Apache Shiro Authorization学习笔记

最新推荐文章于 2021-12-29 08:46:58 发布
最新推荐文章于 2021-12-29 08:46:58 发布
阅读量586 收藏
点赞数
分类专栏: Apache Shiro

Authorization(授权)机制

Authorization的三元素:权限、角色、用户。

Permissions:权限状态仅仅代表行为。并不指代与用户、角色的关联。

Roles:Implicit roles,隐式构造角色,应用中包含的行为限定于一套角色,不用声明角色名。(缺点:在修改权限时,需要重新修改代码。)

             Excplcit roles,显式构造角色,本质上是一个权限集合。

Users:用户,由Relam来进行权限的判定。


Authorization的三种表现形式:

    1.代码中直接编写,例如if……else……。

    2.通过JDK的annotation进行权限设定与判断。

    3.Jsp/Gsp 的taglib来进行权限的设定与判断。

    (比较简易的方法是对用户进行初始化时授权)


用户角色的判定:

Subject currentUser = SecurityUtils.getSubject();

if (currentUser.hasRole("administrator")) {
    //show the admin button
} else {
    //don't show the button?  Grey it out?
}

    1.hasRole(String roleName) 用户拥有此角色返回TRUE,否则为FALSE;

    2.hasRoles(List<String> roleNames) 用户拥有此角色列表中某几个,则执行此角色权限;

    3.hasAllRoles(Collection<String> roleNames) 用户拥有列表中所有角色返回TRUE,否则为FALSE。

用户角色的检测(Assertions,断言判定):

Subject currentUser = SecurityUtils.getSubject();

//guarantee that the current user is a bank teller and
//therefore allowed to open the account:
currentUser.checkRole("bankTeller");
openBankAccount();

    1.checkRole(String roleName) 用户拥有此角色继续执行,否则抛出AuthorizationException异常;

    2.checkRoles(Collection<String> roleNames) 用户拥有列表中所有角色继续执行,否则抛出AuthorizationException异常;

    3.checkRoles(String... roleNames) 和checkRoles方法类似,可以用var-args格式参数。


权限判定:

    1.实例化org.apache.shiro.authz.Permission接口,

Permission printPermission = new PrinterPermission("laserjet4400n", "print");

Subject currentUser = SecurityUtils.getSubject();

if (currentUser.isPermitted(printPermission)) {
    //show the Print button
} else {
    //don't show the button?  Grey it out?
}

    isPermitted(Permission p) 用户有此权限返回TRUE,否则为FALSE;

    isPermitted(List<Permission> perms) 用户拥有列表中某些权限,则执行此权限;

    isPermittedAll(Collection<Permission> perms) 用户拥有所有权限返回TRUE,否则为FALSE。

    2.用一个String来限定权限

Subject currentUser = SecurityUtils.getSubject();

if (currentUser.isPermitted("printer:print:laserjet4400n")) {
    //show the Print button
} else {
    //don't show the button?  Grey it out?
}

    3.org.apache.shiro.authz.permission.WildcardPermission的实现(可以自定义自己的权限标识模型)

Subject currentUser = SecurityUtils.getSubject();

Permission p = new WildcardPermission("printer:print:laserjet4400n");

if (currentUser.isPermitted(p) {
    //show the Print button
} else {
    //don't show the button?  Grey it out?
}

    isPermitted(String perm) 用户拥有此权限返回TRUE,否则返回FALSE;

    isPermitted(String... perms) 用户拥有所有权限中几个,执行此权限;

    isPermittedAll(String... perms) 用户拥有所有权限返回TRUE,否则为FALSE。

权限检测(权限的断言判定):

Subject currentUser = SecurityUtils.getSubject();

//guarantee that the current user is permitted
//to open a bank account:
Permission p = new AccountPermission("open");
currentUser.checkPermission(p);
openBankAccount();

或者,

Subject currentUser = SecurityUtils.getSubject();

//guarantee that the current user is permitted
//to open a bank account:
currentUser.checkPermission("account:open");
openBankAccount();

