第五章:Shiro的授权(Authorization)——深入浅出学Shiro细粒度权限开发框架

Authorization概述

概述

  授权,又称作为访问控制,是对资源的访问管理的过程。换句话说,控制谁有权限在应用程序中做什么。

  授权检查的例子是:该用户是否被允许访问这个网页,编辑此数据,查看此按钮,或打印到这台打印机?这些都是决定哪些是用户能够访问的。

授权的三要素

  授权有着三个核心元素:权限、角色和用户 。

  我们需要在应用程序中对用户和权限建立关联,通常的做法就是将权限分配给某个角色,然后将这个角色关联一个或多个用户。

权限

  是Shiro安全机制最核心的元素。它在应用程序中明确声明了被允许的行为和表现。一个格式良好的权限声明可以清晰表达出用户对该资源拥有的权限。

n权限声明和粒度

  在shiro中主要通过前面学过的通配符表达式来完成。

角色

  角色是一个命名的实体,通常代表一组行为或职责。这些行为演化为你在一个软件应用中能或者不能做的事情。角色通常是分配给用户帐户的,因此,通过分配,用户能够“做”的事情可以归属于各种角色。

Shiro支持的角色类型

1:隐式角色:一个角色代表着一系列的操作,当需要对某一操作进行授权验证时,只需判断是否是该角色即可。这种角色权限相对简单、模糊,不利于扩展。

2:显式角色:一个角色拥有一个权限的集合。授权验证时,需要判断当前角色是否拥有该权限。这种角色权限可以对该角色进行详细的权限描述,适合更复杂的权限设计。 Shiro官方推荐使用这种方式。

Shiro的三种授权方式

1:编写代码——在Java 代码中用像if 和else 块的结构执行授权检查。

2:JDK 的注解——你可以添加授权注解给你的Java 方法。

3:JSP/GSP 标签库——你可以控制基于角色和权限的JSP 或者GSP 页面输出。

编程授权

通过使用subject的方法来实现角色的判断,常见的api:

hasRole(String roleName) :返回true 如果Subject 被分配了指定的角色

hasRoles(List<String> roleNames) :返回一个与方法参数中目录一致的hasRole 结果的数组。

hasAllRoles(Collection<String> roleNames):返回true 如果Subject 被分配了所有的角色

断言支持

  Shiro还支持以断言的方式进行授权验证。断言成功,不返回任何值,程序继续执行;断言失败时,将抛出异常信息。方法大致如下:

checkRole(String roleName) 、checkRoles(Collection<String>roleNames)、checkRoles(String… roleNames)

基于权限对象的实现

Permission printPermission = new PrinterPermission("laser400n", "print");

相关方法:isPermitted(Permission p)、isPermitted(List<Permission> perms)、isPermittedAll(Collection<Permission> perms)  

基于字符串的实现

if (currentUser.isPermitted("printer:print:laserjet4400n"))

相关方法:isPermitted(String perm)、isPermitted(String... perms)、isPermittedAll(String... perms)

当然上述权限的实现也都可以采用断言的方式

  相关方法:

checkPermission(Permission p)

checkPermission(String perm)

checkPermissions(Collection<Permission> perms)

checkPermissions(String... perms)

基于注解的授权

需要有AOP框架的支持,这里选择spring,先看看怎么集成配置,看例子:

<?xml version="1.0" encoding="UTF-8"?>

<beans xmlns="http://www.springframework.org/schema/beans"

  xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"

  xmlns:context="http://www.springframework.org/schema/context"

  xmlns:aop="http://www.springframework.org/schema/aop"

  xmlns:tx="http://www.springframework.org/schema/tx"

  xsi:schemaLocation="

  http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-3.0.xsd

  http://www.springframework.org/schema/context http://www.springframework.org/schema/context/spring-context-3.0.xsd

  http://www.springframework.org/schema/aop http://www.springframework.org/schema/aop/spring-aop-3.0.xsd

  http://www.springframework.org/schema/tx http://www.springframework.org/schema/tx/spring-tx-3.0.xsd">

