Shiro 入门教程 - Shiro 授予身份和切换身份

作者简介：大家好，我是smart哥，前中兴通讯、美团架构师，现某互联网公司CTO

联系qq：184480602，加我进群，大家一起学习，一起进步，一起对抗互联网寒冬

学习必须往深处挖，挖的越深，基础越扎实！

阶段1、深入多线程

阶段2、深入多线程设计模式

阶段3、深入juc源码解析

阶段4、深入jdk其余源码解析

阶段5、深入jvm源码解析

码哥源码部分

码哥讲源码-原理源码篇【2024年最新大厂关于线程池使用的场景题】

码哥讲源码【炸雷啦！炸雷啦！黄光头他终于跑路啦！】

码哥讲源码-【jvm课程前置知识及c/c++调试环境搭建】

​​​​​​码哥讲源码-原理源码篇【揭秘join方法的唤醒本质上决定于jvm的底层析构函数】

码哥源码-原理源码篇【Doug Lea为什么要将成员变量赋值给局部变量后再操作？】

码哥讲源码【你水不是你的错,但是你胡说八道就是你不对了！】

码哥讲源码【谁再说Spring不支持多线程事务，你给我抽他！】

终结B站没人能讲清楚红黑树的历史，不服等你来踢馆！

打脸系列【020-3小时讲解MESI协议和volatile之间的关系，那些将x86下的验证结果当作最终结果的水货们请闭嘴】

授予身份及切换身份

在一些场景中，比如某个领导因为一些原因不能进行登录网站进行一些操作，他想把他网站上的工作委托给他的秘书，但是他不想把帐号 / 密码告诉他秘书，只是想把工作委托给他；此时和我们可以使用 Shiro 的 RunAs 功能，即允许一个用户假装为另一个用户（如果他们允许）的身份进行访问。

 

表及数据 SQL

请运行 shiro-example-chapter21/sql/ shiro-schema.sql 表结构
请运行 shiro-example-chapter21/sql/ shiro-schema.sql 数据

实体

具体请参考 com.github.zte.shiro.chapter21 包下的实体。

    public class UserRunAs implements Serializable {
        private Long fromUserId;//授予身份帐号
        private Long toUserId;//被授予身份帐号
    }

该实体定义了授予身份帐号（A）与被授予身份帐号（B）的关系，意思是 B 帐号将可以假装为 A 帐号的身份进行访问。

DAO

具体请参考 com.github.zte.shiro.chapter21.dao 包下的 DAO 接口及实现。

Service

具体请参考 com.github.zte.shiro.chapter21.service 包下的 Service 接口及实现。

    public interface UserRunAsService {
        public void grantRunAs(Long fromUserId, Long toUserId);
        public void revokeRunAs(Long fromUserId, Long toUserId);
        public boolean exists(Long fromUserId, Long toUserId);
        public List<Long> findFromUserIds(Long toUserId);
        public List<Long> findToUserIds(Long fromUserId);
    }

提供授予身份、回收身份、关系存在判断及查找 API。

Web 控制器 RunAsController

该控制器完成：授予身份 / 回收身份 / 切换身份功能。

展示当前用户能切换到身份列表，及授予给其他人的身份列表 ：

    @RequestMapping
    public String runasList(@CurrentUser User loginUser, Model model) {
        model.addAttribute("fromUserIds", 
            userRunAsService.findFromUserIds(loginUser.getId()));
        model.addAttribute("toUserIds", userRunAsService.findToUserIds(loginUser.getId()));
        List<User> allUsers = userService.findAll();
        allUsers.remove(loginUser);
        model.addAttribute("allUsers", allUsers);
        Subject subject = SecurityUtils.getSubject();
        model.addAttribute("isRunas", subject.isRunAs());
        if(subject.isRunAs()) {
            String previousUsername =
                    (String)subject.getPreviousPrincipals().getPrimaryPrincipal();
            model.addAttribute("previousUsername", previousUsername);
        }
        return "runas";
    }

1. Subject.isRunAs()：表示当前用户是否是 RunAs 用户，即已经切换身份了；
2. Subject.getPreviousPrincipals()：得到切换身份之前的身份，一个用户可以切换很多次身份，之前的身份使用栈数据结构来存储；

