【Shiro】3. Shiro授权流程

最新推荐文章于 2025-03-14 08:30:00 发布
最新推荐文章于 2025-03-14 08:30:00 发布
阅读量856 收藏 5
点赞数
分类专栏: shiro 文章标签: shiro
原文链接:https://juejin.cn/post/7012824575293521933
版权

授权

授权,即访问控制,控制谁能访问哪些资源。主体进行身份认证后需要分配权限方可访问系统的资源,对于某些资源没有权限是无法访问的。

授权的关键对象

授权可简单理解为Who对What / Which进行How操作。

  • Who:主体(Subject),主体需要访问系统中的资源。
  • What / Which:资源(Resource),如系统菜单、页面、按钮、类方法、系统商品信息等。资源包括资源类型资源实例,比如商品信息为资源类型,类型为Type01的商品为资源实例,编号为001的商品信息也属于资源实例。
  • How:权限(Permission),规定了主体对资源的操作许可。权限离开资源没有意义,如用户查询权限、用户添加权限、某个类方法的调用权限、编号为001用户的修改权限等,通过权限可知主体对哪些资源都有哪些操作许可。

授权流程

授权一定是基于认证通过后才执行的操作。

20210927094653.png

授权方式(RBAC)

RBAC主要包含两种授权模式:

  • 基于角色的访问控制(Role-Based Access Control):以角色为中心进行访问控制。

    伪代码可表示为:

    if (subject.hasRole("admin")) {
    // 执行操作
}

  • 基于资源的访问控制(Resource-Based Access Control):以资源为中心进行访问控制。

    伪代码可表示为:

    if (subject.isPermitted("user:find:*")) {
    // 执行操作
}

    isPermission 传入参数是一个权限字符串,其格式为 "资源类型 : 操作 : 资源实例"

    " user : find : * " 表示的是Subject对所有User实例具有查询的权限(操作类型)。

    " user : * : 001 " 表示的是Subject对ID为001的User实例具有所有的权限(操作实例)。

Shiro权限字符串

1. 组成规则

在Shiro中使用权限字符串必须按照Shiro指定的规则。

权限字符串组合规则为:"资源类型标识符 : 操作 : 资源实例标识符"

  • 资源类型标识符: 一般会按模块,对系统划分资源。比如user模块,product模块,order模块等,对应的资源类型标识符就是:user,product,order。

  • 操作: 一般为增删改查(create,delete,update,find),还有 * 标识统配。

  • 资源实例标识符: 如果Subject控制的是资源类型,那么资源实例标识符就是 "*" ;如果Subject控制的是资源实例,那么就需要在资源实例标识符就是该资源的唯一标识(ID等)。

2. 示例

" * : * : * " 表示Subject对所有类型的所有实例有所有操作权限,相当于超级管理员。

" user : create : * " 表示Subject对user类型的所有实例有创建的权限,可以简写为:" user : create "。

" user : update : 001 " 表示Subject对ID为001的user实例有修改的权限。

" user : * : 001 " 表示Subject对ID为001的user实例有所有权限。

Shiro授权方式

Shiro中对于后台授权提供了三种实现方式:

  • 编程式
  • 注解式
  • 标签式(已淘汰,只能在JSP,Thymeleaf等模板引擎中使用)

1. 编程式

Subject subject = SecurityUtils.getSubject();
if (subject.hasRole("admin")) {
    // 有权限
} else {
    // 无权限
}

2. 注解式

@RequiresRoles("admin")
public void find() {
    // 有权限
}

Shiro授权源码

SimpleAccountRealm 类就是Shiro默认完成认证和授权的底层操作,其中 doGetAuthenticationInfo 方法处理认证 ,doGetAuthorizationInfo 方法处理授权。

public class SimpleAccountRealm extends AuthorizingRealm {
    
    ...
    
