Shiro权限验证最详细的代码流转分析

最新推荐文章于 2022-11-12 16:13:17 发布
置顶 最新推荐文章于 2022-11-12 16:13:17 发布
阅读量540 收藏 1
点赞数
分类专栏: 权限框架
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/fenglixiong123/article/details/77852383
版权

Shiro权限验证

1.测试类


首先调用

subject().isPermitted("user1:update");

subject会委托给SecurityManager

而SecurityManager接着会委托给Authorizer;

Authorizer是真正的授权者

Authorizer是个接口,会接着调用它实现类(ModularRealmAuthorizer)的isPermitted方法去做认证

循环验证是否权限匹配可以看出只要有一个权限验证通过即返回为true

public boolean isPermitted(PrincipalCollection principals, String permission) {
        assertRealmsConfigured();
        for (Realm realm : getRealms()) {
            if (!(realm instanceof Authorizer)) continue;
            if (((Authorizer) realm).isPermitted(principals, permission)) {
                return true;
            }
        }
        return false;
    }
其中

assertRealmsConfigured方法源码为:其作用主要判断realm是否为空(这个方法蛮好的,学学)

protected void assertRealmsConfigured() throws IllegalStateException {
        Collection<Realm> realms = getRealms();
        if (realms == null || realms.isEmpty()) {
            String msg = "Configuration error:  No realms have been configured!  One or more realms must be " +
                    "present to execute an authorization operation.";
            throw new IllegalStateException(msg);
        }
    }

此时上面哪个isPermitted(principals, permission)方法调用其实现接口(Authorizer)的方法isPermitted(principals, permission)

进而调用其实现类(AuthorizingRealm)的方法

首先对传进来的要验证的权限进行解析

用开发人员指定的解析器BitAndWildPermissionResolver 

public boolean isPermitted(PrincipalCollection principals, String permission) {
        Permission p = getPermissionResolver().resolvePermission(permission);
        return isPermitted(principals, p);
    }

用自定义的权限解析器去把字符串的权限转换成Permission类型的权限

public class BitAndWildPermissionResolver implements PermissionResolver {

    public Permission resolvePermission(String permissionString) {
        //以+号开始的都走自定义的权限解析器
        if(permissionString.startsWith("+")){
            return new BitPermission(permissionString);
        }
        //其余的走shiro,默认的通配符权限解析器
        return new WildcardPermission(permissionString);
    }

}


然后对传入的权限进行比较 

public boolean isPermitted(PrincipalCollection principals, Permission permission) {
        AuthorizationInfo info = getAuthorizationInfo(principals);
        return isPermitted(permission, info);
    }
次方法作用:

    (0)首先从缓存中取权限信息,如果没有才去realm里面取

Cache<Object, AuthorizationInfo> cache = getAvailableAuthorizationCache();

    (1)首先从自定义的MyRealm的类中获取权限集合(原始的,未解析的,包括字符串,wild,bit各种类型的初始权限参数)

protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {

        SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();

        authorizationInfo.addRole("role1");
        authorizationInfo.addRole("role2");
        authorizationInfo.addObjectPermission(new BitPermission("+user1+10"));
        authorizationInfo.addObjectPermission(new WildcardPermission("user1:*"));
        authorizationInfo.addStringPermission("+user2+10");
        authorizationInfo.addStringPermission("user2:*");

        return authorizationInfo;
    }


注意:关于缓存的问题

if (info == null) {
            // Call template method if the info was not found in a cache
            info = doGetAuthorizationInfo(principals);
            // If the info is not null and the cache has been created, then cache the authorization info.
            if (info != null && cache != null) {
                if (log.isTraceEnabled()) {
                    log.trace("Caching authorization info for principals: [" + principals + "].");
                }
                Object key = getAuthorizationCacheKey(principals);
                cache.put(key, info);
            }
        }

这里有判断默认的cache实现,如果你shiro中配置了缓存就会把当前权限信息缓存在缓存其中

   

