Shiro-07-Authorization 授权

最新推荐文章于 2024-10-30 20:19:12 发布
最新推荐文章于 2024-10-30 20:19:12 发布
阅读量910 收藏 21
点赞数 19
分类专栏: web 安全 文章标签: 安全 java 架构 开发语言 哈希算法
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ryo1060732496/article/details/136159098
版权
安全 同时被 2 个专栏收录
18 篇文章 1 订阅
订阅专栏
web
13 篇文章 0 订阅
订阅专栏

授权

[外链图片转存中…(img-Hy85ZiSz-1708262588217)]

授权,也称为访问控制,是管理对资源访问的过程。

换句话说,控制谁有权访问应用程序中的内容

授权检查的示例包括:是否允许用户查看此网页,编辑此数据,查看此按钮或打印到该打印机?

这些都是决定用户有权访问的内容的决定。

授权要素

授权具有三个在Shiro中引用的核心元素:权限,角色和用户。

权限(Permissions)

Apache Shiro中的权限代表安全策略中最基本的元素。

从根本上讲,它们是有关行为的声明,并明确表示可以在应用程序中完成的操作。

格式正确的权限声明本质上描述了资源以及主题与这些资源进行交互时可以采取的措施。

权限声明的一些示例:

  • Open a file

  • View the ‘/user/list’ web page

  • Print documents

  • Delete the ‘jsmith’ user

大多数资源将支持典型的CRUD(创建,读取,更新,删除)操作,但是任何对特定资源类型有意义的操作都是可以的。

基本思想是,权限声明至少基于“资源和操作”。

在查看权限时,可能要意识到的最重要的事情是,权限语句不代表谁可以执行所代表的行为。它们仅是在应用程序中可以执行的操作的声明。

  • 权限仅代表行为

权限语句仅反映行为(与资源类型关联的操作)。它们不能反映谁能够执行这种行为。

定义允许谁(用户)执行某事(权限)是一种以某种方式向用户分配权限的练习。这始终由应用程序的数据模型完成,并且在不同的应用程序之间可能会有很大差异。

例如,权限可以分组在一个角色中,并且该角色可以与一个或多个用户对象相关联。或某些应用程序可以具有一个用户组,并且可以为一个组分配一个角色,这通过传递关联将意味着该组中的所有用户都隐式地获得了该角色中的权限。

如何授予用户权限有很多变体-应用程序根据应用程序需求确定如何对此建模。

我们将介绍Shiro如何确定某个主题是否被允许做某事或以后做某事。

权限粒度(Permission Granularity)

首先,权限示例指定对资源类型(门,文件,客户等)的操作(打开,读取,删除等)。

在某些情况下,他们甚至指定了非常精细的实例级行为-例如,使用用户名“ jsmith”(实例标识符)“删除”(操作)“用户”(资源类型)。

在 Shiro 中,您可以精确定义这些语句的粒度。

我们会在 Shiro 的权限文档中更详细地介绍权限粒度和权限声明的“级别”。

角色(Roles)

角色是一个命名实体,通常代表一组行为或职责。这些行为会转化为您可以使用软件应用程序执行或无法执行的操作。角色通常分配给用户帐户,因此通过关联,用户可以“执行”归因于各种角色的事情。

实际上有两种类型的角色,并且Shiro支持这两种概念:

隐式角色

大多数人将角色用作隐式构造:您的应用程序仅基于角色名称隐含一组行为(即权限)。

在具有隐式角色的情况下,在软件级别上没有任何内容说“允许角色X执行行为A,B和C”。

行为仅由名称暗示。

  • 潜在的脆弱安全性

虽然更简单,最常见的方法是隐式角色,但可能会带来很多软件维护和管理问题。

例如,如果您只想添加或删除角色,或稍后重新定义角色的行为,该怎么办?

每当需要进行更改时,您都必须返回源代码并更改所有角色检查,以反映安全模型中的更改!更不用说会产生的运营成本(重新测试,进行质量检查,关闭应用程序,使用新角色检查升级软件,重新启动应用程序等)。

对于非常简单的应用程序(例如,可能有“管理员”角色和“其他所有人”),这可能是可以的。但是对于更复杂或可配置的应用程序,这可能是整个应用程序生命周期内的主要主要问题,并为您的软件带来大量维护成本。

显式角色

但是,显式角色本质上是实际权限声明的命名集合。

以这种形式,应用程序(和Shiro)确切地知道具有或没有特定角色的含义。

因为已知可以执行或不能执行的确切行为,所以没有猜测或暗示特定角色可以执行或不能执行的操作。

Shiro团队提倡使用权限和显式角色,而不是较早的隐式方法。您将可以更好地控制应用程序的安全性。

  • 基于资源的访问控制

一定要阅读Les Hazlewood的文章“新的RBAC:基于资源的访问控制”,该文章深入介绍了使用权限和显式角色(以及它们对源代码的积极影响)而不是旧的隐式角色方法的好处。

用户(Users)

