类Shiro权限校验框架的设计和实现
前言:
之前简单集成了springmvc和shiro用于后台管理平台的权限控制, 设计思路非常的优美, 而且编程确实非常的方便和简洁. 唯一的不足, 我觉得配置稍有些繁琐. 当时我有个小想法, 觉得可以写个更小巧版的shiro, 用于权限控制.
因为shiro本身不涉及权限的数据模型, 而且权限控制这块也只是它的一小部分功能点. 因此剥离后的工作量, 预计不是很大.
相关文章列表:
1. springmvc简单集成shiro
2. 利用Aspectj实现Oval的自动参数校验
设计目标
首先来讲讲定位吧, Shiro本身是一个安全组件, 可以复用. 但是我这个版本, 倾向于半成品. 它属于一种设计思路, 多少和业务有些耦合, 它有一定的借鉴作用, 其他简易项目可以拿去copy/paste, 然后修改下代码, 就能使用上的, ^_^.
列一下设计目标吧:
1. 只支持权限校验, 不涉及认证
2. 支持role/permission的注解校验(包括简单的与或操作)
就这么简单了, ^_^.
实践:
整个小框架, 是基于springmvc环境下, 其数据存储于http session中, 但除此以外, 和外界再无瓜葛, ^_^.
它的核心就一个工具类, 一个切面类, 两个注解, 非常的简洁.
权限注解类的引入:
// *) 逻辑与或
public enum MyLogic {
AND,
OR;
} // *) 定义权限校验注解
@Target({ElementType.TYPE, ElementType.METHOD})
@Retention(RetentionPolicy.RUNTIME)
public @interface MyRequiresPermissions {
String[] value();
MyLogic logic() default MyLogic.AND;
} // *) 定义角色校验注解
@Target({ElementType.TYPE, ElementType.METHOD})
@Retention(RetentionPolicy.RUNTIME)
public @interface MyRequiresRoles {
String[] value();
MyLogic logic() default MyLogic.AND;
}
工具类引入:
@Getter
public class MyAuthorizeInfo { private Set<String> roles = new TreeSet<String>(); private Set<String> permissions = new TreeSet<String>(); public void addRole(String role) {
roles.add(role);
} public void addPermission(String permission) {
permissions.add(permission);
} } public class MyShiroHelper { private static final String MY_SHIRO_AUTHRIZE_KEY = "my_shiro_authorize_key"; // 授权权限列表
public static void authorize(MyAuthorizeInfo authorizeInfo) {
HttpSession session = getSession();
session.setAttribute(MY_SHIRO_AUTHRIZE_KEY, authorizeInfo);
} // 验证角色
public static boolean validateRoles(String[] roles, MyLogic logic) throws Exception { if ( roles == null || roles.length == 0 ) {
return true;
}
try {
HttpSession session = getSession();
MyAuthorizeInfo authorizeInfo = (MyAuthorizeInfo)session
.getAttribute(MY_SHIRO_AUTHRIZE_KEY);
if ( authorizeInfo == null ) {
return false;
}
return evaluateExpression(roles, logic, authorizeInfo.getRoles());
} catch (Exception e) {
throw new Exception("permission invalid state");
} finally {
} } // 验证权限
public static boolean validatePermssion(String[] permissions, MyLogic logic) throws Exception { if ( permissions == null || permissions.length == 0 ) {
return true;
}
try {
HttpSession session = getSession();
MyAuthorizeInfo authorizeInfo = (MyAuthorizeInfo)session
.getAttribute(MY_SHIRO_AUTHRIZE_KEY);
if ( authorizeInfo == null ) {
return false;
}
return evaluateExpression(permissions, logic, authorizeInfo.getPermissions());
} catch (Exception e) {
throw new Exception("permission invalid state");
} finally {
} } // *) 与或操作, 布尔表达式的计算
public static boolean evaluateExpression(String[] values, MyLogic logic, Set<String> sets) {
if ( MyLogic.AND == logic ) {
for ( String val : values ) {
if ( !sets.contains(val) ) {
return false;
}
}
return true;
} else if ( MyLogic.OR == logic ) {
for ( String val : values ) {
if ( sets.contains(val) ) {
return true;
}
}
return false;
}
return true;
} // *) 获取Http Session
private static HttpSession getSession() {
HttpServletRequest request = ((ServletRequestAttributes) RequestContextHolder.getRequestAttributes())
.getRequest();
return request.getSession();
} }
最后是切面类的引入:
@Aspect
@Component