  (2)进行权限的实际比较(解析权限字符串) 

return isPermitted(permission, info);
关键时刻到了: 

protected boolean isPermitted(Permission permission, AuthorizationInfo info) {
        Collection<Permission> perms = getPermissions(info);
        if (perms != null && !perms.isEmpty()) {
            for (Permission perm : perms) {
                if (perm.implies(permission)) {
                    return true;
                }
            }
        }
        return false;
    }

其中黄底蓝字的地方会把刚刚从自定义realm里面取得的权限信息(良莠不齐)转化成统一的Permission对象来比较

最终解析出来的权限如下(包括直接赋予的权限,以及拥有角色的所拥有的权限)



准备工作完成(要验证的权限,用户实际拥有的权限

可以开始比较了possessPermissions

Collection<Permission> possessPermissions= getPermissions(info);
        if (possessPermissions!= null && !possessPermissions.isEmpty()) {
            for (Permission perm : possessPermissions) {
                if (perm.implies(wantTocheckPermissions)) {
                    return true;
                }
            }
        }
        return false;
有一个返回true则为true





基于vue(element ui) + ssm + shiro权限框架
Hoult丶吴邪
08-15 1万+
基于vue(element ui) + ssm + shiro权限框架。 领悟,理解,消化它! 引言 心声 现在的Java世界,各种资源很丰富,不得不说,从分布式,服务化,orm,再到前端控制,权限等等玲琅满目,网上有句话说,语言框架迭代太快了,我学不动了,不如回去搬砖吧,可是天这么热,砖烫手啊。程序搞起来很容易,就是有点头冷。 程序员的两大世界难题 ...
shiro使用流程及原理
loyli的博客
09-27 2056
1、核心介绍 1)Application Code用户编写代码 2)Subject就是shiro管理的用户 3)SecurityManager安全管理器,就是shiro权限控制核心对象,在编程时,只需要操作Subject方法,底层调用SecurityManager方法,无需直接编程操作SecurityManager 4)Realm应用程序和安全数据之间连接器,
Shiro身份验证详细代码流转分析
【冯立雄】的博客
08-11 479
Shiro身份验证流转分析 【冯立雄】的身份验证流转分析,一步步debug下来的 1.ShiroHandler.login(token); 2.DelegatingSubject.login(token); 3.securityManager.login(this, token); 4.DefaultSecurityManager.login(subject,token); 5.Authenti
权限验证框架Shiro 学习笔记
weixin_40729176的博客
03-01 175
Shiro简介 什么是Shiro Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能: 认证(Authentication):用户身份识别,常被称为用户“登录”,判断用户是否登陆,如果未登陆,则拦截其请求 授权(Authorization):访问控制。当用户登陆后,判断其身份是否有权限访问相应的资源,如果没有权限则拦截 密码加密(Cryptog...
代码学习教程:将数据流转给对应部门节点
bby2017的博客
08-04 249
在日常工作中,可能会遇到如下的场景:各个部门成员的请假申请,请假数据只传到自己部门负责人那里,不到其他部门负责人那里,怎么处理?各个部门成员的报销申请,报销数据只传到自己部门负责人那里,不到其他部门负责人那里,怎么处理? * 部门主管查看完数据,需要动态设置下一节点的负责人时,怎么处理? 下面我们就以上面的场景来介绍解决方案是如何实现的。 1. 以部门字段作为流转条件 设计步骤: 1. 表单中添加一个表示部门的字段控件:【部门单选】控件。 2. 每一个部门做一个流程分支,其负责人为该部门的主管。 ..
