梳理shiro验证权限的思路

最新推荐文章于 2021-08-11 02:55:11 发布
原创 最新推荐文章于 2021-08-11 02:55:11 发布 · 552 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#shiro

本文详细介绍了使用Apache Shiro框架进行权限验证的具体流程。通过自定义Realm、PermissionResolver及Permission等组件,实现了复杂的权限判断逻辑。重点讲解了权限字符串的格式及权限验证的核心方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

我是看的开涛的跟我来学shiro的pdf版来学习shiro的,首先感谢大神。在学习到验证权限的一个示例demo时对验证权限的过程不是特别理解,于是在搞清楚之后写一下博客记忆一下,如果能帮到别人就更好了~

我理解的办法是在每个方法体内都打上log,了解代码的走向,如下:

2017-06-16 21:10:11,271 [main] INFO  com.oyb.permission_resolver.MyRealm - MyRealm---->doGetAuthenticationInfo
info--->zhang
2017-06-16 21:10:11,274 [main] INFO  org.apache.shiro.session.mgt.AbstractValidatingSessionManager - Enabling session validation scheduler...
2017-06-16 21:10:11,471 [main] INFO  com.oyb.permission_resolver.BitAndWildPermissionResolver - BitAndWildPermissionResolver---->resolvePermission
2017-06-16 21:10:11,471 [main] ERROR com.oyb.permission_resolver.BitAndWildPermissionResolver - user1:create
2017-06-16 21:10:11,472 [main] INFO  com.oyb.permission_resolver.MyRealm - MyRealm---->doGetAuthorizationInfo
2017-06-16 21:10:11,472 [main] ERROR com.oyb.permission_resolver.MyRealm - zhang
2017-06-16 21:10:11,473 [main] INFO  com.oyb.permission_resolver.BitAndWildPermissionResolver - BitAndWildPermissionResolver---->resolvePermission
2017-06-16 21:10:11,473 [main] ERROR com.oyb.permission_resolver.BitAndWildPermissionResolver - +user2+10
2017-06-16 21:10:11,474 [main] INFO  com.oyb.permission_resolver.BitAndWildPermissionResolver - BitAndWildPermissionResolver---->resolvePermission
2017-06-16 21:10:11,474 [main] ERROR com.oyb.permission_resolver.BitAndWildPermissionResolver - +user1+10
2017-06-16 21:10:11,474 [main] INFO  com.oyb.permission_resolver.BitAndWildPermissionResolver - BitAndWildPermissionResolver---->resolvePermission
2017-06-16 21:10:11,474 [main] ERROR com.oyb.permission_resolver.BitAndWildPermissionResolver - user1:*
2017-06-16 21:10:11,474 [main] INFO  com.oyb.permission_resolver.BitAndWildPermissionResolver - BitAndWildPermissionResolver---->resolvePermission
2017-06-16 21:10:11,474 [main] ERROR com.oyb.permission_resolver.BitAndWildPermissionResolver - user2:*
2017-06-16 21:10:11,474 [main] INFO  com.oyb.permission_resolver.MyRolePermissionResolver - MyRolePermissionResolver---->resolvePermissionsInRole
2017-06-16 21:10:11,474 [main] ERROR com.oyb.permission_resolver.MyRolePermissionResolver - superadmin
2017-06-16 21:10:11,474 [main] INFO  com.oyb.permission_resolver.MyRolePermissionResolver - MyRolePermissionResolver---->resolvePermissionsInRole
2017-06-16 21:10:11,474 [main] ERROR com.oyb.permission_resolver.MyRolePermissionResolver - admin
2017-06-16 21:10:11,474 [main] INFO  com.oyb.permission_resolver.BitPermission - BitPermission---->implies
2017-06-16 21:10:11,475 [main] ERROR com.oyb.permission_resolver.BitPermission - user1:create
2017-06-16 21:10:11,475 [main] INFO  com.oyb.permission_resolver.BitPermission - BitPermission---->implies
2017-06-16 21:10:11,475 [main] ERROR com.oyb.permission_resolver.BitPermission - user1:create
是否拥有该权限--->true

通过log了解到大体思路:

  1. 自定义MyRealm方法继承自AuthorizingRealm,调用doGetAuthenticationInfo方法验证身份信息
  2. 自定义BitAndWildPermissionResolver方法继承自PermissionResolver,拿到需要验证的权限信息;
    回到MyRealm调用doGetAuthorizationInfo方法根据用户身份获取授权信息;
  3. 回到BitAndWildPermissionResolver拿到当前用户的权限
  4. 本人觉得很重要的一点,权限字符串的格式:+资源字符串+权限位+实例ID;以+开头中间通过+分割;权限:0 表示所有权限;1 新增(二进制:0001)、2 修改(二进制:0010)、4 删除(二进制:0100)、8 查看(二进制:1000);如 +user+10 表示对资源user拥有修改/查看权限。

