Shrio + CAS 学习笔记——权限

最新推荐文章于 2025-01-08 14:44:35 发布
原创 最新推荐文章于 2025-01-08 14:44:35 发布 · 745 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #Shrio #权限 #CAS

本文详细介绍了Apache Shiro框架的权限管理机制,包括用户、角色、权限表的设计,以及权限授权和校验流程。通过`@RequiresPermissions`等注解进行权限控制,并深入解析了权限校验的核心方法,如`isPermitted`和`implies`,展示了权限匹配的实现细节。

数据库中相关的表

sys_organization:组织表

基本字段:主键id、组织名称name、排序sort、状态state(0禁用、1启用)
其他字段:创建时间createTime、部门层级level、父id parentId、父级名称parentName、备注remark、更新时间updateTime

sys_user:用户表

基本字段:主键id、用户名username、状态state(0禁用、1启用、2锁定)
其他字段:创建时间createTime、名称nickName、组织主键orgId、组织名称orgName、电话phone、角色主键roleId、角色名称roleName、更新时间updateTime

猜测:基本字段中没有盐值salt、密码password是因为整合了CAS实现了单点登陆

sys_role:角色表

基本字段:主键id、角色唯一编码code(需遵守规范,@RequiresRoles中校验)、角色名称name、状态state(0禁用、1启用)
其他字段:创建时间createTime、备注remark、类型type(不明)

sys_permission:权限表

基本字段:主键id、唯一编码code、层级level、权限名称name、
其他字段:创建时间createTime、图标icon、父id parentId、备注remark、排序sort、状态state(0禁用、1启用)、类型type(1菜单、2按钮)、更新时间updateTime、路径url

sys_role_permission:角色-权限表

基本字段:主键id、权限id permissionId、角色id roleId、状态state(0禁用、1启用)
其他字段:创建时间createTime、备注remark、更新时间updateTime

sys_user_role:用户-角色表

未出现
猜测:sys_user中存在字段roleId,代替了用户角色表的作用

code惯例

资源:操作:实例
user:update:1

可以根据需求自己定义,上面只是Shrio给出的字符串惯例

其中有三个符号:
*星号(通配符,代表所有权限/角色)
:冒号(层级关系,user:update 包裹着 user:update:1)
,逗号(与的关系,而非或,user:add,update:1 代表对1的add和update权限都需要)

权限/角色授权、校验流程

用户授权 doGetAuthorizationInfo

  1. 获取当前用户名称
String userName = (String) principals.getPrimaryPrincipal();
  1. 创建 SimpleAuthorizationInfo(Simple POJO implementation of the AuthorizationInfo interface that stores roles and permissions as internal attributes.)
SimpleAuthorizationInfo auth = new SimpleAuthorizationInfo();
  1. 查询角色表和权限表中对应数据,set 到 auth 中
auth.setRoles(roles);
auth.setStringPermissions(permssions);

第一次访问需要权限的请求(被@RequiresPermissions、@RequiresRoles标注)会通过doGetAuthorizationInfo获取用户角色和权限,然后将其存入缓存,当前会话结束之前无需重复访问doGetAuthorizationInfo获取。

在这里插入图片描述

校验权限

@RequiresPermissions源码👇

@Target({ElementType.TYPE, ElementType.METHOD})
@Retention(RetentionPolicy.RUNTIME)
public @interface RequiresPermissions {

	// 字符串权限数组,例 ["user:add", "user:update:1"]
    String[] value();

	// 逻辑,默认是AND
    Logical logical() default Logical.AND; 

}

SecurityUtils.getSubject().isPermitted(“user:add”) 的作用与 @RequiresPermissions(“user:add”) 一致
@RequiresPermissions(“user:add”) 触发最后的 implies 方法好像是通过切面,还不太清楚…

Subject 接口👇

public interface Subject {
	// 还有很多方法这里不一一列举
	boolean isPermitted(String permission);
	
	boolean isPermitted(Permission permission);
}

DelegatingSubject 类实现了 Subject 接口👇

public class DelegatingSubject implements Subject {
	// 展示部分相关源码
	protected transient SecurityManager securityManager;
	
	public boolean isPermitted(String permission) {
        return hasPrincipals() && securityManager.isPermitted(getPrincipals(), permission);
    }

    public boolean isPermitted(Permission permission) {
        return hasPrincipals() && securityManager.isPermitted(getPrincipals(), permission);
    }
}

