shiro注解授权源码分析

最新推荐文章于 2025-03-25 16:39:55 发布
最新推荐文章于 2025-03-25 16:39:55 发布
阅读量2.8k 收藏 4
点赞数
分类专栏: shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/jin5203344/article/details/53187923
版权


老问题,要知道注解授权方式为什么能生效,首先得找到入口,相比登录的过程不同,对于这个验证权限的这个过程shiro采用了springAOP的方式


首先在spring配置文件中 我们得开启shiro的注解:

<!-- 开启shiro注解支持--> 
	<bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
        <property name="securityManager" ref="securityManager"/>
    </bean>
那么我们的入口就找到了,AuthorizationAttributeSourceAdvisor类继承了StaticMethodMatcherPointcutAdvisor类,至于这个StaticMethodMatcherPointcutAdvisor类

是干嘛的呢,不错就是springAOP的一种方式,这里就不多说了,具体怎样后面我自己还得学习下  ( 静态切入点)

public class AuthorizationAttributeSourceAdvisor extends StaticMethodMatcherPointcutAdvisor {

    private static final Logger log = LoggerFactory.getLogger(AuthorizationAttributeSourceAdvisor.class);

    private static final Class<? extends Annotation>[] AUTHZ_ANNOTATION_CLASSES =
            new Class[] {
                    RequiresPermissions.class, RequiresRoles.class,
                    RequiresUser.class, RequiresGuest.class, RequiresAuthentication.class
            };

    protected SecurityManager securityManager = null;

    /**
     * Create a new AuthorizationAttributeSourceAdvisor.
     */
    public AuthorizationAttributeSourceAdvisor() {
        setAdvice(new AopAllianceAnnotationsAuthorizingMethodInterceptor());
    }

    public SecurityManager getSecurityManager() {
        return securityManager;
    }

    public void setSecurityManager(org.apache.shiro.mgt.SecurityManager securityManager) {
        this.securityManager = securityManager;
    }

   
    public boolean matches(Method method, Class targetClass) {
        Method m = method;

        if ( isAuthzAnnotationPresent(m) ) {
            return true;
        }

        //The 'method' parameter could be from an interface that doesn't have the annotation.
        //Check to see if the implementation has it.
        if ( targetClass != null) {
            try {
                m = targetClass.getMethod(m.getName(), m.getParameterTypes());
                if ( isAuthzAnnotationPresent(m) ) {
                    return true;
                }
            } catch (NoSuchMethodException ignored) {
                //default return value is false.  If we can't find the method, then obviously
                //there is no annotation, so just use the default return value.
            }
        }

        return false;
    }

    private boolean isAuthzAnnotationPresent(Method method) {
        for( Class<? extends Annotation> annClass : AUTHZ_ANNOTATION_CLASSES ) {
            Annotation a = AnnotationUtils.findAnnotation(method, annClass);
            if ( a != null ) {
                return true;
            }
        }
        return false;
    }

}
    构造函数中调用了setAdvice方法,传入参数为匿名AopAllianceAnnotationsAuthorizingMethodInterceptor类对象 

public AopAllianceAnnotationsAuthorizingMethodInterceptor() {
        List<AuthorizingAnnotationMethodInterceptor> interceptors =
                new ArrayList<AuthorizingAnnotationMethodInterceptor>(5);
        AnnotationResolver resolver = new SpringAnnotationResolver();
        //we can re-use the same resolver instance - it does not retain state:
        interceptors.add(new RoleAnnotationMethodInterceptor(resolver));
        interceptors.add(new PermissionAnnotationMethodInterceptor(resolver));
        interceptors.add(new AuthenticatedAnnotationMethodInterceptor(resolver));
        interceptors.add(new UserAnnotationMethodInterceptor(resolver));
        interceptors.add(new GuestAnnotationMethodInterceptor(resolver));

        setMethodInterceptors(interceptors);
    }
这里按照Permission分析  PermissionAnnotationMethodInterceptor的带参构造函数 

public PermissionAnnotationMethodInterceptor(AnnotationResolver resolver) {
        super( new PermissionAnnotationHandler(), resolver);
    }
调用父类构造函数并且第一个参数 字面意思可以看出 是对  权限注解的处理类,父类为AuthorizingAnnotationMethodInterceptor,一般我们知道AOP 执行的方法为

