1、授权实现方式

1.1、什么是授权

授权包含4个元素(一个比较流行通用的权限模型)

Resources:资源
  各种需要访问控制的资源

Permissions:权限
  安全策略控制原子元素
  基于资源和动作
  控制力度

Roles:角色
   行为的集合

User:用户主体
  Subject,关联Role或Permission

简单来说,可以这样理解:我们登录进系统,我们就是一个【用户】;【用户】可以是一个或多个【角色】,一个【角色】可以有多种【权限】,这些【权限】代表了我们可以访问哪些【资源】。当然【用户】也可以直接跳过【角色】,直接给【用户】分配【权限】,表明这个【用户】可以访问的【资源】。

1.2、授权方式

a、编程模型

  基于Role

    Role校验
      API:
        hasRole(String roleName)
        hasRoles(List<String> roleNames)
        hasAllRoles(Collection<String> roleNames)

  1. Subject currentUser = SecurityUtils.getSubject();
  2. if(currentUser.hasRole("admin")){
  3. ...
  4. } else{
  5. ...
  6. }

    Role断言(Assertion)
      失败会抛出异常AuthorizationException
      API
        checkRole(String roleName)
        checkRoles(Collection<String> roleNames)
        checkRoles(String... roleNames)

  1. Subject currentUser = SecurityUtils.getSubject();
  2. currentUser.checkRole("bankTeller");
  3. openBankAccount();

  基于Permission

    Permission校验
      基于对象的Permission校验
        应用场景:显式控制、类型安全
        API
          isPermiited(Permission p)
          isPermiited(List<Permission> perms)
          isPermiitedAll(Collection<Permission> perms)

  1. Permission printPermission = new PrinterPermission("hp","print");
  2. Subject currentUser = SecurityUtils.getSubject();
  3. if(currentUser.isPermitted(printPermission)){
  4. ...
  5. } else {
  6. ...
  7. }

      基于String的Permission校验
        应用场景:轻量级、简单
        API
          isPermiited(String perm)
          isPermiited(String... perms)
          isPermiitedAll(String... perms)

  1. Subject currentUser = SecurityUtils.getSubject();
  2. if(currentUser.isPermitted("printer:print:hp")){
  3. ...
  4. } else {
  5. ...
  6. }

    Permission断言(Assertion)
      失败会抛出异常AuthorizationException
      API
        checkPermission(Permission p))
        checkPermission(String perm)
        checkPermissions(Collection<Permission> perms)
        checkPermissions(String... perms)

  1. Subject currentUser = SecurityUtils.getSubject();
  2.  
  3. Permission p = new AccountPermission("open");
  4. current.checkPermission(p);
  5. openBankAccount();

b、JDK注解

@RequiresAuthentication

用于判断是否已认证,未认证访问该资源会抛异常,下面代码效果相同

  1. @RequiresAuthentication
  2. public void updateAccount(Account userAccount){
  3. ...
  4. }
  5.  
  6. public void updateAccount(Account userAccount){
  7. if(!SecurityUtils.getSubject().isAuthenticated()){
  8. throw new AuthorizationException(...);
  9. }
  10. }

@RequiresGuest

用于判断是否为游客,如果非游客会抛异常,下面代码效果相同

  1. @RequiresGuest
  2. public void signUp(User newUser){
  3. ...
  4. }
  5.  
  6. public void signUp(User newUser){
  7. Subject currentUser = SecurityUtils.getSubject();
  8. PrincipalCollection principals = currentUser.getPrincipals();
  9. if(principals != null && !principals.isEmpty()){
  10. throw new AuthorizationException(...);
  11. }
  12. }

@RequiresPermissions

用于判断有该权限才能访问,下面代码效果相同

  1. @ReruiresPermissions("account:create")
  2. public void creatAccount(Account account){
  3. ...
  4. }
  5.  
  6. public void creatAccount(Account account){
  7. Subject currentUser = SecurityUtils.getSubject();
  8. if(!subject.isPermitted("account:create")){
  9. throw new AuthorizationException(...);
  10. }
  11. }

@RequiresRoles

用于判断有该角色才能访问,下面代码效果相同

  1. @RequiresRoles("admin")
  2. public void deleteUser(User user){
  3. ...
  4. }
  5.  
  6. public void deleteUser(User user){
  7. Subject currentUser = SecurityUtils.getSubject();
  8. if(!subject.hasRole("admin")){
  9. throw new AuthorizationException(...);
  10. }
  11. }

@RequiresUser

用于判断非游客才能访问,下面代码效果相同

  1. @RequiresUser
  2. public void updateAccount(Account account){
  3. ...
  4. }
  5.  
  6. public void updateAccount(Account account){
  7. Subject currentUser = SecurityUtils.getSubject();
  8. PrincipalCollection principals = currentUser.getPrincipals();
  9. if(principals == null || principals.isEmpty()){
  10. throw new AuthorizationException(...);
  11. }
  12. }

c、JSP/GSP TagLibs

偏向web,不介绍

2、授权架构

1、调用Subject的isPermitted或HasRole方法

2、找Security Manager(门面模式)

3、调用Authorizer组件

4、通过Realm访问数据库等获取数据,用于判断是否有授权

Authorizer

默认实现ModularRealmAuthorizer

  迭代授权多个Realm

策略

  如果一个Realm不实现Authorizer,不校验

  如果一个Realm实现Authorizer

    一旦校验失败,马上抛AuthorizationException

    一旦校验成功,马上返回true

PermissionResolver权限解析器

  用于将Permission字符串解析成Permission对象,Shiro内部都是使用Permission对象来进行验证

  默认WildcardPermissionResolver(通配符权限解析器)

  可以自定义解析器

RolePermissionResolver

  用于将Role字符串转换为Permission对象

  可以自定义解析器

  

【Shiro】四、Apache Shiro授权的更多相关文章

  1. 【Shiro】Apache Shiro架构之权限认证(Authorization)

    Shiro系列文章: [Shiro]Apache Shiro架构之身份认证(Authentication) [Shiro]Apache Shiro架构之集成web [Shiro]Apache Shir ...