  5. 自定义BitPermission方法继承自Permission,在其构造方法中解析拿到的权限字符串
    public BitPermission(String permissionString) {
    String[] arrays = permissionString.split("\\+");
    if(arrays.length > 1){
    resourceIndentify = arrays[1];
    }
    if(!StringUtils.hasText(resourceIndentify)){
    resourceIndentify = "*";
    }
    if(arrays.length > 2){
    permissionBit = Integer.valueOf(arrays[2]);
    }
    if(arrays.length > 3){
    instanceId = arrays[3];
    }
    if(!StringUtils.hasText(instanceId)){
    instanceId = "*";
    }
    }

  6. 在重写的implies方法中编辑判断权限是否存在的代码,如下:

     if(!(permission instanceof BitPermission)){
            return false;
        }
        BitPermission other = (BitPermission) permission;
        if(!("*".equals(this.resourceIndentify) || this.resourceIndentify.equals(other.resourceIndentify))){
            return false;
        }
        if(!(this.permissionBit == 0 || (this.permissionBit & other.permissionBit) != 0)){
            return false;
        }
        if(!("*".equals(this.instanceId) || this.instanceId.equals(other.instanceId))){
            return false;
        }
        return true;
    }

总结一下验证思路:

  • 登录,成功则进入下一步
  • 拿到需要验证的权限信息
  • 拿到当前用户的授权信息(即当前用户拥有的权限)
  • 解析当前用户的权限信息
  • 重写implies方法把当前用户的权限与需要验证的权限做对比,得到结果。
vince_Da
关注
shiro权限源码分析
GSON的博客
05-17 262
shiroFilter 这个 Bean 可以看出,系统使用 OAuth2Filter 这个过滤器对核心模块资源进行了过滤。我们先来看看登录是怎么做的。核心模块是由 Shiro 来做认证和授权的,我们先来看 config 下的 ShiroConfig.java。首先验证用户是否存在,密码是否正确,然后创建token,并保存至数据库。
springboot整合 shiro框架 && jwt验证
shaun的博客
08-28 1047
shiro + jwt 快速搭建前言一、jwt是什么?1. jwt构成1.1 header1.2 playload1.3 signature2. jwt实现二、shiro是什么?1. shiro的三个核心组件1.1 Subject1.2 SecurityManager1.3 Realm2. shiro的引入2.1 Realm领域类2.2 过滤器2.3 配置类三、jwt的校验和授权总结 前言 一个系统在起步的时候最重要的权限系统,最简单的实现就是通过角色表+菜单表相关联,通过登陆用户的角色查到对应的菜单,
shiro授权设计的两种思路
05-03
NULL 博文链接:https://yuhuiblog695685688425687986842568269.iteye.com/blog/2434891
shiro的认证思路分析(即登录,流程)
man_tou_22
04-27 920
认证实现流程:        1. 获取当前的 Subject. 调用 SecurityUtils.getSubject(); Factory factory = new IniSecurityManagerFactory("classpath:shiro.ini"); SecurityManager securityManager = factory.getInsta
Shiro_认证思路分析
weixin_33800593的博客
09-27 117
【认证】 也就是登录。 1.获取当前的subject,调用SecurityUtils.getSubject() 2.测试当前的用户是否已经被认证,即是否登录。调用subject的isAuthenticated()。 3.若没有被认证,则把用户名和密码封装成UsernamePasswordToken对象。 1)创建一个表单页面 2)把请求提交到Spring MVC的Handler ...
Shiro权限管理】6.Shiro认证思路分析
程序猿之洞
10-30 2414
下面来说一下Shiro的认证。 如何来做Shiro的认证呢?首先回顾一下之前剖析的Shiro的HelloWorld程序中有关认证的部分代码: //获取当前的Subject Subject currentUser = SecurityUtils.getSubject(); //测试当前用户是否已经被认证(即是否已经登录) if (!currentUser.isAuthenticated()) {