SecurityManager 接口继承了 Authorizer 接口👇

public interface SecurityManager extends Authenticator, Authorizer, SessionManager {
	// 省略源码
}

因此在 DelegatingSubject 中的 isPermitted 方法即为 Authorizer 中 isPermitted 方法

public interface Authorizer {
	// 同样只展示部分相关源码
	boolean isPermitted(PrincipalCollection principals, String permission);

    boolean isPermitted(PrincipalCollection subjectPrincipal, Permission permission);
}

而 AuthorizingRealm 类实现了 Authorizer 为 isPermitted 提供具体实现

public abstract class AuthorizingRealm extends AuthenticatingRealm
        implements Authorizer, Initializable, PermissionResolverAware, RolePermissionResolverAware {
    // 省略源码
}

在 AuthorizingRealm 类中三个 isPermitted 方法:

  1. isPermitted(PrincipalCollection principals, String permission)
	// 将 String 类型的字符串权限装配成 Permission 类型
    public boolean isPermitted(PrincipalCollection principals, String permission) {
        Permission p = getPermissionResolver().resolvePermission(permission);
        return isPermitted(principals, p);
    }

PermissionResolver 接口中存在 resolvePermission 方法👇

public interface PermissionResolver {
    Permission resolvePermission(String permissionString);
}

WildcardPermissionResolver 实现了 PermissionResolver 接口👇

public class WildcardPermissionResolver implements PermissionResolver {
    public Permission resolvePermission(String permissionString) {
    	// WildcardPermission 实现了 Permission 接口
        return new WildcardPermission(permissionString);
    }
}

WildcardPermission 部分相关源码👇
通过 setParts 方法处理为 String 类型的权限

public class WildcardPermission implements Permission, Serializable {
    protected static final String WILDCARD_TOKEN = "*";
    protected static final String PART_DIVIDER_TOKEN = ":";
    protected static final String SUBPART_DIVIDER_TOKEN = ",";
    protected static final boolean DEFAULT_CASE_SENSITIVE = false;

    private List<Set<String>> parts;

    protected WildcardPermission() {
    }

    public WildcardPermission(String wildcardString) {
        this(wildcardString, DEFAULT_CASE_SENSITIVE);
    }

    public WildcardPermission(String wildcardString, boolean caseSensitive) {
        setParts(wildcardString, caseSensitive);
    }

    protected void setParts(String wildcardString, boolean caseSensitive) {
        if (wildcardString == null || wildcardString.trim().length() == 0) {
            throw new IllegalArgumentException("Wildcard string cannot be null or empty. Make sure permission strings are properly formatted.");
        }

        wildcardString = wildcardString.trim();

        List<String> parts = CollectionUtils.asList(wildcardString.split(PART_DIVIDER_TOKEN));

        this.parts = new ArrayList<Set<String>>();
        for (String part : parts) {
            Set<String> subparts = CollectionUtils.asSet(part.split(SUBPART_DIVIDER_TOKEN));
            if (!caseSensitive) {
                subparts = lowercase(subparts);
            }
            if (subparts.isEmpty()) {
                throw new IllegalArgumentException("Wildcard string cannot contain parts with only dividers. Make sure permission strings are properly formatted.");
            }
            this.parts.add(subparts);
        }

        if (this.parts.isEmpty()) {
            throw new IllegalArgumentException("Wildcard string cannot contain only dividers. Make sure permission strings are properly formatted.");
        }
    }
}
  1. isPermitted(PrincipalCollection principals, Permission permission)
	// 获取授权时存的权限信息
    public boolean isPermitted(PrincipalCollection principals, Permission permission) {
        AuthorizationInfo info = getAuthorizationInfo(principals);
        return isPermitted(permission, info);
    }
  1. isPermitted(Permission permission, AuthorizationInfo info)

implies 为 Shrio 校验权限的核心

    private boolean isPermitted(Permission permission, AuthorizationInfo info) {
        Collection<Permission> perms = getPermissions(info);
        if (perms != null && !perms.isEmpty()) {
            for (Permission perm : perms) {
                if (perm.implies(permission)) {
                    return true;
                }
            }
        }
        return false;
    }

Permission 接口👇

public interface Permission {
    boolean implies(Permission p);
}

WildcardPermission 实现了 Permission 接口为 implies 提供具体实现👇

    public boolean implies(Permission p) {
        // By default only supports comparisons with other WildcardPermissions
        if (!(p instanceof WildcardPermission)) {
            return false;
        }

        WildcardPermission wp = (WildcardPermission) p;

