前言

在实际系统应用中,普遍存在这样的一种业务场景,需要实现用户对要访问的资源进行动态权限校验。

譬如,在某平台的商家系统中,存在商家、品牌、商品等业务资源。它们之间的关系为:一个商家可以拥有多个品牌,一个品牌下可以拥有多个商品。

一个商家用户可以拥有多个账户,每个账户拥有不同级别的权限。

例如,小王负责商家A下的所有资源的运营工作,小张负责品牌A和品牌A下所有商品的运营工作。而小李负责品牌B

Shiro本身提供了RequiresAuthentication、RequiresPermissions和RequiresRoles等注解用于实现静态权限认证,

但不适合对于这种细粒度的动态资源的权限认证校验。基于以上描述,这篇文章就是补充了一种对细粒度动态资源的访问权限校验。

大概的设计思路

  • 1.新增一个自定义注解Permitable,用于将资源转换为shiro的权限表示字符串(支持SpEL表达式)
  • 2.新增加一个AOP切面,用于将自定义注解标注的方法和Shiro权限校验关联起来
  • 3.校验当前用户是否拥有足够的权限去访问受保护的资源

编码实现

  • 1、新建PermissionResolver接口
import java.util.Collections;

import java.util.List;

import java.util.Optional;

import static java.util.stream.Collectors.toList;

/**

 * 资源权限解析器

 *

 * @author wuyue

 * @since 1.0, 2019-09-07

 */

public interface PermissionResolver {

    /**

     * 解析资源

     *

     * @return 资源的权限表示字符串

     */

    String resolve();

    /**

     * 批量解析资源

     */

    static List<String> resolve(List<PermissionResolver> list) {

        return Optional.ofNullable(list).map(obj -> obj.stream().map(PermissionResolver::resolve).collect(toList()))

                .orElse(Collections.emptyList());

    }

}
  • 2、新增业务资源实体类,并实现PermissionResolver接口,此处以商品资源为例,例如新建Product.java
import com.wuyue.shiro.shiro.PermissionResolver;

import lombok.Getter;

import lombok.Setter;

import lombok.ToString;

import org.hibernate.annotations.GenericGenerator;

import javax.persistence.*;

import java.util.Date;

@Getter

@Setter

@ToString

@Entity

@Table(name = "product")

public class Product implements PermissionResolver {

    @Override

    public String resolve() {

        return merchantId + ":" + brandId + ":" + id;

    }

    @Id

    @GenericGenerator(name = "idGen", strategy = "uuid")

    @GeneratedValue(generator = "idGen")

    private String id;

    @Column(name = "merchant_id")

    private String merchantId;

    @Column(name = "brand_id")

    private String brandId;

    @Column(name = "name")

    private String name;

    @Column(name = "create_time")

    private Date createTime;

    @Column(name = "update_time")

    private Date updateTime;

}
  • 3、新增自定义注解Permitable
import java.lang.annotation.*;

/**

 * 自定义细粒度权限校验注解,配合SpEL表达式使用

 */

@Target(ElementType.METHOD)

@Retention(RetentionPolicy.RUNTIME)

@Documented

public @interface Permitable {

    /**

     * 前置校验资源权限表达式

     *

     * @return 资源的权限字符串表示(如“字节跳动”下的“抖音”可以表达为BYTE_DANCE:TIK_TOK)

     */

    String pre() default "";

    /**

     * 后置校验资源权限表达式

     *

     * @return

     */

    String post() default "";

}
  • 4、新增权限校验切面
import lombok.extern.slf4j.Slf4j;

import org.aopalliance.intercept.MethodInterceptor;

import org.apache.commons.lang3.StringUtils;

import org.apache.shiro.SecurityUtils;

import org.springframework.aop.support.StaticMethodMatcherPointcutAdvisor;

import org.springframework.context.expression.MethodBasedEvaluationContext;

import org.springframework.core.DefaultParameterNameDiscoverer;

import org.springframework.core.annotation.AnnotationUtils;

import org.springframework.expression.EvaluationContext;

import org.springframework.expression.spel.standard.SpelExpressionParser;

import java.lang.annotation.Annotation;

import java.lang.reflect.Method;

import java.util.List;

/**

 * 静态自定义权限认证切面

 */

@Slf4j

public class PermitAdvisor extends StaticMethodMatcherPointcutAdvisor {

    private static final Class<? extends Annotation>[] AUTHZ_ANNOTATION_CLASSES =

            new Class[] {

                    Permitable.class

            };

    public PermitAdvisor(SpelExpressionParser parser) {

        // 构造一个通知,当方法上有加入Permitable注解时,会触发此通知执行权限校验

        MethodInterceptor advice = mi -> {

            Method method = mi.getMethod();

            Object targetObject = mi.getThis();

            Object[] args = mi.getArguments();

            Permitable permitable = method.getAnnotation(Permitable.class);

            // 前置权限认证

            checkPermission(parser, permitable.pre(), method, args, targetObject, null);

            Object proceed = mi.proceed();

            // 后置权限认证

            checkPermission(parser, permitable.post(), method, args, targetObject, proceed);

            return proceed;

