【Shiro】四、Apache Shiro授权
1、授权实现方式
1.1、什么是授权
授权包含4个元素(一个比较流行通用的权限模型)
Resources:资源
各种需要访问控制的资源
Permissions:权限
安全策略控制原子元素
基于资源和动作
控制力度
Roles:角色
行为的集合
User:用户主体
Subject,关联Role或Permission
简单来说,可以这样理解:我们登录进系统,我们就是一个【用户】;【用户】可以是一个或多个【角色】,一个【角色】可以有多种【权限】,这些【权限】代表了我们可以访问哪些【资源】。当然【用户】也可以直接跳过【角色】,直接给【用户】分配【权限】,表明这个【用户】可以访问的【资源】。
1.2、授权方式
a、编程模型
基于Role
Role校验
API:
hasRole(String roleName)
hasRoles(List<String> roleNames)
hasAllRoles(Collection<String> roleNames)
- Subject currentUser = SecurityUtils.getSubject();
- if(currentUser.hasRole("admin")){
- ...
- } else{
- ...
- }
Role断言(Assertion)
失败会抛出异常AuthorizationException
API
checkRole(String roleName)
checkRoles(Collection<String> roleNames)
checkRoles(String... roleNames)
- Subject currentUser = SecurityUtils.getSubject();
- currentUser.checkRole("bankTeller");
- openBankAccount();
基于Permission
Permission校验
基于对象的Permission校验
应用场景:显式控制、类型安全
API
isPermiited(Permission p)
isPermiited(List<Permission> perms)
isPermiitedAll(Collection<Permission> perms)
- Permission printPermission = new PrinterPermission("hp","print");
- Subject currentUser = SecurityUtils.getSubject();
- if(currentUser.isPermitted(printPermission)){
- ...
- } else {
- ...
- }
基于String的Permission校验
应用场景:轻量级、简单
API
isPermiited(String perm)
isPermiited(String... perms)
isPermiitedAll(String... perms)
- Subject currentUser = SecurityUtils.getSubject();
- if(currentUser.isPermitted("printer:print:hp")){
- ...
- } else {
- ...
- }
Permission断言(Assertion)
失败会抛出异常AuthorizationException
API
checkPermission(Permission p))
checkPermission(String perm)
checkPermissions(Collection<Permission> perms)
checkPermissions(String... perms)
- Subject currentUser = SecurityUtils.getSubject();
- Permission p = new AccountPermission("open");
- current.checkPermission(p);
- openBankAccount();
b、JDK注解
@RequiresAuthentication
用于判断是否已认证,未认证访问该资源会抛异常,下面代码效果相同
- @RequiresAuthentication
- public void updateAccount(Account userAccount){
- ...
- }
- public void updateAccount(Account userAccount){
- if(!SecurityUtils.getSubject().isAuthenticated()){
- throw new AuthorizationException(...);
- }
- }
@RequiresGuest
用于判断是否为游客,如果非游客会抛异常,下面代码效果相同
- @RequiresGuest
- public void signUp(User newUser){
- ...
- }
- public void signUp(User newUser){
- Subject currentUser = SecurityUtils.getSubject();
- PrincipalCollection principals = currentUser.getPrincipals();
- if(principals != null && !principals.isEmpty()){
- throw new AuthorizationException(...);
- }
- }
@RequiresPermissions
用于判断有该权限才能访问,下面代码效果相同
- @ReruiresPermissions("account:create")
- public void creatAccount(Account account){
- ...
- }
- public void creatAccount(Account account){
- Subject currentUser = SecurityUtils.getSubject();
- if(!subject.isPermitted("account:create")){
- throw new AuthorizationException(...);
- }
- }
@RequiresRoles
用于判断有该角色才能访问,下面代码效果相同
- @RequiresRoles("admin")
- public void deleteUser(User user){
- ...
- }
- public void deleteUser(User user){
- Subject currentUser = SecurityUtils.getSubject();
- if(!subject.hasRole("admin")){
- throw new AuthorizationException(...);
- }
- }
@RequiresUser
用于判断非游客才能访问,下面代码效果相同
- @RequiresUser
- public void updateAccount(Account account){
- ...
- }
- public void updateAccount(Account account){
- Subject currentUser = SecurityUtils.getSubject();
- PrincipalCollection principals = currentUser.getPrincipals();
- if(principals == null || principals.isEmpty()){
- throw new AuthorizationException(...);
- }
- }
c、JSP/GSP TagLibs
偏向web,不介绍
2、授权架构
1、调用Subject的isPermitted或HasRole方法
2、找Security Manager(门面模式)
3、调用Authorizer组件
4、通过Realm访问数据库等获取数据,用于判断是否有授权
Authorizer
默认实现ModularRealmAuthorizer
迭代授权多个Realm
策略
如果一个Realm不实现Authorizer,不校验
如果一个Realm实现Authorizer
一旦校验失败,马上抛AuthorizationException
一旦校验成功,马上返回true
PermissionResolver权限解析器
用于将Permission字符串解析成Permission对象,Shiro内部都是使用Permission对象来进行验证
默认WildcardPermissionResolver(通配符权限解析器)
可以自定义解析器
RolePermissionResolver
用于将Role字符串转换为Permission对象
可以自定义解析器
【Shiro】四、Apache Shiro授权的更多相关文章
- 【Shiro】Apache Shiro架构之权限认证(Authorization)
Shiro系列文章: [Shiro]Apache Shiro架构之身份认证(Authentication) [Shiro]Apache Shiro架构之集成web [Shiro]Apache Shir ...
