shiro授权流程

最新推荐文章于 2022-08-26 21:59:48 发布
最新推荐文章于 2022-08-26 21:59:48 发布
阅读量64 收藏
点赞数
文章标签: python
原文链接:https://my.oschina.net/u/2427561/blog/1518875
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

开始正题前,先谈谈对继承与实现的一点点理解,敲了三年代码终于理解一点点继承与实现的妙用了,继承就是把大家公共的方法提做父类的方法,后面只要继承这个父类,就拥有了父类的所有方法,这样就减少了很多冗余代码; 实现就是接口先规范一些方法,我要调用接口里的方法帮我做一些事情,这时我并不知道这个方法具体是怎么实现的,后面我可以用各种不同的方式实现这个接口的方法,实现了哪个前面实际就调用哪个。 以下是实际举例: 1shiro的AuthorizingRealm类调用了接口PermissionResolver的resolvePermission方法把字符串转换成相应的Permission实例,这个时候它虽然调用了,但是它不知道具体是怎么转的。需要我们告诉它,于是,我们要实现接口PermissionResolver的resolvePermission方法,如下:

public class BitAndWildPermissionResolver implements PermissionResolver {
    @Override
    public Permission resolvePermission(String permissionString) {
        if(permissionString.startsWith("+")) {
            return new BitPermission(permissionString);
        }
        return new WildcardPermission(permissionString);
    }
}

RolePermissionResolver 的方法resolvePermissionsInRole同理。

一、授权流程

1、验证主体是否拥有某些权限,无非是调用以下几个方法进行判断:

hasRole,hasAllRoles,hasRoles,checkRole,checkRoles isPermitted,isPermittedAll,checkPermission,checkPermissions

2、首先调用Subject.isPermitted*/hasRole接口,其会委托给SecurityManager,而SecurityManager接着会委托给Authorizer;即最后谁实现了Authorizer的isPermitted/hasRole,调用的就是谁。shiro中Authorizer具体实现类有如下:

输入图片说明

3、Authorizer是真正的授权者,如果我们调用如isPermitted(“user:view”),其首先会通过PermissionResolver把字符串转换成相应的Permission实例;如类AuthorizingRealm调用了resolvePermission方法把字符串转换成相应的Permission实例。

    public boolean isPermitted(PrincipalCollection principals, String permission) {
        Permission p = getPermissionResolver().resolvePermission(permission);
        return isPermitted(principals, p);
    }

resolvePermission方法要自己去实现,如:

public class BitAndWildPermissionResolver implements PermissionResolver {
    @Override
    public Permission resolvePermission(String permissionString) {
        if(permissionString.startsWith("+")) {
            return new BitPermission(permissionString);
        }
        return new WildcardPermission(permissionString);
    }
}

4、在进行授权之前,其会调用相应的Realm获取Subject相应的角色/权限用于匹配传入的角色/权限;如AuthorizingRealm类做了的如下这些事情,这里它调用getAuthorizationInfo方法获取Subject相应的角色/权限。

  public boolean isPermitted(PrincipalCollection principals, String permission) {
        Permission p = getPermissionResolver().resolvePermission(permission);
        return isPermitted(principals, p);
    }


    public boolean isPermitted(PrincipalCollection principals, Permission permission) {
        AuthorizationInfo info = getAuthorizationInfo(principals);
        return isPermitted(permission, info);
    }

    private boolean isPermitted(Permission permission, AuthorizationInfo info) {
        Collection<Permission> perms = getPermissions(info);
        if (perms != null && !perms.isEmpty()) {
            for (Permission perm : perms) {
                if (perm.implies(permission)) {
                    return true;
                }
            }
        }
        return false;
    }

5、Authorizer会判断Realm的角色/权限是否和传入的匹配,如果有多个Realm,会委托给ModularRealmAuthorizer进行循环判断,如果匹配如isPermitted*/hasRole*会返回true,否则返回false表示授权失败。

输入图片说明

    public boolean isPermitted(PrincipalCollection principals, String permission) {
        assertRealmsConfigured();
        for (Realm realm : getRealms()) {
            if (!(realm instanceof Authorizer)) continue;
            if (((Authorizer) realm).isPermitted(principals, permission)) {
                return true;
            }
        }
        return false;
    }