        };

        setAdvice(advice);

    }

    /**

     * 匹配加了Permitable注解的方法,用于通知权限校验

     */

    @Override

    public boolean matches(Method method, Class<?> targetClass) {

        Method m = method;

        if (isAuthzAnnotationPresent(m)) {

            return true;

        }

        return false;

    }

    private boolean isAuthzAnnotationPresent(Method method) {

        for (Class<? extends Annotation> annClass : AUTHZ_ANNOTATION_CLASSES) {

            Annotation a = AnnotationUtils.findAnnotation(method, annClass);

            if ( a != null ) {

                return true;

            }

        }

        return false;

    }

    /**

     * 动态权限认证

     */

    private void checkPermission(SpelExpressionParser parser, String expr,

                                 Method method, Object[] args, Object target, Object result){

        if (StringUtils.isBlank(expr)){

            return;

        }

        // 解析SpEL表达式,获得资源的权限表示字符串

        Object resources = parser.parseExpression(expr)

                .getValue(createEvaluationContext(method, args, target, result), Object.class);

        // 调用Shiro进行权限校验

        if (resources instanceof String) {

            SecurityUtils.getSubject().checkPermission((String) resources);

        } else if (resources instanceof List){

            List<Object> list = (List) resources;

            list.stream().map(obj -> (String) obj).forEach(SecurityUtils.getSubject()::checkPermission);

        }

    }

    /**

     * 构造SpEL表达式上下文

     */

    private EvaluationContext createEvaluationContext(Method method, Object[] args, Object target, Object result) {

        MethodBasedEvaluationContext evaluationContext = new MethodBasedEvaluationContext(

                target, method, args, new DefaultParameterNameDiscoverer());

        evaluationContext.setVariable("result", result);

        try {

            evaluationContext.registerFunction("resolve", PermissionResolver.class.getMethod("resolve", List.class));

        } catch (NoSuchMethodException e) {

            log.error("Get method error:", e);

        }

        return evaluationContext;

    }

}
  • 5、实现对用户的授权
    /**

     * 授权

     */

    @Override

    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {

        Map<String, Object> principal = (Map<String, Object>) principals.getPrimaryPrincipal();

        String accountId = (String) principal.get("accountId");

        // 拥有的商家资源权限

        List<AccountMerchantLink> merchantLinks = accountService.findMerchantLinks(accountId);

        Set<String> merchantPermissions = merchantLinks.stream().map(AccountMerchantLink::getMerchantId).collect(toSet());

        SimpleAuthorizationInfo authzInfo = new SimpleAuthorizationInfo();

        authzInfo.addStringPermissions(merchantPermissions);

        // 拥有的品牌资源权限

        List<AccountBrandLink> brandLinks = accountService.findBrandLinks(accountId);

        Set<String> brandPermissions = brandLinks.stream().map(link -> link.getMerchantId() + ":" + link.getBrandId()).collect(toSet());

        authzInfo.addStringPermissions(brandPermissions);

        return authzInfo;

    }

  • 6、自定义注解的应用

    6.1、根据id获取商家信息

    @Permitable(pre = "#id")

    @Override

    public Optional<Merchant> findById(String id) {

        if (StringUtils.isBlank(id)) {

            return Optional.empty();

        }

        return merchantDao.findById(id);

    }

6.2、根据id获取商品信息

    @Permitable(post = "#result?.get().resolve()")

    @Override

    public Optional<Product> findById(String id) {

        if (StringUtils.isBlank(id)) {

            return Optional.empty();

        }

        return productDao.findById(id);

    }

6.3、查找品牌下的商品列表

    @Permitable(post = "#resolve(#result)")

    @Override

    public List<Product> findByBrandId(String brandId) {

        if (StringUtils.isBlank(brandId)) {

            return Collections.emptyList();

        }

        return productDao.findByBrandId(brandId);

    }
  • 7、测试

7.1、按照上面描述的业务场景,准备3个用户数据

7.2、使用小王登录后测试

7.2.1、获取商家信息(拥有权限)

7.2.2、获取商品信息(拥有权限)

7.3、使用小李登录后测试

7.3.1、获取商家信息(权限不足)

7.3.2、获取商品信息(权限不足)

7.3.3、获取商品信息(拥有权限)

7.4、小结

从上面的接口测试截图中可以看出,此方案符合我们设计之初要实现的业务场景。

完整源码

Shiro实现用户对动态资源细粒度的权限校验的更多相关文章

  1. 用户对动态PHP网页访问过程,以及nginx解析php步骤

    www.example.com | Nginx | 路由到www.example.com/index.php | 加载nginx的fast-cgi模块 | fast-cgi监听127.0.0.1:90 ...

  2. 类Shiro权限校验框架的设计和实现(2)--对复杂权限表达式的支持

    前言: 我看了下shiro好像默认不支持复杂表达式的权限校验, 它需要开发者自己去做些功能扩展的工作. 针对这个问题, 同时也会为了弥补上一篇文章提到的支持复杂表示需求, 特地尝试写一下解决方法. 本 ...