- 【Shiro】Apache Shiro架构之身份认证(Authentication)
Shiro系列文章: [Shiro]Apache Shiro架构之权限认证(Authorization) [Shiro]Apache Shiro架构之集成web [Shiro]Apache Shiro ...
- 【Shiro】Apache Shiro架构之自定义realm
[Shiro]Apache Shiro架构之身份认证(Authentication) [Shiro]Apache Shiro架构之权限认证(Authorization) [Shiro]Apache S ...
- 【Shiro】Apache Shiro架构之集成web
Shiro系列文章: [Shiro]Apache Shiro架构之身份认证(Authentication) [Shiro]Apache Shiro架构之权限认证(Authorization) [Shi ...
- SpringBoot整合Shiro 四:认证+授权
搭建环境见: SpringBoot整合Shiro 一:搭建环境 shiro配置类见: SpringBoot整合Shiro 二:Shiro配置类 shiro整合Mybatis见:SpringBoot整合 ...
- [转载] 【Shiro】Apache Shiro架构之实际运用(整合到Spring中)
写在前面:前面陆陆续续对Shiro的使用做了一些总结,如题,这篇博文主要是总结一下如何将Shiro运用到实际项目中,也就是将Shiro整到Spring中进行开发.后来想想既然要整,就索性把Spring ...
- 让Apache Shiro保护你的应用
在尝试保护你的应用时,你是否有过挫败感?是否觉得现有的Java安全解决方案难以使用,只会让你更糊涂?本文介绍的Apache Shiro,是一个不同寻常的Java安全框架,为保护应用提供了简单而强大的方 ...
- Apache Shiro 手册
(一)Shiro架构介绍 一.什么是Shiro Apache Shiro是一个强大易用的Java安全框架,提供了认证.授权.加密和会话管理等功能: 认证 - 用户身份识别,常被称为用户"登录 ...
- Apache Shiro 使用手册---转载
原文地址:http://www.360doc.com/content/12/0104/13/834950_177177202.shtml (一)Shiro架构介绍 一.什么是Shiro Apache ...
- Apache Shiro 使用手册
http://kdboy.iteye.com/blog/1154644 (一)Shiro架构介绍 一.什么是Shiro Apache Shiro是一个强大易用的Java安全框架,提供了认证.授权.加 ...
随机推荐
- AT2000 Leftmost Ball(计数dp+组合数学)
传送门 解题思路 设\(f[i][j]\)表示填了\(i\)个白色,\(j\)种彩色的方案数,那么显然\(j<=i\).考虑这个的转移,首先可以填一个白色,就是\(f[i][j]=f[i-1][ ...
- nRF51822 蓝牙低功耗和 2.4GHz 专利 SoC
DESCRIPTION nRF51822 是功能强大.高灵活性的多协议 SoC,非常适用于 Bluetooth® 低功耗和 2.4GHz 超低功耗无线应用. nRF51822 基于配备 256kB f ...
- 建站手册-浏览器信息:挪威的 Opera 浏览器
ylbtech-建站手册-浏览器信息:挪威的 Opera 浏览器 1.返回顶部 1. http://www.w3school.com.cn/browsers/browsers_opera.asp 2. ...
- 图解HTTP 读书笔记
1 了解Web及网络基础 1.1 HTTP/1.0 HTTP正式作为标准被公布实在1996年五月,版本命名为HTTP/1.0,记载于RFC1945.至今仍广泛使用在服务器端. RFC1945 – ...
- Reciteing(first)
it is sybmbolically portrayed in this cartoon,when a teacher assigns her student to read a literat ...
- Cocos2d-x之Sound
| 版权声明:本文为博主原创文章,未经博主允许不得转载. 音效简介: 1.1 在游戏开发的过程中除了华丽的界面,生动的动画之外,适当的音效也是重要的一部分 1.2 游戏中的声音分为两类,一类是音乐 ...
- 【Python—待解惑的问题】
疑问1: map()函数第一个参数接收函数,所以 dict.keys() 是函数?这个不是方法吗? map(dict.keys,s) s1.keys() == dict.keys(s1) 输入: Tr ...
- python中变量的命令规制及变量的赋值方式
文章结构: 一.python中变量的命名规则 二.变量赋值的三种方式 三.python的垃圾回收机制 一.Python中变量的 ...
- ret/retn人为改变执行地址
1.CALL和RET/RETN是一对指令,CALL把返回地址压入堆栈,RET/RETN把返回地址从堆栈取出,然后将IP寄存器改为该返回地址. 2.不使用CALL,而是人为地把地址放入堆栈即可实现.如 ...
- Python3学习笔记——类
#!/usr/bin/env python #-*- coding:utf-8 -*- #面向对象(类+对象) 三大特性:封装.继承.多态 类的成员: 字段: 普通字段:保存在对象(实例)中,执行只能 ...