    1.checkPermission(Permission p) 用户拥有此权限则继续执行,否则抛出AuthorizationException异常;

    2.checkPermission(String perm) 与上面方法相同,只是参数类型不同;

    3.checkPermissions(Collection<Permission> perms) 用户拥有所有权限则继续执行,否则抛出AuthorizationException异常;

    4.checkPermissions(String... perms) 与上面方法相似,只是参数不同。


Authorization基于Annotation

案例一(认证角色验证):

@RequiresAuthentication
public void updateAccount(Account userAccount) {
    //this method will only be invoked by a 
    //Subject that is guaranteed authenticated
    ...
}

     等同于

public void updateAccount(Account userAccount) {
    if (!SecurityUtils.getSubject().isAuthenticated()) {
        throw new AuthorizationException(...);
    }
    
    //Subject is guaranteed authenticated here
    ...
}

 案例二(游客角色验证):

@RequiresGuest
public void signUp(User newUser) {
    //this method will only be invoked by a 
    //Subject that is unknown/anonymous
    ...
}

      等同于

public void signUp(User newUser) {
    Subject currentUser = SecurityUtils.getSubject();
    PrincipalCollection principals = currentUser.getPrincipals();
    if (principals != null && !principals.isEmpty()) {
        //known identity - not a guest:
        throw new AuthorizationException(...);
    }
    
    //Subject is guaranteed to be a 'guest' here
    ...
}

案例三(账户创建权限验证):

@RequiresPermissions("account:create")
public void createAccount(Account account) {
    //this method will only be invoked by a Subject
    //that is permitted to create an account
    ...
}

      等同于

public void createAccount(Account account) {
    Subject currentUser = SecurityUtils.getSubject();
    if (!subject.isPermitted("account:create")) {
        throw new AuthorizationException(...);
    }
    
    //Subject is guaranteed to be permitted here
    ...
}

案例四(超级管理员角色验证):

@RequiresRoles("administrator")
public void deleteUser(User user) {
    //this method will only be invoked by an administrator
    ...
}

    等同于

public void deleteUser(User user) {
    Subject currentUser = SecurityUtils.getSubject();
    if (!subject.hasRole("administrator")) {
        throw new AuthorizationException(...);
    }
    
    //Subject is guaranteed to be an 'administrator' here
    ...
}

案例五(记住用户验证):

@RequiresUser
public void updateAccount(Account account) {
    //this method will only be invoked by a 'user'
    //i.e. a Subject with a known identity
    ...
}

    等同于

public void updateAccount(Account account) {
    Subject currentUser = SecurityUtils.getSubject();
    PrincipalCollection principals = currentUser.getPrincipals();
    if (principals == null || principals.isEmpty()) {
        //no identity - they're anonymous, not allowed:
        throw new AuthorizationException(...);
    }
    
    //Subject is guaranteed to have a known identity here
    ...
}


Authorization的内部实现



1.subject的验证检测方法接收参数;

2.交由securityManager内部实现的 org.apache.shiro.authz.Authorizer接口的检验验证方法进行验证;

3.Authorizer调用默认的 ModularRealmAuthorizer进行验证检测;

4.配置中的Relam都检查自己是否实现自Authorizer接口,如果是则启动进行验证检测。

(如果配置中Relam匹配Authorizer,一方面,如果Relam处理抛出异常,则继续其他授权及验证;另一方面,如果Relam处理返回TRUE,则验证通过。如果Relam不匹配Authorizer,则不处理。)


设置全局PermissionResolver(转换String权限标识为Permission对象),可以进行自定义设置(shiro.ini)

globalPermissionResolver = com.foo.bar.authz.MyPermissionResolver
...
securityManager.authorizer.permissionResolver = $globalPermissionResolver
...

    每个接收配置中PermissionResolver的Relam都需要实现PermisionResolverAware接口。

    为了避免多次实现PermissionResolverAware接口,可以直接配置一个特定的Relam:

permissionResolver = com.foo.bar.authz.MyPermissionResolver

realm = com.foo.bar.realm.MyCustomRealm
realm.permissionResolver = $permissionResolver
...