    // 认证处理
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        UsernamePasswordToken upToken = (UsernamePasswordToken) token;
        SimpleAccount account = getUser(upToken.getUsername());

        if (account != null) {

            if (account.isLocked()) {
                throw new LockedAccountException("Account [" + account + "] is locked.");
            }
            if (account.isCredentialsExpired()) {
                String msg = "The credentials for account [" + account + "] are expired";
                throw new ExpiredCredentialsException(msg);
            }

        }

        return account;
    }

    // 授权处理
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        String username = getUsername(principals);
        USERS_LOCK.readLock().lock();
        try {
            return this.users.get(username);
        } finally {
            USERS_LOCK.readLock().unlock();
        }
    }
    
}

Shiro授权Demo

授权必须在认证的基础上,因此本Demo基于前文中MD5加密认证的Demo实现授权。

1. 基于角色访问控制

在定义Realm中的授权操作中给Subject添加角色

public class UserMD5Realm extends AuthorizingRealm {

    // 授权操作
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        // 获取身份信息(用户名)
        String username = (String) principals.getPrimaryPrincipal();

        // 根据身份信息从数据库中该用户的角色信息装载进入SimpleAuthorizationInfo
        SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
        simpleAuthorizationInfo.addRole("admin");
        simpleAuthorizationInfo.addRole("user");

        // 返回权限信息对象
        return simpleAuthorizationInfo;
    }

    // 认证操作
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        ...

        return null;
    }
}

授权流程

public static void main(String[] args) {
    // 认证操作
    ...

    // 如果认证成功,可以进行授权操作
    if (subject.isAuthenticated()) {

        // 验证Subject是否具有admin角色
        if (subject.hasRole("admin")) {
            // 具体授权操作
            System.out.println("具有 admin 角色");
        }

        // 验证Subject是否同时具有admin角色和user角色
        if (subject.hasAllRoles(Arrays.asList("admin", "user"))) {
            // 具体授权操作
            System.out.println("同时具有 admin 和 user 角色");
        }

        // 验证Subject是否具有以下角色中的一种或者多种
        List<String> roles = Arrays.asList("admin", "user");
        boolean[] hasRoles = subject.hasRoles(roles);
        for (int i = 0; i < roles.size(); i++) {
            if (hasRoles[i]) {
                // 具体授权操作
                System.out.println("具有 " + roles.get(i) + " 角色");
            }
        }
    }
}

2. 基于权限访问控制

在定义Realm中的授权操作中给Subject添加授权信息

public class UserMD5Realm extends AuthorizingRealm {

    // 授权操作
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        // 获取身份信息(用户名)
        String username = (String) principals.getPrimaryPrincipal();

        // 根据身份信息从数据库中该用户的权限信息装载进入SimpleAuthorizationInfo
        SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
		simpleAuthorizationInfo.addStringPermission("user:create:001");
        simpleAuthorizationInfo.addStringPermission("user:update:*");

        // 返回权限信息对象
        return simpleAuthorizationInfo;
    }

    // 认证操作
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        ...

        return null;
    }
}

授权流程

public static void main(String[] args) {
    // 认证操作
    ...

    // 如果认证成功,可以进行授权操作
    if (subject.isAuthenticated()) {

        // 判断Subject是否有创建所有user实例的权限
        if (subject.isPermitted("user:create:*")) {
            // 具体授权操作
            System.out.println("具有 user:create:* 权限");
        }

        // 判断Subject同时具有创建所有user实例的权限和修改001号user实例的权限
        if (subject.isPermittedAll("user:create:*", "user:update:001")) {
            // 具体授权操作
            System.out.println("同时具有 user:create:* 和 user:update:001 权限");
        }

        // 判断Subject是否具有以下权限中的一种或多种
        String[] permissions = {"user:create:*", "user:update:001"};
        boolean[] hasPermissions = subject.isPermitted(permissions);
        for (int i = 0; i < permissions.length; i++) {
            if (hasPermissions[i]) {
                // 具体授权操作
                System.out.println("具有 " + permissions[i] + " 权限");
            }
        }
    }
}


