shiro 验证角色,权限过程分析

最新推荐文章于 2024-03-20 12:21:29 发布
最新推荐文章于 2024-03-20 12:21:29 发布
阅读量1.5k 收藏 1
点赞数
分类专栏: shiro 深入浅出shiro 文章标签: shiro 权限
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013995395/article/details/90669023
版权

首先说明,在shiro中,实际应用中在方法上添加 RequiresPermissions 或者 RequiresRoles 注解会触发aop执行验证当前Subject是否有相关权限或者角色的代码。

RequiresPermissions 的注解处理器中调用 getSubject().isPermitted(String permission) 验证。

RequiresRoles  的注解处理器中调用 getSubject().hasRole(String role) 验证。

下面从调用 getSubject().isPermitted(String permission) 开始分析整个调用过程

步骤1:默认执行DelegatingSubject中的方法:

public boolean isPermitted(String permission) {
        return hasPrincipals() && securityManager.isPermitted(getPrincipals(), permission);
    }

首先验证实例字段  PrincipalCollection principals;长度不为0,然后调用securityManager验证是否有此权限

步骤2:securityManager使用内容实例变量 Authorizer authorizer来验证权限

public boolean isPermitted(PrincipalCollection principals, String permissionString) {
        return this.authorizer.isPermitted(principals, permissionString);
    }

步骤3:此时authorizer的默认实现类ModularRealmAuthorizer验证权限

 public boolean isPermitted(PrincipalCollection principals, String permission) {
        assertRealmsConfigured();
        for (Realm realm : getRealms()) {
            if (!(realm instanceof Authorizer)) continue;
            if (((Authorizer) realm).isPermitted(principals, permission)) {
                return true;
            }
        }
        return false;
    }

可以看出,最终和验证登录一样,登录的时候把realm转换为Realm接口调用身份认证接口,而现在是把realm转换为Authorizer,调用isPermitted验证权限。

步骤4:此时调用 抽象类 abstract class AuthorizingRealm中的方法,该类实现了接口Authorizer 的isPermitted方法

public boolean isPermitted(PrincipalCollection principals, String permission) {
        //把permission字符串转换为permission接口实现类的实例,例如String permission="aaa:bbb";
         //会转变成接口Permission实现类中的实例字段,分成aaa和bbb两个权限放在集合中存放
        Permission p = getPermissionResolver().resolvePermission(permission);
        return isPermitted(principals, p);
    }


public boolean isPermitted(PrincipalCollection principals, Permission permission) {
        //getAuthorizationInfo(principals)调用的就是AuthorizingRealm实现的方法了
        AuthorizationInfo info = getAuthorizationInfo(principals);
        return isPermitted(permission, info);
    }

 

 

步骤5:AuthorizingRealm实现的getAuthorizationInfo(principals)

 protected AuthorizationInfo getAuthorizationInfo(PrincipalCollection principals) {

        if (principals == null) {
            return null;
        }

        AuthorizationInfo info = null;

        Cache<Object, AuthorizationInfo> cache = getAvailableAuthorizationCache();
        if (cache != null) {
           
            //先到缓存中找
            Object key = getAuthorizationCacheKey(principals);
            info = cache.get(key);
          
        }


        if (info == null) {
            // 如果缓存中没有找到,则调用模板方法,就是我们继承此类实现的doGetAuthorizationInfo 
            //抽象方法
            info = doGetAuthorizationInfo(principals);
           
            if (info != null && cache != null) {
              
                Object key = getAuthorizationCacheKey(principals);
                cache.put(key, info);
            }
        }

        return info;
    }

步骤6:现在已经拿到AuthorizationInfo info,这个实例中包含着我们往里面放的权限集合,doGetAuthorizationInfo(principals):

Set<String> permsSet = new HashSet<String>();
permsSet.add("lightsaber");
permsSet.add("wield");
SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
info.setStringPermissions(permsSet);
return info;

现在回到了步骤4里面的方法:

public boolean isPermitted(PrincipalCollection principals, Permission permission) {
        //getAuthorizationInfo(principals)调用的就是AuthorizingRealm实现的方法了
        AuthorizationInfo info = getAuthorizationInfo(principals);
        return isPermitted(permission, info);
    }

继续这个类里面的方法,验证权限:

 protected boolean isPermitted(Permission permission, AuthorizationInfo info) {
        Collection<Permission> perms = getPermissions(info);
        if (perms != null && !perms.isEmpty()) {
            for (Permission perm : perms) {
                if (perm.implies(permission)) {
                    return true;
                }
            }
        }
        return false;
    }

获取true或false返回到最开始的getSubject().isPermitted(String permission) ,同理验证角色的过程比较相似,只要在doGetAuthorizationInfo(principals)方法中设置 info.setRoles();

 

 

 

