shiro的权限认证

最新推荐文章于 2022-03-28 13:51:25 发布
最新推荐文章于 2022-03-28 13:51:25 发布
阅读量344 收藏
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lqzxpp/article/details/86612870
版权

用了shiro很长时间了,经常在controller的某个方法前加上注解: @RequiresPermissions("xx:xx"),就可以试用shiro的权限认证。

现在想研究下spring是如何调用这个过程的.

1、

public class AopAllianceAnnotationsAuthorizingMethodInterceptor
        extends AnnotationsAuthorizingMethodInterceptor implements MethodInterceptor {

    public Object invoke(MethodInvocation methodInvocation) throws Throwable {
        org.apache.shiro.aop.MethodInvocation mi = createMethodInvocation(methodInvocation);
        return super.invoke(mi);//下一步
    }
}

2、

public abstract class AuthorizingMethodInterceptor extends MethodInterceptorSupport {
        public Object invoke(MethodInvocation methodInvocation) throws Throwable {
              assertAuthorized(methodInvocation);//下一步
              return methodInvocation.proceed();
    }
}

注意:

public class    AopAllianceAnnotationsAuthorizingMethodInterceptor
        extends AnnotationsAuthorizingMethodInterceptor
        extends AuthorizingMethodInterceptor

3、

public abstract class AnnotationsAuthorizingMethodInterceptor extends AuthorizingMethodInterceptor {
        protected void assertAuthorized(MethodInvocation methodInvocation) throws AuthorizationException {
        //default implementation just ensures no deny votes are cast:
        Collection<AuthorizingAnnotationMethodInterceptor> aamis = getMethodInterceptors();
        if (aamis != null && !aamis.isEmpty()) {
            for (AuthorizingAnnotationMethodInterceptor aami : aamis) {
                if (aami.supports(methodInvocation)) {
                   //当aami=PermissionAnnotationMethodInterceptor,下一步
                    aami.assertAuthorized(methodInvocation);
                }
            }
        }
    }
}

4、

public abstract class AuthorizingAnnotationMethodInterceptor extends AnnotationMethodInterceptor{
    public void assertAuthorized(MethodInvocation mi) throws AuthorizationException {
        try {
            ((AuthorizingAnnotationHandler)getHandler()).assertAuthorized(getAnnotation(mi));//下一步
        }
        catch(AuthorizationException ae) {
            // Annotation handler doesn't know why it was called, so add the information here if possible. 
            // Don't wrap the exception here since we don't want to mask the specific exception, such as 
            // UnauthenticatedException etc. 
            if (ae.getCause() == null) ae.initCause(new AuthorizationException("Not authorized to invoke method: " + mi.getMethod()));
            throw ae;
        }         
    }
}

5、

public class PermissionAnnotationHandler extends AuthorizingAnnotationHandler {
    public void assertAuthorized(Annotation a) throws AuthorizationException {
        if (!(a instanceof RequiresPermissions)) return;

        RequiresPermissions rpAnnotation = (RequiresPermissions) a;
        String[] perms = getAnnotationValue(a);
        Subject subject = getSubject();

        if (perms.length == 1) {
            subject.checkPermission(perms[0]);//下一步
            return;
        }
        if (Logical.AND.equals(rpAnnotation.logical())) {
            getSubject().checkPermissions(perms);
            return;
        }
        if (Logical.OR.equals(rpAnnotation.logical())) {
            // Avoid processing exceptions unnecessarily - "delay" throwing the exception by calling hasRole first
            boolean hasAtLeastOnePermission = false;
            for (String permission : perms) if (getSubject().isPermitted(permission)) hasAtLeastOnePermission = true;
            // Cause the exception if none of the role match, note that the exception message will be a bit misleading
            if (!hasAtLeastOnePermission) getSubject().checkPermission(perms[0]);
            
        }
    }
}

6、

public class DelegatingSubject implements Subject {
    public void checkPermission(String permission) throws AuthorizationException {
        assertAuthzCheckPossible();
        securityManager.checkPermission(getPrincipals(), permission);//下一步
    }
}

7、

public abstract class AuthorizingSecurityManager extends AuthenticatingSecurityManager {
    public void checkPermission(PrincipalCollection principals, String permission) throws AuthorizationException {
        this.authorizer.checkPermission(principals, permission);//下一步
    }
}

