黑马程序员技术交流社区
标题: 【上海校区】Shiro学习笔记整理--授权 [打印本页]
作者: shjava 时间: 2017-11-28 23:01
标题: 【上海校区】Shiro学习笔记整理--授权
本帖最后由 shjava 于 2017-11-28 23:06 编辑
授权,也叫做访问控制。
了解几个关键对象:
主体(Subject)、资源(Resource)、权限(Permission)、角色(Role)
主体:访问应用的对象。
资源:在应用中可以访问的任何东西,jsp页面,方法等都是资源。
权限:安全策略中的原子授权单位,表示用户(主体Subject)有没有权限去访问某个资源。
Shiro支持粗粒度权限和细粒度权限的验证,后续介绍。
角色:代表了权限的集合。
隐式角色:直接通过角色来验证用户有没有操作权限,粒度较粗。
显式角色:通过权限控制访问资源,粒度较细。
google搜索“RBAC”和“RBAC新解”分别了解“基于角色的访问控制”“基于资源的访问控制(Resource-BasedAccess Control)”。
Shiro支持三种方式的权限控制:
1、通过代码完成权限控制
Subject subject = SecurityUtils.getSubject(); if(subject.hasRole("admin")) { //有权限 } else { //无权限 } |
2、通过方法上的注解完成权限控制
@RequiresRoles("admin") public void hello() { //有权限 } |
3、通过JSP页面标签完成权限控制
<shiro:hasRole name="admin"> <!— 有权限 —> </shiro:hasRole> |
授权流程的分析:
授权的流程:
1、当我们需要判断用户是否有权限执行相关的资源时,比如我们调用Subject.isPermitted或者hasRole方法时,Subject会自动委托给SecurityManager。
2、SecurityManager会将授权功能委托给Authorizer进行授权。
3、Authorizer会调用PermissionResolver将我们想要验证的权限字符串转换成对应的Permission实例。
4、在授权之前,会调用相应的Realm获取对应的角色,权限来匹配
5、Authorizer会判断Relam中的角色和权限是否和传入的匹配,如果有多个Realm,会委托给ModularRealmAuthorizer进行循环判断,如果匹配到返回true,如果失败返回false
继承了AuthorizingRealm的Realm进行授权的流程:
1、如果调用hasRole,则直接获取AuthorizationInfo.getRoles()与传入角色进行比较。
2、如果调用isPermitted,首先通过PermissionResolver将权限字符串转换为对应Permission对象(默认使用WildcardPermission)。
3、通过AuthorizationInfo.getObjectPermissions()得到Permission实例集合。通过AuthorizationInfo.getStringPermissions()得到字符串集合并通过PermissionResolver解析为Permission实例。
然后获取用户的角色,并通过RolePermissionResolver解析角色对应的权限集合(默认没有实现,可以自己提供)。
4、接着调用Permission.implies(Permission p)逐个与传入的权限比较,如果有匹配的则返回true,否则false。
欢迎光临 黑马程序员技术交流社区 (http://bbs.itheima.com/) |
黑马程序员IT技术论坛 X3.2 |