shiro学习&授权流程

最新推荐文章于 2023-02-23 18:18:30 发布
最新推荐文章于 2023-02-23 18:18:30 发布
阅读量183 收藏
点赞数
分类专栏: shiro JAVA
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010608964/article/details/89553651
版权
JAVA 同时被 2 个专栏收录
66 篇文章 2 订阅
订阅专栏
shiro
3 篇文章 0 订阅
订阅专栏

首先,打断点进入到delegateSubject的isPermitted(String perssion)函数中,该函数要对主体进行身份的认证然后才是授权工作。

   public boolean isPermitted(String permission) {
        return this.hasPrincipals() && this.securityManager.isPermitted(this.getPrincipals(), permission);
    }

进入到AuthorizingSecurityManager的isPermitted函数中。

    public boolean isPermitted(PrincipalCollection principals, String permissionString) {
        return this.authorizer.isPermitted(principals, permissionString);
    }

进入到ModuleRealmAuthorizer中的isPermitted函数中。

 public boolean isPermitted(PrincipalCollection principals, String permission) {
        this.assertRealmsConfigured();
        Iterator i$ = this.getRealms().iterator();

        Realm realm;
        do {
            if (!i$.hasNext()) {
                return false;
            }

            realm = (Realm)i$.next();
        } while(!(realm instanceof Authorizer) || !((Authorizer)realm).isPermitted(principals, permission));

        return true;
    }

在while判断中进入到isPermitted函数中。其中将会进入到this.getAuthorizationInfo()中。

    public boolean isPermitted(PrincipalCollection principals, String permission) {
        Permission p = this.getPermissionResolver().resolvePermission(permission);
        return this.isPermitted(principals, p);
    }

    public boolean isPermitted(PrincipalCollection principals, Permission permission) {
        AuthorizationInfo info = this.getAuthorizationInfo(principals);
        return this.isPermitted(permission, info);
    }

如下所示。

protected AuthorizationInfo getAuthorizationInfo(PrincipalCollection principals) {
        if (principals == null) {
            return null;
        } else {
            AuthorizationInfo info = null;
            if (log.isTraceEnabled()) {
                log.trace("Retrieving AuthorizationInfo for principals [" + principals + "]");
            }

            Cache<Object, AuthorizationInfo> cache = this.getAvailableAuthorizationCache();
            Object key;
            if (cache != null) {
                if (log.isTraceEnabled()) {
                    log.trace("Attempting to retrieve the AuthorizationInfo from cache.");
                }

                key = this.getAuthorizationCacheKey(principals);
                info = (AuthorizationInfo)cache.get(key);
                if (log.isTraceEnabled()) {
                    if (info == null) {
                        log.trace("No AuthorizationInfo found in cache for principals [" + principals + "]");
                    } else {
                        log.trace("AuthorizationInfo found in cache for principals [" + principals + "]");
                    }
                }
            }

            if (info == null) {
                info = this.doGetAuthorizationInfo(principals);
                if (info != null && cache != null) {
                    if (log.isTraceEnabled()) {
                        log.trace("Caching authorization info for principals: [" + principals + "].");
                    }

                    key = this.getAuthorizationCacheKey(principals);
                    cache.put(key, info);
                }
            }

            return info;
        }
    }

在上面的位置,将会进入到我们自定义的realm。这里将会返回一个AuthorizationInfo,而这个对象是我们从数据库中获取的,用于后面的匹配验证工作。

    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {

        String username = (String) principalCollection.getPrimaryPrincipal();
        //查询数据库,事先指定的角色
        List<String> roles=new ArrayList<String>();
        //假设用户有role1角色
        roles.add("role1");

        List<String> permission=new ArrayList<String>();
        permission.add("user:delete");
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        info.addRoles(roles);
        info.addStringPermissions(permission);

        return info;

    }

 