杨白云-001
关注
专栏目录
Shiro授权之Shiro授权角色权限&&Shiro的注解式开发
m0_58525944的博客
12-22 876
今日目标: shiro授权角色权限 Shiro的注解式开发 本篇博客是在上一篇博客的基础上在进行编程的 shiro认证之md5盐加密&&shiro认证&&shiro加密的测试----shiro与SSM整合_m0_58525944的博客-CSDN博客 一,Shiro授权角色权限 表结构权限分析图 1在ShiroUserMapper.xml中新增内容 <!--授权的方法--> <select id="getRolesB..
Shiro基础应用——角色权限校验
qq_45337431的博客
10-10 2844
1.shiro的概述 2.相关依赖和配置文件 3.shiro工厂启动的初始化原理 4.整个的使用过程以及注意事项 5.自定义的标签的使用
SSM整合shiro实现角色权限
03-31
初学shiro和大家共勉
Shiro简单的角色权限控制
专注web开发
07-13 252
接着 上一篇文章简单的登录认证完成角色权限的控制 首先shiro.ini文件中增加如下代码: 给用户分配了角色,给角色添加了权限等,看注释 在webapp目录创建文件unauth.jsp,用来显示 没有权限时的提示信息。 添加的文件如下图: 重点是登录成功后的index.jsp管理界面。代码如下: &lt;%@ page language="java" conte...
权限控制_shiro_验证流程
燃烧的梦
10-20 441
Shiro Authorization ( 授权)
Shiro判断Subject是否拥有该角色
廖先森的博客
03-20 6772
主要针对hasRole、hasRoles、hasAllRoles、checkRoles这几个方法的使用笔记 #### [shiro_role.ini] ```ini [users] java1234=123456,role1,role2 jack=123,role1 ``` #### 单个判断角色 hasRole多个依次判断,返回true或者false,是否拥有该角色 ```java @Test...
Shiro角色权限验证
qq_35752835的博客
12-17 279
需要开启Shiro注解 先前已经配置过了 //开启Shrio注解 @Bean public AuthorizationAttributeSourceAdvisor getAuthorizationAttributeSourceAdvisor(UserRealm userRealm){ AuthorizationAttributeSourceAdvisor aasa = new AuthorizationAttributeSourceAdvisor(); aas
SpringBoot + Apache Shiro1.9.1 最新版本详细教程,基于RBAC角色访问、安全管理框架、用户角色权限
07-26
0、重点!重点!...1、本教程适用所有开发人员简单易懂,结合文章教程与demo示例。...5、基于RBAC五张表:用户表 tb_user、角色表tb_role、权限表tb_permission、用户角、表tb_user_role、角色权限tb_role_permissio
vue与shiro结合实现权限按钮
12-15
我们可以将角色权限信息存储在数据库中,然后通过Shiro权限API进行查询和校验。 在实现按钮级别的权限控制时,我们通常需要以下步骤: 1. **配置Shiro**:在后端服务器上,我们需要配置Shiro的Web环境,包括 ...
Shiro根据用户权限显示不同的菜单.Shiro根据权限显示指定菜单
01-06
Shiro中,权限分为角色(Role)和权限(Permission)。角色是一组权限的集合,权限则具体描述了用户可以执行的操作。例如,"admin"角色可能包含了"editUser"和"deleteUser"等权限。用户被分配角色角色再赋予相应...
shiro 权限角色
02-01
这里是shrio权限角色,入门做为一个参考
SSM+Shiro实现权限角色控制
11-07
SSM+Shiro实现权限角色控制,+Maven+Tomcat+Mysql,项目可直接在eclipse上跑,数据库表也附件在压缩包中。
③【Shiro角色(权限组)、权限授权
最新发布
ebb29bbe的博客
03-20 1114
Shiro权限授权
shiro认证登录与角色
m0_50250551的博客
08-21 293
shiro的认证流程:(源码大概流程是主体执行登陆验证是通过SecurityManager来操作,核心通过认证器(Authenticator),认证器通过去Realm中寻找数据进行对比验证) 1、创建SecurityManager核心环境,将其设置为环境; 2、获取主体; 3、传入认证数据提交; 4、在这之前别忘记指定存放数据的Realm shiro验证角色流程与认证登录类似:(源码大概流程主体验证角色时是通过SecurityManager,核心环境通过授权器(Authorizer),授权器通过去Realm
shiro授权、注解式开发
weixin_43939301的博客
10-15 231
目标 1、shiro授权角色权限 2、Shiro的注解式开发 shiro权限设计图: 授权 在ShiroUserMapper.xml中新增内容 <select id="getRolesByUserId" resultType="java.lang.String" parameterType="java.lang.Integer"> select r.roleid from t...
Shiro 权限管理
心猿意码
06-24 4258
一共5个表 用户表 角色权限表 用户角色中间表 角色权限中间表 权限验证 通过角色判断有没有权限。 比如 if 用户有在用户角色中间表中有经理的角色, 就可以查看工资。这中判断比较笼统。适合比如实现不同的角色登录以后看到不同的菜单。 通过权限标识来判断, 这个就需要查出用户拥有的具体权限。 这个权限控制比较细致。 适合细致的,比如部门公司的管理员,只能修改该部门下的员工资料。 Shi...
shiro学习笔记(二)- 角色校验
ITzhongzi的博客
07-11 153
shiro学习笔记(二)- 角色校验
Shiro---角色权限的校验方法
Apple_Andy的博客
09-11 908
一.角色校验 1.hasRole(String role) hasRole是判断是否具有某个角色:有就返回true,没有就返回false 2.hasRoles(List roles) 判断是否具有多个角色:返回值是一个boolean的数组,数组中的每一个元素代表了是否具有的角色 3.hasAllRoles(Collection roles) 判断是否具有多个角色:如果提供列表中没有用户所具有的角色,则返回false,如果都存在,返回true 4. subject.checkXxx() 也是判断用户是否具有角
深入浅出Shiro系列——权限认证
程序员的时光
07-01 525
写在前面:小伙伴儿们,大家好!上一篇我们学了Shiro的身份认证——深入浅出Shiro系列——身份认证这次让我们一起来学习Shiro权限认证!思维导图:1,Shiro 授权授权,也叫访问...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值