03-3 shiro授权

最新推荐文章于 2022-12-26 11:15:12 发布
最新推荐文章于 2022-12-26 11:15:12 发布
阅读量169 收藏
点赞数
分类专栏: shiro 鉴权中心 文章标签: 鉴权中心 shiro 授权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34231253/article/details/82772647
版权

03-3 shiro授权

一、授权概述

  • 授权也称访问控制,应用中控制资源访问权限
  • 主体:访问应用的用户
  • 资源:应用中用户可以访问的任何数据
  • 权限:表示是否可以访问某个数据或资源
  • 角色:代表为操作集合,可以理解为权限的集合
  • 隐式角色:直接通过角色来验证用户是否有操作权限
  • 显式角色:通过权限控制用户访问资源
授权的三种方式:
  • 1、编程式:通过判断授权代码实现
Subject subject = SecurityUtils.getSubject();
boolean add = subject.hasRole("add");
  • 2、注解式:通过方法添加注解实现
@RequireRoles("add")
public void add(){
    //有权限操作
}
  • 3、jsp/Gsp标签:页面中通过标签实现
<shiro:hasRole name="add">
    //有权限操作
</shiro:hasRole>

二、授权验证

1、创建项目:01-role

2、添加配置文件:shiro_role.ini

  • 文件路径:resource文件夹下
[users]
zhang=123,role1,role2
wang=123,role1

3、授权校验

package com.role;
​
​
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.util.Factory;
import org.junit.Test;
​
import java.util.Arrays;
​
/**
 * 授权验证
 *
 * @author brusion
 * @date 2018/9/15
 */
public class RoleApplication {
​
    @Test
    public void roleTest() {
        Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro_role.ini");
        SecurityManager manager = factory.getInstance();
​
        SecurityUtils.setSecurityManager(manager);
​
        Subject subject = SecurityUtils.getSubject();
        UsernamePasswordToken token = new UsernamePasswordToken("zhang", "123");
        try {
            subject.login(token);
            System.out.println("=== 登录成功 === ");
​
            boolean hasRole = subject.hasRole("role1");
            System.out.println("=== 是否有 role1 权限 === " + hasRole);
​
            boolean[] roles = subject.hasRoles(Arrays.asList("role1", "role2", "role3"));
            for (int x = 0; x < roles.length; x++) {
                System.out.println("=== 是否有 role" + x + " 权限 " + roles[x]);
            }
​
            boolean hasAllRoles = subject.hasAllRoles(Arrays.asList("role1", "role2", "role3"));
            System.out.println("=== 是否同时拥有 role1,role2,role3 权限 === " + hasAllRoles);
​
        } catch (Exception e) {
            System.out.println("=== 登录失败 === ");
        }
        subject.logout();
    }
}
说明:
  • Subject#hasRole:单个权限验证,返回为boolean类型
  • Subject#hasRoles:多个权限验证,返回值为每个权限校验的数组
  • Subject#hasAllRoles:是否同时拥有多个权限,返回值为boolean类型
  • Subject#checkRole:同样有3个方法,使用基本一致,不同的是checkRole没有权限会抛出异常

三、对资源的控制

四、授权流程

4.1、授权流程
  • 1、调用Subject#isPermitted/hasRole接口,并委托给SecurityManager。而SecurityManager委托给Authorizer。(Authorizer是真正的授权者)
  • 2、Authorizer通过PermissionResolver吧字符串账号成对应的Permission实例。
  • 3、授权之前会调用相应的Realm获取Subject相应的角色/权限用于匹配传入的角色/权限
  • 4、Authorizer会判断Realm的角色/权限是否和传入的匹配,如果有多个会委托给ModularRealmAuthorizer进行循环判断。
4.2、ModularRealmAuthorizer多Realm匹配流程
  • 1、先检查相应的Realm是否实现了Authorizer
  • 2、如果实现了Authorizer调用相应的isPermitted/hasRole接口进行匹配
  • 3、如果有一个realm匹配将返回true,负责返回false

