3. Shiro 授权

最新推荐文章于 2023-05-09 15:43:22 发布
最新推荐文章于 2023-05-09 15:43:22 发布
阅读量272 收藏
点赞数
分类专栏: Shiro 文章标签: shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43647359/article/details/105878735
版权

本文参考张开套的《跟我学 Shiro》

文章目录

什么是授权

授权也称作访问控制,即在应用中控制谁能够访问哪些资源(例如访问页面/编辑数据/页面操作等)。在授权中需要了解的几个关键对象:主体 Subject、资源 Resource、权限 Permission、角色 Role。

  • Subject:主体,就是访问应用的用户,在 Shiro 中使用 Subject 代表用户,用户只有授权后才允许访问相应的资源。
  • Resource:在应用中用户可以访问的任何东西都称作资源,比如查看页面/编辑页面数据都是资源,用户只有授权后才能访问。
  • Permission:安全策略中的原子授权单位,简单来说就是在应用中用户能不能访问某个资源。
  • Role:角色代表了操作集合,可以理解为权限的集合,一般情况下我们会赋予用户角色而不是权限,这样用户可以拥有一组权限,赋予权限比较方方便,例如:项目经理、高级工程师、中级工程师都是角色,不同的角色拥有一组不同的权限。
  • 隐式角色:直接通过角色来验证用户有没有操作权限。
  • 显示角色:在程序中通过权限控制谁能访问某个资源,角色聚合一组权限集合,这样假设哪个角色不能访问某个资源,只需要从角色代表的权限集合中移除即可;无需修改多多处代码;粒度是以资源/实例为单位划分的,粒度较细。

授权方式

Shiro 支持三种方式的授权:

  • Java代码实现
Subject subject = SecurityUtils.getSubject();
if (subject.hasRole("admin")){
    // 具备 admin 权限
} else {
    // 不具备
}
  • 注解方式实现【没有权限将抛出相应的异常】
@RequiresRoles("admin")
public void hello() {
    //有权限
}
  • 通过 JSP/GSP 页面中相应的标签完成授权:
<shiro:hasRole name="admin">
<!-- 有权限 -->
</shiro:hasRole>

基于角色的访问控制

Shiro 提供了 hasRole/hasAllRoles/hasRoles 用于判断用户是否拥有某个角色/某些权限;

Shiro 提供的 checkRole/checkRoles 用于判断用户没有某个角色/权限则会抛出 UnauthorizedException 异常。

这种方式的缺点就是如果很多地方进行了角色判断,但是有一天不需要了那么就需要修改相应的代码把所有相关的地方进行删除,这就是粗粒度造成的问题。

基于资源的访问控制

Shiro 提供了 isPermitted和isPermittedAll 用于判断用户是否拥有某个权限或者所有权限,也没有提供如 isPermittedAny 用于判断拥有某一个权限的接口。

这种方式的一般规则是“资源标识符:操作”,即是资源级别的粒度;这种方式的好处就是如果要修改基本都是一个资源级别的修改,不会对其他模块产生影响,力度小。但是实现起来稍微复杂点,需要维护"用户——角色",“角色——权限”之间的关系。

Permission 字符串通配符权限

规则:资源标识符:操作:对象实例ID,即对哪个资源的实例可以进行什么操作。默认支持通配符权限字符串。
”:“ :表示资源/操作/实例的分割。
”,“ :逗号表示操作的分割。
”*“ :星号表示任意资源/操作/实例

1. 单个资源单个权限

subject().checkPermission("system:user:update");

2. 单个资源多个权限

ini 配置文件

role4=system:user:update,system:user:delete

Java 代码

subject().checkPermissions("system:user:update","system:user:delete")

上面的方式都可以简写:

role4="system:user:update,delete"

subject().checkPermission("system:user:update,delete");

3. 单个资源全部权限

ini 配置

role5="system:user:create,update,delete,view"

java 代码

subject().checkPermission("system:user:create,update,delete,view");

用户拥有增删改查的权限,可以简写为下面这样:

role5=system:user:*

subject().checkPermission("system:user:*");

4. 所有资源全部权限

role6=*:view

subject().checkPermission("user:view");

用户拥有所有资源的 view 所有权限,假设判断的权限是 system:user:view,可以这样写:

role5=*:*:view

授权流程

在这里插入图片描述

  1. 首先调用 Subject.isPermitted 的 hasRole 接口,将其委托给 SecurityManager,而 SecurityManager 接着会委托给 Authorizer;
  2. Authorizer 是真正的授权者,如果我们调用如 isPermitted(“user:view”),首先会通过 PermissionResolver 把字符串转换成相应的 Permission 实例;
  3. 在进行授权之前,其会调用相应的 Realm 获取 Subject 相应的角色/权限用于匹配传入的角色/权限;
  4. Authorizer 会判断 Realm 的角色/权限是否和传入的匹配,如果有多个 Realm ,会委托给 ModularRealmAuthorizer 进行循环判断,如果匹配如 isPermitted*/hasRole* 会返回 true,否则返回 false 表示授权失败。

