03-3 shiro授权

最新推荐文章于 2022-09-01 11:43:53 发布
最新推荐文章于 2022-09-01 11:43:53 发布
阅读量137 收藏
点赞数
分类专栏: shiro 鉴权中心 文章标签: 鉴权中心 shiro 授权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34231253/article/details/82772647
版权

03-3 shiro授权

一、授权概述

  • 授权也称访问控制,应用中控制资源访问权限
  • 主体:访问应用的用户
  • 资源:应用中用户可以访问的任何数据
  • 权限:表示是否可以访问某个数据或资源
  • 角色:代表为操作集合,可以理解为权限的集合
  • 隐式角色:直接通过角色来验证用户是否有操作权限
  • 显式角色:通过权限控制用户访问资源
授权的三种方式:
  • 1、编程式:通过判断授权代码实现
Subject subject = SecurityUtils.getSubject();
boolean add = subject.hasRole("add");
  • 2、注解式:通过方法添加注解实现
@RequireRoles("add")
public void add(){
    //有权限操作
}
  • 3、jsp/Gsp标签:页面中通过标签实现
<shiro:hasRole name="add">
    //有权限操作
</shiro:hasRole>

二、授权验证

1、创建项目:01-role

2、添加配置文件:shiro_role.ini

  • 文件路径:resource文件夹下
[users]
zhang=123,role1,role2
wang=123,role1

3、授权校验

package com.role;
​
​
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.util.Factory;
import org.junit.Test;
​
import java.util.Arrays;
​
/**
 * 授权验证
 *
 * @author brusion
 * @date 2018/9/15
 */
public class RoleApplication {
​
    @Test
    public void roleTest() {
        Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro_role.ini");
        SecurityManager manager = factory.getInstance();
​
        SecurityUtils.setSecurityManager(manager);
​
        Subject subject = SecurityUtils.getSubject();
        UsernamePasswordToken token = new UsernamePasswordToken("zhang", "123");
        try {
            subject.login(token);
            System.out.println("=== 登录成功 === ");
​
            boolean hasRole = subject.hasRole("role1");
            System.out.println("=== 是否有 role1 权限 === " + hasRole);
​
            boolean[] roles = subject.hasRoles(Arrays.asList("role1", "role2", "role3"));
            for (int x = 0; x < roles.length; x++) {
                System.out.println("=== 是否有 role" + x + " 权限 " + roles[x]);
            }
​
            boolean hasAllRoles = subject.hasAllRoles(Arrays.asList("role1", "role2", "role3"));
            System.out.println("=== 是否同时拥有 role1,role2,role3 权限 === " + hasAllRoles);
​
        } catch (Exception e) {
            System.out.println("=== 登录失败 === ");
        }
        subject.logout();
    }
}
说明:
  • Subject#hasRole:单个权限验证,返回为boolean类型
  • Subject#hasRoles:多个权限验证,返回值为每个权限校验的数组
  • Subject#hasAllRoles:是否同时拥有多个权限,返回值为boolean类型
  • Subject#checkRole:同样有3个方法,使用基本一致,不同的是checkRole没有权限会抛出异常

三、对资源的控制

四、授权流程

4.1、授权流程
  • 1、调用Subject#isPermitted/hasRole接口,并委托给SecurityManager。而SecurityManager委托给Authorizer。(Authorizer是真正的授权者)
  • 2、Authorizer通过PermissionResolver吧字符串账号成对应的Permission实例。
  • 3、授权之前会调用相应的Realm获取Subject相应的角色/权限用于匹配传入的角色/权限
  • 4、Authorizer会判断Realm的角色/权限是否和传入的匹配,如果有多个会委托给ModularRealmAuthorizer进行循环判断。
4.2、ModularRealmAuthorizer多Realm匹配流程
  • 1、先检查相应的Realm是否实现了Authorizer
  • 2、如果实现了Authorizer调用相应的isPermitted/hasRole接口进行匹配
  • 3、如果有一个realm匹配将返回true,负责返回false

4.3、Realm授权流程

  • 1、如果调用hasRole,则直接获取AuthorizerInfo#getRoles与传入的角色比较即可
  • 2、如果调用如isPermitted(""),首先通过PermissionResolver将权限字符串转换成相应的实例,默认使用WildcardPermissionResolver,转换为通配符WildcardPermission
  • 3、通过AuthorizationInfo#getObjectPermissions得到Permission实例集合,通过通过获取用户的角色并通过RolePermissionResolver解析角色对应的权限。
  • 4、调用Permission#implies(Permission)逐个与传入的权限比较,匹配的权限返回true,负责返回false。