ModularRealmAuthorizer进行多Realm匹配流程:

1、首先检查相应的Realm是否实现了实现了Authorizer;

2、如果实现了Authorizer,那么接着调用其相应的isPermitted*/hasRole*接口进行匹配;

3、如果有一个Realm匹配那么将返回true,否则返回false。

总结:Authorizer的职责是进行授权(访问控制),是Shiro API中授权核心的入口点,其提供了相应的角色/权限判断接口。SecurityManager继承了Authorizer接口,且提供了ModularRealmAuthorizer用于多Realm时的授权匹配。PermissionResolver用于解析权限字符串到Permission实例,而RolePermissionResolver用于根据角色解析相应的权限集合。

转载于:https://my.oschina.net/u/2427561/blog/1518875

weixin_33751566
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Shiro认证流程授权流程
Emma_Joans的博客
10-12 1万+
认证:身份验证,即在应用中谁能证明他就是他本人。一般提供如他们的身份ID一些标识信息来表明他就是他本人,如提供身份证,用户名/密码来证明。 在shiro中,用户需要提供principals (身份)和credentials(证明)给shiro,从而应用能验证用户身份: principals:身份,即主体的标识属性,可以是任何东西,如用户名、邮箱等,唯一即可。一个主体可以有多个principals
shiro授权和认证流程
遇见未知的自己
08-15 1418
shiro中有两个比较重要的流程,一个是认证流程,一个是授权流程。 一、认证流程     Authentication是指身份验证的过程,即证明一个用户实际上是不是他们所的他们是谁。也就是用户提交身份和凭证给shiro,然后来判断他们是否和可以登录系统。 1.概念 Principals(身份):是subject的标识属性,比如:提交的用户名 Credenticals(凭
Shiro第三章一-授权流程
海恩的博客
04-30 322
简介 授权,也叫控制访问。关键对象:主体(Subject)、资源(Resource)、权限(Permission)、角色(Role)。 角色:权限的集合,一般情况下我们会赋予用户角色而不是权限。 Shiro支持粗粒度(角色级别访问控制)和细粒度(权限级别)权限。 隐式角色:直接通过角色来验证用户有没有操作权限,粒度较粗,是以角色为单位进行访问控制的。如果有一天不允许总监这...
Shiro授权流程
weixin_30647065的博客
08-07 74
Shiro授权流程 1,授权中涉及的一些概念 [1]授权:访问控制,即在应用中认证用户能否访问的系统资源(如一个页面,一个按钮等)。 [2]资源:在Web应用中反应为用户可以访问的URL。 [3]权限:表示用户在应用中是否能够访问某个资源。 [4]角色:权限的集合。 2,Shiro授权方式...
shiro认证授权流程
刘杰 廊坊师范学院信息技术提高班十期
06-30 1685
shiro框架的出现使得认证和授权变的简单,那shiro是如歌进行认证和授权的呢,下面来看看其流程: 认证流程: 认证流程: 1、通过ini配置文件创建securityManager 2、调用subject.login方法主体提交认证,提交的token 3、securityManager进行认证,securityManager最终由ModularRealmAuthentica
自学-Shiro授权流程-13
女神的高冷范
12-28 378
首先先来看下授权流程图在来详细解释: 流程如下及断点: • 1、首先调用 Subject.isPermitted*/hasRole* 接口,其会委托给SecurityManager,而 SecurityManager 接着会委托给 Authorizer; hasRole:     isPermitted:         • 2、Authorizer是真正的授权
Shiro进行用户授权执行流程
weixin_34247155的博客
08-28 114
2019独角兽企业重金招聘Python工程师标准>>> ...
计算机后端-Java-java高手加薪课视频教程18 shiro授权流程.mp4
05-21
计算机后端-Java-java高手加薪课视频教程18 shiro授权流程.mp4
Shiro授权
qq_65345936的博客
08-26 155
Shiro授权
shiro授权的实现原理
08-29
Shiro 授权的实现原理 Shiro 授权的实现原理是指在应用中控制谁能访问哪些资源的机制。这个机制主要涉及到四个关键对象:主体(Subject)、资源(Resource)、权限(Permission)、角色(Role)。 1. 主体...