invoke() 看到此类中的invoke方法

public Object invoke(MethodInvocation methodInvocation) throws Throwable {
        assertAuthorized(methodInvocation);
        return methodInvocation.proceed();
    }
可以看到其中调用了assertAuthorized方法 

 public void assertAuthorized(MethodInvocation mi) throws AuthorizationException {
        try {
            ((AuthorizingAnnotationHandler)getHandler()).assertAuthorized(getAnnotation(mi));
        }
        catch(AuthorizationException ae) {
            // Annotation handler doesn't know why it was called, so add the information here if possible. 
            // Don't wrap the exception here since we don't want to mask the specific exception, such as 
            // UnauthenticatedException etc. 
            if (ae.getCause() == null) ae.initCause(new AuthorizationException("Not authorized to invoke method: " + mi.getMethod()));
            throw ae;
        }         
    }
其中((AuthorizingAnnotationHandler)getHandler()).assertAuthorized(getAnnotation(mi));这行代码实际就是调用我们之前传入的注解处理类的assertAuthorized方法

查看PermissionAnnotationHandler的对应方法

public void assertAuthorized(Annotation a) throws AuthorizationException {
        if (!(a instanceof RequiresPermissions)) return;

        RequiresPermissions rpAnnotation = (RequiresPermissions) a;
        String[] perms = getAnnotationValue(a);
        Subject subject = getSubject();

        if (perms.length == 1) {
            subject.checkPermission(perms[0]);
            return;
        }
        if (Logical.AND.equals(rpAnnotation.logical())) {
            getSubject().checkPermissions(perms);
            return;
        }
        if (Logical.OR.equals(rpAnnotation.logical())) {
            // Avoid processing exceptions unnecessarily - "delay" throwing the exception by calling hasRole first
            boolean hasAtLeastOnePermission = false;
            for (String permission : perms) if (getSubject().isPermitted(permission)) hasAtLeastOnePermission = true;
            // Cause the exception if none of the role match, note that the exception message will be a bit misleading
            if (!hasAtLeastOnePermission) getSubject().checkPermission(perms[0]);
            
        }
    }
代码分析,前面就不用说了获取subject,获取注解的permission字符串   以一个字符串分析  

查看checkPermission方法

public void checkPermission(String permission) throws AuthorizationException {
        assertAuthzCheckPossible();
        securityManager.checkPermission(getPrincipals(), permission);
    }
继续看securityManager的checkPermission方法,中间类似方法的调用 最后在ModularRealmAuthorizer中 

 public void checkPermission(PrincipalCollection principals, String permission) throws AuthorizationException {
        assertRealmsConfigured();
        if (!isPermitted(principals, permission)) {
            throw new UnauthorizedException("Subject does not have permission [" + permission + "]");
        }
    }
if语句中判断是否满足条件 

 public boolean isPermitted(PrincipalCollection principals, String permission) {
        assertRealmsConfigured();
        for (Realm realm : getRealms()) {
            if (!(realm instanceof Authorizer)) continue;
            if (((Authorizer) realm).isPermitted(principals, permission)) {
                return true;
            }
        }
        return false;
    }
最后调到AuthorizingRealm的isPermitted方法 这里就不啰嗦了 

 public boolean isPermitted(PrincipalCollection principals, Permission permission) {
        AuthorizationInfo info = getAuthorizationInfo(principals);
        return isPermitted(permission, info);
    }
getAuthorizationInfo方法为 

 protected AuthorizationInfo getAuthorizationInfo(PrincipalCollection principals) {

        if (principals == null) {
            return null;
        }

        AuthorizationInfo info = null;

        if (log.isTraceEnabled()) {
            log.trace("Retrieving AuthorizationInfo for principals [" + principals + "]");
        }

        Cache<Object, AuthorizationInfo> cache = getAvailableAuthorizationCache();
        if (cache != null) {
            if (log.isTraceEnabled()) {
                log.trace("Attempting to retrieve the AuthorizationInfo from cache.");
            }
            Object key = getAuthorizationCacheKey(principals);
            info = cache.get(key);
            if (log.isTraceEnabled()) {
                if (info == null) {
                    log.trace("No AuthorizationInfo found in cache for principals [" + principals + "]");
                } else {
                    log.trace("AuthorizationInfo found in cache for principals [" + principals + "]");
                }
            }
        }


        if (info == null) {
            // Call template method if the info was not found in a cache
            info = doGetAuthorizationInfo(principals);
            // If the info is not null and the cache has been created, then cache the authorization info.
            if (info != null && cache != null) {
                if (log.isTraceEnabled()) {
                    log.trace("Caching authorization info for principals: [" + principals + "].");
                }
                Object key = getAuthorizationCacheKey(principals);
                cache.put(key, info);
            }
        }

        return info;
    }
上面同样是从缓存中取,直接看下面  ,doGetAuthorizationInfo()方法 有没有很眼熟,没错 就是我们自定义realm里面可以拓展的方法,一般就是从数据库获取配置的