ModularRealmAuthorizer 进行多 Realm 匹配流程:

  1. 首先检查相应的 Realm 是否实现了 Authorizer;
  2. 如果实现了 Authorizer ,那么接着调用其相应的 isPermitted*/hasRole* 接口进行匹配;
  3. 如果有一个 Realm 匹配那么将返回 true,否则返回 false。

如果 Realm 进行授权的话,应该继承 AuthorizingRealm ,它的流程是:

  1. 如果调用 hasRole*,则直接获取 AuthorizationInfo.getRoles() 与传入的角色比较。*
  2. 首先如果调用如isPermitted(“user:view”),首先通过PermissionResolver将权限字符串转换成相应的Permission实例,默认使用WildcardPermissionResolver,即转换为通配符的WildcardPermission;
  3. 如isPermitted(“user:view”),首先通过PermissionResolver将权限字符串转换成相应的Permission实例,默认使用WildcardPermissionResolver,即转换为通配符的WildcardPermission;
  4. 接着调用Permission. implies(Permission p)逐个与传入的权限比较,如果有匹配的则返回true,否则false。
南独酌酒nvn
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Shiro实战教程之shiro中的授权04
helloworld工程师的博客
03-19 189
Shiro实战教程之shiro中的授权04 5.1 授权 授权,即访问控制,控制谁能访问哪些资源。主体进行身份认证后需要分配权限方可访问系统的资源,对于某些资源没有权限是无法访问的。 5.2 关键对象 授权可简单理解为who对what(which)进行How操作: Who,即主体(Subject),主体需要访问系统中的资源。 What,即资源(Resource),如系统菜单、页面、按钮、类方法、系统商品信息等。资源包括资源类型和资源实例,比如商品信息为资源类型,类型为t01的商品为资源实例,编号
Shiro授权
qq_57907966的博客
12-24 1231
在controller层创建接口使用shiro中的注解@RequiresRoles指定能访问的角色名称在自定义的MyRealm自定义授权方法其中的service层dao层数据库表role角色表角色用户关系表。
拓展shiro字符串权限匹配
coooooding
03-15 2756
shiro框架中,可以使用字符串匹配权限。 比如user:query匹配查询用户的权限。 user:*可以匹配user:query,user:delete等。 然而,却不可以匹配user:id:query。即不可以跨级(分隔符:将字符串分为多个级)。 这里提供了一个可以多级匹配的实现。 MyRealm.java public class MyRealm extends Authoriz...
Shiro】Permission字符串及认证授权的相关内容
kevin的博客
05-09 1207
粗颗粒:对资源类型的管理称为粗颗粒度权限控制,即只控制到菜单、按钮、方法。细颗粒:对资源实例的控制称为细颗粒度权限管理,即控制到数据级别的权限。
Shiro 认证授权详解
皓晨的架构笔记
03-27 8064
1     权限管理1.1用户身份认证1.1.1  概念         身份认证,就是判断一个用户是否为合法用户的处理过程。最常用的简单身份认证方式是系统通过核对用户输入的用户名和口令,看其是否与系统中存储的该用户的用户名和口令一致,来判断用户身份是否正确。对于采用指纹等系统,则出示指纹;对于硬件Key等刷卡系统,则需要刷卡。1.1.2  用户名密码身份认证流程1.1.3  关键对象      ...
shiro.freemarker.ShiroTags已打包
07-17
Apache Shiro 是一个强大且易用的 Java 安全框架,它提供了认证、授权、加密和会话管理功能,简化了开发人员在应用程序中处理安全问题的复杂性。ShiroTags 是 Shiro 提供的一套用于模板引擎的标签库,如 Freemarker ...
shiro连接redis集群 根据org.crazycake.shiro包改造源码
02-06
Apache Shiro是一个强大的Java安全框架,它提供了身份验证、授权、会话管理和加密等功能。在分布式系统中,尤其是在使用Redis作为缓存或session存储时,Shiro的原生支持可能无法直接与Redis集群配合工作。这里提到的...
shiro授权.pdf
08-13
shiro 授权 #资源达人分享计划 # 技术文档
shiro授权的实现原理
08-29
3. 权限(Permission):是安全策略中的原子授权单位,通过权限我们可以表示在应用中用户有没有操作某个资源的权力。即权限代表了用户有没有操作某个资源的权利,不反映谁去执行这个操作。 4. 角色(Role):代表了...
shiro认证.docx
06-23
Apache Shiro 是一个强大且易用的Java安全框架,它提供了认证、授权、会话管理和加密等功能,用于构建简单且健壮的应用安全控制层。Shiro 的认证部分是其核心功能之一,允许系统确认用户的身份。下面我们将详细讲解...