web工作流管理系统开发之十二 同一张表单在流程多节点中流转权限控件
hello_simon的专栏
02-19 1234
以前写过一篇  表单权限与流程的权限控制;文章,没有具体的去实现,实践证明,同一张表单在多流程节点中流转,是工作流和电子表单必须要处理的问题。   工作流系统和电子表单相结合,达到同一张表单在流程的各个节点中的权限不同。   例如一张表单包含,录入部分信息,审核部分信息;   当表单在录入的时候,需要将审核部分信息全部屏蔽; 当上级审核时,录入部分的信息需要只读,只能填写审核部分
Shiro---授权源码分析
Apple_Andy的博客
09-14 458
.步骤总结 1.首先调用Subject.isPermitted/hasRole接口,其会委托给SecurityManager,而SecurityManage接着委托给Authorizer 2.Authorizer是真正的授权者,如果我们调用如.isPermitted(“user:view”),其首先会通过PermissionResolver把字符串换成相应的permission实例 3.在进行授权之前,其会调用相应的realm获取Subject相应的角色/权限用于匹配传入的角色/权限 4.Authoriz
VUE和springboot,shiro,redis,springboot,mybatisplus及activiti7项目整合
05-22
在本项目中,Shiro用于实现用户登录验证权限管理,确保只有经过认证的用户才能访问特定资源。 Redis是一款高性能的内存数据结构存储系统,常用于缓存和消息队列。在这里,Redis可能被用来存储用户的会话信息,...
SSM + shiro + activity工作流 实现的图书管理系统
11-25
Shiro作为安全框架,主要负责用户的登录验证权限控制和会话管理。用户登录时,Shiro会对提交的用户名和密码进行校验,成功后生成Session并设置Subject。在后续的请求中,Shiro会检查用户是否已登录以及是否拥有...
毕业设计使用springboot+mybatis+shiro+activity的企业办公Oa系统.zip
最新发布
02-23
在本项目中,Shiro用于实现用户登录认证和权限管理,确保只有经过验证的用户才能访问特定的系统资源,同时,Shiro还能处理用户的会话管理,防止未授权的访问。 【activity】通常指的是Android的Activity,但在企业...
shiroFilter权限验证
09-24
web.xml配置 因为我们是与spring进行集成的,而spring的基本就是web项目的xml文件。所以我们在web.xml中配置shiros的过滤拦截。正常情况下,我们需要将shiro的filter配置在所有的filter前面,当然和encodingFilter这个filter是不区分前后的。因为两者互相不影响的。spring-shiro.xml 这里我们将来看看spring-shiro.xml的配置,这里我采取倒叙的方式讲解,我觉的倒叙更加的有助于我们理解代码。首先我们还记得在web.xml中配置的那个filter吧,名字shiroFilter,对spring-shiro.xml配置文件就是通过这个filter展开的。首先我们在web.xml配置的过滤器实际上是配置ShiroFilterFactoryBean,所以在这里需要将ShiroFilterFactoryBean定义为shiroFilter <!-- Shiro的核心安全接口,这个属性是必须的 --> <!-- 要求登录时的链接(可根据项目的URL进行替换),非必须的属性,默认会自动寻找Web工程根目录下的"/login.html"页面 --> <!-- 登录成功后要跳转的连接 --> <!-- 用户访问未对其授权的资源时,所显示的连接 --> <!-- 若想更明显的测试此属性可以修改它的值,如unauthor.jsp,然后用[玄玉]登录后访问/admin/listUser.jsp就看见浏览器会显示unauthor.jsp --> <!-- Shiro连接约束配置,即过滤链的定义 --> <!-- 此处可配合我的这篇文章来理解各个过滤连的作用http://blog.csdn.net/jadyer/article/details/12172839 --> <!-- 下面value值的第一个'/'代表的路径是相对于HttpServletRequest.getContextPath()的值来的 --> <!-- anon:它对应的过滤器里面是空的,什么都没做,这里.do和.jsp后面的*表示参数,比方说login.jsp?main这种 --> <!-- authc:该过滤器下的页面必须验证后才能访问,它是Shiro内置的一个拦截器org.apache.shiro.web.filter.authc.FormAuthenticationFilter --> /statics/**=anon /login.html=anon /sys/schedule.html=perms[sys:schedule:save] /sys/login=anon /captcha.jpg=anon /**=authc