五、自定义RolePermissionResolver

5.1、创建项目:03-authorizer

5.2、创建类实现Permission定义权限规则

package com.authorizer.permission;
​
​
import com.alibaba.druid.util.StringUtils;
import org.apache.shiro.authz.Permission;
​
​
/**
 * 位移方式的权限
 * 规则
 * 权限字符串格式:+资源字符串+权限位+实例ID
 * 1、以+开头之间通过+分割
 * 2、权限:
 * 0 表示所有权限
 * 1 新增 0001
 * 2 修改 0010
 * 4 删除 0100
 * 8 查看 1000
 * 如 +user+10 表示对资源user拥有修改/查看权限
 * 不考虑一些异常情况
 *
 * @author brusion
 * @date 2018/9/16
 */
public class BitPermission implements Permission {
​
    private String resourceIdentify;
    private int permissionBit;
    private String instanceId;
​
    public BitPermission(String permissionString) {
        String[] array = permissionString.split("\\+");
​
        if (array.length > 1) {
            resourceIdentify = array[1];
        }
​
        if (StringUtils.isEmpty(resourceIdentify)) {
            resourceIdentify = "*";
        }
​
        if (array.length > 2) {
            permissionBit = Integer.valueOf(array[2]);
        }
​
        if (array.length > 3) {
            instanceId = array[3];
        }
​
        if (StringUtils.isEmpty(instanceId)) {
            instanceId = "*";
        }
​
    }
​
    @Override
    public boolean implies(Permission p) {
        //权限匹配判断
​
        if (!(p instanceof BitPermission)) {
            return false;
        }
        BitPermission other = (BitPermission) p;
​
        if (!("*".equals(this.resourceIdentify) || this.resourceIdentify.equals(other.resourceIdentify))) {
            return false;
        }
​
        if (!(this.permissionBit == 0 || (this.permissionBit & other.permissionBit) != 0)) {
            return false;
        }
​
        if (!("*".equals(this.instanceId) || this.instanceId.equals(other.instanceId))) {
            return false;
        }
        return true;
    }
​
    @Override
    public String toString() {
        return "BitPermission{" +
                "resourceIdentify='" + resourceIdentify + '\'' +
                ", permissionBit=" + permissionBit +
                ", instanceId='" + instanceId + '\'' +
                '}';
    }
}

5.3、创建类实现权限解析

package com.authorizer.permission;
​
import org.apache.shiro.authz.Permission;
import org.apache.shiro.authz.permission.PermissionResolver;
import org.apache.shiro.authz.permission.WildcardPermission;
​
/**
 * @author brusion
 * @date 2018/9/16
 */
public class AuthorPermissionResolver implements PermissionResolver {
​
    @Override
    public Permission resolvePermission(String string) {
​
        //根据权限字符串是否以+开头来解析权限字符串为BitPermission或WildcardPermission
        if (string.startsWith("+")) {
            return  new BitPermission(string);
        }
        return new WildcardPermission(string);
    }
}

5.4、创建类实现权限集合

package com.authorizer.permission;
​
import org.apache.shiro.authz.Permission;
import org.apache.shiro.authz.permission.RolePermissionResolver;
import org.apache.shiro.authz.permission.WildcardPermission;
​
import java.util.Arrays;
import java.util.Collection;
import java.util.List;
​
/**
 * @author brusion
 * @date 2018/9/16
 */
public class AuthorRolePermission implements RolePermissionResolver {
​
    @Override
    public Collection<Permission> resolvePermissionsInRole(String string) {
​
        //根据角色字符串来解析得到的权限集合
        if ("role1".equals(string)) {
            List<Permission> permissions = Arrays.asList((Permission) new WildcardPermission("menu:*"));
            System.out.println("--- permissions权限集合是: " + permissions.toString());
            return permissions;
        }
        return null;
    }
}

5.5、创建类用于提供用户数据和用户权限

  • 推荐使用AuthorizingRealm代替Realm,只需要复写内部方法即可
package com.authorizer.realm;
​
import com.authorizer.permission.BitPermission;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.authz.permission.WildcardPermission;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
​
/**
 * @author brusion
 * @date 2018/9/16
 */
public class AuthorizerRealm extends AuthorizingRealm {
​
    //推荐使用AuthorizingRealm代替Realm,只需要复写内部方法即可
​
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
​
        //根据用户身份获取授权信息
        SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
        authorizationInfo.addRole("role1");
        authorizationInfo.addRole("role2");
        authorizationInfo.addObjectPermission(new BitPermission("+user1+10"));
        authorizationInfo.addObjectPermission(new WildcardPermission("user1:*"));
        authorizationInfo.addStringPermission("+user2+10");
        authorizationInfo.addStringPermission("user2:*");
        return authorizationInfo;
    }
​
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
​
        //获取身份验证信息
        String username = (String) token.getPrincipal();  //得到用户名
        String password = new String((char[]) token.getCredentials()); //得到密码
        if (!"zhang".equals(username)) {
            throw new UnknownAccountException(); //如果用户名错误
        }
        if (!"123".equals(password)) {
            throw new IncorrectCredentialsException(); //如果密码错误
        }
        //如果身份认证验证成功,返回一个AuthenticationInfo实现;
        return new SimpleAuthenticationInfo(username, password, getName());
    }
}
​