原文地址:https://juejin.cn/post/7012824575293521933

Shiro认证流程授权流程
Emma_Joans的博客
10-12 1万+
认证:身份验证,即在应用中谁能证明他就是他本人。一般提供如他们的身份ID一些标识信息来表明他就是他本人,如提供身份证,用户名/密码来证明。 在shiro中,用户需要提供principals (身份)和credentials(证明)给shiro,从而应用能验证用户身份: principals:身份,即主体的标识属性,可以是任何东西,如用户名、邮箱等,唯一即可。一个主体可以有多个principals
shiro认证授权的过程
05-01
NULL 博文链接:https://yuhuiblog695685688425687986842568269.iteye.com/blog/2405483
极简入门,Shiro的认证与授权流程解析
java思维导图
05-08 520
小Hub领读:接下来的几天,我们开讲Shiro,从入门到分析、集成、单点登录整合等几篇。今天我们先来认识一下Shiro吧~其实Shiro框架并不难,我梳理了一下,你只需要学会以下内容基本...
Shiro认证授权-超详细,看这篇就够了
最新发布
小Ti博客
03-14 934
Shiro是apache旗下的一个开源安全框架,它可以帮助我们完成身份认证,授权、加密、会话管理等功能。易于理解的API简单的身份认证,支持多种数据源简单的授权和鉴权简单的加密API支持缓存,以提升应用程序的性能内置会话管理,适用于Web以及非Web的环境不跟任何的框架或者容器捆绑,可以独立运行使用dbcRealm认证时,数据库表名、字段名、认证逻辑都不能改变,我们可以自定义 Realm进行更灵活的认证。编写自定义Realm@Autowired//自定义认证方法。
Shiro框架:授权流程授权方式、Shiro授权入门程序、自定义Realm进行授权
张维鹏的博客
07-31 4507
一、Shiro授权: 1、授权与权限: (1)授权:访问控制,必须具有该资源的访问权限才可以访问该资源。 (2)权限模型:标准权限数据模型包括 :用户、角色、权限(包括资源和权限)、用户角色关系、角色权限关系。 (3)权限分配:通过UI界面方便给用户分配权限,对上边权限模型进行增、删、改、查操作。 (4)权限控制: 第一种:基于角色的权限控制:根据角色判断是否有操作权限,因为角色的变化...
Apache Shiro 授权过程
王浩的技术博客
11-02 181
下面详细介绍在进行授权时,Shiro的内部处理机制。 如上图,我们通过Shiro架构图的授权部分,来说明Shiro授权内部的处理顺序: 1.应用程序或框架代码调用任何Subject的hasRole*,checkRole*,isPermitted*,或者checkPermission*方法的变体,传递任何所需的权限或角色内容。 2.Subject的实例,通常是DelegatingSub...
shiro授权.pdf
08-13
本文档将详细介绍Shiro授权的相关知识点,包括授权流程授权方式、授权测试以及自定义Realm实现授权的方法。 ### 授权流程Shiro中,授权过程通常发生在用户通过身份验证之后。一旦用户通过验证,Shiro...
shiro认证.pdf
08-13
Apache Shiro是一个全面的Java安全框架,它提供了身份验证、授权、加密以及会话管理等功能。Shiro框架在Java企业应用中广泛使用,因为它简单易用,同时功能强大。本文档主要介绍Shiro认证的基本流程以及如何使用...
shiro认证.docx
06-23
Apache Shiro 是一个强大且易用的Java安全框架,它提供了认证、授权、会话管理和加密等功能,用于构建简单且健壮的应用安全控制层。Shiro 的认证部分是其核心功能之一,允许系统确认用户的身份。下面我们将详细讲解...
Shiro入门.rar
06-12
3. **SecurityManager**:是Shiro的中心,管理Subject及其相关组件,配置 Realm 实现认证和授权。 4. **SessionManager**:负责会话的创建、更新、删除等操作,可集成到现有应用程序的会话管理中。 5. **...
shiroDemo.rar
07-22
2. **Apache Shiro**:Shiro是一个强大的安全框架,用于处理认证、授权、会话管理和加密。在这个项目中,Shiro被用来控制用户的权限,比如访问控制、角色授权等。 3. **JWT(JSON Web Tokens)**:JWT是一种轻量级...