8、

public class ModularRealmAuthorizer implements Authorizer, PermissionResolverAware, RolePermissionResolverAware {
    public void checkPermission(PrincipalCollection principals, String permission) throws AuthorizationException {
        assertRealmsConfigured();
        //isPermitted(principals, permission)下一步
        if (!isPermitted(principals, permission)) {
            throw new UnauthorizedException("Subject does not have permission [" + permission + "]");
        }
    }

    public boolean isPermitted(PrincipalCollection principals, String permission) {
        assertRealmsConfigured();
        for (Realm realm : getRealms()) {
            if (!(realm instanceof Authorizer)) continue;
            //isPermitted(principals, permission)下一步
            if (((Authorizer) realm).isPermitted(principals, permission)) {
                return true;
            }
        }
        return false;
    }
}

9、

public abstract class AuthorizingRealm extends AuthenticatingRealm
        implements Authorizer, Initializable, PermissionResolverAware, RolePermissionResolverAware {
    public boolean isPermitted(PrincipalCollection principals, String permission) {
        Permission p = getPermissionResolver().resolvePermission(permission);
        return isPermitted(principals, p);//下一步
    }

    public boolean isPermitted(PrincipalCollection principals, Permission permission) {
        AuthorizationInfo info = getAuthorizationInfo(principals);
        return isPermitted(permission, info);//下一步
    }
    
    //最终的方法。如果能找到相应的权限标记,则返回true. 
    protected boolean isPermitted(Permission permission, AuthorizationInfo info) {
        Collection<Permission> perms = getPermissions(info);
        if (perms != null && !perms.isEmpty()) {
            for (Permission perm : perms) {
                // public boolean implies(Permission p)方法的比较稍微复杂,就不贴出来了。
                // 知道在里面进行最终的权限验证,找到就返回true.
                if (perm.implies(permission)) {
                    return true;
                }
            }
        }
        return false;
    }
}

 