public class MyShiroAdvice { /**
* 定义切点, 用于权限的校验
*/
@Pointcut("@annotation(com.springapp.mvc.myshiro.MyRequiresPermissions)")
public void checkPermissions() {
} /**
* 定义切点, 用于角色的校验
*/
@Pointcut("@annotation(com.springapp.mvc.myshiro.MyRequiresRoles)")
public void checkRoles() {
} @Before("checkPermissions()")
public void doCheckPermission(JoinPoint jp) throws Exception { // *) 获取对应的注解
MyRequiresPermissions mrp = extractAnnotation(
(MethodInvocationProceedingJoinPoint)jp,
MyRequiresPermissions.class
); try {
if ( !MyShiroHelper.validatePermssion(mrp.value(), mrp.logic()) ) {
throw new Exception("access disallowed");
}
} catch (Exception e) {
throw new Exception("invalid state");
} } @Before("checkRoles()")
public void doCheckRole(JoinPoint jp) throws Exception { // *) 获取对应的注解
MyRequiresRoles mrp = extractAnnotation(
(MethodInvocationProceedingJoinPoint)jp,
MyRequiresRoles.class
); try {
if ( !MyShiroHelper.validateRoles(mrp.value(), mrp.logic()) ) {
throw new Exception("access disallowed");
}
} catch (Exception e) {
throw new Exception("invalid state");
} } // *) 获取注解信息
private static <T extends Annotation> T extractAnnotation(
MethodInvocationProceedingJoinPoint mp, Class<T> clazz) throws Exception { Field proxy = mp.getClass().getDeclaredField("methodInvocation");
proxy.setAccessible(true); ReflectiveMethodInvocation rmi = (ReflectiveMethodInvocation) proxy.get(mp);
Method method = rmi.getMethod(); return (T) method.getAnnotation(clazz);
} }
这边为了简洁, 对异常类没有做细分处理.
实战:
那如何集成, 并使用上述的小shiro框架呢?
首先激活Aspectj, 同时把注解类纳入到spring容器中.
<aop:aspectj-autoproxy proxy-target-class="true"/>
<context:component-scan base-package="com.xxx.myshiro"/> <!-- 切面类所在的package -->
而在具体的实战中, 可以写个简单的测试RestController类, 来演示下整个流程.
@Controller
@RequestMapping("/")
public class HelloController { @RequestMapping(value="/login", method={RequestMethod.POST, RequestMethod.GET})
@ResponseBody
public String login() { // 1) 完成登陆验证
// TODO // 2) 查询权限信息
// TODO // 3) 注册权限信息
MyAuthorizeInfo authorizeInfo = new MyAuthorizeInfo();
authorizeInfo.addRole("admin"); authorizeInfo.addPermission("blog:write");
authorizeInfo.addPermission("blog:read"); // *) 授权赋予
MyShiroHelper.authorize(authorizeInfo); return "ok";
} @RequestMapping(value = "/test1", method = {RequestMethod.GET, RequestMethod.POST})
@ResponseBody
@MyRequiresPermissions(value={"blog:write", "blog:update"}, logic=MyLogic.AND)
public String test1() {
return "test1";
} @RequestMapping(value = "/test2", method = {RequestMethod.GET, RequestMethod.POST})
@ResponseBody
@MyRequiresPermissions(value={"blog:write", "blog:update"}, logic=MyLogic.OR)
public String test2() {
return "test2";
} }
注: 关注下login接口, 这里完成了登陆和授权工作.
这个小框架, 把用户登陆和权限数据模型的设计获取交给了业务开发者, 只保留了权限校验.
测试:
在完成登陆login之后
1. 调用/test1, 访问受限(需要blog:write && blog:update, 但是只有blog:write权限)
2. 调用/test2, 访问通过(需要blog:write || blog:update, 有blog:write权限)
总结:
在抛离认证和账号管理之后, 其实这个权限校验小框架, 其实非常的漂亮和实用. 真正在业务开发时, 遇到小的项目, 其实可以直接使用, 而并非要选择较重的shiro.
当然在权限校验这块, 都是针对静态资源的权限校验, 若遇到动态权限校验(比如用户对自己编辑的文章有编辑权限, 其他用户没), 还是有所不足的.
不过, 如果有复杂的权限表达式计算需求的, 这个不算什么难点, 可以借助Groovy轻松实现.
类Shiro权限校验框架的设计和实现的更多相关文章
- 类Shiro权限校验框架的设计和实现(2)--对复杂权限表达式的支持
前言: 我看了下shiro好像默认不支持复杂表达式的权限校验, 它需要开发者自己去做些功能扩展的工作. 针对这个问题, 同时也会为了弥补上一篇文章提到的支持复杂表示需求, 特地尝试写一下解决方法. 本 ...
