本文深入探讨了Shiro权限管理的核心概念,包括主体、资源、权限、角色的定义及作用,详细解析了权限规则、多层次管理和实例级访问控制。同时,介绍了Shiro的授权流程,包括如何通过Subject.isPermitted和hasRole接口进行权限验证,以及权限字符串的解析和匹配过程。
一、授权
1. 授权
授权,也叫访问控制,即在应用中控制谁访问哪些资源(如访问页面/编辑数据/页面操作等)。在授权中需了解的几个关键对象:主体(Subject)、资源(Resource)、权限(Permission)、角色(Role)。
- 主体:访问应用的用户,在 Shiro 中使用 Subject 代表该用户。用户只有授权后才允许访问相应的资源。
- 资源:在应用中用户可以访问的 URL,比如访问 JSP 页面、查看/编辑某些数据、访问某个业务方法、打印文本等等都是资源。用户只要授权后才能访问。
- 权限:安全策略中的原子授权单位,通过权限我们可以表示在应用中用户有没有操作某个资源的权力。即权限表示在应用中用户能不能访问某个资源,如:访问用户列表页面查看/新增/修改/删除用户数据(即很多时候都是CRUD(增查改删)式权限控制)等。权限代表了用户有没有操作某个资源的权利,即反映在某个资源上的操作允不允许。Shiro 支持粗粒度权限(如用户模块的所有权限)和细粒度权限(操作某个用户的权限,即实例级别的)
- 角色(Role)权限的集合,一般情况下会赋予用户角色而不是权限,即这样用户可以拥有一组权限,赋予权限时比较方便。典型的如:项目经理、技术总监、CTO、开发工程师等都是角色,不同的角色拥有一组不同的权限。
2. 授权方式
(1)编程式:通过写if/else 授权代码块完成
(2)注解式:通过在执行的Java方法上放置相应的注解完成,没有权限将抛出相应的异常
(3)JSP/GSP 标签:在JSP/GSP 页面通过相应的标签完成
3. 默认的拦截器
Shiro 内置了很多默认的拦截器,比如身份验证、授权等相关的。默认拦截器可以参org.apache.shiro.web.filter.mgt.DefaultFilter中的枚举拦截器
(1)身份验证相关的拦截器
(2)授权相关的拦截器
4. Permissions
(1)规则
资源标识符:操作:对象实例 ID
: 表示资源/操作/实例的分割
, 表示操作的分割
* 表示任意资源/操作/实例
即对哪个资源的哪个实例可以进行什么操作. 其默认支持通配符权限字符串。
(2)多层次管理
例如:user:query、user:edit
多个值:每个部件能够保护多个值。因此,除了授予用户 user:query和 user:edit 权限外,也可以简单地授予他们一个: user:query, edit
(3)实例级访问控制
这种情况通常会使用三个部件:域、操作、被付诸实施的实例。如:user:edit:manager
也可以使用通配符来定义,如:user:edit:*、user:*:*、user:*:manager
部分省略通配符:缺少的部件意味着用户可以访问所有与之匹配的值,比如:user:edit 等价于 user:edit :*、user 等价于 user:*:*
【注意】通配符只能从字符串的结尾处省略部件,也就是说 user:edit 并不等价于 user:*:edit
5. 授权的流程
- 首先调用 Subject.isPermitted*/hasRole* 接口,其会委托给SecurityManager,而 SecurityManager 接着会委托Authorizer;
- Authorizer是真正的授权者,如果调用如isPermitted(“user:view”),其首先会通过PermissionResolver 把字符串转换成相应的 Permission 实例
- 在进行授权之前,其会调用相应的 Realm 获取 Subject 相应的角色/权限用于匹配传入的角色/权限;
- Authorizer 会判断 Realm 的角色/权限是否和传入的匹配,如果有多个Realm,会委托给 ModularRealmAuthorizer 进行循环判断,如果匹配如 isPermitted*/hasRole* 会返回true,否则返回false表示授权失败
ModularRealmAuthorizer
ModularRealmAuthorizer 进行多 Realm 匹配流程:
- 首先检查相应的 Realm 是否实现了实现了Authorizer;
- 如果实现了 Authorizer,那么接着调用其相应的isPermitted*/hasRole* 接口进行匹配;
- 如果有一个Realm匹配那么将返回 true,否则返回 false。
【提示】源码
二、具体的实现
1. 授权配置
2. 授权的realm
3. 测试类
【提示】
(1) doGetAuthoricationInfo: 实现认证
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token)
throws AuthenticationException {
//获取用户的输入的账号.
String username = (String)token.getPrincipal();
//通过username从数据库中查找 User对象,如果找到,没找到.
//实际项目中,这里可以根据实际情况做缓存,如果不做,Shiro自己也是有时间间隔机制,2分钟内不会重复执行该方法
UserInfo userInfo = userInfoService.findByUsername(username);
if(userInfo == null){
return null;
}
SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(
userInfo, //用户名
userInfo.getPassword(), //密码
ByteSource.Util.bytes(userInfo.getCredentialsSalt()),//salt=username+salt
getName() //realm name
);
return authenticationInfo;
}
(2)doGetAuthorizationInfo: 实现授权
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
UserInfo userInfo = (UserInfo)principals.getPrimaryPrincipal();
for(SysRole role:userInfo.getRoleList()){
authorizationInfo.addRole(role.getRole());
for(SysPermission p:role.getPermissions()){
authorizationInfo.addStringPermission(p.getPermission());
}
}
return authorizationInfo;
}
roles是从数据库查询的当前用户的角色,stringPermissions是从数据库查询的当前用户对应的权限,这里面也可以使用set集合
就是说如果在shiro配置文件中添加了filterChainDefinitionMap.put(“/add”, “perms[权限添加]”);就说明访问/add这个链接必须要有“权限添加”这个权限才可以访问,如果在shiro配置文件中添加了filterChainDefinitionMap.put(“/add”, “roles[100002],perms[权限添加]”);就说明访问/add这个链接必须要有“权限添加”这个权限和具有“100002”这个角色才可以访问。
(3)简单的Demo
【提示】若是admin登录,则其拥有user与admin的权限!若是user登录,则只有user权限!。上面的参数principals也可以通过下面的方式获取。
SecurityUtils.getSubject().getPrincipal();
其实上面方法的参数principals是认证方法返回的对象里面的属性值!
扫一扫
6679
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