用户本质上是应用程序的“用户”。但是,正如我们之前介绍的那样,主题实际上是Shiro的“用户”概念。

允许用户(主题)通过与角色或直接权限的关联在您的应用程序中执行某些操作。您应用程序的数据模型精确定义了允许主题执行某项操作或不执行某项操作的方式。

例如,在您的数据模型中,也许您有一个实际的User类,并且直接将权限分配给User实例。或者,您可能仅直接将权限分配给角色,然后再将角色分配给用户,因此通过关联,用户可传递地“拥有”分配给其角色的权限。或者,您可以使用“组”概念来表示这些东西。这取决于您-使用对您的应用程序有意义的内容。

您的数据模型精确定义了授权将如何起作用。 Shiro依靠Realm实现将您的数​​据模型关联详细信息转换为Shiro理解的格式。稍后我们将介绍Realms如何做到这一点。

  • 注意

最终,您的Realm实现是与数据源(RDBMS,LDAP等)进行通信的对象。因此,您的 realm 将告诉Shiro是否存在角色或权限。您可以完全控制授权模型的结构和定义方式。

在这里插入图片描述

老马啸西风
关注
专栏目录
shiro-spring-boot-starter
warrah 南极狼
12-10 1366
springboot shiro
springboot集成shiro-redis
xy1073028328的博客
12-20 636
springboot集成shiro-redis springboot集成shiro-redis 近期公司项目中需要用到 shrio做登录认证,认证的token用redis存储,在集成过程中出现了一些问题,写这篇博客就是为了以后在调用的时候避坑,也希望可以帮助到其他遇到同样的问题。 项目架构 项目是前后端分离的项目,主要运用到以下的技术: 后端+后台管理: springboot; mybatise...
Shiro - 安全验证
weixin_45453240的博客
09-25 1116
简介 Apache ShiroJava 的一个安全(权限)框架。目前,使用Apache Shiro的人越来越多,因为它相当简单,对比Spring Security,可能没有Spring Security做的功能强大,但是在实际工作时可能并不需要那么复杂的东西,所以使用小而简单的Shiro就足够了。对于它俩到底哪个好,这个不必纠结,能更简单的解决项目问题就好了。 Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE 环境,也可以用在 JavaEE 环境 Shiro 可以完成:认证、
springboot_shiro_redis整合(一)-shiro-权限控制
gaogzhen的博客
02-23 959
springboot_shiro_redis整合(一)-shiro-权限控制 目录 文章目录一、前言二、shiro整合redis1、分析2、pom.xml 导入依赖2、相关具体类2.1、封装ShiroUtils 工具类2.2、UserRealm 自定义realm2.3、ShiroConfig 配置类2.4、CustomSessionManager 身份标志获取***后记*** : 内容 一、前言   目前常用的安全框架为spring security、shiro等,关于二者之间的比较,有兴趣的小伙
shiro入门学习--授权Authorization)|筑基初期
qq_43788185的博客
10-10 546
写在前面 经过前面的学习,我们了解了shiro中的认证流程,并且学会了如何通过自定义Realm实现应用程序的用户认证。在这篇文章当中,我们将学习shiro中的授权流程。 授权概述 这里的授权指的是授予某一系统的某一用户访问受保护资源的权限,分为查询、修改、插入和删除几类。没有相关权限的用户将无法访问受保护资源,具有权限的用户只能在自己权限范围内操作受保护资源。 关键对象 主体(Subject) 即指定的某一用户,这里的用户可以是浏览器、APP和第三方应用程序等。 资源(Resource) 这里的资源包括资源
浅析spring-security-oauth2-authorization-server
小东子的博客
06-07 4718
oauth2-authorization-server已做了很多封装处理, 在使用过程中, 我们主要关注这几个部分第一, 各种Converter或者我们自定义Converter, 如果自定义Converter通常需要自定义认证对象, 自定义Converter和认证对象都可以参考框架提供的, 如我们分析的ClientSecretBasicAuthenticationConverter和对应的认证对象OAuth2ClientAuthenticationToken第二, 各种Provider。
authorization权限控制_shiro入门学习--授权Authorization)|筑基初期
weixin_30356603的博客
01-31 584
写在前面经过前面的学习,我们了解了shiro中的认证流程,并且学会了如何通过自定义Realm实现应用程序的用户认证。在这篇文章当中,我们将学习shiro中的授权流程。授权概述这里的授权指的是授予某一系统的某一用户访问受保护资源的权限,分为查询、修改、插入和删除几类。没有相关权限的用户将无法访问受保护资源,具有权限的用户只能在自己权限范围内操作受保护资源。关键对象主体(Subject)即指定的某一用...
Shiro---授权源码分析
Apple_Andy的博客
09-14 427
一.步骤总结 1.首先调用Subject.isPermitted/hasRole接口,其会委托给SecurityManager,而SecurityManage接着委托给Authorizer 2.Authorizer是真正的授权者,如果我们调用如.isPermitted(“user:view”),其首先会通过PermissionResolver把字符串换成相应的permission实例 3.在进行授权之前,其会调用相应的realm获取Subject相应的角色/权限用于匹配传入的角色/权限 4.Authoriz