4.3、Realm授权流程

  • 1、如果调用hasRole,则直接获取AuthorizerInfo#getRoles与传入的角色比较即可
  • 2、如果调用如isPermitted(""),首先通过PermissionResolver将权限字符串转换成相应的实例,默认使用WildcardPermissionResolver,转换为通配符WildcardPermission
  • 3、通过AuthorizationInfo#getObjectPermissions得到Permission实例集合,通过通过获取用户的角色并通过RolePermissionResolver解析角色对应的权限。
  • 4、调用Permission#implies(Permission)逐个与传入的权限比较,匹配的权限返回true,负责返回false。

五、自定义RolePermissionResolver

5.1、创建项目:03-authorizer

5.2、创建类实现Permission定义权限规则

package com.authorizer.permission;
​
​
import com.alibaba.druid.util.StringUtils;
import org.apache.shiro.authz.Permission;
​
​
/**
 * 位移方式的权限
 * 规则
 * 权限字符串格式:+资源字符串+权限位+实例ID
 * 1、以+开头之间通过+分割
 * 2、权限:
 * 0 表示所有权限
 * 1 新增 0001
 * 2 修改 0010
 * 4 删除 0100
 * 8 查看 1000
 * 如 +user+10 表示对资源user拥有修改/查看权限
 * 不考虑一些异常情况
 *
 * @author brusion
 * @date 2018/9/16
 */
public class BitPermission implements Permission {
​
    private String resourceIdentify;
    private int permissionBit;
    private String instanceId;
​
    public BitPermission(String permissionString) {
        String[] array = permissionString.split("\\+");
​
        if (array.length > 1) {
            resourceIdentify = array[1];
        }
​
        if (StringUtils.isEmpty(resourceIdentify)) {
            resourceIdentify = "*";
        }
​
        if (array.length > 2) {
            permissionBit = Integer.valueOf(array[2]);
        }
​
        if (array.length > 3) {
            instanceId = array[3];
        }
​
        if (StringUtils.isEmpty(instanceId)) {
            instanceId = "*";
        }
​
    }
​
    @Override
    public boolean implies(Permission p) {
        //权限匹配判断
​
        if (!(p instanceof BitPermission)) {
            return false;
        }
        BitPermission other = (BitPermission) p;
​
        if (!("*".equals(this.resourceIdentify) || this.resourceIdentify.equals(other.resourceIdentify))) {
            return false;
        }
​
        if (!(this.permissionBit == 0 || (this.permissionBit & other.permissionBit) != 0)) {
            return false;
        }
​
        if (!("*".equals(this.instanceId) || this.instanceId.equals(other.instanceId))) {
            return false;
        }
        return true;
    }
​
    @Override
    public String toString() {
        return "BitPermission{" +
                "resourceIdentify='" + resourceIdentify + '\'' +
                ", permissionBit=" + permissionBit +
                ", instanceId='" + instanceId + '\'' +
                '}';
    }
}

5.3、创建类实现权限解析

package com.authorizer.permission;
​
import org.apache.shiro.authz.Permission;
import org.apache.shiro.authz.permission.PermissionResolver;
import org.apache.shiro.authz.permission.WildcardPermission;
​
/**
 * @author brusion
 * @date 2018/9/16
 */
public class AuthorPermissionResolver implements PermissionResolver {
​
    @Override
    public Permission resolvePermission(String string) {
​
        //根据权限字符串是否以+开头来解析权限字符串为BitPermission或WildcardPermission
        if (string.startsWith("+")) {
            return  new BitPermission(string);
        }
        return new WildcardPermission(string);
    }
}

5.4、创建类实现权限集合

package com.authorizer.permission;
​
import org.apache.shiro.authz.Permission;
import org.apache.shiro.authz.permission.RolePermissionResolver;
import org.apache.shiro.authz.permission.WildcardPermission;
​
import java.util.Arrays;
import java.util.Collection;
import java.util.List;
​
/**
 * @author brusion
 * @date 2018/9/16
 */
public class AuthorRolePermission implements RolePermissionResolver {
​
    @Override
    public Collection<Permission> resolvePermissionsInRole(String string) {
​
        //根据角色字符串来解析得到的权限集合
        if ("role1".equals(string)) {
            List<Permission> permissions = Arrays.asList((Permission) new WildcardPermission("menu:*"));
            System.out.println("--- permissions权限集合是: " + permissions.toString());
            return permissions;
        }
        return null;
    }
}