yGIS
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
shiro学习笔记
04-03
这份"Shiro学习笔记"可能包含了以下主题: - Shiro的安装与配置 - Shiro基本概念详解 - Realm的创建与使用 - 登录与登出流程 - 权限控制机制 - 缓存管理和会话管理 - Shiro与Spring的整合 - Shiro的Filter链配置 - ...
二.shiro安全管理器加入redis缓存
u014203449的博客
02-16 2581
访问地址: 第一步搭建:https://blog.csdn.net/u014203449/article/details/79330811 访问地址地址:点击打开链接http://47.98.153.30:8080/ 账号:melo 密码:12345678 github地址:点击打开链接https://github.com/MeloFocus/focus 1.shiro为...
Shiro+ehcache配置缓存认证信息和授权信息
KK的博客
09-23 702
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager"> <property name="realm" ref="userRealm"/> <property name="cacheManager" ref="ehCacheMa...
springboot shiro 不执行授权方法doGetAuthorizationInfo()
m0_67392273的博客
04-08 2189
AuthorizingRealm中有两个需要被重写的方法,分别是 doGetAuthenticationInfo() //验证功能 和 doGetAuthorizationInfo() //授权功能 在login登录方法中,使用login()方法触发自定义的 myRealm.doGetAuthenticationInfo()*方法, /*登录方法*/ public void login(){ Subject subject = SecurityUtils.getSubject(); UsernamePa
shiro授权流程分析
qiuxinfa123的博客
04-05 286
上一篇博客,写了shiro认证流程分析 ,shiro主要功能是认证和授权,接下来,看看授权是如何进行的,既然要授权,当然会执行我们自定义的授权方法,所以在授权方法打个断点看看情况,当访问需要角色或者权限的接口时,就会来到授权方法(这里暂时不考虑缓存的因素,可以看做是第一次请求): 我们看一下方法调用栈: 可以看到控制器AdminController是C...
SpringBoot学习笔记32——整合Shiro完成接口权限验证
月月大王的博客
02-28 1557
整合Shiro完成接口权限验证
shiro学习示例
02-07
在"shiro学习示例"中,我们可以深入理解Shiro的核心概念和实际应用。 1. **Shiro基本概念** - **认证**:确认用户身份的过程,即用户输入用户名和密码,系统通过验证来确认用户的身份。 - **授权**:确定用户是否...
shiro学习笔记.rar
10-06
学习笔记主要涵盖了如何在Spring Boot项目中整合Shiro,并实现用户认证和授权,以及图片验证码的实现。 **1. Shiro 概述** Shiro 的核心组件包括 Realm(域)、Subject(当前操作用户)、Session Manager(会话...
shiro认证授权
08-03
通过分析和运行 `shiro-demo`,你可以更好地理解 Shiro 的实际应用场景,并学习如何在自己的项目中使用 Shiro 实现认证和授权功能。 总结,Apache Shiro 是一个功能丰富的安全框架,能够轻松处理认证、授权、加密和...
shiro授权流程
magicproblem的博客
02-03 301
1、授权需要继承 AuthorizingRealm 类, 并实现其 doGetAuthorizationInfo 方法(也可认证) public class MyRealm extends AuthorizingRealm 2、实现doGetAuthorizationInfo方法 /** * 授权 */ @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection
Shiro中@RequiresRoles使用
程序新视界
01-27 5118
Shiro中通过@RequiresRoles注解可检验权限,在检验权限之前先要设置权限: 授权方法中给用户添加角色 在自定义的Realm中(继承实现AuthorizingRealm)的doGetAuthorizationInfo方法中授权方法中给用户添加角色。 @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) { String userName =
Shiro源码理解片段
qq_44039494的博客
03-28 299
1.new SimpleAuthenticationInfo(user,user.getPassword(),""),做了什么? 问题:1.doGetAuthorizationInfo(PrincipalCollection principalCollection)中的PrincipalCollection是什么? 答:存储了用户对象,来自认证方法中认证对象存储的用户对象。 public class UserRealm extends AuthorizingRealm { //授权 @Ove
Shiro的三种授权
Kobe561的博客
01-04 658
前提就是在Realm的授权方法中查询出权限并返回List&lt;String&gt;形式 @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { // 从 principals获取主身份信息 // 将getP...
Shiro过滤器Filter的实战使用
最新发布
a1498665771的博客
02-23 1447
Shiro过滤器Filter的实战使用
Shiro授权信息刷新 | doGetAuthorizationInfo()不执行
qq_32352777的博客
06-10 3175
1
2017.2.7 开涛shiro教程-第六章-Realm及相关对象(二)
七月流火滋滋滋
01-04 238
原博客地址:http://jinnianshilongnian.iteye.com/blog/2018398 根据下载的pdf学习。   第六章 Realm及相关对象(二) 1.AuthenticationToken 由上篇可知,AuthenticationToken出现在UserRealm的方法doGetAuthenticationInfo()中。这个方法是用来验证的,token是验证
shiro——授权原理(源码流程
dgh112233的博客
08-29 1001
目录 1. 授权入口 2. 源码追踪 1. 授权入口 subject.isPermitted(url); 这就是入口,如果用户有这个url权限,那么就返回true,如果没有,则返回false。 2. 源码追踪 由于我们的Subject默认是由DelegatingSubject 类实现的,所以调用的是DelegatingSubject类的isPermitted(String url...
自定义realm出现doGetAuthorizationInfo多次重复调用
3k油:知道的越多,不知道的越多
10-09 1613
前言:此次排查的过程,主要是利用debug模式下,深入源码打断点才发现问题所在。 一、问题描述: 练习shiro认证授权,发现授权方法中相关的sql语句多次重复执行了。于是,各种排查,为什么会有多次重复执行相同的sql查询,这岂不是很影响性能。于是有了下面的排查过程。 二、发现问题,截图如下: 三、排查过程 (过程1):肯定是先从shiro的配置文件逐个排查过了,没有任何发现,还是解决不了问题。 (过程2):既然是多次sql语句执行,那考虑到是某个方法重复调用了。于是定位到了下边的这个方法。 a)d.
SpringBoot 基于Shiro + Jwt + Redis的用户权限管理 (三) 鉴权
bai_ye_的博客
07-06 6006
项目Github地址:https://github.com/baiye21/ShiroDemo SpringBoot 基于Shiro + Jwt + Redis的用户权限管理 (一) 简介与配置 SpringBoot 基于Shiro + Jwt + Redis的用户权限管理 (二) 认证 SpringBoot 基于Shiro + Jwt + Redis的用户权限管理 (三) 鉴权 SpringBoot 基于Shiro + Jwt + Redis的用户权限管理 (四) ..
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

yGIS

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值