路漫漫其修远兮 ,吾将上下而求索
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
spring boot+shiro 权限认证管理案例
12-20
Spring Boot 和 Apache Shiro 的整合是企业级应用中常见的权限认证和安全管理方案。Spring Boot 提供了简化 Java 应用程序开发的框架,而 Shiro 是一个轻量级的安全框架,专注于身份验证、授权、会话管理和加密。...
shiro权限认证和授权
02-26
在本文中,我们将深入探讨Shiro的核心概念,包括权限认证和授权,以及如何在实际项目中有效应用。 ### 一、Shiro认证 **1. 用户身份验证(Authentication)** 用户身份验证是验证用户身份的过程,确保用户是他们...
shiro授权过程
jasnet_u的博客
03-25 1378
一、授权的核心概念 授权,也就是权限认证或访问控制,即在应用中控制谁能访问哪些资源 授权中的核心要素: 1 用户,在shiro中代表访问系统的任何客户端,即subject 2 角色,是权限的集合,或字符串值表示的一种能力。 3 权限,即操作资源的权利。比如访问某个页面,以及对某功能模块的添加、修改、删除、查看的权利 (http://shiro.apache.org/authorization.ht...
Shiro之授权流程篇
qq_43654581的博客
10-29 365
了解Shiro的授权流程,并debug演示
JAVA整合Shiro实现认证授权-简单实现demo
tttttt521的博客
07-12 293
官方代码 Apache官网10分钟快速入门 作用:验证用户身份,用户访问权限控制 demo 实现-未连接数据库 引入依赖 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <version>1.4.1</version> </dependency> 测试之前
shiro系列-----------注解授权
weixin_38040972的博客
11-14 260
使用注解进行权限控制 1.原理:通过拦截器拦截特定的注解,然后解析注解里的值,然后判断subject.has*()转交给SecurityManager处理,层层流转最后会去比对域值或者缓存值。 2.拦截器源代码之一 public class PermissionAnnotationHandler extends AuthorizingAnnotationHandler { public P...
Shiro配置跳过权限验证
web18484626332的博客
03-28 2348
需求 因为在开发环境,测试环境,有时候需要跳过shiro权限验证.所以想写个简单的配置跳过shiro权限验证. 跳过权限验证的原理就是重写**@RequiresPermissions**的实现,然后在配置文件中写一个开关,最后通过Aop注入进去就大功告成. @RequiresPermissions 处理类 在 org.apache.shiro.authz.aop.PermissionAnnotationHandler 中处理这个注解,这就是我们要 覆写的类.我准备将它替换成log日志. /** * 检
shiro 权限认证以及授权demo
09-10
在这个"Shiro 权限认证以及授权demo"中,我们将深入理解Shiro的核心概念,并通过实际操作来熟悉其使用。 **1. 认证(Authentication)** Shiro认证过程涉及用户提交凭证(如用户名/密码)到系统,Shiro验证这些...
java shiro权限认证demo
09-10
这个"java shiro权限认证demo"应该是展示如何在Java项目中使用Shiro进行用户权限验证的一个实例。下面,我们将深入探讨Shiro的核心概念以及如何在实践中应用它们。 1. **Shiro基础概念** - **身份验证...
ssm的shiro权限认证demo
07-11
本Demo是一个SSM框架,从开始搭建SSM框架开始到Shiro权限认证的完成,都是一步一个截图的操作。具体搭建文档信息已经发布到我的博客中,可以从我的博客中查看到!没有之一,只有唯一,绝对是史上最详细通过idea搭建...
shiro权限框架学习三(授权、自定义realm授权)
踟蹰千年的博客
12-24 627
1.授权流程 2 .三种授权方法 Shiro 支持三种方式的授权: 编程式:通过写if/else 授权代码块完成: Subject subject = SecurityUtils.getSubject(); if(subject.hasRole(“admin”)) { //有权限 } else { //无权限 } 注解式:通过在执行的Java方法上放置相应的注解完成: @...
shiro提供的权限控制方式
bbboy的博客
03-29 308
shiro的四种权限控制方式:    1.url拦截            2.方法注解            3.页面标签            4.通过调用checkPermission()方法        值得注意一下的是:如果使用的是springmvc,那么注解开启的配置需要放到springmvc.xml里,否则注解的方式不会生效...
ShiroShiro从小白到大神(三)-权限认证(授权)
weixin_34311757的博客
09-22 574
本节讲权限认证,也就是授权 基于角色的访问控制和基于权限的访问控制的小实例 以及注解式授权和JSP标签授权详解 权限认证 权限认证核心要素 权限认证,也就是访问控制,即在应用中控制谁能访问哪些资源 在权限认证中,最核心的三个要素是:权限,角色和用户 (资源也算一个要素,但不是最核心的) 权限,即操作资源的 ...
shiro笔记(三)maven项目集成shiro的第一个项目,实现认证和判断权限;加密及凭证匹配器
一天不写代码难受的博客
08-06 1453
目录搭建maven项目框架 Shiro是不依赖于容器的,所以建立一个普通的Maven项目就可以。 搭建maven项目框架 以上是刚创建的maven项目架构 以下导入shiro依赖 <dependencies> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifac
权限管理之二 shiro
fwk19840301的博客
05-23 312
一、shiro 概念shiro是apache的一个开源框架,是一个权限管理的框架,实现 用户认证、用户授权。 spring中有spring security (原名Acegi),是一个权限框架,它和spring依赖过于紧密,没有shiro使用简单。shiro不依赖于spring,shiro不仅可以实现 web应用的权限管理,还可以实现c/s系统,分布式系统权限管理,shiro属于轻量框架,越来越多...
Shiro
weixin_30487701的博客
09-28 238
Shiro简介 SpringMVC整合ShiroShiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能。 Authentication:身份认证/登录,验证用户是不是拥有相应的身份; Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角色。或者细粒度的验证某个...
shiro权限--授予
withawind的博客
07-04 1198
上一篇讲了 shiro的登录认证 现在讲下shiro授权 首先在config中配置了拦截器 /** * Shiro的过滤器链 */ @Bean public ShiroFilterFactoryBean shiroFilter(DefaultWebSecurityManager securityManager) { Shiro...
SHiro学习笔记
dananhai381的专栏
09-03 396
简介 Shiro 是一个强大而灵活的开源安全框架,能够非常清晰的处理认证、授权、管理会话以及密码加密。如下是它所具有的特点: 1.   易于理解的 Java Security API; 2.   简单的身份认证(登录),支持多种数据源(LDAP,JDBC,Kerberos,ActiveDirectory等); 3.   对角色的简单的签权(访问控制),支持细粒度的签权; 4.   支持一
Shiro源码分析④ :鉴权流程
猫吻鱼的博客
02-04 1819
一、前言 由于之前没有使用过 Shiro,最近开始使用,故对其部分流程和源码进行了阅读,大体总结了一些内容记录下来。本系列并不会完完全全分析 Shiro 的全部代码,仅把主(我)要(用)流(到)程(的) 简单分析一下。由于本系列大部分为个人内容理解 并且 个人学艺实属不精,故难免出现 “冤假错乱”。如有发现,感谢指正,不胜感激。 二、FormAuthenticationFilter 三、流程 org.apache.shiro.web.filter.AccessControlFilter#onPreHand
Apache Shiro 权限认证框架详解与实战
Shiro 提供的功能包括用户验证、权限控制、无容器依赖的会话管理和加密服务。此外,Shiro 还支持 Web 应用和单点登录(SSO)以及\"RememberMe\"服务。" Apache Shiro 是一个全面的解决方案,旨在简化应用的安全实施...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值