        List<Set<String>> otherParts = wp.getParts();

        int i = 0;
        for (Set<String> otherPart : otherParts) {
            // If this permission has less parts than the other permission, everything after the number of parts contained
            // in this permission is automatically implied, so return true
            if (getParts().size() - 1 < i) {
                return true;
            } else {
                Set<String> part = getParts().get(i);
                if (!part.contains(WILDCARD_TOKEN) && !part.containsAll(otherPart)) {
                    return false;
                }
                i++;
            }
        }

        // If this permission has more parts than the other parts, only imply it if all of the other parts are wildcards
        for (; i < getParts().size(); i++) {
            Set<String> part = getParts().get(i);
            if (!part.contains(WILDCARD_TOKEN)) {
                return false;
            }
        }

        return true;
    }

还是看这个吧,我自己琢磨写完👆,然后看了这个👇发现自己写的像 shit 😓

https://www.iteye.com/blog/jinnianshilongnian-2020017

单点登录CAS权限管理框架Shiro集成
10-19
CAS权限管理框架Shiro集成
RuoYi-Vue前后端分离版集成cas并接入自己系统的权限
kdjfh的博客
03-15 1028
若依框架集成CAS并接入统用的人员信息
CAS权限管理系统学习
zccmp的博客
08-24 1269
最近决定研究网站的权限管理系统,大致认为可以分为四大块:单点登录、网页访问控制、菜单权限管理、数据库访问限制。 这周打算做单点登录的部分。我们一共三个人,当然另外两个是辅助的。找到了一个学习的好网址: http://linliangyi2007.javaeye.com/blog/165307。 关键字: ja-sig cas sso https 单点登录 统一认证 ...
shiro cas 学习整理
Jesse_cool的博客
05-23 1095
shiroshiro运行过程简单来说是这样:Subject:主体,代表了当前“用户”,这个用户不一定是一个具体的人,与当前应用交互的任何东西都是Subject,如网络爬虫,机器人等;即一个抽象概念;所有Subject都绑定到SecurityManager,与Subject的所有交互都会委托给SecurityManager;可以把Subject认为是一个门面;SecurityManager才是实际的...
权限管理】CAS(Central Authentication Service)
最新发布
IT古董
01-08 1266
CAS(Central Authentication Service)是一种广泛应用的 单点登录(SSO) 协议,它允许用户在一个集中式的身份验证系统中登录一次后,便可以无缝访问多个应用系统,而无需重复登录。CAS 通过统一的身份验证服务来简化多个应用之间的用户认证流程,提高了用户体验,并减少了管理多个用户凭证的复杂性。
权限框架——CAS之工作原理
Flash~
10-31 5047
CAS:Central Authentication Service,中央认证服务,是实现SSO的一个框架。由于本篇博客主要介绍CAS的工作原理,所以首先要简单介绍下SSO的相关内容。 SSO概要 SSO:Single Sign On,单点登录,简单说就是用户一次登录就可以访问多个项目,这样就免去用户访问多个系统时进行的多次登录过程,也避免了用户要访问N个系统要记住N套用户名和密码所带
Java学习教程,Java从入门到精通,全套Java视频教程+笔记+配套工具
Java___interview的博客
07-20 1210
目录 一、大纲 一、Java基础 二、计算机基础 三、工具的使用 四、数据库 五、web前端 六、JavaWeb 七、框架 八、互联网分布式技术 发现身边很多自学java却放弃的,真的挺可惜的。 白白浪费了几个月宝贵的时间,且放弃一次,就会有下一次。 如何学习Java并成功?——要有一个清晰的目标! 比如培训还是其他学习方式,都是达成目标的一个方法,这个方法不够,可以找别的方法来达成目标。 所以,在学Java前希望你想清楚,你想不想成为一个程序员,想得话就做好准备,知道自己选
人类高质量 Java 学习路线【一条龙版】
Feng_clay的博客
12-04 2411
大家好,我是张讨嫌。现在网上的编程资料实在太多了,而且人人肯定都说自己的最好,那就导致大家又不知道怎么选了。大部分的博主推荐资源,也就是把播放量高的视频说一遍,水一期视频,没有一条很清晰的学习路线。 所以今天我的这个 Java 学习路线就做做减法,给大家来个一条龙服务,Java 要学的知识点、对应的最佳学习资源和预计要花费的时间,都安排的明明白白的,不用选了,有计划了,也别再迷茫和纠结了,就无脑跟着学就行了。 我还在文档中整理了链接,也不用自己搜了,还有思维导图。 大纲 实在太长了,没办法全部展开,
Java面试题与实战项目全解析
配套的学习笔记与心得体会则帮助学习者梳理知识脉络,提炼重点难点,形成个性化的知识体系。 综上所述,这份Java面试资源合集不仅内容全面、层次分明,而且兼具理论深度与实践价值,适用于不同阶段的Java开发者进行...
Penetration_Testing_POC-About 渗透测试有关的POC、EXP、脚本、提权、小工具等
weixin_46280935的博客
09-10 6516
Penetration_Testing_POC 搜集有关渗透测试中用到的POC、脚本、工具、文章等姿势分享,作为笔记吧,欢迎补充。 Penetration_Testing_POC 请善用搜索[Ctrl+F]查找 IOT Device&Mobile Phone Web APP 提权辅助相关 PC tools-小工具集合 文章/书籍/教程相关 说明 请善用搜索[Ctrl+F]查找 IOT Device&Mobile Phone 天翼创维awifi路由器存在多处未授权访问漏