  3. 业务逻辑:五、完成认证用户的动态授权功能 六、完成Shiro整合Ehcache缓存权限数据

    一. 完成认证用户的动态授权功能 提示:根据当前认证用户查询数据库,获取其对应的权限,为其授权 操作步骤: 在realm的授权方法中通过使用principals对象获取到当前登录用户 创建一个授权信息 ...

  4. servlet基本原理(手动创建动态资源+工具开发动态资源)

    一.手动开发动态资源 1 静态资源和动态资源的区别 静态资源: 当用户多次访问这个资源,资源的源代码永远不会改变的资源. 动态资源:当用户多次访问这个资源,资源的源代码可能会发送改变. <scr ...

  5. 手动开发动态资源之servlet初步

    1.1 静态资源和动态资源的区别 静态资源:当用户多次访问这个资源,资源的源代码永远不会改变的资源. 动态资源:当用户多次访问这个资源,资源的源代码可能会发送改变. 1.2动态资源的开发技术 Serv ...

  6. Centos7-yum部署配置LAMP-之LAMP及php-fpm实现反代动态资源

    一.简介 LAMP:linux+apache+mysql(这里用mariadb)+php(perl,python) LAMMP:memcached缓存的 CGI:Common Gateway Inte ...

  7. 静态资源(StaticResource)和动态资源(DynamicResource)

    静态资源(StaticResource)和动态资源(DynamicResource) 资源可以作为静态资源或动态资源进行引用.这是通过使用 StaticResource 标记扩展或 DynamicRe ...

  8. Dynamic Resource – 动态资源

      Dynamic Resource – 动态资源 与Static Resource不同的是,Dynamic Resource可以在程序运行时重新评估/计算资源来生成对应的对象/值,它支持向前引用,只 ...

  9. WPF 资源(StaticResource 静态资源、DynamicResource 动态资源、添加二进制资源、绑定资源树)

    原文:WPF 资源(StaticResource 静态资源.DynamicResource 动态资源.添加二进制资源.绑定资源树) 一.WPF对象级(Window对象)资源的定义与查找 实例一: St ...

随机推荐

  1. 补充Java面试记录

    补充Java面试记录 背景:这两天面试遇到的部分问题都分散在了前面两篇文摘中,这里再做一些其他的记录,以备不时之需! 一.谈谈你对SpringBoot的理解? SpringBoot简介:SpringB ...

  2. Fragment 使用详解

    极力推荐文章:欢迎收藏 Android 干货分享 阅读五分钟,每日十点,和您一起终身学习,这里是程序员Android 本篇文章主要介绍 Android 开发中的部分知识点,通过阅读本篇文章,您将收获以 ...

  3. Python基础编程 内置函数

    内置函数 内置函数(一定记住并且精通) print()屏幕输出 int():pass str():pass bool():pass set(): pass list() 将一个可迭代对象转换成列表 t ...

  4. Tomcat源码分析 (一)----- 手写一个web服务器

    作为后端开发人员,在实际的工作中我们会非常高频地使用到web服务器.而tomcat作为web服务器领域中举足轻重的一个web框架,又是不能不学习和了解的. tomcat其实是一个web框架,那么其内部 ...

  5. GD32电压不足时烧写程序导致程序运行异常的解决方法

    一直使用的GD32F450前段时间遇到这样一个问题,当使用J-Link供电给板子烧写程序之后,程序运行缓慢,就像运行在FLASH高速部分之外一样,但是如果使用外部供电烧写,就不会出现这个问题,而且一旦 ...

  6. centOS 如何查看知道自己的版本号

    今天遇到一个尴尬的问题 , 竟然找不到centOS7x这个版本系统 然后我就问大佬们,大佬们1810 是哪哪哪个版本说的我还是懵逼 然后我就发挥我那不要脸的精神 问:'这是有什算发算的吗'  很是尴尬 ...

  7. 利用cookie实现浏览器中多个标签页之间的通信

    原理: cookie是浏览器端的存储容器,而且它是多页面共享的,利用cookie多页面共享的特性,可以实现多个标签页的通信. 比如: 一个标签页发送消息(将发送的消息设置到cookie中),一个标签页 ...

  8. 『开发技术』GPU训练加速原理(附KerasGPU训练技巧)

    0.深入理解GPU训练加速原理 我们都知道用GPU可以加速神经神经网络训练(相较于CPU),具体的速度对比可以参看我之前写的速度对比博文: [深度应用]·主流深度学习硬件速度对比(CPU,GPU,TP ...

  9. Mock Server的搭建

    一.概述 我们系统与第三方开票系统有交互,场景是我们系统请求第三方开票系统,第三方开票系统根据我们的请求数据,生成开票信息然后返回发票号或异常信息,我们根据返回的信息做对应的处理.因为配合上存在一些障 ...

  10. [GO语言的并发之道] Goroutine调度原理&Channel详解

    并发(并行),一直以来都是一个编程语言里的核心主题之一,也是被开发者关注最多的话题:Go语言作为一个出道以来就自带 『高并发』光环的富二代编程语言,它的并发(并行)编程肯定是值得开发者去探究的,而Go ...