shiro源码分析之自定义注解RequiredPermission(可代替RequiresPermissions)

最新推荐文章于 2024-05-29 16:53:39 发布
最新推荐文章于 2024-05-29 16:53:39 发布
阅读量5.2k 收藏 4
点赞数
文章标签: shiro源码分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013219624/article/details/83589863
版权

1.现象

shiro使用RequiresPermissions等注解必须添加如下切面,否则不生效
@Bean
public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager) {
    AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();
    authorizationAttributeSourceAdvisor.setSecurityManager(securityManager);
    return authorizationAttributeSourceAdvisor;
}

2.源码分析

分析AuthorizationAttributeSourceAdvisor(继承自StaticMethodMatcherPointcutAdvisor)源码发现,所有授权注解校验都在AUTHZ_ANNOTATION_CLASSES中    
private static final Class<? extends Annotation>[] AUTHZ_ANNOTATION_CLASSES =
        new Class[] {
                RequiresPermissions.class, RequiresRoles.class,
                RequiresUser.class, RequiresGuest.class, RequiresAuthentication.class
        };
        
        
并且其构造方法中加了AopAllianceAnnotationsAuthorizingMethodInterceptor(继承自AnnotationsAuthorizingMethodInterceptor)拦截器        
public AuthorizationAttributeSourceAdvisor() {
    setAdvice(new AopAllianceAnnotationsAuthorizingMethodInterceptor());
}   
    

而AopAllianceAnnotationsAuthorizingMethodInterceptor拦截器构造方法中加了一堆的对应注解拦截器
public AopAllianceAnnotationsAuthorizingMethodInterceptor() {
    List<AuthorizingAnnotationMethodInterceptor> interceptors =
            new ArrayList<AuthorizingAnnotationMethodInterceptor>(5);

    //use a Spring-specific Annotation resolver - Spring's AnnotationUtils is nicer than the
    //raw JDK resolution process.
    AnnotationResolver resolver = new SpringAnnotationResolver();
    //we can re-use the same resolver instance - it does not retain state:
    interceptors.add(new RoleAnnotationMethodInterceptor(resolver));
    interceptors.add(new PermissionAnnotationMethodInterceptor(resolver));
    interceptors.add(new AuthenticatedAnnotationMethodInterceptor(resolver));
    interceptors.add(new UserAnnotationMethodInterceptor(resolver));
    interceptors.add(new GuestAnnotationMethodInterceptor(resolver));

    setMethodInterceptors(interceptors);
}    

      
分析注解对应拦截器(都继承自AuthorizingAnnotationMethodInterceptor)发现,在其构造方法中添加校验权限的handler(PermissionAnnotationMethodInterceptor为例)
public PermissionAnnotationMethodInterceptor(AnnotationResolver resolver) {
    super( new PermissionAnnotationHandler(), resolver);
}


而他们的handler都是简单的调用权限校验方法,源码如下
public void assertAuthorized(Annotation a) throws AuthorizationException {
    if (!(a instanceof RequiresPermissions)) return;

    RequiresPermissions rpAnnotation = (RequiresPermissions) a;
    String[] perms = getAnnotationValue(a);
    Subject subject = getSubject();

    if (perms.length == 1) {
        subject.checkPermission(perms[0]);
        return;
    }
    if (Logical.AND.equals(rpAnnotation.logical())) {
        getSubject().checkPermissions(perms);
        return;
    }
    if (Logical.OR.equals(rpAnnotation.logical())) {
        // Avoid processing exceptions unnecessarily - "delay" throwing the exception by calling hasRole first
        boolean hasAtLeastOnePermission = false;
        for (String permission : perms) if (getSubject().isPermitted(permission)) hasAtLeastOnePermission = true;
        // Cause the exception if none of the role match, note that the exception message will be a bit misleading
        if (!hasAtLeastOnePermission) getSubject().checkPermission(perms[0]);
        
