权限管理框架Shiro:
一直在做项目,由于是二次开发的项目,今天才发现自己连权限控制都没有搞懂。二次开发的是基于renren开源的一个项目。
链接:https://gitee.com/renrenio/renren-security
这个项目主要使用shiro权限管理框架来进行权限管理
shiro主要概念:
-
Subject: 正如我们在教程中提到的,该
Subject本质上是当前执行用户的安全特定“视图”。虽然“用户”一词通常意味着一个人,但Subject可以是人,但它也可以代表第三方服务、守护进程帐户、cron作业或任何类似的东西——基本上是目前与软件交互的任何东西。Subject实例都绑定(并需要)SecurityManager。当您与Subject交互时,这些交互将转换为与SecurityManager的特定主题交互。 -
SecurityManager:
SecurityManager是Shiro架构的核心,它充当一种“雨伞”对象,协调其内部安全组件,这些组件一起形成一个对象图。然而,一旦SecurityManager及其内部对象图为应用程序配置,它通常就会被单独使用,应用程序开发人员几乎所有的时间都花在SubjectAPI上。我们稍后将详细讨论
SecurityManager,但重要的是要意识到,当您与Subject互动时,实际上是SecurityManager在幕后为任何Subject安全操作做了所有繁重的工作。这反映在上面的基本流程图中。 -
Realms: Realms充当Shiro和应用程序安全数据之间的“桥梁”或“连接器”。当需要实际与用户帐户等安全相关数据进行交互以执行身份验证(登录)和授权(访问控制)时,Shiro会从为应用程序配置的一个或多个
Realms查找其中许多内容。从这个意义上讲,
Realms本质上是一个特定于安全的DAO:它封装了数据源的连接详细信息,并根据需要向Shiro提供相关数据。在配置Shiro时,您必须指定至少一个用于身份验证和/或授权的Realms。SecurityManager可以配置多个Realms,但至少需要一个领域。
- Subject : 当前与软件交互的实体(用户、第三方服务、cron作业等)的安全特定“视图”。
- SecurityManager: 如上所述,
SecurityManager是Shiro架构的核心。它主要是一个“雨伞”对象,负责协调其托管组件,以确保它们平稳地一起工作。它还管理Shiro对每个应用程序用户的视图,因此它知道如何为每个用户执行安全操作。 - Authenticator: 身份验证器是负责执行和响应用户身份验证(登录)尝试的组件。当用户尝试登录时,该逻辑由身份验证器执行。身份验证器知道如何与一个或多个存储相关用户/帐户信息的
Realms进行协调。从这些Realms获得的数据用于验证用户的身份,以保证用户真的是他们所说的自己。- Authentication Strategy : 如果配置了多个
Realms,身份验证策略将协调Realms,以确定身份验证尝试成功或失败的条件(例如,如果一个领域成功,而其他领域失败,则尝试是否成功?所有领域都必须成功吗?只有第一个?)。
- Authentication Strategy : 如果配置了多个
- Authorizer:
Authorizer是负责确定应用程序中用户访问控制的组件。它最终表明用户是否被允许做某事的机制。与身份Authenticator一样,Authorizer也知道如何与多个后端数据源协调以访问角色和权限信息。Authorizer使用此信息来准确确定是否允许用户执行给定操作。 - SessionManager :
SessionManager知道如何创建和管理用户会话生命周期,以便在所有环境中为用户提供强大的会话体验。这是安全框架世界中的一项独特功能-Shiro有能力在任何环境中原生管理用户会话,即使没有可用的Web/Servlet或EJB容器。默认情况下,Shiro将使用现有的会话机制(例如Servlet容器),但如果没有,例如在独立应用程序或非Web环境中,它将使用其内置的企业会话管理来提供相同的编程体验。SessionDAO的存在是为了允许使用任何数据源来持久化会话。- SessionDAO :
SessionDAO代表SessionManager执行会话持久性(CRUD)操作。这允许将任何数据存储插入SessionManager.基础架构。
- SessionDAO :
- CacheManager:
CacheManager创建和管理其他Shiro组件使用的Cache实例生命周期。由于Shiro可以访问许多后端数据源进行身份验证、授权和会话管理,因此缓存一直是框架中一流的架构功能,以提高使用这些数据源时的性能。任何现代开源和/或企业缓存产品都可以插入Shiro,以提供快速高效的用户体验。 - Cryptography:
Cryptography(密码学)是企业安全框架的自然补充。Shiro的加密包包含易于使用和理解的冷冻密码、散列(又名摘要)和不同编解码器实现的表示。此软件包中的所有类都经过精心设计,非常易于使用和理解。任何使用过Java原生密码学支持的人都知道,驯服它可能是一种具有挑战性的动物。Shiro的加密API简化了复杂的Java机制,使密码学易于普通凡人使用。 - Realms: 如上所述,Realms充当Shiro和应用程序安全数据之间的“桥梁”或“连接器”。当需要实际与用户帐户等安全相关数据进行交互以执行身份验证(登录)和授权(访问控制)时,Shiro会从为应用程序配置的一个或多个
Realms查找其中许多内容。您可以根据需要配置尽可能多的Realms(通常每个数据源一个),Shiro将在身份验证和授权方面根据需要与他们协调。
renren-security 总体权限的表结构:
renren-security 主要的配置文件:
renren-security 登录流程:
- 获取用户名和密码:
SysUserDTO user = sysUserService.getByUsername(login.getUsername()); - 如果用户存在,并且密码正确返回token,否则返回登录失败。
- 返回token:
sysUserTokenService.createToken(user.getId());-
根据id获取token,查看以前是否生成过token
SysUserTokenEntity tokenEntity = baseDao.getByUserId(userId);,生成过了token的用户都会将信息存储到数据库的表sys_user_token中 -
需要注意的是这个token只是一个随机字符串,真正存储了有效时间的是在这个表中。
-
-
如果以前没有生成过token,则会生产新的token,并插入到这个表中,
expire_date的时间为12个小时之后。 -
如果以前有生成过token,则会把这个数据库中的信息取出来,
-
renren-security 授权流程:
@GetMapping("{id}")
@ApiOperation("信息")
@RequiresPermissions("sys:dict:info")
public Result<SysDictDataDTO> get(@PathVariable("id") Long id){
SysDictDataDTO data = sysDictDataService.get(id);
return new Result<SysDictDataDTO>().ok(data);
}
权限:
- 在controller层里面加上权限认证:
@RequiresPermissions("sys:dict:info") - 如果有请求发送到这个方法上面,则会调用Realm里面的
doGetAuthorizationInfo权限验证方法。 - 通过传进来的参数获取到用户信息:
UserDetail user = (UserDetail)principals.getPrimaryPrincipal(); - 通过用户信息查询权限列表:
Set<String> permsSet = shiroService.getUserPermissions(user);- 这里需要注意:
permissionsList = sysMenuDao.getPermissionsList();在sys_menu表里面查询权限。
- 这里需要注意:
- 将权限列表设置到
SimpleAuthorizationInfo里面即可,info.setStringPermissions(permsSet);如果没有相应的权限就会报错。如果有权限即可执行方法。
角色:
- 将上面的第四步改成查询角色即可。
info.setRoles(roles);
参考文章链接:
- https://gitee.com/renrenio/renren-security
- https://shiro.apache.org
- https://www.renren.io/guide/security
var code = “f3ea8c01-1073-4ae8-8517-df08b0a91d4d”
4023
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