5.6、创建ini配置文件:shiro_authorizer.ini

[main]
#自定义authorizer
authorizer=org.apache.shiro.authz.ModularRealmAuthorizer
#自定义permissionResolver
#permissionResolver=org.apache.shiro.authz.permission.WildcardPermissionResolver
permissionResolver=com.authorizer.permission.AuthorPermissionResolver
authorizer.permissionResolver=$permissionResolver
​
#自定义rolePermissionResolver
rolePermissionResolver=com.authorizer.permission.AuthorRolePermission
authorizer.rolePermissionResolver=$rolePermissionResolver
​
securityManager.authorizer=$authorizer
​
#自定义realm 一定要放在securityManager.authorizer赋值之后
#(因为调用setRealms会将realms设置给authorizer,并给各个Realm设置permissionResolver和rolePermissionResolver)
realm=com.authorizer.realm.AuthorizerRealm
securityManager.realms=$realm

5.7、验证类

package com.authorizer;
​
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.util.Factory;
import org.junit.Test;
​
/**
 * @author brusion
 * @date 2018/9/16
 */
public class AuthorizerApplication {
​
    @Test
    public void checkPermission() {
        Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro_authorizer.ini");
        SecurityManager manager = factory.getInstance();
​
        SecurityUtils.setSecurityManager(manager);
        Subject subject = SecurityUtils.getSubject();
​
        UsernamePasswordToken token = new UsernamePasswordToken("zhang", "123");
        try {
            subject.login(token);
            System.out.println("  登录成功 ");
​
            //判断是否拥有权限
            boolean update1 = subject.isPermitted("user1:update");
            System.out.println("是否有权限 user1:update  " + update1);
            boolean update2 = subject.isPermitted("user2:update");
            System.out.println("是否有权限 user2:update  " + update2);
​
            //二进制方式权限判断
           System.out.println("是否有权限 +user1+1  " + subject.isPermitted("+user1+1"));
           System.out.println("是否有权限 +user1+8  " + subject.isPermitted("+user1+8"));
           System.out.println("是否有权限 +user2+10  " + subject.isPermitted("+user2+10"));
           System.out.println("是否有权限 +user1+4  " + subject.isPermitted("+user1+4"));
           System.out.println("是否有权限 menu:view  " + subject.isPermitted("menu:view"));
​
        } catch (Exception e) {
            System.out.println("  登录失败 " + e.toString());
        }
​
        subject.logout();
​
    }
}
​