5.5、创建类用于提供用户数据和用户权限

  • 推荐使用AuthorizingRealm代替Realm,只需要复写内部方法即可
package com.authorizer.realm;
​
import com.authorizer.permission.BitPermission;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.authz.permission.WildcardPermission;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
​
/**
 * @author brusion
 * @date 2018/9/16
 */
public class AuthorizerRealm extends AuthorizingRealm {
​
    //推荐使用AuthorizingRealm代替Realm,只需要复写内部方法即可
​
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
​
        //根据用户身份获取授权信息
        SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
        authorizationInfo.addRole("role1");
        authorizationInfo.addRole("role2");
        authorizationInfo.addObjectPermission(new BitPermission("+user1+10"));
        authorizationInfo.addObjectPermission(new WildcardPermission("user1:*"));
        authorizationInfo.addStringPermission("+user2+10");
        authorizationInfo.addStringPermission("user2:*");
        return authorizationInfo;
    }
​
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
​
        //获取身份验证信息
        String username = (String) token.getPrincipal();  //得到用户名
        String password = new String((char[]) token.getCredentials()); //得到密码
        if (!"zhang".equals(username)) {
            throw new UnknownAccountException(); //如果用户名错误
        }
        if (!"123".equals(password)) {
            throw new IncorrectCredentialsException(); //如果密码错误
        }
        //如果身份认证验证成功,返回一个AuthenticationInfo实现;
        return new SimpleAuthenticationInfo(username, password, getName());
    }
}
​

5.6、创建ini配置文件:shiro_authorizer.ini

[main]
#自定义authorizer
authorizer=org.apache.shiro.authz.ModularRealmAuthorizer
#自定义permissionResolver
#permissionResolver=org.apache.shiro.authz.permission.WildcardPermissionResolver
permissionResolver=com.authorizer.permission.AuthorPermissionResolver
authorizer.permissionResolver=$permissionResolver
​
#自定义rolePermissionResolver
rolePermissionResolver=com.authorizer.permission.AuthorRolePermission
authorizer.rolePermissionResolver=$rolePermissionResolver
​
securityManager.authorizer=$authorizer
​
#自定义realm 一定要放在securityManager.authorizer赋值之后
#(因为调用setRealms会将realms设置给authorizer,并给各个Realm设置permissionResolver和rolePermissionResolver)
realm=com.authorizer.realm.AuthorizerRealm
securityManager.realms=$realm

5.7、验证类

package com.authorizer;
​
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.util.Factory;
import org.junit.Test;
​
/**
 * @author brusion
 * @date 2018/9/16
 */
public class AuthorizerApplication {
​
    @Test
    public void checkPermission() {
        Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro_authorizer.ini");
        SecurityManager manager = factory.getInstance();
​
        SecurityUtils.setSecurityManager(manager);
        Subject subject = SecurityUtils.getSubject();
​
        UsernamePasswordToken token = new UsernamePasswordToken("zhang", "123");
        try {
            subject.login(token);
            System.out.println("  登录成功 ");
​
            //判断是否拥有权限
            boolean update1 = subject.isPermitted("user1:update");
            System.out.println("是否有权限 user1:update  " + update1);
            boolean update2 = subject.isPermitted("user2:update");
            System.out.println("是否有权限 user2:update  " + update2);
​
            //二进制方式权限判断
           System.out.println("是否有权限 +user1+1  " + subject.isPermitted("+user1+1"));
           System.out.println("是否有权限 +user1+8  " + subject.isPermitted("+user1+8"));
           System.out.println("是否有权限 +user2+10  " + subject.isPermitted("+user2+10"));
           System.out.println("是否有权限 +user1+4  " + subject.isPermitted("+user1+4"));
           System.out.println("是否有权限 menu:view  " + subject.isPermitted("menu:view"));
​
        } catch (Exception e) {
            System.out.println("  登录失败 " + e.toString());
        }
​
        subject.logout();
​
    }
}
​