    }
}

3.自定义注解RequiredPermission, 用于授权校验

这里只是简单的加了des, 可根据自己需求去改    
@Target({ElementType.TYPE, ElementType.METHOD})
@Retention(RetentionPolicy.RUNTIME)
public @interface RequiredPermission {

    String[] value();

    Logical logical() default Logical.AND;

    String des() default "";
}

4.自定义MineAuthorizationAttributeSourceAdvisor继承自StaticMethodMatcherPointcutAdvisor

其实和AuthorizationAttributeSourceAdvisor的区别是AUTHZ_ANNOTATION_CLASSES中加入自己的注解, 然后使用自己的拦截器MineAopAllianceAnnotationsAuthorizingMethodInterceptor
public class MineAuthorizationAttributeSourceAdvisor extends StaticMethodMatcherPointcutAdvisor {
    private static final Logger log = LoggerFactory.getLogger(org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor.class);

    private static final Class<? extends Annotation>[] AUTHZ_ANNOTATION_CLASSES =
            new Class[] {
                    RequiresPermissions.class, RequiresRoles.class,
                    RequiresUser.class, RequiresGuest.class, RequiresAuthentication.class,
                    RequiredPermission.class
            };

    protected SecurityManager securityManager = null;

    public MineAuthorizationAttributeSourceAdvisor() {
        setAdvice(new MineAopAllianceAnnotationsAuthorizingMethodInterceptor());
    }

    public SecurityManager getSecurityManager() {
        return securityManager;
    }

    public void setSecurityManager(org.apache.shiro.mgt.SecurityManager securityManager) {
        this.securityManager = securityManager;
    }

    public boolean matches(Method method, Class targetClass) {
        Method m = method;

        if ( isAuthzAnnotationPresent(m) ) {
            return true;
        }

        if ( targetClass != null) {
            try {
                m = targetClass.getMethod(m.getName(), m.getParameterTypes());
                if ( isAuthzAnnotationPresent(m) ) {
                    return true;
                }
            } catch (NoSuchMethodException ignored) {
            }
        }

        return false;
    }

    private boolean isAuthzAnnotationPresent(Method method) {
        for( Class<? extends Annotation> annClass : AUTHZ_ANNOTATION_CLASSES ) {
            Annotation a = AnnotationUtils.findAnnotation(method, annClass);
            if ( a != null ) {
                return true;
            }
        }
        return false;
    }

}

5.自定义拦截器MineAopAllianceAnnotationsAuthorizingMethodInterceptor (继承自AopAllianceAnnotationsAuthorizingMethodInterceptor)

就是把自己的RequiredPermissionAnnotationMethodInterceptor拦截器添加到advice中
public class MineAopAllianceAnnotationsAuthorizingMethodInterceptor extends AopAllianceAnnotationsAuthorizingMethodInterceptor {

    public MineAopAllianceAnnotationsAuthorizingMethodInterceptor() {
        super();
        this.methodInterceptors.add(new RequiredPermissionAnnotationMethodInterceptor(new SpringAnnotationResolver()));
    }
}

6.自定义RequiredPermissionAnnotationMethodInterceptor拦截器 (继承自AuthorizingAnnotationMethodInterceptor)

定义自己的注解拦截器,并使用自己的RequiredPermissionAnnotationHandler
public class RequiredPermissionAnnotationMethodInterceptor extends AuthorizingAnnotationMethodInterceptor {

    public RequiredPermissionAnnotationMethodInterceptor(){
        super(new RequiredPermissionAnnotationHandler());
    }

    public RequiredPermissionAnnotationMethodInterceptor(AnnotationResolver resolver){
        super(new RequiredPermissionAnnotationHandler(), resolver);
    }
}

7.RequiredPermissionAnnotationHandler (继承自AuthorizingAnnotationHandler)

在assertAuthorized中添加自己的校验逻辑
public class RequiredPermissionAnnotationHandler extends AuthorizingAnnotationHandler {

    public RequiredPermissionAnnotationHandler() {
        super(RequiredPermission.class);
    }

    protected String[] getAnnotationValue(Annotation a) {
        RequiredPermission rpAnnotation = (RequiredPermission) a;
        return rpAnnotation.value();
    }