一分钟完成springcloud 和shiro整合并了解shiro授权流程
qq_38807606的博客
02-07 1743
1.环境搭建(主要是在springcloud基础上添加shiro包) 2.完成核心代码编写 2.0 shiro配置java类( 主要配置 内容 安全管理器SecurityManager; 过滤器工厂 ShiroFilterFactoryBean(设置自定义过滤器和设置哪些路径是允许匿名访问); 自定义realm(数据源,从...
Shiro入门9:Shiro授权流程和三种授权方式和权限标识符规则
机智猫
03-30 1万+
|---Shiro授权流程         |---构造SecurityManager环境         |---Subject.isPermited()授权         |---SecurityManager.isPermited()执行授权         |---Authorizer执行授权         |---Realm根据身份获取资源权限信息
shiro授权流程个人理解
请不要被黑暗的手抓住,朝着光的方向奔跑吧
04-13 134
授权流程 获取subject主体 判断主体是否通过认证 调用subject.isPermitted/hasRole来进行权限的判断 subject是由其实现类DelegatingSubject来调用方法的,该类将处理交给了securityManager securityManager是由其实现类DefaultSecurityManager来进行处理,该类的isPermitted来处理,其本质父...
shiro授权流程分析
qiuxinfa123的博客
04-05 290
上一篇博客,写了shiro认证流程分析 ,shiro主要功能是认证和授权,接下来,看看授权是如何进行的,既然要授权,当然会执行我们自定义的授权方法,所以在授权方法打个断点看看情况,当访问需要角色或者权限的接口时,就会来到授权方法(这里暂时不考虑缓存的因素,可以看做是第一次请求): 我们看一下方法调用栈: 可以看到控制器AdminController是C...
Shiro授权的基本流程
lm2574866671的博客
09-19 685
Shiro授权流程 用户访问系统资源时的授权流程如下: 系统调用subject主体对象相关方法将用户权限信息(例如isPermitted)递交给SecurityManager SecurityManager将权限检测操作委托给Authorizer授权管理器对象 Authorizer授权管理器将用户信息委托给realm Realm访问数据库获取用户权限信息(有没有权限,有什么样的权限)并封装 Authorizer对用户授权信息进行判定(判断用户访问资源时需要什么权限,假如用户所具有的权限包含这个资源访问时
shiro权限认证及授权的执行流程分析及图解(一)
热门推荐
11-22 3万+
(配置文件请看下一个博客) https://blog.csdn.net/weixin_41716049/article/details/84336696 为了颜色标识注释,前面没有使用代码框,多多担待 《一,认证》 1.先建两个class文件 一个写AuthRealm (授权与认证方法,并继承)extends AuthorizingRealm 获取其默认方法doGetAu...
源码分析shiro认证授权流程
04-17 194
1. shiro介绍 Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能: 认证 - 用户身份识别,常被称为用户“登录”; 授权 - 访问控制; 密码加密 - 保护或隐藏数据防止被偷窥; 会话管理 - 每用户相关的时间敏感的状态。 对于任何一个应用程序,Shiro都可以提供全面的安全管理服务。并且相对于其他安全框架,Sh...
Shiro基础知识03----shiro授权(编程式授权),Permission详解,授权流程
ChangWen的博客
10-01 1万+
授权,也叫访问控制,即在应用中控制谁能访问哪些资源(如访问页面/编辑数据/页面操作等)。   在权限认证中,最核心的是:主体/用户(Subject)、权限(Permission)、角色(Role)、资源(Resource)。     1、权限,即操作资源的权利,通过权限我们可以表示在应用中用户有没有操作某个资源的权力。即权限表示在应用中用户能不能访问某个资源,比如访问某个页面,以及对某个模块的
Shiro简介及认证授权过程
nocol的博客
07-12 2471
关于shiro学习的总结。
理解Shiro授权流程与核心组件
"授权流程-shiro使用方法" Apache Shiro 是一个强大的 Java 安全框架,用于实现身份认证、授权、会话管理和加密等功能。本文将详细介绍 Shiro授权流程以及核心组件。 授权流程Shiro 中是这样的: 1. 应用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值