深刻浅出Shiro系列——权限认证

时间  2020-10-24
标签 java git 程序员 web apache 编程 swift 安全 微信 编辑器 栏目 Java 繁體版
原文   原文链接



写在前面:

小伙伴儿们,你们好!上一篇咱们学了Shiro的身份认证——深刻浅出Shiro系列——身份认证java

此次让咱们一块儿来学习Shiro权限认证!git

思惟导图:

1,Shiro 受权

受权,也叫访问控制,即在应用中控制谁能访问哪些资源(如访问页面/编辑数据/页面操做等)。在受权中需了解的几个关键对象:主体(Subject)、资源(Resou rce)、权限(Permission)、角色(Role )。程序员

主体:主体,即访问应用的用户,在Shiro中使用 Subject 表明该用户。用户只有受权后才容许访问相应的资源。web

资源:在应用中用户能够访问的任何东西,好比访问 JSP 页面、查看/编辑某些数据、访问某个业务方法、打印文本等等都是资源。用户只要受权后才能访问。apache

权限:安全策略中的原子受权单位,经过权限咱们能够表示在应用中用户有没有操做某个资源的权力。即权限表示在应用中用户能不能访问某个资源,如:访问用户列表页面,查看/新增/修改/删除用户数据(即不少时候都是 CRUD(增查改删)式权限控制)等。编程

如上能够看出,权限表明了用户有没有操做某个资源的权利,即反映在某个资源上的操做允不容许,不反映谁去执行这个操做。因此后续还须要把权限赋予给用户,即定义哪一个用户容许在某个资源上作什么操做(权限),Shiro 不会去作这件事情,而是由实现人员提供。swift

角色:角色表明了操做集合,能够理解为权限的集合,通常状况下咱们会赋予用户角色而不是权限,即这样用户能够拥有一组权限,赋予权限时比较方便。典型的如:项目经理、技术总监、CTO、开发工程师等都是角色,不一样的角色拥有一组不一样的权限。安全

2,受权方式

Shiro 支持三种方式的受权:编程式,注解式和标签式;这里讲一下编程式。微信

这里咱们先将Shiro认证封装成一个工具类ShiroUtil;编辑器

package com.java.common;
import org.apache.shiro.SecurityUtils;import org.apache.shiro.authc.AuthenticationException;import org.apache.shiro.authc.UsernamePasswordToken;import org.apache.shiro.config.IniSecurityManagerFactory;import org.apache.shiro.mgt.SecurityManager;import org.apache.shiro.subject.Subject;import org.apache.shiro.util.Factory;
/** * ShiroUtil工具类 */public class ShiroUtil {
 public static Subject login(String configFile,String userName,String password){ // 读取配置文件,初始化SecurityManager工厂 Factory<SecurityManager> factory=new IniSecurityManagerFactory(configFile); // 获取securityManager实例 SecurityManager securityManager=factory.getInstance(); // 把securityManager实例绑定到SecurityUtils SecurityUtils.setSecurityManager(securityManager); // 获得当前执行的用户 Subject currentUser=SecurityUtils.getSubject(); // 建立token令牌,用户名/密码 UsernamePasswordToken token=new UsernamePasswordToken(userName, password); try{ // 身份认证 currentUser.login(token); System.out.println("身份认证成功!"); }catch(AuthenticationException e){ e.printStackTrace(); System.out.println("身份认证失败!"); } return currentUser; }}

来看看程序结构:

编程式;

基于角色的访问控制;

配置文件shiro_role.ini:

[users]
java=123,role1,role2
jack=123,role1

规则即:“用户名=密码,角色1,角色2”,若是须要在应用中判断用户是否有相应角色,就须要在相应的 Realm 中返回角色信息,也就是说 Shiro 不负责维护用户-角色信息,须要应用提供。

测试类:

package com.java.shiro;

import com.java.common.ShiroUtil;
import org.apache.shiro.subject.Subject;
import org.junit.Test;

import java.util.Arrays;

public class RoleTest {

    @Test
    public void testHasRole() {
        Subject currentUser= ShiroUtil.login("classpath:shiro_role.ini""java""123");
        // Subject currentUser=ShiroUtil.login("classpath:shiro_role.ini", "jack", "123");