    @Override
    public void assertAuthorized(Annotation a) throws AuthorizationException {
        if (!(a instanceof RequiredPermission)) {
            return;
        }
        RequiredPermission rpAnnotation = (RequiredPermission) a;

        String[] perms = getAnnotationValue(a);
        Subject subject = getSubject();
        if (perms.length == 1) {
            subject.checkPermission(perms[0]);
            return;
        }

        if (Logical.AND.equals(rpAnnotation.logical())) {
            getSubject().checkPermissions(perms);
            return;
        }
        if (Logical.OR.equals(rpAnnotation.logical())) {
            boolean hasAtLeastOnePermission = false;
            for (String permission : perms) {
                if (getSubject().isPermitted(permission)) {
                    hasAtLeastOnePermission = true;
                }
            }
            if (!hasAtLeastOnePermission) {
                getSubject().checkPermission(perms[0]);
            }
        }
    }
}

8.替换MineAuthorizationAttributeSourceAdvisor替换AuthorizationAttributeSourceAdvisor

@Bean
public MineAuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager) {
    MineAuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new MineAuthorizationAttributeSourceAdvisor();
    authorizationAttributeSourceAdvisor.setSecurityManager(securityManager);
    return authorizationAttributeSourceAdvisor;
}

9.测试

@RequestMapping(value="/addTeacher.do", method =RequestMethod.GET)
@RequiredPermission(value = {"teacher:add"}, des = "添加老师")
public ResultMessage addTeacher(){
   return ResultMessage.success("permission success.");
}

@RequestMapping(value="/updateTeacher.do", method =RequestMethod.GET)
@RequiredPermission(value = {"teacher:update"},  des = "添加老师")
public ResultMessage updateTeacher(){
   return ResultMessage.success("permission success.");
}