设置全局RolePermissionResolver(转换String的角色名为一个实体对象),可以自定义配置(shiro.ini)

globalRolePermissionResolver = com.foo.bar.authz.MyPermissionResolver
...
securityManager.authorizer.rolePermissionResolver = $globalRolePermissionResolver
...

    每个接收配置中RolePermissionResolver的Relam都需要实现RolePermissionResolverAware接口。

    为了避免多次实现RolePermissionResolverAware接口,可以直接配置一个特定的Relam:

rolePermissionResolver = com.foo.bar.authz.MyRolePermissionResolver

realm = com.foo.bar.realm.MyCustomRealm
realm.rolePermissionResolver = $rolePermissionResolver
...


如果应用中授权的Relam多于一个,则默认的ModularRealmAuthorizer的简单型短路迭代机制就不实用了,需要自己定义更为强大的Authorizer(shiro.ini)

[main]
...
authorizer = com.foo.bar.authz.CustomAuthorizer

securityManager.authorizer = $authorizer



非有非非有
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Shiro安全框架》专题(五)-Shiro之授权
01-29 437
目录1.概念2.授权的方式2.1.代码触发2.2.注解触发2.3.标签触发3.授权流程图4.简单授权实现5.自定义Realm授权 1.概念 授权,又称作为访问控制,是对资源的访问管理的过程,即对于认证通过的用户,授予他可以访问某些资源的权限。 2.授权的方式 shiro支持三种方式的授权: 2.1.代码触发 通过写if/else 授权代码块完成 Subject subject = SecurityUtils.getSubject(); if(subject.hasRole(“admin”)) { //有权限
shiro初步学习
wyy的博客
08-24 689
Shiro简介 Shiro架构原理 INI文件介绍 Shiro环境搭建及认证过程 第一个Shiro演示 授权 加密及凭证匹配器 自定义Realm 凭证匹配器 一、 Shiro 简介 1 概述 权限体系在现代软件应用中有着非常重要的地位。一个应用如果没有权限体系都会显着这个系统“特别不安全”,无论是传统的MIS系统还是互联网项目出于对业务数据和应用自身的安全,都会设置自己的安全策略。 目前市场上专门的Java权限框架有Apache Shiro 和 Spring Security。相较于Spring Se.
Spring Boot整合Shiro + JSP教程(用户认证,权限管理,图片验证码)
Coding for freedom
11-02 1018
在此首先感谢**编程不良人**up主提供的视频教程 代码都是跟着up的视频敲的,遇到的一些问题也是通过CSDN博主提供的教程解决的,在此也感谢那些提供bug解决方案的前辈们~ 项目完整代码已经发布到github上面,有需要的朋友可以自取 1.权限管理 1.1 什么是权限管理 ​ 涉及到用户参与的系统都要涉及权限管理,权限管理属于系统安全范畴。权限管理实现的是对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。 ​ 权限管理包括 用户身份认证 和 授权 两部分.
Shiro安全框架
Mr___Lr的博客
12-29 2136
1.概念 Shiro是一个强大且易于使用的Java安全框架,能够用于身份验证,授权,会话和加密等管理. 2.基本使用 (1)导入依赖 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <version>1.4.0<
shiro SecurityUtils.getSubject()深度分析
ahua186186的专栏
01-12 6327
1.总的来说,SecurityUtils.getSubject()是每个请求创建一个Subject, 并保存到ThreadContext的resources(ThreadLocal)变量中,也就是一个http请求一个subject,并绑定到当前线程。 问题来了:.subject.login()登陆认证成功后,下一次请求如何知道是那个用户的请求呢? 友情提示:本文唯一可以读一下的就是分析...
apache-shiro 学习笔记
04-12
