[Apache Shiro]Shiro授权之拥抱主体。

最新推荐文章于 2023-07-11 20:42:20 发布
最新推荐文章于 2023-07-11 20:42:20 发布
阅读量204 收藏 1
点赞数 1
分类专栏: JAVA 文章标签: Shiro RBAC 权限
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhuyunbo_/article/details/88204036
版权

Shiro授权之拥抱主体

RBAC中的问题

在权限设计中,大部分的系统的权限设计都是使用基于角色的权限控制(Role-Based Access Control)。之所以被如此广泛的接受,推崇。无谓是其结构清晰,容易理解。在正常情况下,100%胜任没有任何问题。但是如果涉及到需要给单个用户单独增加权限时我们只有两种办法来处理,如果你不懂什么叫RBAC请先自行查询.

  1. 给用户增加有该权限的角色
  2. 添加一个新的角色只包含该权限,然后给该用户增加该角色

第一种办法,可能会给该用户赋予其他的权限.所以100%安全的方法只有第二种.当有大量的这种需求时,我们就需要添加大量角色.最糟糕的情况下,角色和权限将会变成一对一关系.相对来说增加权限还好处理一点,假如需求是删除某个用户的某一权限.处理起来就更复杂了.

Shiro授权中的概念

主体(Subject)

文档中对于主体的解释是:
“我们使用单词Subject而不是用户,因为用户通常暗示一个人,而在Shiro中,Subject可以是与您的应用程序交互的任何东西 - 无论是人还是服务(We use word Subject instead of user because user usually implies a human being and in Shiro a Subject can be anything interacting with your application– whether it be a human or a service.)”
说白点Subject只是用户或者一些访问你服务的一些东西而已.也就是权限的最终拥有者.

我认为的主体

说实话这是我一开始没看到主体的文档,理解错误的,不过我这个跟他们无关.只不过也叫主体而已…下面的ER图里t_subject表里也是我这个主体.
文档中并没有主体这一栏,什么是主体?主体是权限的拥有者。
可以是一个用户,一个角色,一个部门,一个小组等(我就想到这几个)。他们都可以拥有自己的权限,主体跟他们是一对一关系,和权限是一对多关系(逻辑关系,实际数据库表结构是多对多关系).当用户授权时,他将得到的是他的角色,部门,小组还有他个人权限的集合。通过主体的概念我们可以将授权细粒度到单个用户。从而解决普通RBAC中单独授权的问题.

权限(Permission)

文档中,第一句话“权限是安全策略的最原子级别”,也就是说资源控制的最细粒度就是权限。权限跟资源的是一对多关系(逻辑关系,资源没有数据库表),跟主体是多对一关系(逻辑关系,实际数据库表结构是多对多关系)。
Shiro中权限以字符串表示。
以“:”分隔表示层级,多个同级权限以“,”分隔.
比如sys:user:read,create就代表了系统用户的读取和创建权限。
以“”表示全部.
sys:user:*表示系统用户的所有权限,通配符“*”也可以省略,写为sys:user
详见文档

资源(Resource)

文档也没有资源这一栏,资源是什么?资源就是一个可以通过权限控制,达到不同的人得到不同的东西。资源可以是一个url,一个按钮,一行数据,一个字段等等。他们和权限之间是多对一的关系。

根据上述几个概念他们之间的结构应该是
ER图
主体表(t_subject),通过type区分具体关联的表.

Shiro验权之显式和隐式

资源的隐式配置

在有些项目里菜单是保存在数据库的,这里就有这样的问题,假如新增一个菜单,就需要开发者去系统里配置菜单.毕竟菜单的url,样式,需要的权限是开发者自己才知道.不能每次更改都要让开发者在生产环境重新配置.正常来说开发者应该根本不需要登录生产环境.

资源的显式配置

解决隐式配置的方法就是,把所有需要通过权限的资源都写出来,并且通过验权判断是否显示.
JSP的话可以直接通过Shiro的标签库进行验权

		<%@ taglib prefix="shiro" uri=http://shiro.apache.org/tags %>
		<html>
		<body>
		    <shiro:hasPermission name="users:manage">
		        <a href="manageUsers.jsp">
		            Click here to manage users
		        </a>
		    </shiro:hasPermission>
		    <shiro:lacksPermission name="users:manage">
		        No user management for you!
		    </shiro:lacksPermission>
		</body>
		</html>

类里的注解验权

		//Will throw an AuthorizationException if none
		//of the caller’s roles imply the Account
		//'create' permission
		@RequiresPermissions("account:create")public void openAccount( Account acct ) {
		   //create the account
		}

等其他验权方式.