权限字符串然后返回过来了

最后就是比较权限字符串是否包含权限注解中的字符串了

 protected boolean isPermitted(Permission permission, AuthorizationInfo info) {
        Collection<Permission> perms = getPermissions(info);
        if (perms != null && !perms.isEmpty()) {
            for (Permission perm : perms) {
                if (perm.implies(permission)) {
                    return true;
                }
            }
        }
        return false;
    }
    当然没满足就会抛出没有权限的异常了




Shiro授权源码分析
zhaoqx的博客
11-06 226
最终执行用户名的认证是在SimpleAccountRealm类中在doGetAuthenticationInfo方法中 最终密码的校验完成是在AuthenticatingRealm类中的assertCredentialsMatch方法 protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException { UsernamePassword
Apache Shiro 全面源码解析汇总
wangxi06的专栏
03-21 430
什么是shiro? Apache Shiro官网上对Shiro的解释如下: Apache Shiro (pronounced “shee-roh”, the Japanese word for ‘castle’) is a powerful and easy-to-use Java security framework that performs authentication, authorization, cryptography, and session management and can ..
SpringBoot 、Shiro、 自定义注解权限控制源码下载
04-06
SpringBoot 、Shiro、 自定义注解权限控制
Shiro---授权源码分析
Apple_Andy的博客
09-14 454
一.步骤总结 1.首先调用Subject.isPermitted/hasRole接口,其会委托给SecurityManager,而SecurityManage接着委托给Authorizer 2.Authorizer是真正的授权者,如果我们调用如.isPermitted(“user:view”),其首先会通过PermissionResolver把字符串换成相应的permission实例 3.在进行授权之前,其会调用相应的realm获取Subject相应的角色/权限用于匹配传入的角色/权限 4.Authoriz
Shiro学习(一):Shiro介绍和基本使用
最新发布
liang8999的博客
03-25 838
Shiro 的设计目标是简化企业级应用程序的安全性开发过程,同时保持代码的简洁和易于维护。1)IniRealm:基于 .ini文件的配置,从Shiro.ini读取用户 认证/授权 和 角色数据。Realm,安全数据源, 是连接Shiro 与 安全数据的桥梁(如:JDBC数据库数据、LADP、SimpleAccountRealm是Shiro 提供的一个最基本的 Realm 内存实现,适用于快速原型开发。SecurityManager 是Shrio 的核心,管理所有的安全操作,协调所有安全组件,
Shiro授权过程--源码分析
↓ ↓ ↓ ↓
03-15 2392
现在来分析授权的过程这篇文章会接着上一篇文章,根据源码分析一下Shiro实现授权的过程,(其中Subject之前的方法不做过多解释)注: 配置文件和代码都放在文章最下面准备工作:1. AuthorizedRealm:  这是一个继承了AuthorizingRealm(是AuthenticatingRealm的子类,同样是抽象类)的Realm类,用来从数据库中获取用户的身份安全信息(本例中使用静...
shiro登录,授权源码简单分析
weixin_43915064的博客
01-06 782
文章目录shiro简介概念架构特色架构shiro使用架构 shiro简介 概念 Apache Shiro是一个强大且安全易用的Java安全框架,可以完成:认证、授权、加密、会话管理、缓存等。与SpringSecurity相比较简单的多,学习成本比较低。 架构 特色 **Authentication:**用户登录认证。 **Authorization:**用户权限认证,如用户拥有的角色,权限。 Session Management:会话管理,保存用户登录的会话信息。 **Cryptography:**加密
shirodemo:SpringBoot集成Shiro博客源码-源码客
03-24
5. **Shiro注解**:在Controller层,可以使用Shiro注解如`@RequiresAuthentication`、`@RequiresPermissions`和`@RequiresRoles`来实现权限控制。 **项目结构与功能** `shirodemo-master`这个文件名可能代表了...
shiro认证授权的过程
05-01
