Shiro源码分析----授权流程

最新推荐文章于 2022-03-21 18:09:34 发布
原创 最新推荐文章于 2022-03-21 18:09:34 发布 · 1.3k 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#Apache #Shiro #权限 #授权 #认证

本文深入探讨了Apache Shiro的授权流程,从Filter链的角度分析了PermissionsAuthorizationFilter和RolesAuthorizationFilter如何控制权限和角色访问。讲解了Filter的继承体系,重点介绍了NameableFilter、OncePerRequestFilter以及AuthorizationFilter的作用,并详细阐述了如何通过ModularRealmAuthorizer进行权限和角色判断,以决定用户能否访问特定资源。

在一个用户登录后,即身份认证通过,只能证明该登录身份是合法的,至于具体能访问系统中的什么资源,需要通过授权来控制。一般系统中都是通过用户关联角色、角色再关联权限来实现判断一个用户是否有某资源的使用权限,Shiro也提供了相应的实现权限控制。

    Shiro中的权限控制也是通过Filter来实现的,在前面认证流程中讲到,Shiro的DefaultFilterChainManager类会创建Filter链,链中包含了Shiro一些默认Filter,也可以添加自定义Filter,而且这些Filter都有名字,Shiro会根据Filter配置为每一个配置的URL匹配符创建一个Filter链。

protected FilterChainManager createFilterChainManager() {
	// 创建DefaultFilterChainManager
    DefaultFilterChainManager manager = new DefaultFilterChainManager();
    // 创建Shiro默认Filter,根据org.apache.shiro.web.filter.mgt.DefaultFilter创建
    Map<String, Filter> defaultFilters = manager.getFilters();
    //apply global settings if necessary:
    for (Filter filter : defaultFilters.values()) {
    	// 设置相关Filter的loginUrl、successUrl、unauthorizedUrl属性
        applyGlobalPropertiesIfNecessary(filter);
    }

    // 获取在Spring配置文件中配置的Filter
    Map<String, Filter> filters = getFilters();
    if (!CollectionUtils.isEmpty(filters)) {
        for (Map.Entry<String, Filter> entry : filters.entrySet()) {
            String name = entry.getKey();
            Filter filter = entry.getValue();
            applyGlobalPropertiesIfNecessary(filter);
            if (filter instanceof Nameable) {
                ((Nameable) filter).setName(name);
            }
            // 将配置的Filter添加至链中,如果同名Filter已存在则覆盖默认Filter
            manager.addFilter(name, filter, false);
        }
    }

    //build up the chains:
    Map<String, String> chains = getFilterChainDefinitionMap();
    if (!CollectionUtils.isEmpty(chains)) {
        for (Map.Entry<String, String> entry : chains.entrySet()) {
            String url = entry.getKey();
            String chainDefinition = entry.getValue();
            // 为配置的每一个URL匹配创建FilterChain定义,
            // 这样当访问一个URL的时候,一旦该URL配置上则就知道该URL需要应用上哪些Filter
            // 由于URL匹配符会配置多个,所以以第一个匹配上的为准,所以越具体的匹配符应该配置在前面,越宽泛的匹配符配置在后面
            manager.createChain(url, chainDefinition);
        }
    }

    return manager;
}


下面我们看来都有哪些默认Filter,在DefaultFilterChainManager构造方法中调用addDefaultFilters方法:

protected void addDefaultFilters(boolean init) {
	for (DefaultFilter defaultFilter : DefaultFilter.values()) {
		addFilter(defaultFilter.name(), defaultFilter.newInstance(), init, false);
	}
}