Shiro-认证思路分析及认证流程实现
qq_36722039的博客
12-13 436
1、获取当前的Subject。调用SecurityUtils.getSubject(); 2、测试当前的用户是否已经被认证。即是否已经登录。调用Subject的isAuthenticated() 3、若没有被认证,则把用户名和密码封装为UsernamePasswordToken对象     1)创建一个表单页面     2)把请求提交到SpringMVC的Handler     3)获取用户名和密...
SSM框架整合EasyUI与Shiro验证实战教程
综上所述,给定文件信息中涉及了多种技术栈,包括SSM框架的搭建、MySQL数据库的应用、easyUI的用户界面构建、WebSocket通信的实现、Shiro验证机制的集成,以及webservice的网络服务应用。此外,还提到了拦截器、...
Shiro URL表达式详解与认证流程梳理
本文档主要介绍了Apache Shiro框架中URL表达式的使用和Shiro权限管理的详细内容。...通过理解和利用这些关键知识点,开发人员可以更好地在Shiro框架中实现精确的URL权限控制和用户身份验证,确保系统的安全性。
Spring Boot结合Shiro实现高效权限管理系统
将Spring Boot与Shiro结合在一起,可以更高效地构建安全的Web应用,实现用户身份验证权限控制。 在实现权限管理的过程中,主要的知识点可以分为以下几个方面: 1. Spring Boot的基本使用: - Spring Boot项目...
Ruoyi管理系统的自定义任务会话验证调度器实现思路
Oldsong的博客
08-11 821
在Ruoyi中SpringSessionValidationScheduler类通过实现SessionValidationScheduler接口来实现会话验证 SessionValidationScheduler接口中有三个方法: boolean isEnabled();标志会话验证是否开启 void enableSessionValidation(); 启用会话验证 void disableSessionValidation();禁用会话验证 单纯的通过接口来看我们看不出来什么,我们可以找到Sessio
quartz包、QuartzSessionValidationScheduler错误
dgh112233的博客
04-23 3011
报错:an tempt to call the method org.quartz.Scheduler.getListenerManager(). but 它不存在。 就这种错误。 java.lang.InstantiationError: org.quartz.SimpleTrigger 遇到这种问题,基本就是本文所提到的了。 spring 3.0.1以下的使用 quartz 1点几版...
shiro源码篇 - shiro的session的查询、刷新、过期与删除,你值得拥有
weixin_30674525的博客
10-19 491
前言   开心一刻       老公酷爱网络游戏,老婆无奈,只得告诫他:你玩就玩了,但是千万不可以在游戏里找老婆,不然,哼哼。。。    老公嘴角露出了微笑:放心吧亲爱的,我绝对不会在游戏里找老婆的!因为我有老公!    老婆:......   路漫漫其修远兮,吾将上下而求索!   github:https://github.com/youzhibing   码云(gitee):http...
Shiro学习第一式身份验证2
zhangshufei的博客
02-25 273
开心一下:昨天晚上下班回家,一民警迎面巡逻而来。突然对我大喊:站住! 民警:java中int类型占几个字节? 我:4个。 民警:你可以走了。 我感到很诧异。 我:为什么问这样的问题? 民警:深夜还在街上走,寒酸苦逼的样子,不是小偷就是程序员。   继续学习开涛的Shiro身份验证,介绍一下开发工具和开发环境,jdk1.6.0_43+Tomcat6.0.29+MyEclipse10...
拦截器实现用户权限验证
汉南最後の読書人
03-25 8023
代码: loginForm.jsp 登录页面 登录页面 ${requestScope.message } 登录名: 密码:
安全认证框架Shiro(三)- 源码角度解析shiro权限验证
陈袁的博客
11-16 1584
安全认证框架Shiro(三)- 源码角度解析shiro权限验证 安全认证框架Shiro三- 源码角度解析shiro权限验证 第一前言 第二走下去 shiro没配置权限验证的Url怎么处理 结论第一:前言承接上篇文章安全认证框架Shiro (二)- shiro过滤器工作原理 权限验证,一直是个难点,看起来是个很高大尚的概念,其实我理解的权限其实就是字符串,把它当成字符串,只要和用户对应的字符串匹
3.1shiro权限解析配置及其说明
plumblum的博客
07-03 716
shiro权限解析配置及其说明
Shiro在Spring的会话管理(session)
热门推荐
u012737182的博客
11-13 3万+
会话管理 在shiro里面可以发现所有的用户的会话信息都会由Shiro来进行控制,那么也就是说只要是与用户有关的一切的处理信息操作都可以通过Shiro取得,实际上可以取得的信息可以有用户名、主机名称等等,这所有的信息都可以通过Subject接口取得。System.out.println("SESSION ID = " + SecurityUtils.getSubject().getSession(
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值