1 简介
• 授权,也叫访问控制,即在应用中控制谁访问哪些资源(如访问页面/编辑数据/页面操作等)。在授权中需了解的几个关键对象:主体(Subject)、资源(Resource)、权限(Permission)、角色(Role)。
• 主体(Subject):访问应用的用户,在 Shiro 中使用 Subject 代表该用户。用户只有授权后才允许访问相应的资源。
• 资源(Resource):在应用中用户可以访问的 URL,比如访问 JSP 页面、查看/编辑某些数据、访问某个业务方法、打印文本等等都是资源。用户只要授权后才能访问。
• 权限(Permission):安全策略中的原子授权单位,通过权限我们可以表示在应用中用户有没有操作某个资源的权力。即权限表示在应用中用户能不能访问某个资源,如:访问用户列表页面查看/新增/修改/删除用户数据(即很多时候都是CRUD(增查改删)式权限控制)等。权限代表了用户有没有操作某个资源的权利,即反映在某个资源上的操作允不允许。
• Shiro 支持粗粒度权限(如用户模块的所有权限)和细粒度权限(操作某个用户的权限,即实例级别的)
• 角色(Role):权限的集合,一般情况下会赋予用户角色而不是权限,即这样用户可以拥有一组权限,赋予权限时比较方便。典型的如:项目经理、技术总监、CTO、开发工程师等都是角色,不同的角色拥有一组不同的权限。
2 授权方式
• Shiro 支持三种方式的授权:
– 编程式:通过写if/else 授权代码块完成
– 注解式:通过在执行的Java方法上放置相应的注解完成,没有权限将抛出相应的异常
– JSP/GSP 标签:在JSP/GSP 页面通过相应的标签完成
3 默认拦截器
• Shiro 内置了很多默认的拦截器,比如身份验证、授权等相关的。默认拦截器可以参考org.apache.shiro.web.filter.mgt.DefaultFilter中的枚举拦截器:
4 身份验证相关的
5 授权相关
6 其他
7 Permissions
- 规则:
资源 标识符:操作:对象实例 例 ID即对哪个资源的哪个实例可以进行什么操作. 其默认支持通配符权限字符串,: 表示 资源/ / 操作/ / 实例的分割;, 表示 操作的 分割,* 表示 任意资源/ / 操作/ / 实例。 -
多层次管理:
- 例如:user:query、user:edit
-
冒号 是一个特殊字符,它用来分隔权限字符串的下一 部件:第一部分是权限被操作的领域(打印机),第二部分是被执行的操作。 - 多个值:
每个 部件能够保护多个值。因此,除了授予用户 user:query和 user:edit 权限外,也 可以简单地授予他们一 个: user: query , edit - 还可以
用 * 号 代替所有的值,如:user:* , 也可以写:*:query,表示某个用户在所有的领域都有 query 的权限
8 Shiro 的 Permissions
实例 级访问控制
- 这种情况通常会使用三个部件:
域、操作、被付诸实施的实例。如:user:edit:manager - 也
可以使用通配符来定义,如:user:edit:*、user:*:*、user:*:manager -
部分 省略 通配符:缺少的部件意味着用户可以访问所有与之匹配的值,比如:user:edit 等价于 user:edit :、user 等价于 user::* - 注意:
通配符只能 从字符串的结尾处省略部件,也就是说 user:edit 并不等价于user:*:edit
9 授权流程
• 1、首先调用 Subject.isPermitted/hasRole 接口,其会委托给SecurityManager,而 SecurityManager 接着会委托给 Authorizer;
• 2、Authorizer是真正的授权者,如果调用如isPermitted(“user:view”),其首先会通过
• PermissionResolver 把字符串转换成相应的 Permission 实例;
• 3、在进行授权之前,其会调用相应的 Realm 获取 Subject 相应的角色/权限用于匹配传入的角色/权限;
• 4、Authorizer 会判断 Realm 的角色/权限是否和传入的匹配,如果有多个Realm,会委托给 ModularRealmAuthorizer 进行循环判断,如果匹配如isPermitted/hasRole 会返回true,否则返回false表示授权失败.
10 ModularRealmAuthorizer
ModularRealmAuthorizer 进行多 Realm 匹配流程:
- 1、首先检查相应的 Realm 是否实现了实现了Authorizer;
- 2、如果实现了 Authorizer,那么接着调用其相应的isPermitted/hasRole 接口进行匹配;
- 3、如果有一个Realm匹配那么将返回 true,否则返回 false。
11 代码
11.1) 角色权限
1. application-shiro.xml
<property name="filterChainDefinitions">
<value>
/login = anon
/logout = logout
/user = roles[user]
/admin = roles[admin]
# everything else requires authentication:
/** = authc
</value>
</property>
2. list.jsp
<h4>List Page</h4>
<br><br>
<a href="/admin">Admin Page</a>
<br><br>
<a href="/user">user Page</a>
<br><br>
<a href="/logout">Logout</a>
3. ShiroRealm/SecondRealm(都写或者写一个都行)
/**
* 授权会被shiro回调的方法
*/
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
//1. 从PrincipalCollection 中来获取登录用户的信息
Object principal = principalCollection.getPrimaryPrincipal();
//2. 利用登录的用户的信息来用户当前用户的角色或权限
Set<String> roles = new HashSet<>();
if ("user".equals(principal)) {
roles.add("user");
} else if ("admin".equals(principal)) {
roles.add("admin");
}
//3. 创建 SimpleAuthorizationInfo, 并设置其 roles 属性
SimpleAuthorizationInfo info = new SimpleAuthorizationInfo(roles);
return info;
}
11.2) 代码中赋权限
<property name="filterChainDefinitionMap" ref="filterChainDefinitionMap"></property>
<!--
配置哪些页面需要受保护.
以及访问这些页面需要的权限.
1). anon 可以被匿名访问
2). authc 必须认证(即登录)后才可能访问的页面.
3). logout 登出.
4). roles 角色过滤器
-->
<!--<property name="filterChainDefinitions">
<value>
/login = anon
/logout = logout
/user = roles[user]
/admin = roles[admin]
# everything else requires authentication:
/** = authc
</value>
</property>-->
<!-- 配置一个 bean, 该 bean 实际上是一个 Map. 通过实例工厂方法的方式 -->
<bean id="filterChainDefinitionMap"
factory-bean="filterChainDefinitionMapBuilder" factory-method="buildFilterChainDefinitionMap"></bean>
<bean id="filterChainDefinitionMapBuilder"
class="com.spring.shiro.factory.FilterChainDefinitionMapBuilder"></bean>
