解到Shiro是如何通过自定义配置文件和注解来实现各种身份验证和授权的方式。源码中可以看到一些关键的类和方法,如Realm、Subject、AuthenticationToken等等,这些类和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值