源码 https://gitee.com/jsjack_wang/springboot-demo dev-shiro分支

byte_wjl
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
Shiro介绍(七):扩展自已的@RequiresPermission(修正)
SHARE & TOP
01-30 8385
本文是第六篇的修正版。因为在上一篇结尾,我其实对扩展方案是不太满意的,所以,今天,我重新做一个扩展,本次将注解的类名改成 @RequiresAction。
shiro授权RequiresPermissions注解使用
nanfang1012的博客
07-20 2万+
权限控制是shiro最核心的东西 Shiro权限声明通常是使用以冒号分隔的表达式。一个权限表达式可以清晰的指定资源类型,允许的操作,可访问的数据。同时,Shiro权限表达式支持简单的通配符,可以更加灵活的进行权限设置。 下面以实例来说明权限表达式。 可查询用户数据 User:view 可查询或编辑用户数据 User:view,edit 可对用户数据进行所有操作 User:* 或 user 可编辑i...
flutter permission_handler IOS端权限bug
最新发布
qq_37025271的博客
05-29 994
以下是podfile整个文件配置直接复制可以使用(权限那块看着开启)用到啥权限就开一下,不然出bug全都是状态不允许。用到什么权限就设置什么权限。
Shiro之@RequiresPermissions注解原理详解
热门推荐
敲代码的小小酥的博客
02-28 4万+
前言 shiro为我们提供了几个权限注解,如下图: 这几个注解原理都类似,这里我们讲解@RequiresPermissions的原理。 铺垫 第一 首先要清楚@RequiresPermissions的基本用法。就是在Controller的方法里,加上@RequiresPermissions注解,并写上权限标识。那么,有该权限标识的用户,才能访问到请求。如下图: 第二 先剧透一下,@RequiresPermissions注解的原理是使用了Spring的AOP进行了增强。来判断当前用户是否有该权限标识。我们
Shiro配置菜单url 替代Permission的范例
howard789的博客
03-29 1017
Shiro的权限可以用role,permission,是否登录等等方式限定,详情可以参考 https://blog.csdn.net/howard789/article/details/83305478 但是这样管理大型项目的时候会很混乱,因为太复杂了 所以另一个思路,是用菜单URL作为permission来管理,每一个用户分配其角色(可以有多个角色),这个系统要求必须登录才能使用,如果是对...
Shiro权限控制注解@RequiresPermissions的使用
Timing_562的博客
06-01 966
刚学习一个新的注解,这是shiro里的一个注解,该注解主要是用来做权限控制的,我们来看一下项目里随便拉来的一个 value:要求subject中必须同时含有test:shop:goods:add和test:shop:goods:edit的权限才能执行注解下边的方法(),多个权限用“,”号分割,权限不对会抛出异常AuthorizationException。 logical=logical.OR 或 表示满足其中一个权限即可访问, logical=logical.AND 与 表示满足所有权限才能访问。 .
shiro注解@RequiresPermissions等各种注解的用法
m0_54861649的博客
04-26 1350
转载地址:https://blog.csdn.net/qi923701/article/details/75224554 shiro注解权限控制-5个权限注解 Shiro共有5个注解,接下来我们就详细说说吧 RequiresAuthentication: 使用该注解标注的类,实例,方法在访问或调用时,当前Subject必须在当前session中已经过认证。 RequiresGuest: 使用该注解标注的类,实例,方法在访问或调用时,当前Subject可以是“gust”身份,不需要经过认证或者在原先的sess
SpringBoot 、Shiro自定义注解权限控制源码下载
04-06
4. **Shiro的权限控制**:掌握如何使用Shiro的注解进行权限判断,如@RequiresPermissions、@RequiresRoles等。 5. **MyBatis Plus的使用**:学习如何创建实体类、Mapper接口,以及如何编写Mapper XML文件来实现数据...
Spring配置shiro时自定义Realm中属性无法使用注解注入的解决办法
08-26
总结一下,解决Spring配置Shiro时自定义Realm中属性无法使用注解注入的问题,关键在于理解两个框架的生命周期,并调整配置文件确保Spring先于Shiro加载。这样做不仅解决了注解注入的问题,也使得整个应用的启动流程...
shiro源码分析
06-01
shiro入门及深入,对于想学习shiro的同学,是不错的学习资料。
Spring Boot学习之Shiro源码
01-27
Spring Boot学习之Shiro源码【学习狂神说,自己手动书写,可以实现正常所需的功能】 Spring Boot学习之Shiro源码【学习狂神说,自己手动书写,可以实现正常所需的功能】 Spring Boot学习之Shiro源码【学习狂神说,...
Shiro集成Spring之注解示例详解
08-27
在本文中,我们将深入探讨如何将Shiro与Spring集成,并利用注解进行权限控制。 首先,要启用Shiro的注解支持,我们需要在Spring的web配置文件`spring-web.xml`中添加以下内容: ```xml <bean class="org.apache....
android内部类访问权限,Android Studio:变量'requiredPermissions'是从内部类访问的,需要声明为最终的...
weixin_35732670的博客
06-03 516
我正在使用运行时权限并尝试使方法显示权限理由/ s以获取权限/ s和基本原理/ s 的问题是: “变量requiredPermissions'从内部类中访问,需要被声明为final”Android Studio:变量'requiredPermissions'是从内部类访问的,需要声明为最终的这就是我如何调用该方法:showRationale(R.string.permission_ACCESS_F...
项目中使用shiro @RequiresPermissions:注解 为登录用户授予权限
可控的事情要谨慎,不可控的事情要乐观。
09-01 5227
在这之前,Shiro的具体验证过程 链接: https://blog.csdn.net/qq_37767455/article/details/99771312 和 https://blog.csdn.net/qq_37767455/article/details/91351791 下面完整代码地址: https://gitee.com/never_enough/jxc_system 一、表设计 ...