5.8运行效果

  登录成功 
--- permissions权限集合是: [[menu]:[*]]
是否有权限 user1:update  true
--- permissions权限集合是: [[menu]:[*]]
是否有权限 user2:update  true
--- permissions权限集合是: [[menu]:[*]]
是否有权限 +user1+1  false
--- permissions权限集合是: [[menu]:[*]]
是否有权限 +user1+8  true
--- permissions权限集合是: [[menu]:[*]]
是否有权限 +user2+10  true
--- permissions权限集合是: [[menu]:[*]]
是否有权限 +user1+4  false
--- permissions权限集合是: [[menu]:[*]]
是否有权限 menu:view  true
潜水艇_
关注
专栏目录
Shiro----Shiro 中的授权检查
qq_48788523的博客
01-12 266
Shiro授权检查方式有几种, 都了解了吗?
shiro
weixin_33874713的博客
04-08 90
shiro开发 shiro源码解读 shiro默认拦截器 anon(AnonymousFilter.class), authc(FormAuthenticationFilter.class), authcBasic(BasicHttpAuthenticationFilter.class), logout(LogoutFilter.class), noSessionCreation(NoSessio...
Shiro中的授权问题(二)
江南一点雨的专栏
03-21 5754
上篇博客(Shiro中的授权问题 )我们介绍了Shiro中最最基本的授权问题,以及常见的权限字符的匹配问题。但是这里边还有许多细节需要我们继续介绍,本节我们就来看看Shiro授权的一些细节问题。验证流程首先我们要搞明白整个的验证流程是什么样子的。 在上篇博客(Shiro中的授权问题 )中,我们验证Subject是否具备某项权限的时候使用的是isPermitted方法,但是在上上篇博客(初识Shi
项目实战之旅游网(五)后台角色管理(下)& 后台权限管理
长夜漫漫,无心睡眠
12-26 932
查看源码后,我们知道侧边栏的标签在被选中时cassactive',我们可以利用sessionStorage。的数据,在关闭窗口或标签页之后将会删除这些数据。然后在这个映射文件的配置文件(RoleMapper.xml)中添加接口的的功能。之前每次发送请求时,侧边栏菜单都会合起来,用户体验较差,我们希望点击侧边栏菜单。后,浏览器记住我们点击的内容,在点击其他菜单前,该内容处于被选中状态。保存被选中的菜单,让它- -直处于被选中的状态。将上面的代码添加到公共侧边栏的那个前端文件中。运行项目,可以修改权限。
第三章 授权——《跟我学Shiro
jinnianshilongnian的专栏
02-21 730
  目录贴: 跟我学Shiro目录贴   授权,也叫访问控制,即在应用中控制谁能访问哪些资源(如访问页面/编辑数据/页面操作等)。在授权中需了解的几个关键对象:主体(Subject)、资源(Resource)、权限(Permission)、角色(Role)。 主体 主体,即访问应用的用户,在Shiro中使用Subject代表该用户。用户只有授权后才允许访问相应的资源。 资源 在应...
权限解决方案:Shiro自定义Permission、AOP + Shiro
qq_45716444的博客
06-01 3257
权限解决方案 Shiro自定义Permission Shiro授权扩展 Shiro AuthorizerRealm重写isPermitted AOP + Shiro AOP 加 Shiro
spring-boot-shiro:spring-boot-shiro前后端分离实现
05-14
它是一个很易用与Java项目的的安全框架,提供了认证、授权、加密、会话管理,与spring Security 一样都是做一个权限的安全框架,但是与Spring Security 相比,在于 Shiro 使用了比较简单易懂易于使用的授权方式。...
SpringMVC-Mybatis-Shiro-redis-master
01-18
**Apache Shiro** 是一个强大且易用的Java安全框架,负责认证、授权、会话管理和加密等功能。在Web应用中,Shiro可以帮助控制用户的访问权限,实现用户登录、权限验证以及安全相关的操作。例如,它可以限制未登录...
shiro-attack-4.7.0-SNAPSHOT-all.zip
最新发布
10-24
Apache Shiro是一个强大的Java安全框架,它提供了身份验证(Authentication)、授权(Authorization)以及会话管理(Session Management)等功能,广泛应用于各种类型的Java应用程序中。标题提到的"shiro-attack-...
SpringMVC-Mybatis-Shiro-redis
02-23