shiro 权限认证以及授权demo
09-10
shiro 权限认证以及授权demo
第三章 授权——《跟我学Shiro
jinnianshilongnian的专栏
02-21 759
  目录贴: 跟我学Shiro目录贴   授权,也叫访问控制,即在应用中控制谁能访问哪些资源(如访问页面/编辑数据/页面操作等)。在授权中需了解的几个关键对象:主体(Subject)、资源(Resource)、权限(Permission)、角色(Role)。 主体 主体,即访问应用的用户,在Shiro中使用Subject代表该用户。用户只有授权后才允许访问相应的资源。 资源 在应...
MIUI中无法获取所有短信的坑
adojayfan的博客
10-11 3906
没事写了个读取短信的功能,发现获取的短信只有手机联系人的,其他比如验证码、快递等短信无法获取到。 在App的权限管理中发现,这是因为MIUI将短信权限分为了普通短信和通知类短信权限,其他app是无法申请通知类短信的权限,而且默认是拒绝这种权限,必须在设置中手动允许权限才行。 ...
Apache Shiro 使用手册(三)Shiro 授权
kdboy的专栏
08-23 386
授权即访问控制,它将判断用户在应用程序中对资源是否拥有相应的访问权限。 如,判断一个用户有查看页面的权限,编辑数据的权限,拥有某一按钮的权限,以及是否拥有打印的权限等等。 [size=large][b][color=darkblue]一、授权的三要素[/color][/b][/size] 授权有着三个核心元素:权限、角色和用户。 [color=darkblue][b]权限[/b...
Shiro 权限验证原理
PinkCoder
02-14 2330
Shiro 权限验证原理
Spring Boot与Shiro实现权限管理03
pikcacho_pkq的博客
11-12 849
当接口被调用时 Shiro 首先会通过 ACSRealm.java 的 doGetAuthorizationInfo 方法拿到访问者的所有权限信息,然后判断其中是否包括了 “role:add” 权限,没有包括时将抛出 AuthorizationException 异常,在ExceptionController.java 中添加相应的方法统一处理这个异常,给调用者返回 403(Forbidden)错误。首先需添加一个session的工具类,创建util包,在该包下创建SessionUtils.java类。
SSM + Shiro 整合 (5)- 自定义过滤器及权限解析器、介绍权限匹配流程
热门推荐
李威威的博客
09-25 1万+
关于 Shiro权限匹配器和过滤器上一节,我们实现了自定义的 Realm,方式是继承 AuthorizingRealm 这个抽象类,分别实现认证的方法和授权的方法。这一节实现的代码的执行顺序 1、过滤器,在过滤器中执行 Subject 对象的判断是否具有某项权限的方法 isPermitted() 传入某一个跟当前登录对象相关的特征值(这里是登录对象正在访问的 url 连接) 2、程序到自定义
Shiro中的授权问题
江南一点雨的专栏
03-20 4168
在初识Shiro一文中,我们对Shiro的基本使用已经做了简单的介绍,不懂的小伙伴们可以先阅读上文,今天我们就来看看Shiro中的授权问题。 Shiro中的授权,大体上可以分为两大类,一类是隐式角色,还有一类是显式角色。我们来分别看下。隐式角色隐式角色是一种基于角色的访问权限控制,它在使用的过程中,我们直接判断相应的Subject是否是某一种角色,进而判断该Subject是否具备某种权限,比如下面
毕业设计商城系统:SpringBoot+Shiro+Layui架构实践
- 权限控制:使用Shiro进行用户权限和角色的管理,确保系统的安全性。 - 前端交互:利用Layui构建直观易用的用户界面,提高用户体验。 五、毕业设计建议 本项目作为本科毕业设计是一个不错的选择,因为它覆盖了前后...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

花生糖葫芦侠

创作不易,请多多支持!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值