@RequiresPermissions注解的使用
qq_35227352的博客
03-12 1万+
@RequiresPermissionsshiro的常用注解,用于获取权限 实例:@RequiresPermissions{“xxx1:xxx2:xxx3”} 执行这个方法会判断用户有没有相应的权限 会在某个地方进行配置,比如controller层其xxx1/xxx2/xxx3的url路径访问相应资源就可以正常访问。 ...
Shiro介绍(六):扩展自己的@RequiresPermission
SHARE & TOP
12-14 1万+
今天想分享的是一个自定义的注解,@RequiresMethodPermissions
对@RequirePermission注解的理解
weixin_51037685的博客
11-26 2791
新人一枚 记录成长。。。 记录个人对于@RequirePermission注解的个人理解 @RequirePermissionshiro根据权限进行拦截的一种方式,可以加在controller的上面,也可以加在controller的方面上面,进行接口的拦截,避免有人通过url直接访问系统造成什么不好的影响。 @RequirePermission的实现 实际是通过subject的isPermitted()方法实现的。通过底层代码我们可以发现,它是通过securityManager的isPermitted(
重写Shiro,拦截RequiresPermissions权限标识获取逻辑,实现Controller多级权限拼接
MinisterOL的博客
04-24 1077
逻辑分析:1、aop 切面拦截 controller 对应调用的方法2、获取对应方法的注解信息3、使用对应的解析器解析获取到的注解信息①、获取方法注解信息②、获取类注解信息③、返回注解信息4、从注解获取权限标识符根据以下代码分析,从注解解析器入手,进行拦截处理。
shiro 实现自定义权限规则校验
web13085338152的博客
08-24 275
显然第一种方法不适用,这些资源应该只能让我们自己的app进行访问。只需要重写 onAccessDenied方法,进行token判断!1:支持手机客户端访问的资源在权限配置中配置成anon。2:实现自定义认证拦截器,对用户请求资源进行认证。
shiro开放接口权限自定义注解,并在ShiroFilterFactoryBean中添加,用java语言编写
06-03
好的,针对您的问题,您可以使用Shiro提供的权限注解 `@RequiresPermissions`,并通过自定义注解来实现权限控制。 以下是一个示例代码,其实现了一个自定义注解 `@ApiPermission`,并在 `ShiroFilterFactoryBean` 中添加了该注解,用于控制开放接口的访问权限: ```java @Retention(RetentionPolicy.RUNTIME) @Target(ElementType.METHOD) public @interface ApiPermission { String[] value() default {}; } public class ApiPermissionFilter extends AuthorizationFilter { @Override protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception { Subject subject = getSubject(request, response); String[] permissions = (String[]) mappedValue; if (permissions == null || permissions.length == 0) { return true; } for (String permission : permissions) { if (subject.isPermitted(permission)) { return true; } } return false; } } @Configuration public class ShiroConfig { @Bean public ShiroFilterFactoryBean shiroFilterFactoryBean(DefaultWebSecurityManager securityManager) { ShiroFilterFactoryBean factoryBean = new ShiroFilterFactoryBean(); factoryBean.setSecurityManager(securityManager); Map<String, Filter> filterMap = new LinkedHashMap<>(); filterMap.put("apiPermission", new ApiPermissionFilter()); factoryBean.setFilters(filterMap); Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>(); filterChainDefinitionMap.put("/login", "anon"); filterChainDefinitionMap.put("/logout", "logout"); filterChainDefinitionMap.put("/api/**", "apiPermission[api:read]"); filterChainDefinitionMap.put("/**", "authc"); factoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap); return factoryBean; } } @RestController public class ApiController { @GetMapping("/api/test") @ApiPermission("api:read") public String test() { return "Hello, World!"; } } ``` 在上述代码中,我们定义了一个 `ApiPermissionFilter`,用于判断用户是否具有访问开放接口的权限。然后,在 `ShiroFilterFactoryBean` 中添加了该过滤器,并在 `filterChainDefinitionMap` 中使用 `apiPermission[api:read]` 来控制 `/api/**` 下的所有请求的访问权限。 最后,在 `ApiController` 中使用 `@ApiPermission("api:read")` 注解来标识需要具有 `api:read` 权限才能访问的接口。
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值