Shiro 自学笔记三】Shiro授权机制
Koorye今天自学了吗
07-24 301
文章目录授权的概念主体资源权限角色授权的类型基于角色的访问控制基于资源的访问控制判断是否授权编程式注解式标签式实现授权和判断 这一期来了解一下 Shiro授权授权的概念 主体 主体,即访问应用的用户,在 Shiro 中使用 Subject 代表用户。用户只有授权后才允许访问相应的资源。 资源 在应用中用户可以访问的任何东西都称为资源。用户只有授权后才能访问。 权限 安全策略中的原子授权单位,通过权限我们可以表示在应用中用户有没有操作某个资源的权利。即权限表示在应用中用户能不能访问某个资源。 Shi
shiro(一):shiro基本概念及基本使用(认证、授权)
weixin_39724194的博客
01-31 1210
身份认证,就是判断一个用户是否为合法用户的处理过程。最常用的简单身份认证方式是系统通过核对用户输入的用户名和口令,看其是否与系统中存储的该用户的用户名和口令一致,来判断用户身份是否正确。对于采用指纹等系统,则出示指纹;对于硬件Key等刷卡系统,则需要刷卡。授权,即访问控制,控制谁能访问哪些资源。主体进行身份认证后需要分配权限方可访问系统的资源,对于某些资源没有权限是无法访问的。
shiro 权限标示的匹配测试
shuixiou1的博客
03-31 356
package com.source.test; import java.util.ArrayList; import java.util.List; import org.apache.shiro.util.CollectionUtils; import org.apache.shiro.util.StringUtils; /** * shiro 权限匹配测试 : 此处只测试单个权限标...
Shiro的基于字符串通配符的权限表达式
qq_28000789的博客
01-15 6855
深入理解Apache Shiro的Permissions 自己的理解:了解shiro的权限表达式有助于我们看到表达式就知道这个表达式的含义,我们就可以很方便的对资源设置权限时知道应该给这个资源什么样的权限表达式了。 比如:我们有四张表:机构organization、用户user、角色role、资源resource ![我们有四张表机构organzition、](https://img-blog.c...
Shiro--Permission字符串通配符权限
吴声子夜歌的博客
02-09 2743
字符串通配符权限 规则:“资源标识符:操作:对象实例ID” 即对哪个资源的哪个实例可以进行什么操作。其默认支持通配符权限字符串,“:”表示资源/操作/实例的分割;“,”表示操作的分割;“*”表示任意资源/操作/实例。 1. 单个资源单个权限 : subject().checkPermissions("system:user:update"); 用户拥有资源“system:user”的“upd...
ShiroShiro从小白到大神(三)-权限认证(授权)
weixin_34311757的博客
09-22 573
本节讲权限认证,也就是授权 基于角色的访问控制和基于权限的访问控制的小实例 以及注解式授权和JSP标签授权详解 权限认证 权限认证核心要素 权限认证,也就是访问控制,即在应用中控制谁能访问哪些资源 在权限认证中,最核心的三个要素是:权限,角色和用户 (资源也算一个要素,但不是最核心的) 权限,即操作资源的 ...
Shiro】3. Shiro授权流程
xiaoyuan_27的博客
12-20 760
授权 授权,即访问控制,控制谁能访问哪些资源。主体进行身份认证后需要分配权限方可访问系统的资源,对于某些资源没有权限是无法访问的。 授权的关键对象 授权可简单理解为Who对What / Which进行How操作。 Who:主体(Subject),主体需要访问系统中的资源。 What / Which:资源(Resource),如系统菜单、页面、按钮、类方法、系统商品信息等。资源包括资源类型和资源实例,比如商品信息为资源类型,类型为Type01的商品为资源实例,编号为001的商品信息也属于资源实例。
第三章 授权(二) Permission
yifanSJ的博客
08-17 847
字符串通配符权限 规则:“资源标识符:操作:对象实例ID” 即对哪个资源的哪个实例可以进行什么操作。 其默认支持通配符权限字符串,“:”表示资源/操作/实例的分割;“,”表示操作的分割;“*”表示任意资源/操作/实例。 1. 单个资源单个权限 subject().checkPermissions("system:user:update"); 用户拥有资源"system:user"的"up
05创建公务卡扣减明细表_CASH_USE_MINUSAMT_DETAIL_20240708-刘君.sql
最新发布
07-19
05创建公务卡扣减明细表_CASH_USE_MINUSAMT_DETAIL_20240708-刘君.sql
apache.shiro
06-01
Apache Shiro是一个用于身份验证、授权和加密的Java安全框架。它提供了一个易于使用的API,可以帮助开发人员保护应用程序中的敏感数据和功能。Shiro可以与各种数据存储集成,包括LDAP、JDBC、Active Directory和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值