  2. 【Shiro】Apache Shiro架构之身份认证(Authentication)

    Shiro系列文章: [Shiro]Apache Shiro架构之权限认证(Authorization) [Shiro]Apache Shiro架构之集成web [Shiro]Apache Shiro ...

  3. 【Shiro】Apache Shiro架构之自定义realm

    [Shiro]Apache Shiro架构之身份认证(Authentication) [Shiro]Apache Shiro架构之权限认证(Authorization) [Shiro]Apache S ...

  4. 【Shiro】Apache Shiro架构之集成web

    Shiro系列文章: [Shiro]Apache Shiro架构之身份认证(Authentication) [Shiro]Apache Shiro架构之权限认证(Authorization) [Shi ...

  5. SpringBoot整合Shiro 四:认证+授权

    搭建环境见: SpringBoot整合Shiro 一:搭建环境 shiro配置类见: SpringBoot整合Shiro 二:Shiro配置类 shiro整合Mybatis见:SpringBoot整合 ...

  6. [转载] 【Shiro】Apache Shiro架构之实际运用(整合到Spring中)

    写在前面:前面陆陆续续对Shiro的使用做了一些总结,如题,这篇博文主要是总结一下如何将Shiro运用到实际项目中,也就是将Shiro整到Spring中进行开发.后来想想既然要整,就索性把Spring ...

  7. 让Apache Shiro保护你的应用

    在尝试保护你的应用时,你是否有过挫败感?是否觉得现有的Java安全解决方案难以使用,只会让你更糊涂?本文介绍的Apache Shiro,是一个不同寻常的Java安全框架,为保护应用提供了简单而强大的方 ...

  8. Apache Shiro 手册

    (一)Shiro架构介绍 一.什么是Shiro Apache Shiro是一个强大易用的Java安全框架,提供了认证.授权.加密和会话管理等功能: 认证 - 用户身份识别,常被称为用户"登录 ...

  9. Apache Shiro 使用手册---转载

    原文地址:http://www.360doc.com/content/12/0104/13/834950_177177202.shtml (一)Shiro架构介绍 一.什么是Shiro Apache ...

  10. Apache Shiro 使用手册

    http://kdboy.iteye.com/blog/1154644 (一)Shiro架构介绍 一.什么是Shiro  Apache Shiro是一个强大易用的Java安全框架,提供了认证.授权.加 ...

随机推荐

  1. AT2000 Leftmost Ball(计数dp+组合数学)

    传送门 解题思路 设\(f[i][j]\)表示填了\(i\)个白色,\(j\)种彩色的方案数,那么显然\(j<=i\).考虑这个的转移,首先可以填一个白色,就是\(f[i][j]=f[i-1][ ...

  2. nRF51822 蓝牙低功耗和 2.4GHz 专利 SoC

    DESCRIPTION nRF51822 是功能强大.高灵活性的多协议 SoC,非常适用于 Bluetooth® 低功耗和 2.4GHz 超低功耗无线应用. nRF51822 基于配备 256kB f ...

  3. 建站手册-浏览器信息:挪威的 Opera 浏览器

    ylbtech-建站手册-浏览器信息:挪威的 Opera 浏览器 1.返回顶部 1. http://www.w3school.com.cn/browsers/browsers_opera.asp 2. ...

  4. 图解HTTP 读书笔记

    1 了解Web及网络基础 1.1   HTTP/1.0 HTTP正式作为标准被公布实在1996年五月,版本命名为HTTP/1.0,记载于RFC1945.至今仍广泛使用在服务器端. RFC1945 – ...

  5. Reciteing(first)

      it is sybmbolically portrayed in this cartoon,when a teacher assigns her student to read a literat ...

  6. Cocos2d-x之Sound

    |   版权声明:本文为博主原创文章,未经博主允许不得转载. 音效简介: 1.1 在游戏开发的过程中除了华丽的界面,生动的动画之外,适当的音效也是重要的一部分 1.2 游戏中的声音分为两类,一类是音乐 ...

  7. 【Python—待解惑的问题】

    疑问1: map()函数第一个参数接收函数,所以 dict.keys() 是函数?这个不是方法吗? map(dict.keys,s) s1.keys() == dict.keys(s1) 输入: Tr ...

  8. python中变量的命令规制及变量的赋值方式

    文章结构:              一.python中变量的命名规则             二.变量赋值的三种方式             三.python的垃圾回收机制 一.Python中变量的 ...

  9. ret/retn人为改变执行地址

    1.CALL和RET/RETN是一对指令,CALL把返回地址压入堆栈,RET/RETN把返回地址从堆栈取出,然后将IP寄存器改为该返回地址.  2.不使用CALL,而是人为地把地址放入堆栈即可实现.如 ...

  10. Python3学习笔记——类

    #!/usr/bin/env python #-*- coding:utf-8 -*- #面向对象(类+对象) 三大特性:封装.继承.多态 类的成员: 字段: 普通字段:保存在对象(实例)中,执行只能 ...