隐式的权限验证

		//get the current Subject 
		Subject currentUser = SecurityUtils.getSubject();
		
		if (currentUser.hasRole("administrator")) {
		    //show a special button‏
		} else {
		    //don’t show the button?)‏
		}

看这段代码我们能发现什么问题?乍看起来好像没问题,就好像重写对于多态.但是如果programmer角色也需要显示这个button呢?我们只能改为

		//get the current Subject 
		Subject currentUser = SecurityUtils.getSubject();
		
		if (currentUser.hasRole("administrator")||currentUser.hasRole("programmer")) {
		    //show a special button‏
		} else {
		    //don’t show the button?)‏
		}

这一点改动意味着项目要重新编译上线.这也太不灵活了.盖个权限都要重新上线.在隐式验权里我们并没有用安全策略的原子级别—Permission来校验,而是用了一个Role,它并不是原子级别,它可以含有多Permission.
所以这种非原子性验权,不提倡大家使用.

显式的权限验证

		String perm = "printer:print:laserjet4400n";
		
		if(currentUser.isPermitted(perm)){
		    //show the print button?
		} else {
		    //don’t show the button?
		}

显式验权也就是直接校验权限了.

结语

Shiro框架不单单是给我们简化了权限系统的开发,同时它在理念上给我们指引了方向.我见过很多的系统里并没有正确的使用到它,感觉非常惋惜,随做此文.