Apache Shiro 是一个强大且易用的Java安全框架,提供了认证、授权、加密和会话管理功能,可以非常...通过源码分析和实际应用,我们可以更好地理解和利用Shiro的强大功能,确保我们的Java应用程序具有可靠的安全保障。
Shiro 视频教程+源码+课件
08-29
内容涵盖 Shiro 认证、加密、授权、安全标签、安全注解、会话管理、缓存、Rememberme 等 JavaEE 企业级开发的核心技术。视频讲授过程中通过分析源代码使学员知其然更知其所以然。 【课程内容】 第一章 问候 Shiro ...
深入学习Spring Boot与Shiro源码分析
3. Shiro源码分析:学习Shiro源码可以帮助深入理解Shiro的工作原理和实现方式。通过源码分析,可以了解Shiro如何与Spring Boot集成,以及如何自定义安全控制逻辑。源码分析可以帮助开发者掌握核心安全组件如Subject,...
shiro授权源码分析(session的作用)
qq_43469298的博客
11-05 415
文章目录前言一、shiro的认证授权流程?二、使用步骤1.引入库2.读入数据总结 前言 深入源码才能了解框架正真的运行机制,在看到shiro授权流程过后,我就在思考在权限得到认证过后,shiro是否会将认证信息进行保存,保存在什么地方,下一次用户进行访问的时候shiro是通过什么样的方法判断用户已经得到认证,可以直接进行权限的判定。 提示:以下是本篇文章正文内容,下面案例可供参考 一、shiro的认证授权流程? 二、使用步骤 1.引入库 代码如下(示例): import numpy as np im
Shiro系列十:授权源码解析
苍穹尘的博客
06-07 1216
一、授权流程   1、首先调用 Subject.isPermitted或hasRole 接口,其会委托给 SecurityManager,而 SecurityManager 接着会委托给 Authorizer;   2、Authorizer是真正的授权者,如果调用如 isPermitted(“user:view”),其首先会通过 PermissionResolver 把字符串转换成相应的 Per...
apache shiro框架@RequiresPermissions源码分析
谢文峰的博客
04-22 3320
1.@RequiresPermissions使用方法 在对应的方法上使用注解 @RequestMapping("user/list") @RequiresPermissions("user:list") @ResponseBody public Map<String, Object> userList(QueryRequest request, User user) { ...
Shiro源码分析----授权流程
镜水灵动
03-24 551
在一个用户登录后,即身份认证通过,只能证明该登录身份是合法的,至于具体能访问系统中的什么资源,需要通过授权来控制。一般系统中都是通过用户关联角色、角色再关联权限来实现判断一个用户是否有某资源的使用权限,Shiro也提供了相应的实现权限控制。    Shiro中的权限控制也是通过Filter来实现的,在前面认证流程中讲到,Shiro的DefaultFilterChainManager类会创建Filt...
六、Shiro之通过注解配置授权
panchang199266的博客
09-08 1088
一、添加POM依赖   一定要注意aop与aspectjweaver的版本兼容问题,否则会报java.lang.NoClassDefFoundError:org/springframework/aop/aspectj/autoproxy/AspectJAwareAdvisorAutoProxyCreator$PartiallyComparableAdvisorHolder错误! ...
shiro源码分析(一)--大致流程
seasonLai的博客
01-03 3826
去GitHub搜索shiro,克隆源码,然后会看到里面有samples模块,先从quickstart看起 一、例子源码 首先是配置文件shiro.ini [users] root = secret, admin guest = guest, guest presidentskroob = 12345, president darkhelmet = ludicrousspeed, darklord,...
Spring笔记07(Spring AOP的通知advice和顾问advisor)
weixin_30689307的博客
10-12 178
1.Spring AOP的通知advice 01.接口代码: package cn.pb.dao; public interface UserDao { //主业务 String add(); //主业务 void del(); } 02.实现类代码: package cn.pb.dao;public class UserD...
Shiro授权注解式开发
chenbowenleave的博客
12-04 174
文章目录1、shiro授权角色、权限2、Shiro注解式开发 如又有说不了解情看之前的博客 1、shiro授权角色、权限 先来看一下数据库中图表的设置 授权: 在ShiroUserMapper.xml中新增内容 <select id="getRolesByUserId" resultType="java.lang.String" parameterType="java.lang.Inte...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值