public enum DefaultFilter
最低0.47元/天 解锁文章
Shiro源码分析
会写Bug的攻城狮
11-17 720
Shiro源码分析 一、 Token相关类 1)、接口类 package org.apache.shiro.authc; import java.io.Serializable; //AuthenticationToken 用于收集用户提交的身份(如用户名)及凭据(如密码) public interface AuthenticationToken extends Serializable { //得到主体subject进行身份认证的标识,标识具有唯一性 Object getPrin
Shiro源码解析
qq_31856061的博客
04-01 1528
获取主体、生成认证token Subject subject = SecurityUtils.getSubject(); UsernamePasswordToken usernamePasswordToken = new UsernamePasswordToken( user.getUserName(), user.getPassword() ); 进行登录验证 subject.login(usernamePasswordToken); 类:DelegatingSubject 代理主体 里面有 lo
shiro源码分析
06-01
shiro入门及深入,对于想学习shiro的同学,是不错的学习资料。
Shiro登录源码分析
Coder_Joker的博客 joke a joker
05-24 599
 登录过程源码分析具体配置不在这里重复了,直接粘主要的ShiroFilterFactoryBean:[java] view plain copy@Bean(name="shiroFilter")  public ShiroFilterFactoryBean shiroFilterFactoryBean()  {      ShiroFilterFactoryBean shiroFilterFact...
shiro-rbac-system-master.zip
12-05
标题"shiro-rbac-system-master.zip"表明这是一个基于Shiro权限管理系统的源码包,其中"master"通常代表这是项目的主要分支或版本。"rbac"是"Role-Based Access Control"的缩写,指的是基于角色的访问控制,这是一种...
liu_guo_feng-shiro-demo-master_java_源码.zip
10-18
通过分析这个源码示例,我们可以学习到如何在实际项目中配置和使用Shiro,实现用户认证授权、会话管理等核心功能,为我们的Java应用构建一套安全可靠的防护体系。同时,对于Shiro的扩展和自定义,例如自定义Realm...
shiro-aspectj-1.4.0.jar中文文档及开发资源下载
Apache Shiro 是一个强大且易用的 Java 安全框架,提供身份认证(Authentication)、授权(Authorization)、加密(Cryptography)和会话管理(Session Management)四大核心功能。而 shiro-aspectj 则是在此基础上...
shiro学习三:shiro源码分析
冯安晨
12-24 376
文章目录前言一、问题分析二、 ==源码分析(敲重点)== 前言 shiro学习一:了解shiro,学习执行shiro流程。使用springboot的测试模块学习shiro单应用(demo 6个) shiro学习二:shiro的加密认证详解,加盐与不加盐两个版本。 上面的 demo 写完,看完之后,还是有很多疑问的,很多问题的。我在这里记录一下,也分析一下源码走向。 一、问题分析 综上案例,进行分析。 其实看了上面那么多案例,是有很多疑问的,那 用户名、密码到底是怎么匹配的,肯定都交给s
Shiro授权流程
qq_43654581的博客
10-29 467
了解Shiro授权流程,并debug演示
shiro认证授权的过程
05-01
NULL 博文链接:https://yuhuiblog695685688425687986842568269.iteye.com/blog/2405483
SHIRO授权过程源码
lds的博客
08-01 299
Shiro权限相关标签调用此类 省略2步,继续往下:     再省略2步,调用doGetAuthorizationInfo(principals),将信息存入cache,相当于一个权限域。   这个方法是程序员重写的 ...
Shiro实战以及源码解析
liuxw1的博客
05-22 724
一、明白什么是认证授权 从百度百科上理解的,感觉非常通俗易懂 你要登机,你需要出示你的 passport 和源 ticket,passport 是为了证明你张三确实是你百张三,这就是 认证;而机票是为了证明你张三确实买度了票可以上飞机,这就是 授权。 二、shiro的概念 1.什么是shiro 2.shiro的特性 3.shiro的核心组件 三、shiro实战debug解析(token是用户输入的,info是从缓存和数据库中查出来的, 认证主要做token和info中密码的判等;授权
Shiro使用和源码分析---1
conansonic的博客
11-01 8566
FormAuthenticationFilter使用和原理分析—1网上有很多介绍shiro框架的文章,但是没有讲解shiro如何和web spring框架相结合的文章。由于实际项目的需要,这里首先顺带分析一下shiro中FormAuthenticationFilter的源码。先看一段Spring中applicationContext.xml的配置。 <bean id="shiroFilter"
Shiro源码分析
weixin_30906701的博客
10-19 257
1.入口类:AbstractAuthenticator 用户输入的登录信息经过其authenticate方法: public final AuthenticationInfo authenticate(AuthenticationToken token) throws AuthenticationException { if (token == null) { throw ...
shiro-身份授权流程、案例
OneMaruko的博客
03-21 891
一、身份授权流程 首先调用Subject.isPermitted/hasRole接口,委托给SecurityManager. SecurityManager接着会委托给内部组件Authorizer. Authorizer再将其请求委托给我们的Realm去做,Realm才是真正干活的. realm将用户请求的参数封装成权限对象,再从我们重写的doGetAuthorizationInfo方法中获取从数据库中查询到的权限集合. Realm将用户传入的权限对象,与数据库查询出来的权限对象进行比较。如果用户掺入的权
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值