      <aop:aspectj-autoproxy></aop:aspectj-autoproxy>

      <context:component-scan base-package="cn.javass"></context:component-scan>     

      <bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator"

  depends-on="lifecycleBeanPostProcessor" >

  <property name="proxyTargetClass" value="true"/>

  </bean>

  <bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>

  <bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">

  <property name="securityManager" ref="securityManager" />

  </bean>

  <bean class="org.springframework.beans.factory.config.MethodInvokingFactoryBean">

  <property name="staticMethod" value="org.apache.shiro.SecurityUtils.setSecurityManager"/>

  <property name="arguments" ref="securityManager"/>

  </bean>

      <bean id="securityManager" class="org.apache.shiro.mgt.DefaultSecurityManager"> 

      <property name="cacheManager" ref="cacheManager"/> 

          <property name="realm" ref="myRealm"/> 

          <property name="sessionManager" ref="sessionManager"/>  

  </bean>

  <bean id="sessionManager" class="org.apache.shiro.session.mgt.DefaultSessionManager">

  </bean>

  <bean id="cacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager" />

  <bean id="myRealm" class="org.apache.shiro.realm.text.IniRealm">

  <property name="resourcePath" value="D:/wp/src/TestShiro.ini"></property> 

  </bean>

</beans>

测试用的HelloAnno

@Service

public class HelloAnno {

  @Autowired

  private org.apache.shiro.mgt.SecurityManager sm = null;

  @RequiresAuthentication

  @RequiresPermissions({"p1"})

  public void t(){

  System.out.println("ok=========");

  }

  public void login(){

  UsernamePasswordToken token = new UsernamePasswordToken("javass","cc"); 

  token.setRememberMe(true);

  SecurityUtils.setSecurityManager(sm);

  Subject currentUser = SecurityUtils.getSubject(); 

  currentUser.login(token);

  }

  public static void main(String[] args) {

   ApplicationContext ctx = new ClassPathXmlApplicationContext("applicationContext.xml");

   HelloAnno t = (HelloAnno)ctx.getBean("helloAnno"); 

   t.login();

   t.t();

  }

}

Shiro提供的注解

1:@RequiresAuthentication :要求当前Subject 已经在当前的session 中被验证通过才能被注解的类/实例/方法访问或调用。

2:@RequiresGuest :要求当前的Subject 是一个“guest”,也就是他们必须是在之前的session中没有被验证或记住才能被注解的类/实例/方法访问或调用。

3:@RequiresPermissions:要求当前的Subject 被允许一个或多个权限,以便执行注解的方法,比如:@RequiresPermissions("account:create")

4:@RequiresRoles:要求当前的Subject 拥有所有指定的角色。如果他们没有,则该方法将不会被执行,而且AuthorizationException 异常将会被抛出。比如:@RequiresRoles("administrator")

5:@RequiresUser:需要当前的Subject 是一个应用程序用户才能被注解的类/实例/方法访问或调用。要么是通过验证被确认,或者在之前session 中的'RememberMe'服务被记住。

授权的顺序

Step 1:应用程序或框架代码调用任何Subject的hasRole*, checkRole*, isPermitted*,或者checkPermission*方法的变体,传递任何所需的权限或角色

Step 2:Subject的实例,通常是DelegatingSubject(或子类)代表应用程序的SecurityManager 通过调用securityManager的几乎各自相同的方法。

Step 3:SecurityManager,实现org.apache.shiro.authz.Authorizer 接口,他定义了所有Subject 具体的授权方法 。默认情况下,authorizer 实例是一个ModularRealmAuthorizer 实例,它支持协调任何授权操作过程中的一个或多个Realm 实例。

Step 4:每个配置好的Realm 被检查是否实现了相同的Authorizer接口。如果是,Realm 各自的hasRole*, checkRole*,isPermitted*,或checkPermission*方法将被调用。

理解ModularRealmAuthorizer

ModularRealmAuthorizer 将遍历其内部的Realm 集合,并按迭代顺序与每一个进行交互。每个Realm 的交互功能如下:

1:如果Realm 自己实现了Authorizer 接口,它的各个Authorizer方法将被调用。

(1)如果Realm 的方法导致异常,该异常将会以AuthorizationException 的形式传递给调用者。这将短路授权过程,任何剩余的Realm 将不会被访问

(2)如果该Realm 的方法是一个返回布尔值的hasRole*或者isPermitted*的变体,并且该返回值为true,真值将会立即被返回,同时任何剩余的Realm 都将被短路,这种行为能提高性能。

2:如果Realm 不实现Authorizer 接口,它会被忽略

了解全局的PermissionResolver

当执行基于字符串的权限检查是,大多数Shiro 的默认Realm 实现首先将该字符串转换成一个实际的Permission 实例,用的是内部默认实现的WildcardPermissionResolver

如果你想要支持自己的权限字符串语法,而且你想要所有配置的Realm 实例支持该语法,你可以将你的PermissionResolver 设置为全局的

如果你想配置一个全局的PermissionResolver,每个用来接收配置的PermissionResolver 的Realm 必须实现PermissionResolverAware 接口。这样保证了配置的实例能够被每个支持该配置的Realm 转发。

类似的,还有全局的RolePermissionResolver,但请注意:由于这种转换角色名到权限的概念非常特定于应用程序,Shiro 默认Realm 的实现并不使用它们

原创声明,本文系作者授权云+社区发表,未经许可,不得转载。

如有侵权,请联系 yunjia_community@tencent.com 删除。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏逸鹏说道

C# 温故而知新: 线程篇(四)

线程同步篇 (中):同步工具类的介绍 1 上篇回顾 2 继续介绍基元内核模式中的 monitor类 3 同步句柄:WaitHandle 4 EventW...

3176
来自专栏Java技术分享

第五章:Shiro的授权(Authorization)——深入浅出学Shiro细粒度权限开发框架

Authorization概述 概述   授权,又称作为访问控制,是对资源的访问管理的过程。换句话说,控制谁有权限在应用程序中做什么。   授权检查的例子是:...

2808
来自专栏Jimoer

JVM学习记录-类加载器

JVM设计团队把类加载阶段中的“通过一个类的全限定名来获取描述此类的二进制字节流”这个动作放到Java虚拟机外面去实现,以便让应用程序自己决定如何去获取所需要的...

731
来自专栏每日一篇技术文章

微信小程序_09 HTTPS

标准模板 var util = require('../../utils/util.js') wx.request({ url: 'https://URL...

2981
来自专栏田超学前端

微信小程序 搜索历史记录缓存到本地

先说下需求,想做的效果是这样的:有个搜索框,下面是记录 搜索的关键字。由于小程序未采用登录注册,所以,搜索记录不方便保存在服务端,于是乎,前端需要记录到缓存里,...

2935
来自专栏zingpLiu

浅析Python多线程

学习Python多线程的资料很多,吐槽Python多线程的博客也不少。本文主要介绍Python多线程实际应用,且假设读者已经了解多线程的基本概念。如果读者对进程...

2508
来自专栏jeremy的技术点滴

Retrying_Library_For_Java

3315
来自专栏技术专栏

慕课网Flask高级编程实战-11.Python与Flask的结合应用

视图函数接受用户填写的email账号,如果不存在应该跳转到404界面,这个逻辑flask-sqlalchemy为我们提供了良好的封装,不需要手动去处理,只需要调...

4183
来自专栏Golang语言社区

Golang语言社区--go语言编写Web程序

首先,要有一个Linux, OS X, or FreeBSD系统,可以运行go程序。如果没有的话,可以安装一个虚拟机(如VirtualBox)或者 Virtua...

9717
来自专栏小灰灰

JDK容器学习之Queue:ConcurrentLinkedQueue

并发安全的链表队列 ConcurrentLinkedQueue 并发安全的链表队列,主要适用于多线程环境中;底层数据结构为链表,由于队列本身频繁的出队和进队,...

2356

扫码关注云+社区

领取腾讯云代金券