Apache Shiro 是一个强大且易用的Java安全框架,提供了认证、授权、加密和会话管理功能,可以非常轻松地开发出足够安全的应用程序。它专注于应用程序的安全性,而不是网络安全性,因此它非常适合用于Web应用和桌面...
shiro学习笔记
04-03
这份"Shiro学习笔记"可能包含了以下主题: - Shiro的安装与配置 - Shiro基本概念详解 - Realm的创建与使用 - 登录与登出流程 - 权限控制机制 - 缓存管理和会话管理 - Shiro与Spring的整合 - Shiro的Filter链配置 - ...
shiro学习笔记0.0.0.0
12-21
尽管这份"shiro学习笔记0.0.0.0"可能内容不多,但通过它,你可以对 Shiro 有个初步的认识,为进一步深入学习打下基础。在实际项目中,根据需求选择合适的 Shiro 组件和配置,可以有效地提升应用的安全性。
learning-shiro:Shiro学习笔记
04-27
本项目“learning-shiro”显然是一个关于 Apache Shiro学习资源集合,包含了作者在学习过程中积累的笔记和示例代码。下面将详细探讨 Shiro 的核心概念以及如何使用它来实现应用安全。 1. **认证(Authentication...
shiro应用
小混混的专栏
11-07 444
shiro理论详解:Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能: 认证 - 用户身份识别,常被称为用户“登录”; 授权 - 访问控制; 密码加密 - 保护或隐藏数据防止被偷窥; 会话管理 - 每用户相关的时间敏感的状态。Shiro的三个核心组件:Subject, SecurityManager 和 Rea
Shiro的认证和权限控制
热门推荐
宏微的博客
02-28 2万+
Shiro的权限和权限
解决shiro登录后,isAuthenticated还是false问题
weixin_34402090的博客
02-22 6189
2019独角兽企业重金招聘Python工程师标准>>> ...
shiro权限标签在页面中的应用
shenyanwei的博客
08-25 2252
首先定义标签格式,分为三个tag文件: 1.hasAllPermissions.tag,代码如下: <% if(!StringUtils.hasText(delimiter)) { delimiter = ",";//默认逗号分隔 } if(!StringUtils.hasText(name)) { %> <%
shiro 授权
快乐的小三菊的博客
05-14 1827
shiro 授权源码探究
shiro重写authc过滤器_Shiro和SpringMVC集成
weixin_27076351的博客
01-25 195
源代码:https://gitee.com/jiaodacailei/shiro-springmvc-demo.git核心概念Shiro是一个Java权限框架,与之相对的有一个spring的框架:Spring Security创建Maven-web项目配置pom.xml参考:shiro-webpom.xml配置web.xml配置spring/springmvc/shiro,重点:配置springs...
Apache Shiro UnauthenticatedException
weixin_39361917的博客
04-13 5300
今天在开发的时候遇到一个很奇怪的问目前问题 项目采用的是apache shiro作为权限控制的框架,以前没用过,昨天配置好了shiro也可以正常启动,配置也都生效了 当我在某一个接口上添加了@RequiresRoles校验角色时问题出现了,首先是根本不生效,后来我把SpringMvc的配置文件按照各路大神说的修改之后就ok了,然后更大的问题出现了,因为我们是Android端访问后台接口,当app访...
Apache Shiro 角色和权限
zhouzhiwengang的专栏
12-29 1万+
本文转载自 《跟我学Shiro》 授权,也叫访问控制,即在应用中控制谁能访问哪些资源(如访问页面/编辑数据/页面操作等)。在授权中需了解的几个关键对象:主体(Subject)、资源(Resource)、权限(Permission)、角色(Role)。 主体 主体,即访问应用的用户,在Shiro中使用Subject代表该用户。用户只有授权后才允许访问相应的资源。 资源 在应用中用户
Apache Shiro验证: 已记住(Remembered) vs 已验证(Authenticated)
Flyer的后花园
01-30 1687
Apache Shiro验证(Authentication) 验证(Authentication):身份验证的过程--也就是证明一个用户的真实身份。为了证明用户身份,需要提供系统理解和相信的身份信息和证据。需要通过向shiro提供用户的身份(Principals)和证明(credentials)来判定是否和系统所要求的匹配。 身份(Principals)是Subject的“身份属性”,可以是任何
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值