Spring Boot 3.3.2新特性发布,spring-security-oauth2-authorization-server使用1.3.1
曼陀罗的博客
06-03 1464
Prometheus Client 1.0.0是一个备受期待的流行 Java 指标库版本,它包含一些突破性的变化,包括但不限于对本机直方图的内置支持、与 OpenTelemetry 跟踪的无缝集成以及对 OpenTelemetry Exporter 的支持。spring-boot-actuator 模块现在包含 SBOM 端点。Spring Boot 进入了全新的 3.x 时代了,3.1.x 和 3.0.x 也相继停止维护了,商业支持的版本也只有 2.7+ 了,2.6.x 以下的版本彻底退出历史舞台。
shiro-1.7.1.zip
02-07
Apache Shiro是一个强大的Java安全框架,它为应用程序提供了身份验证(Authentication)、授权Authorization)、会话管理(Session Management)和加密(Cryptography)等核心功能。`shiro-1.7.1.zip`是一个包含...
shiro-root-1.2.3-source-release zipa包 和相关jar包
04-20
2. **授权Authorization)**:即权限控制,确定用户是否有执行特定操作的权限。Shiro提供角色(Role)和权限(Permission)的概念,可以对用户进行细粒度的权限分配。 3. **会话管理(Session Management)**:...
shiro-attack-4.7.0-SNAPSHOT-all.zip
10-24
Apache Shiro是一个强大的Java安全框架,它提供了身份验证(Authentication)、授权Authorization)以及会话管理(Session Management)等功能,广泛应用于各种类型的Java应用程序中。标题提到的"shiro-attack-...
shiro-root-1.4.1-source-release.zip
06-10
2. **授权Authorization)**:即访问控制,确定已认证的用户可以访问哪些资源。Shiro 提供灵活的权限表达式语言,允许开发者精细控制权限,如“用户A可以查看部门B的员工信息”。 3. **加密(Cryptography)**:...
shiro-all jar
04-16
4. **org.apache.shiro.authz**: 授权Authorization)模块,处理用户权限问题。Shiro可以基于角色、基于资源或者两者结合来进行权限控制,确保用户只能访问被授权的资源。 5. **org.apache.shiro.crypto**: 提供...
基于 SM3 的密钥派生函数 (KDF):国密合规的安全密钥生成方案
A_Lonely_Smile的博客
10-29 1007
在现代加密技术中,密钥派生函数(Key Derivation Function, KDF)是一个将初始输入(如密码、共享密钥等)转换为安全密钥的过程,用于实现加密、消息认证等密码操作。特别是在符合国密标准的场景中,基于 SM3 的 KDF 已成为一种常用的密钥生成方式。本文将详细讲解 SM3-KDF 的工作原理,逐步介绍其实现过程,并提供 Java 代码示例,帮助您理解如何在项目中应用 SM3-KDF。
前端如何安全存储密钥,防止信息泄露
最新发布
AM1n98的博客
10-30 1248
把公钥写在前端代码文件里被公司检测到了要整改,整理几种常见的前端密钥存储方案。
轻型民用无人驾驶航空器安全操控理论培训知识总结-多旋翼部分
Lizzy_Fly的博客
10-30 910
15.航空器的视觉避障只有在光照等环境条件满足视觉系统工作要求时才能生效,光照条件特别暗或者特别亮的情况下,请谨慎飞行,即使视觉系统正常工作时,也可能无法精准识别高压线,而且高压线还会影响图传和遥控信号,因此不建议在高压线间飞行,如因电力巡检等工作原因必须在此环境下飞行,建议经专门培训后再进行操作;当航空器记录了返航点并且在定位服务良好的情况下,航空器电池电量不足、遥控器与航空器之间失去通讯信号以及图传信号丢失时,将会触发自动返航,操控员也可主动开启自动返航,航空器将自动返回返航点并降落。
Linux系统安全配置
qq_24442273的博客
10-28 949
【代码】Linux系统安全配置。
【Python爬虫实战】网络爬虫完整指南:HTTP/HTTPS协议与爬虫安全实践
小火龙的博客
10-29 1193
是互联网的核心协议之一,用于在客户端(如浏览器或爬虫)和服务器之间传输数据。HTTP协议定义了请求和响应的格式,帮助不同设备进行信息交换,例如我们在浏览网页时,浏览器就是通过HTTP向服务器请求页面内容,然后显示在用户面前。是HTTP协议的升级版,通过SSL/TLS加密协议增强了数据传输的安全性。HTTPS协议会在数据传输过程中对数据进行加密,防止中途被拦截或篡改,因此在保护用户隐私和敏感信息方面起到了重要作用。
JFinal-Shiro-JDBC-Demo:基于JFinal框架与Shiro安全演示项目
- **主要组件**: 身份验证(Authentication)、授权Authorization)、会话管理(Session Management)和密码加密(Cryptography)。 - **特点**: 支持多种身份验证策略,灵活的授权机制,简单但强大的会话管理...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值