《后端架构师技术图谱》
weixin_70730532的博客
06-15 1190
(Toc generated by simple-php-github-toc )《java队列——queue详细分析》《LinkedList、ConcurrentLinkedQueue、LinkedBlockingQueue对比分析》每个节点最多有两个叶子节点。左右两个子树的高度差的绝对值不超过1,并且左右两个子树都是一棵平衡二叉树。二叉查找树(Binary Search Tree),也称有序二叉树(ordered binary tree),排序二叉树(sorted binary tree)。MySQL是
菜单权限管理
weixin_34256074的博客
11-23 191
MAP集合key value 应用 <div class="accordion" fillSpace="sidebar"> <c:forEach var="setting" items="${settings}"> <div class="accordionHeader"> <h2> &lt...
SpringSecurity、Shiro、Oauth2.0、Cas 权限控制
dong1018645785的博客
06-23 2009
权限控制框架
cas security等权限框架的密码加密处理异同
yuhui666666的博客
02-14 307
cas security等权限框架的密码加密处理异同       cas服务端加密的处理: (其他的第三方框架加密用法类似比如security登陆)   1,需要自己写一个类实现cas的加密接口PasswordEncoder即可,纳入spring容器管理 2,在需要配置 加密的地方直接引用这个bean即可   登陆的时候输入用户名,密码由于直接调用cas的登陆请求,所以数据直...
Cas单点登录(整合shiro版本)
m0_67392811的博客
04-14 2404
单点登录:Single Sign On,简称SSO,SSO使得在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。 CAS框架:CAS(Central Authentication Service)是实现SSO单点登录的框架。 逻辑关系图:(注:图为转载) [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-bnslZ5ZI-1649903084532)(https://blog.youkuaiyun.com/qq_25223941/article/details/78316
shiro CAS 测试
wucaifang819787的专栏
08-25 679
1、下载https://github.com/apereo/cas-overlay-template 覆盖项目,导入到工程里面去。 2、在main下面新建Application.properties 文件       把etc下面的 log4j2.xml文件转移到resource文件夹下           3、修改pom.xml文件中的repositories,把它改成国内的    ...
casshrio整体认识及casshrio区别分工
yuhui666666的博客
01-17 891
  cas客户端服务     cas服务端提供服务,cas客户端:通过客户端程序集成的cas客户端和cas服务端交互,cas之所以要抽出一个服务端,是为了把 公用的session,cookie都放在服务端,一些验证指令通过cas客户端--》cas服务端--》各客户端的权限管理插件(如:shrio)       shrio: 1,把用户权限信息放在shrio的security...
Shiro 集成 Cas 实现单点
qq_29477175的博客
05-07 592
尊重原创:https://www.cnblogs.com/xrab/p/5800623.html 效果展示: shiro项目详细介绍: 链接 1. 首先资源下载shiro 项目资源(基于maven),资源下载 : 链接:https://pan.baidu.com/s/1-ppIvgNP0DECp4NY2_fAGw 提取码:3cmi 2. cas-server 搭建 (有资源下载)...
Springboot学习笔记之springboot+shiro+cas
05-21
Spring Boot 是一个快速开发框架,它提供了一系列的工具和插件,可以快速构建一个企业级的应用程序。而 Shiro 是一个强大而灵活的安全框架,可以提供身份验证、授权、密码加密、会话管理等功能。CAS 是一个单点登录(SSO)协议,可以实现用户在多个应用系统中使用同一个身份验证。 下面是一个简单的 Spring Boot + Shiro + CAS 的示例应用程序: 1. 创建一个 Spring Boot 应用程序,并添加依赖: ```xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring-boot-web-starter</artifactId> <version>1.5.3</version> </dependency> <dependency> <groupId>org.jasig.cas.client</groupId> <artifactId>cas-client-core</artifactId> <version>3.6.0</version> </dependency> ``` 2. 配置 Shiro: ```java @Configuration public class ShiroConfig { @Bean public CasRealm casRealm() { CasRealm realm = new CasRealm(); realm.setCasServerUrlPrefix("https://cas.example.com/cas"); realm.setCasService("https://myapp.example.com/cas"); realm.setDefaultRoles("user"); realm.setRoleAttributeNames("memberOf"); return realm; } @Bean public DefaultWebSecurityManager securityManager() { DefaultWebSecurityManager manager = new DefaultWebSecurityManager(); manager.setRealm(casRealm()); return manager; } @Bean public ShiroFilterFactoryBean shiroFilter() { ShiroFilterFactoryBean filter = new ShiroFilterFactoryBean(); filter.setSecurityManager(securityManager()); filter.setLoginUrl("https://cas.example.com/cas/login?service=https://myapp.example.com/cas"); filter.setSuccessUrl("/home"); filter.setUnauthorizedUrl("/403"); filter.setFilterChainDefinitionMap(Collections.singletonMap("/**", "authc")); return filter; } } ``` 3. 