5.8运行效果

  登录成功 
--- permissions权限集合是: [[menu]:[*]]
是否有权限 user1:update  true
--- permissions权限集合是: [[menu]:[*]]
是否有权限 user2:update  true
--- permissions权限集合是: [[menu]:[*]]
是否有权限 +user1+1  false
--- permissions权限集合是: [[menu]:[*]]
是否有权限 +user1+8  true
--- permissions权限集合是: [[menu]:[*]]
是否有权限 +user2+10  true
--- permissions权限集合是: [[menu]:[*]]
是否有权限 +user1+4  false
--- permissions权限集合是: [[menu]:[*]]
是否有权限 menu:view  true
潜水艇_
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro授权类图关系简化版
04-13
shiro授权类图关系简化版
Shiro 学习笔记(5)—— 自定义权限解析器和角色解析器
李威威的博客
09-17 7754
Shiro 学习笔记(5)—— 自定义角色权限解析器步骤1:实现 Permission 接口public class MyPermission implements Permission { private String resourceId; private String operator; private String instanceId; // 这里为了说明问题,
CVE-2020-1957--Shiro授权访问
m0_54853420的博客
09-01 346
我们请求的URL在整个项目的传入传递过程,在使用了shiro的项目中,是我们请求的URL(URL1),经过shiro权限检验(URL2), 最后到springboot项目找到路由来处理(URL3)。漏洞的出现就在URL1,URL2和URL3 有可能不是同一个URL,这就导致我们能绕过shiro的校验,直接访问后端需要首选的URL。Shiro框架通过拦截器功能来对用户访问权限进行控制,如anon, authc等拦截器。authc为登录拦截器,需要登录才可以访问。,响应码为200,成功访问。...
Shiro基础知识03----shiro授权(编程式授权),Permission详解,授权流程
热门推荐
ChangWen的博客
10-01 1万+
授权,也叫访问控制,即在应用中控制谁能访问哪些资源(如访问页面/编辑数据/页面操作等)。   在权限认证中,最核心的是:主体/用户(Subject)、权限(Permission)、角色(Role)、资源(Resource)。     1、权限,即操作资源的权利,通过权限我们可以表示在应用中用户有没有操作某个资源的权力。即权限表示在应用中用户能不能访问某个资源,比如访问某个页面,以及对某个模块的
中间件---登陆认证授权---Shiro
FeelTouch Labs
02-17 1141
前言 Apache Shiro是Java的一个安全框架。目前,使用Apache Shiro的人越来越多,因为它相当简单,对比Spring Security,可能没有Spring Security做的功能强大,但是在实际工作时可能并不需要那么复杂的东西,所以使用小而简单的Shiro就足够了。对于它俩到底哪个好,这个不必纠结,能更简单的解决项目问题就好了。 介绍 Shiro可以非常容易的开发出足...
shiro安全框架初识--shiro简介、认证与授权
qq_44189274的博客
08-03 759
Apache Shiro 是一个强大易用的 Java 安全框架,提供了认证、授权、加密和session会话管理等功能,对于任何一个应用程序,Shiro 都可以提供全面的安全管理服务。并且相对于其他安全框架spring security,Shiro 要简单的多.Shiro可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以用在JavaEE环境。Shiro可以帮助我们完成:认证、授权、加密、会话管理、与Web集成、缓存等。...
apache-shiro-sample:Apache Shiro授权示例项目
04-03
Apache ShiroSpring启动示例可以使用Apache Maven命令运行此示例: mvn spring-boot:run 然后浏览或使用cURL到: curl --user emperor:secret http://localhost:8080/users
spring-boot-shiro:spring-boot-shiro前后端分离实现
05-14
它是一个很易用与Java项目的的安全框架,提供了认证、授权、加密、会话管理,与spring Security 一样都是做一个权限的安全框架,但是与Spring Security 相比,在于 Shiro 使用了比较简单易懂易于使用的授权方式。...
吴天雄--shiro个人总结笔记.doc
04-30
第一讲了解shiro(什么是shiroshiro的结构体系、核心功能、shiro的架构、shiro的工作流程、RBAC模型),第二讲 用户认证和授权(demo练习),第三讲 JdbcRealm及认证策略,第四讲 与Web集成(shiro+SpringMVC),...
Java全栈工程师-Apache Shiro
06-22
从零开始一步步从Shiro的基本原理,到Shiro完成...本课程讲解Shrio结合数据库的RBAC表进行动态的用户认证和授权的实现过程该课程属于《Java全栈工程师》学习路线中的一门,学习该课程的同时建议配合其他课程一起学习。
杭州电子科技大学数据结构(题目).pdf
04-26
杭州电子科技大学,期末考试资料,计算机专业期末考试试卷,试卷及答案,数据结构。
重庆大学 2010-2011(一)模拟电子技术A卷答案.pdf
04-26
重庆大学期末考试试卷,重大期末考试试题,试题及答案
如何创意年会组织形式?.docx
04-26
年会班会资料,节目策划,游戏策划,策划案,策划方案,活动方案,筹办,公司年会,开场白,主持人,策划主题,主持词,小游戏。
基于Django框架的博客系统.zip
04-26
基于Django框架的博客系统.zip
【基于Springboot+Vue的Java毕业设计】校园服务平台项目实战(源码+录像演示+说明).rar
04-26
【基于Springboot+Vue的Java毕业设计】校园服务平台项目实战(源码+录像演示+说明).rar 【项目技术】 开发语言:Java 框架:Spingboot+vue 架构:B/S 数据库:mysql 【演示视频-编号:321】 https://pan.quark.cn/s/8dea014f4d36 【实现功能】 系统可以提供信息显示和相应服务,其管理员增删改查接单员和接单员资料,审核接单员预订订单,查看订单评价和评分,通过留言功能回复用户提问。
财务收入支出凭证3.xlsx
04-26
Excel数据看板,Excel办公模板,Excel模板下载,Excel数据统计,数据展示
PTS技术内含数据集.zip
最新发布
04-26
PTS技术内含数据集.zip
财务助理总结(1).docx
04-26
工作总结,新年计划,岗位总结,工作汇报,个人总结,述职报告,范文下载,新年总结,新建计划。
重庆大学电磁场原理11年考题(A卷).pdf
04-26
重庆大学期末考试试卷,重大期末考试试题,试题及答案
thymeleaf-extras-shiro
04-11
'b'thymeleaf-extras-shiro'是一个Thymeleaf模板引擎的扩展,用于和Apache Shiro安全框架集成,方便在Thymeleaf模板中显示和控制用户的身份验证和授权信息。'

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值