zRainbow_
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Apache Shiro授权、访问控制(四)
山不转的博客
11-23 629
总的参考文档:http://shiro.apache.org/reference.html 本文参考文档:http://shiro.apache.org/authorization.html 1、概念 Shiro授权机制包含三个核心概念:Permissions、Roles、Users。 1.1.Permissions Permissions代表权限,关涉及用户。它一般是一种语句,表示对...
Apache Shiro认证(三)
山不转的博客
11-22 285
总的参考文档:http://shiro.apache.org/reference.html 本文参考文档:http://shiro.apache.org/authentication.html 1、概念 本文介绍Shiro功能特性中的身份认证部分,上图中绿色的一块。身份认证就是根据用户提供的身份以及凭证验证它的合法性。有两个概念: Principals:用户的身份,简单理解就是用户名。 ...
shiro入门
lixin203171613的博客
04-01 307
Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。ShiroApache软件基金会的一个开源项目。Shiro可以轻松地保护任何应用程序,从命令行应用程序到最大的企业Web应用程序。Shiro不是直接处理身份验证和权限控制的,而是通过与应用程序集成的Realm实现。Realm是Shiro身份验证和授权查询的后端数据源,它们通常与本地数据存储库(例如数据库)或远程数据存储库(例如LDAP)一起工作。
Shiro教程(一):入门概述与基本使用
最新发布
WwLK123的博客
07-11 5333
Shiro入门概述与基本使用
shiro里的主体(Principal)
Secutiry_的博客
04-01 3246
shiro里的主体(Principal) 登录成功后主体为用户对象 //身份认证 @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException { … SimpleAuthentication...
Shiro安全框架的三大核心
老杨的博客
02-19 5440
1.Subject(主题) 应用代码的直接交互对象就是Subject,也就是说Shiro对外的核心API就是Subject,Subject代表了当前“用户”,这个用户不是指具体的某一个人,可以说与当前应用交互的任何东西都是Subject,与Subject的所有交互都会委托给SecurityManager来执行,可以理解为Subject只是一个充当门面的,真正的幕后老大是SecurityManage...
Shiro————核心设计思想
Morty的技术乐园
09-14 2万+
引言 以此篇博客为引,开启一个新的专栏分类——Shiro。 之前在工作中有比较快速的学习过Shiro安全框架,但经过一年的荒废,已经不是很熟悉了,通过这个系列,深入研究和学习Shiro的一些知识,填补安全管理方面的知识漏洞。使我们在web 开发领域更具竞争力,不做只会CRUD的程序员! 一、Shiro介绍 Shiro是一个Java安全框架,执行身份验证、授权、密码、会话管理。Shiro是A...
shiro的原理理解
weixin_34061482的博客
04-07 835
1、shiro原理图如下: 框架解释:  subject:主体,可以是用户也可以是程序,主体要访问系统,系统需要对主体进行认证、授权。 securityManager:安全管理器,主体进行认证和授权都 是通过securityManager进行。它包含下面的认证器和授权器。 authenticator:认证器,主体进行认证最终通过authenticator进行的。  authorizer:授权器,主...
Shiro的介绍(一)
小小舒宸的专栏
11-26 1604
1、什么是Apahce Shiro Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能: Authentication 认证 - 用户身份识别,常被称为用户“登录”;Authorization 授权 - 访问控制;Cryptography 密码加密 - 保护或隐藏数据防止被偷窥;Session Management 会话管理 - 每个用户回
shiro架构图及执行流程详解
时光如白驹过隙的博客
08-29 6246
1、shiro架构图 shiro基本架构图: Subject: 主体,可以是任何可以与应用交互的“用户”; SecurityManager: 相当于SpringMVC中的DispatcherServlet,是Shiro的心脏;所有具体的交互都通过SecurityManager进行控制;它管理着所有Subject、且负责进行认证和授权、及会话、缓存的管理。 Authenticator: 认证器,负责主体认证的,这是一个扩展点,如果用户觉得Shiro默认的不好,可以自定义实现;其需要认证策略(Authenti
Apache Shiro 会话与主体状态的关系
王浩的技术博客
12-14 221
有状态的应用程序 默认情况下Shiro的SecurityManager实例会使用一个Subject的Session存储Subject的身份ID(PrincipalCollection)和验证状态(subject.isAuthenticated())。这通常发生在一个Subject登录后或当一个Subject的身份ID通过Remember服务后。 使用这种默认方式的好处是: l任何应用都可通过...
Shiro
FREEDOM
12-26 4664
Shiro目录 第一章  Shiro简介 第二章  身份验证 第三章  授权 第四章  INI配置 第五章  编码/加密 第六章  Realm及相关对象 第七章  与Web集成 第八章 拦截器机制 第九章 JSP标签 第十章  会话管理 第十一章  缓存机制 第十二章  与Spring集成 第十三章  RememberM
Shiro(3) controller中获取当前登录用户信息
热门推荐
fengcai0123的专栏
07-17 6万+
//Shiro controller中获取当前登录用户信息方式一: @RequestMapping(value = "/competitorPageList" ) public String competitorPageList(Model model, ) { Long currentUserId = (Long) SecurityUtils.getSubject().getSes
shiro框架的简单学习——主题架构
weixin_34301307的博客
03-26 96
 shiro是java的一个安全框架。特点是相对于 Spring Security 相当简单,当然功能可能也没有其强大。 shiro可以做的事:认证、授权、加密、会话管理、与Web集成、缓存等。 Shiro主要有以下API Authentication Athorization Session Management Cryptography 相关...
shiro介绍和使用
qq_28208093的博客
05-15 294
一、shiro 内部结构 1、shiro 包含的组件 shiro主要包括认证器(Authenticator),授权器(Authrizer),session会话管理(SessionManager),加密处理(Cryptography),记住我(remember me),对权限的缓存(CacheManager) 2、shiro 各组件介绍 Subject:主体,可以理解为 与应用交互的用户 subject 里包含用户的所有信息 如 用户信息,用户角色,用户权限,是否登录等等; Securit...
Springboot下, 一个shiro的Demo
heyRainbow的博客
12-13 200
准备工作 一张用户表,需要字段:用户名、密码、权限 Shiro的配置类 ShiroConfig.java package com.rain.demo.config; import org.apache.shiro.cache.ehcache.EhCacheManager; import org.apache.shiro.spring.web.ShiroFilterFactoryBean;...
Shiro的使用(一)
yankun01的博客
10-18 1860
shiro第一天 基于url权限管理 shiro基础     1       课程目标: 1、了解基于资源的权限管理方式 2、掌握权限数据模型 3、掌握基于url的权限管理(不使用shiro实现权限管理) 4、shiro实现用户认证 5、shiro实现用户授权 6、shiro与企业web项目整合开发的方法   2       课程安排 整个课程是系统架构设计相关的课程。
Apache Shiro授权机制详解
"Apache Shiro是一个强大的Java安全框架,用于实现身份验证、授权、会话管理和缓存等功能。本文将深入探讨Shiro授权机制,包括其核心组件、权限分配和授权流程。" Apache Shiro授权机制是其功能的重要组成部分...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值