Shiro 授权过程
weixin_43145065的博客
10-19 163
Shiro 授权过程
Shiro授权流程
qq_43654581的博客
10-29 441
了解Shiro授权流程,并debug演示
shiro授权流程分析
qiuxinfa123的博客
04-05 342
上一篇博客,写了shiro认证流程分析 ,shiro主要功能是认证和授权,接下来,看看授权是如何进行的,既然要授权,当然会执行我们自定义的授权方法,所以在授权方法打个断点看看情况,当访问需要角色或者权限的接口时,就会来到授权方法(这里暂时不考虑缓存的因素,可以看做是第一次请求): 我们看一下方法调用栈: 可以看到控制器AdminController是C...
shiro授权过程
jasnet_u的博客
03-25 1460
一、授权的核心概念 授权,也就是权限认证或访问控制,即在应用中控制谁能访问哪些资源 授权中的核心要素: 1 用户,在shiro中代表访问系统的任何客户端,即subject 2 角色,是权限的集合,或字符串值表示的一种能力。 3 权限,即操作资源的权利。比如访问某个页面,以及对某功能模块的添加、修改、删除、查看的权利 (http://shiro.apache.org/authorization.ht...
Shiro授权的基本流程
lm2574866671的博客
09-19 739
Shiro授权流程 用户访问系统资源时的授权流程如下: 系统调用subject主体对象相关方法将用户权限信息(例如isPermitted)递交给SecurityManager SecurityManager将权限检测操作委托给Authorizer授权管理器对象 Authorizer授权管理器将用户信息委托给realm Realm访问数据库获取用户权限信息(有没有权限,有什么样的权限)并封装 Authorizer对用户授权信息进行判定(判断用户访问资源时需要什么权限,假如用户所具有的权限包含这个资源访问时
Shiro学习笔记(四):Shiro中的授权
weixin_47382783的博客
12-12 2625
一、授权介绍 1、授权 授权:即访问控制,控制谁能够访问哪些资源。主体进行身份认证后需要分配权限方可访问系统的资源,对于没有授权的资源则是无法访问的。 对于授权可以理解为谁对哪些资源进行什么操作,授权中的关键对象如下: 主体:主体需要访问系统中的资源 资源:如系统菜单、页面、按钮、类方法、系统商品信息等。资源包括资源类型和资源实例,比如商品信息为资源类型,类型为g01的商品则称为资源实例,订单编号为o01的订单也为资源实例。 权限/许可:规定了主体...
shiro认证与授权步骤
Jenny_yao的博客
05-03 329
认证的步骤 访问Login的uri 获取subject判断是否认证 未认证进行subject.login(token) 缓存中没有的话从自定义realm Custrealm中获取数据库中的凭证和密码等信息 使用credentialMatcher比较token(前端获取的密码)和info(数据库获取的密码)是否一致 认证失败抛出异常 授权步骤 访问限定权限的uri 执行权限验证方法 subject.isPermitted(String permission )
Shiro的认证和授权过程
weixin_44736853的博客
07-30 2375
认证:是一个身份验证的过程,要证明他们的身份,需要提供principals(身份)和credentials(凭证)。身份有多种,包括邮箱,账号等能表示subject身份的信息,凭证有密码,指纹,数字证书等。一般就是登录,获取账号和密码。 认证过程主要分为三步: step1:收集subject的principals(身份)和credentials(凭证) 1.首先拿到当前currentUser, Subject currentUser = SecurityUtils.getSubject(); 1.1利用c
Apache Shiro 1.2.x 中文参考文档解析
Apache Shiro 是一个开源的安全框架,它提供了全面的安全解决方案,包括认证、授权、加密和会话管理等功能。Shiro 的设计目的是简单易用而又功能强大,可以用于任何应用或环境中,从大型企业应用到小型的移动应用都...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值