Shiro的授权机制

最新推荐文章于 2024-03-20 12:21:29 发布
最新推荐文章于 2024-03-20 12:21:29 发布
阅读量90 收藏
点赞数
文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73589635/article/details/130144886
版权

下面详细介绍在进行授权时,Shiro的内部处理机制。

如上图,我们通过Shiro架构图的授权部分,来说明Shiro授权内部的处理顺序:

1. 应用程序或框架代码调用任何Subject 的hasRole*, checkRole*, isPermitted*, 或者checkPermission*方法的变体,传递任何所需的权限或角色内容。

2. Subject 的实例,通常是DelegatingSubject (或子类)代表应用程序的SecurityManager 通过调用securityManager的各自相同的hasRole*, checkRole*, isPermitted*,或checkPermission*方法的变体(SecurityManager 实现org.apache.shiro.authz.Authorizer 接口,他定义了所有Subject 具体的授权方法)。

3. SecurityManager,作为一个基本的“保护伞”组件,接替/代表它内部的org.apache.shiro.authz.Authorizer实例通过调用authorizer 各自的hasRole*, checkRole*, isPermitted*, 或者checkPermissions*方法。默认情况下,authorizer 实例是一个ModularRealmAuthorizer 实例,它支持协调任何授权操作过程中的一个或多个Realm 实例。

4. 每个配置好的Realm 被检查是否实现了相同的Authorizer 接口。如果是,Realm 各自的hasRole*, checkRole*,isPermitted*,或checkPermission*方法将被调用。

如前所述,Shiro SecurityManager 的默认实现是使用一个ModularRealmAuthorizer 实例。ModularRealmAuthorizer 同样支持单一的Realm,以及多个Realm 的应用。

对于任何授权操作,ModularRealmAuthorizer 将遍历其内部的Realm 集合,并按顺序与每一个进行交互。每个Realm 的交互功能如下:如果Realm 自己实现了Authorizer 接口,它的各个Authorizer 方法(hasRole*, checkRole*, isPermitted*, 或checkPermission*)将被调用;如果Realm 不实现Authorizer 接口,它会被忽略。

当存在多个Realms时,ModularRealmAuthorizer 根据SecurityManager 的配置获得对Realm 实例的访问。当执行授权操作时,它会遍历该集合,同时对于每一个自己实现Authorizer 接口的Realm,调用Realm 各自的Authorizer 方法(如hasRole*, checkRole*,isPermitted*,或checkPermission*)。

如果Realm 的方法导致异常,该异常将会以AuthorizationException 的形式传递给调用者。同时任何剩余的Realm 将不会被该授权操作所访问。如果该Realm 的方法是一个返回布尔值的hasRole*或者isPermitted*的变体,并且该返回值为true,真值将会立即被返回,同时任何剩余的Realm 都将不会访问。这种处理是作为提高性能的一种行为。

当执行基于字符串的权限检查时, Shiro默认实现是将该字符串转换成一个实际的Permission 实例。所有Shiro Realm 的默认实现是内部的WildcardPermissionResolver,它采用Shiro 的WildcardPermission 字符串格式。你也可以创建自己的PermissionResolver 的实现,支持自己的权限字符串语法。可以将你的PermissionResolver 设置为全局的。例如:

globalPermissionResolver = com.foo.bar.authz.MyPermissionResolver

securityManager.authorizer.permissionResolver = $ globalPermissionResolver

...

也可以为特定的Realm设置自己创建的PermissionResolver。例如:

permissionResolver = com.foo.bar.authz.MyPermissionResolver

realm = com.foo.bar.realm.MyCustomRealm

realm.permissionResolver = $permissionResolver

...

与PermissionResolver 有相似概念的RolePermissionResolver 通过角色执行权限检查。RolePermissionResolver 的关键区别是输入的字符串是一个角色名,而不是一个权限字符串。

在Shiro 中授权有3种方式:

l 编写代码——你可以在你的Java 代码中用像if 和else 块的结构执行授权检查。

l JDK 的注解——你可以添加授权注解给你的Java 方法。

l JSP/GSP 标签库——你可以控制基于角色和权限的JSP 或者GSP 页面输出。
 

啊啊啊啊乐
关注
shiro——授权原理(源码流程)
dgh112233的博客
08-29 1022
目录 1. 授权入口 2. 源码追踪 1. 授权入口 subject.isPermitted(url); 这就是入口,如果用户有这个url权限,那么就返回true,如果没有,则返回false。 2. 源码追踪 由于我们的Subject默认是由DelegatingSubject 类实现的,所以调用的是DelegatingSubject类的isPermitted(String url...
shiro授权的实现原理
08-29
主要介绍了shiro授权的实现原理,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Apache Shiro 使用手册(三)Shiro 授权
kdboy的专栏
08-23 364
授权即访问控制,它将判断用户在应用程序中对资源是否拥有相应的访问权限。 如,判断一个用户有查看页面的权限,编辑数据的权限,拥有某一按钮的权限,以及是否拥有打印的权限等等。 [size=large][b][color=darkblue]一、授权的三要素[/color][/b][/size] 授权有着三个核心元素:权限、角色和用户。 [color=darkblue][b]权限[/b...
Shiro简单授权原理分析
懒人的博客
03-03 3997
Shiro授权简介Shiro授权简单来说分为两种类型: 粗粒度的:也就是代码中直接写入和角色的绑定。 细粒度的:代码中写入的是和权限的绑定,而角色到权限和可配置的。 对于粗粒度来说,若角色对应权限有改变的话,那么则需要更改代码,很不方便。而细粒度的好处显而易见,所以一般项目中应该都采用细粒度的权限配置。源码及流程分析那么Shiro中是如何来完成权限检验的呢? 通过调用Subject.hasRole
第三章 授权——《跟我学Shiro
jinnianshilongnian的专栏
02-21 727
  目录贴: 跟我学Shiro目录贴   授权,也叫访问控制,即在应用中控制谁能访问哪些资源(如访问页面/编辑数据/页面操作等)。在授权中需了解的几个关键对象:主体(Subject)、资源(Resource)、权限(Permission)、角色(Role)。 主体 主体,即访问应用的用户,在Shiro中使用Subject代表该用户。用户只有授权后才允许访问相应的资源。 资源 在应...
Shiro授权机制解析:主体、资源与权限
"本文主要介绍了Apache Shiro框架的授权实现原理...Shiro授权机制提供了一套完整的工具,用于实现灵活且强大的访问控制策略。开发者可以根据需求定义资源、权限和角色,从而精确控制用户的操作权限,确保应用的安全性。
Apache Shiro授权机制详解
本文将深入探讨Shiro授权机制,包括其核心组件、权限分配和授权流程。" Apache Shiro授权机制是其功能的重要组成部分,主要涉及到权限、角色和用户这三个核心元素。权限是指用户可以执行的具体操作,如读取文件...
理解Shiro授权机制:核心组件与认证流程解析
本资源主要总结了Shiro授权的内部处理机制。" Apache Shiro是一个轻量级的安全框架,它提供了简单易用的API来处理认证、授权、会话管理和密码加密等安全相关任务。Shiro的核心组件包括Subject、SecurityManager和...
Shiro授权
abcdefgh666的博客
09-19 115
术语简介 授权 授权,也叫访问控制,即在应用中控制谁能访问哪些资源。在授权中需了解的几个关键对象:主体(Subject)、资源(Resource)、权限(Permission)、角色(Role)。 *主体 主体,即访问应用的用户,在Shiro中使用Subject代表用户。用户只有授权后才允许访问相应的资源。 *资源 在应用中用户可以访问的任何东西,比如访问JSP页面、查看/编辑某些数据、访问某个业务方法、打印文本等等都是资源。用户只有授权后才能访问。 *权限 安全策略中的原子授权单位,通过权限我们可以表示在
shiro学习笔记九:shiro授权原理
chunlulin2540的博客
08-18 293
综合实例:基于shiro的按钮级别的权限管理系统 一、授权理解 授权:也叫访问控制,即在应用中控制谁能访问哪些资源(如访问页面/编辑数据/页面操作等)。在授权中需了解的几个关键对象:主体(Subject)、资源(Resource)、权限(Permission)、 角色(Role) ...
shiro 权限与角色
02-01
这里是shrio权限与角色,入门做为一个参考
ssm+shiro基于资源的权限控制框架(包含权限的认证、授权细致讲解),数据库使用mysql
12-27
Java语言的框架整合及权限的控制(粗粒度、细粒度) SSM(spring+springmvc+mybatis)的整合 SSM+shiro基于资源的权限控制整合demo 配置文件原理的注释 shiro的认证、授权、及从数据库mysql获取的认证信息方法都有提供
shiro 认证和授权原理
weixin_30814329的博客
03-27 503
一、认证原理 1、subject(主体)请求认真,调用subject.login(token) 2、SecurityManager (安全管理器)执行认证 3、SecurityManager通过ModularRealmAuthenticator进行认证。 4、ModularRealmAuthenticator将token传给realm,realm根据token中用户信息从数据库查询用户信息...
Shiro入门教程-简介/认证/授权原理详解
lj_淡然一笑的专栏
01-18 295
0. 链接 http://note.youdao.com/noteshare?id=de35e5d962d54bd70235b25b6b5a1f4a 1. 简介 2. 身份验证 2.1 环境准备 2.2 登陆退出 2.2.1 首先准备一些用户身份 / 凭据(shiro.ini) 2.2.2 测试用例 2.3 流程图解 2.4 Realm 2.4.1 自定...
Shiro认证、角色、权限
陈正的博客
08-14 504
Apache ShiroJava 的一个安全框架。Shiro 可以帮助我们完成:认证、授权、加密、会话管理、与 Web 集成、缓存等。 Shiro的内置Realm:IniRealm和JdbcRealm 编写测试案例之前需要添加shiro的相关依赖: <dependencies> <dependency> <gr...
Shiro授权认证原理和流程
weixin_30642561的博客
01-29 233
先来张图: 这是一张shiro的功能图: Authentication: 身份认证/登录,验证用户是否拥有相应的身份 Authorization: 授权/权限验证,验证某个已认证的用户是否拥有某个权限,包括验证用户是否拥有某个角色,或拥有某个操作权限 Session Management: 会话管理,shiro拥有自己的session(不需要web环境下就能使...
③【Shiro】角色(权限组)、权限授权
最新发布
ebb29bbe的博客
03-20 1131
Shiro权限授权
Shiro授权
qq_57907966的博客
12-24 1255
在controller层创建接口使用shiro中的注解@RequiresRoles指定能访问的角色名称在自定义的MyRealm自定义授权方法其中的service层dao层数据库表role角色表角色用户关系表。
shiro授权
m0_62528678的博客
08-26 194
RequiresPermissions(value = {"user:delete","user:b"},logical = Logical.OR):表示当前Subject需要权限user:delete或者user:b。@RequiresRoles(value = {"admin","user"},logical = Logical.AND):表示当前Subject需要角色admin和user。@RequiresGuest:表示当前Subject没有身份验证或者通过记住我登录过,即是游客身份。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值