        //hasRole()方法判断currentUser用户是否有role1和role2角色
        System.out.println(currentUser.hasRole("role1")?"有role1这个角色":"没有role1这个角色");
        //hasRoles()方法同时判断currentUser用户是否有多个角色
        boolean []results=currentUser.hasRoles(Arrays.asList("role1","role2","role3"));
        System.out.println(results[0]?"有role1这个角色":"没有role1这个角色");
        System.out.println(results[1]?"有role2这个角色":"没有role2这个角色");
        System.out.println(results[2]?"有role3这个角色":"没有role3这个角色");
        //hasAllRoles()方法判断是否拥有全部角色
        System.out.println(currentUser.hasAllRoles(Arrays.asList("role1","role2"))?"role1,role2这两个角色都有":"role1,role2这个两个角色不全有");

        //currentUser.logout();
    }
}

输出结果:

基于权限的访问控制;

配置文件shiro_permission.ini:

[users]
java=123,role1,role2
jack=123,role1
[roles]
role1=user:select
role2=user:add,user:update,user:delete

规则:“用户名=密码,角色 1,角色 2”“角色=权限 1,权限 2”,即首先根据用户名找到角色,而后根据角色再找到权限;即角色是权限集合;Shiro 一样不进行权限的维护,须要咱们经过 Realm 返回相应的权限信息。只须要维护“用户——角色”之间的关系便可。

测试类:

package com.java.shiro;

import com.java.common.ShiroUtil;
import org.apache.shiro.subject.Subject;
import org.junit.Test;

public class PermissionTest {

    @Test
    public void testIsPermitted() {
        Subject currentUser=ShiroUtil.login("classpath:shiro_permission.ini""java""123");
        // Subject currentUser=ShiroUtil.login("classpath:shiro_permission.ini", "jack", "123");

        System.out.println(currentUser.isPermitted("user:select")?"有user:select这个权限":"没有user:select这个权限");
        System.out.println(currentUser.isPermitted("user:update")?"有user:update这个权限":"没有user:update这个权限");

        boolean results[]=currentUser.isPermitted("user:select","user:update","user:delete");
        System.out.println(results[0]?"有user:select这个权限":"没有user:select这个权限");
        System.out.println(results[1]?"有user:update这个权限":"没有user:update这个权限");
        System.out.println(results[2]?"有user:delete这个权限":"没有user:delete这个权限");
        System.out.println(currentUser.isPermittedAll("user:select","user:update")?"有user:select,update这两个权限":"user:select,update这两个权限不全有");

        currentUser.logout();
    }

}

输出结果:

到此基于资源的访问控制(显示角色)就完成了,也能够叫基于权限的访问控制,这种方式的通常规则是“资源标识符:操做”,便是资源级别的粒度;这种方式的好处就是若是要修改基本都是一个资源级别的修改,不会对其余模块代码产生影响,粒度小。可是实现起来可能稍微复杂点,须要维护“用户——角色,角色——权限(资源:操做)”之间的关系。

3,受权流程

流程以下:

  1. 首先调用 Subject.isPermitted*/hasRole* 接口,其会委托给 SecurityMana ger,而 SecurityManager 接着会委托给 Authorizer;
  2. Authorizer 是真正的受权者,若是咱们调用如 isPermitted(“user:view”),其首先会经过 PermissionResolver 把字符串转换成相应的 Permission 实例;
  3. 在进行受权以前,其会调用相应的 Real m 获取 Subject 相应的角色/权限用于匹配传入的角色/权限;
  4. Authorizer 会判断 Realm 的角色/权限是否和传入的匹配,若是有多个 Real m,会委托给 ModularRealmAuthori zer 进行循环判断,若是匹配如 isPermitted*/hasRole* 会返回 true,不然返回 false 表示受权失败。

文中源代码已上传至码云:

https://gitee.com/Huke-123/shiro_series


好了,今天就先分享到这里了,下期继续给你们带来Shiro相关方面的学习!更多干货、优质文章,欢迎关注个人原创技术公众号~


你点的每个在看,我都认真当成了喜欢





本文分享自微信公众号 - 程序员的时光(gh_9211ec727426)。
若有侵权,请联系 support@oschina.cn 删除。
本文参与“OSC源创计划”,欢迎正在阅读的你也加入,一块儿分享。

相关文章
相关标签/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公众号
   欢迎关注本站公众号,获取更多信息
联系我们 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程