Shiro是Apache开源组织的一个强大且易用的安全框架,它提供了身份认证、授权、会话管理和密码加密等功能。在SpringMVC-Mybatis-Shiro-Redis体系中,Shiro负责用户登录验证、权限控制和会话管理。开发者可以方便地...
Shiro的permission管理,用户的认证和授权
超人的博客
08-16 3604
以下是步骤: 1.web.xml中配置:<display-name>shirodemo</display-name> <welcome-file-list> <welcome-file>index.jsp</welcome-file> </welcome-file-list> <context-param> <param-name>contex
Shiro 学习笔记(5)—— 自定义权限解析器和角色解析器
李威威的博客
09-17 8194
Shiro 学习笔记(5)—— 自定义角色权限解析器步骤1:实现 Permission 接口public class MyPermission implements Permission { private String resourceId; private String operator; private String instanceId; // 这里为了说明问题,
Spring整合Shiro做权限控制模块详细案例分析
逍遥飞鹤的专栏
08-18 4万+
Spring整合Shiro做权限控制模块详细案例分析
Shiro-Permissions 对权限的深入理解
weixin_30786657的博客
03-22 225
单个权限 query单个资源多个权限 user:query user:add    多值 user:query,add单个资源所有权限 user:query,add,update,delete    user:*所有资源单个权限 *.view 实例级别的权限控制单个实例的单个权限 printer:query:lp7200    printer:print:epsoncolor所有实例的单个权...
项目中使用shiro @RequiresPermissions:注解 为登录用户授予权限
可控的事情要谨慎,不可控的事情要乐观。
09-01 5438
在这之前,Shiro的具体验证过程 链接: https://blog.csdn.net/qq_37767455/article/details/99771312 和 https://blog.csdn.net/qq_37767455/article/details/91351791 下面完整代码地址: https://gitee.com/never_enough/jxc_system 一、表设计 ...
Shiro基础知识03----shiro授权(编程式授权),Permission详解,授权流程
ChangWen的博客
10-01 1万+
授权,也叫访问控制,即在应用中控制谁能访问哪些资源(如访问页面/编辑数据/页面操作等)。   在权限认证中,最核心的是:主体/用户(Subject)、权限(Permission)、角色(Role)、资源(Resource)。     1、权限,即操作资源的权利,通过权限我们可以表示在应用中用户有没有操作某个资源的权力。即权限表示在应用中用户能不能访问某个资源,比如访问某个页面,以及对某个模块的
_013_Shiro_Permissions
poiuyppp的博客
01-23 374
授权,也叫访问控制,即在应用中控制谁访问哪些资源(如访问页面/编辑数据/页面操作 等)。在授权中需了解的几个关键对象:主体(Subject)、资源(Resource)、权限(Permission)、角色(Role)。 • 主体(Subject):访问应用的用户,在 Shiro 中使用 Subject 代表该用户。用户只有授权 后才允许访问相应的资源。 • 资源(Resource):在应用中...
shiro简单配置
热门推荐
都是浮云
04-20 13万+
注:这里只介绍spring配置模式。 因为官方例子虽然中有更加简洁的ini配置形式,但是使用ini配置无法与spring整合。而且两种配置方法一样,只是格式不一样。 涉及的jar包 Jar包名称 版本 核心包shiro-core 1.2.0 Web相关包shiro-web 1.2.0
第六章 Realm及相关对象——《跟我学Shiro
jinnianshilongnian的专栏
02-26 1014
  目录贴: 跟我学Shiro目录贴     6.1 Realm 【2.5 Realm】及【3.5 Authorizer】部分都已经详细介绍过Realm了,接下来再来看一下一般真实环境下的Realm如何实现。    1、定义实体及关系 即用户-角色之间是多对多关系,角色-权限之间是多对多关系;且用户和权限之间通过角色建立关系;在系统中验证时通过权限验证,角色只是权限集合,即...
Apache Shiro授权机制详解
"Apache Shiro是一个强大的Java安全框架,用于实现身份验证、授权、会话管理和缓存等功能。本文将深入探讨Shiro授权机制,包括其核心组件、权限分配和授权流程。" Apache Shiro授权机制是其功能的重要组成部分...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值