- fastDFS shiro权限校验 redis FreeMark页面静态化
FastDFS是一个轻量级分布式文件系统, 使用FastDFS很容易搭建一套高性能的文件服务器集群提供文件上传.下载等服务 FastDFS服务端有两个角色:跟踪器(tracker)和存储节点( ...
- Shiro 权限校验不通过时,区分GET和POST请求正确响应对应的方式
引入:https://blog.csdn.net/catoop/article/details/69210140 本文基于Shiro权限注解方式来控制Controller方法是否能够访问. 例如使用到 ...
- SpringBoot整合Apache Shiro权限验证框架
比较常见的权限框架有两种,一种是Spring Security,另一种是Apache Shiro,两种框架各有优劣,个人感觉Shiro更容易使用,更加灵活,也更符合RABC规则,而且是java官方更推 ...
- Shiro权限控制框架
Subject:主体,可以看到主体可以是任何可以与应用交互的"用户": SecurityManager:相当于SpringMVC中的DispatcherServlet或者Strut ...
- Shiro实现用户对动态资源细粒度的权限校验
前言 在实际系统应用中,普遍存在这样的一种业务场景,需要实现用户对要访问的资源进行动态权限校验. 譬如,在某平台的商家系统中,存在商家.品牌.商品等业务资源.它们之间的关系为:一个商家可以拥有多个品牌 ...
- 自己写的基于java Annotation(注解)的数据校验框架
JavaEE6中提供了基于java Annotation(注解)的Bean校验框架,Hibernate也有类似的基于Annotation的数据校验功能,我在工作中,产品也经常需要使 用数据校验,为了方 ...
- SpringBoot整合Shiro权限框架实战
什么是ACL和RBAC ACL Access Control list:访问控制列表 优点:简单易用,开发便捷 缺点:用户和权限直接挂钩,导致在授予时的复杂性,比较分散,不便于管理 例子:常见的文件系 ...
- 权限控制框架Shiro简单介绍及配置实例
Shiro是什么 http://shiro.apache.org/ Apache Shiro是一个非常易用的Java安全框架,它能提供验证.授权.加密和Session控制.Shiro非常轻量级,而且A ...
随机推荐
- mysql的并发控制
并发即指在同一时刻,多个操作并行执行.MySQL对并发的处理主要应用了两种机制——是"锁"和"多版本控制". 1.并发控制 MySQL提供两个级别的并发控制:服 ...
- Bugku-CTF之点击一百万次
Day16 点击一百万次 http://123.206.87.240:9001/test/ hints:JavaScript
- ant_任务的含义与使用
任务是一段可执行的代码.任务可以具有多个属性,每个任务都具有共同的结构.任务常见结构由名称,属性等组成. 任务配置结构示例: <task-name attribute1 = "valu ...
- 同事在使用shiro后遇到的异常
一切配置按照demo来的,给他讲了一遍捋顺了.然后之前他做的demohim按照他网络摘抄的shiro博客看的. 然后注册了,正常,登录,提示密码不匹配. 问题出在注册的密码加密次数是2, 而shiro ...
- jsp/servlet学习五之jsp表达式语言初窥
EL表达式是jsp中最常用的表达式之一.EL表达式以${开头,并以}结束,例如${1+1}.el表达式可以返回任意类型的值,如果el表达式的结果是一个带属性的对象,则可以利用[]或者.运算来访问该属性 ...
- MySQL安装指南(转)
MySQL安装指南 安装MySQL sudo apt-get install mysql-server 这个应该很简单了,而且我觉得大家在安装方面也没什么太大问题,所以也就不多说了,下面我们来讲讲 ...
- 大数据技术之_19_Spark学习_04_Spark Streaming 应用解析 + Spark Streaming 概述、运行、解析 + DStream 的输入、转换、输出 + 优化
第1章 Spark Streaming 概述1.1 什么是 Spark Streaming1.2 为什么要学习 Spark Streaming1.3 Spark 与 Storm 的对比第2章 运行 S ...
- Fastjson-fastjson中$ref对象重复引用问题
当你有城市数据,你需要按国内.国际.热门城市分成数组的形式给出并输出为json格式. 第一个问题,你的数据格式,需要按字母类别划分,比如: "int": { "C&quo ...
- 前端布局神器display:flex
2009年,W3C提出了一种新的方案--Flex布局,可以简便.完整.响应式地实现各种页面布局.目前已得到所有现在浏览器的支持. flex浏览器支持 一.Flex布局是什么? Flex是Flexi ...
- js实现滚动条来动态加载数据
主要angular2+es6 data:Array<any> //展示的数据 allData:Array<any> //全部的数据 size:number = 10 //每次动 ...