授予身份

把当前用户身份授予给另一个用户，这样另一个用户可以切换身份到该用户。

    @RequestMapping("/grant/{toUserId}")
    public String grant(
            @CurrentUser User loginUser,
            @PathVariable("toUserId") Long toUserId,
            RedirectAttributes redirectAttributes) {
        if(loginUser.getId().equals(toUserId)) {
            redirectAttributes.addFlashAttribute("msg", "自己不能切换到自己的身份");
            return "redirect:/runas";
        }
        userRunAsService.grantRunAs(loginUser.getId(), toUserId);
        redirectAttributes.addFlashAttribute("msg", "操作成功");
        return "redirect:/runas";
    }

1. 自己不能授予身份给自己；
2. 调用 UserRunAsService. grantRunAs 把当前登录用户的身份授予给相应的用户；

回收身份

把授予给某个用户的身份回收回来。

    @RequestMapping("/revoke/{toUserId}")
    public String revoke(
            @CurrentUser User loginUser,
            @PathVariable("toUserId") Long toUserId,
            RedirectAttributes redirectAttributes) {
        userRunAsService.revokeRunAs(loginUser.getId(), toUserId);
        redirectAttributes.addFlashAttribute("msg", "操作成功");
        return "redirect:/runas";
    }

切换身份

    @RequestMapping("/switchTo/{switchToUserId}")
    public String switchTo(
            @CurrentUser User loginUser,
            @PathVariable("switchToUserId") Long switchToUserId,
            RedirectAttributes redirectAttributes) {
        Subject subject = SecurityUtils.getSubject();
        User switchToUser = userService.findOne(switchToUserId);
        if(loginUser.equals(switchToUser)) {
            redirectAttributes.addFlashAttribute("msg", "自己不能切换到自己的身份");
            return "redirect:/runas";
        }
        if(switchToUser == null || !userRunAsService.exists(switchToUserId, loginUser.getId())) {
            redirectAttributes.addFlashAttribute("msg", "对方没有授予您身份，不能切换");
            return "redirect:/runas";
        }
        subject.runAs(new SimplePrincipalCollection(switchToUser.getUsername(), ""));
        redirectAttributes.addFlashAttribute("msg", "操作成功");
        redirectAttributes.addFlashAttribute("needRefresh", "true");
        return "redirect:/runas";
    }

1. 首先根据 switchToUserId 查找到要切换到的身份；
2. 然后通过 UserRunAsService. exists() 判断当前登录用户是否可以切换到该身份；
3. 通过 Subject.runAs() 切换到该身份；

切换到上一个身份

    @RequestMapping("/switchBack")
    public String switchBack(RedirectAttributes redirectAttributes) {
        Subject subject = SecurityUtils.getSubject();
        if(subject.isRunAs()) {
           subject.releaseRunAs();
        }
        redirectAttributes.addFlashAttribute("msg", "操作成功");
        redirectAttributes.addFlashAttribute("needRefresh", "true");
        return "redirect:/runas";
    }

1. 通过 Subject.releaseRunAs() 切换会上一个身份；

此处注意的是我们可以切换多次身份，如 A 切换到 B，然后再切换到 C；那么需要调用两次 Subject. releaseRunAs() 才能切换会 A；即内部使用栈数据结构存储着切换过的用户；Subject. getPreviousPrincipals() 得到上一次切换到的身份，比如当前是 C；那么调用该 API 将得到 B 的身份。

测试

1、首先访问 http://localhost:8080/chapter21/，输入 admin/123456 进行登录；会看到如下界面：

2、点击切换身份按钮，跳到如下界面：

在该界面可以授权身份给其他人（点击授权身份可以把自己的身份授权给其他人 / 点击回收身份可以把之前授予的身份撤回）、或切换到其他身份（即假装为其他身份运行）；

3、点击切换到该身份按钮，切换到相应的身份运行，如：

此时 zhang 用户切换到 admin 身份；如果点击切换回该身份，会把当前身份切换会 zhang。