配置 CAS: ```java @Configuration public class CasConfig { @Bean public CasAuthenticationFilter casAuthenticationFilter() { CasAuthenticationFilter filter = new CasAuthenticationFilter(); filter.setCasServerLoginUrl("https://cas.example.com/cas/login"); filter.setServerName("https://myapp.example.com/cas"); filter.setAuthenticationSuccessHandler(authenticationSuccessHandler()); filter.setAuthenticationFailureHandler(authenticationFailureHandler()); return filter; } @Bean public SimpleUrlAuthenticationSuccessHandler authenticationSuccessHandler() { SimpleUrlAuthenticationSuccessHandler handler = new SimpleUrlAuthenticationSuccessHandler(); handler.setDefaultTargetUrl("/home"); handler.setAlwaysUseDefaultTargetUrl(true); return handler; } @Bean public SimpleUrlAuthenticationFailureHandler authenticationFailureHandler() { SimpleUrlAuthenticationFailureHandler handler = new SimpleUrlAuthenticationFailureHandler(); handler.setDefaultFailureUrl("/login?error=true"); return handler; } @Bean public FilterRegistrationBean<CasAuthenticationFilter> casFilterRegistrationBean() { FilterRegistrationBean<CasAuthenticationFilter> registration = new FilterRegistrationBean<>(); registration.setFilter(casAuthenticationFilter()); registration.addUrlPatterns("/*"); registration.setName("CAS Authentication Filter"); registration.setOrder(1); return registration; } @Bean public ServletListenerRegistrationBean<SingleSignOutHttpSessionListener> singleSignOutHttpSessionListener() { ServletListenerRegistrationBean<SingleSignOutHttpSessionListener> registration = new ServletListenerRegistrationBean<>(); registration.setListener(new SingleSignOutHttpSessionListener()); registration.setOrder(2); return registration; } @Bean public ServletRegistrationBean<Servlet> casValidationServletRegistrationBean() { ServletRegistrationBean<Servlet> registration = new ServletRegistrationBean<>(); registration.setServlet(new Cas20ProxyReceivingTicketValidationFilter()); registration.addUrlMappings("/cas/*"); registration.setName("CAS Validation Filter"); registration.setOrder(3); return registration; } } ``` 4. 创建一个 HomeController: ```java @Controller public class HomeController { @GetMapping("/home") public String home() { return "home"; } @GetMapping("/403") public String error403() { return "403"; } } ``` 5. 创建一个 CAS 认证服务器: ```java @SpringBootApplication public class CasServerApplication { public static void main(String[] args) { SpringApplication.run(CasServerApplication.class, args); } } ``` 6. 创建一个 CAS 客户端: ```java @SpringBootApplication @EnableScheduling public class CasClientApplication { public static void main(String[] args) { SpringApplication.run(CasClientApplication.class, args); } } ``` 这就是一个简单的 Spring Boot + Shiro + CAS 的示例应用程序。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值