Apache Shiro框架之授权

发表于 阅读次数: Valine: 本文字数: 3.4k 阅读时长 ≈ 3 分钟

前言

在应用系统中,对于不同角色的用户而言,在系统中的操作权限,例如,对于超级管理员角色可以操作所有功能,普通用户只能访问部分功能,这就是所谓的授权,也叫访问控制,即在应用中控制谁访问哪些资源(如访问页面/编辑数据/页面操作等)。

一、shiro中授权的核心

在shiro授权中,最核心的是:主体/用户(Subject)、权限(Permission)、角色(Role)、资源(Resource),通过这几个关键对象,Shiro可以支持粗粒度权限(如用户模块的所有权限)和细粒度权限(操作某个用户的权限,即实例级别的)。

  • 主体(Subject):访问应用的用户,在 Shiro 中使用 Subject 代表该用户。用户只有授权后才允许访问相应的资源。
  • 资源(Resource):在应用中用户可以访问的 URL,比如访问 JSP页面、查看/编辑某些数据、访问某个业务方法、打印文本等等都是资源。用户只要授权后才能访问。
  • 权限(Permission):安全策略中的原子授权单位,通过权限我们可以表示在应用中用户有没有操作某个资源的权力。即权限表示在应用中用户能不能访问某个资源,如:访问用户列表页面查看/新增/修改/删除用户数据(即很多时候都是CRUD(增查改删)式权限控制)等。权限代表了用户有没有操作某个资源的权利,即反映在某个资源上的操作允不允许。
  • 角色(Role):权限的集合,一般情况下会赋予用户角色而不是权限,即这样用户可以拥有一组权限,赋予权限时比较方便。典型的如:项目经理、技术总监、CTO、开发工程师等都是角色,不同的角色拥有一组不同的权限。

二、Shiro三种授权方式

1.编程式

通过写if/else 授权代码块完成

1
2
3
4
5
6
7
 Subject currentUser = SecurityUtils.getSubject();
// 测试是否有某一个角色. 调用 Subject 的 hasRole 方法.
if (currentUser.hasRole("admin")) {
   //有权限
} else {
   //无权限
}

2.注解式

通过在执行的Java方法上放置相应的注解完成,没有权限将抛出相应的异常

1
2
3
4
5
6
7
8
9
10
/**
 * @author sunys
 */
public class ShiroService {

    @RequiresRoles({"admin"})
    public void testMethod(){
        //有权限
    }
}

权限注解

  • @RequiresAuthentication:表示当前Subject已经通过 login进行了身份验证;即 Subject. isAuthenticated()返回 true;
  • @RequiresUser:表示当前 Subject已经身份验证或者通过记 住我登录的;
  • @RequiresGuest:表示当前Subject没有身份验证或通过记住我登录过,即是游客身份;
  • @RequiresRoles(value={“admin”, “user”}, logical= Logical.AND):表示当前 Subject 需要角色 admin 和user;
  • @RequiresPermissions(value={“user:a”, “user:b”}, logical= Logical.OR):表示当前 Subject需要权限 user:a或 user:b。

2.JSP/GSP 标签

在JSP/GSP页面通过相应的标签完成

1
2
3
4
5
<%--Jsp页面引入shiro标签库--%>
<%@ tagliburi="http://shiro.apache.org/tags" prefix="shiro" %>
<shiro:hasRole name="admin">
<!— 有权限 —>
</shiro:hasRole>

Shiro 提供了 JSTL 标签用于在 JSP 页面进行权限控制

标签名称及标签条件(均是显示标签内容)含义举例
<shiro:authenticated>用户已经身份验证通过,即 Subject.login登录成功,不是记住我登录的
<shiro:notAuthenticated>用户未进行身份验证,即没有调用Subject.login进行登录,包括记住我自动登录的也属于未进行身份验证
<shiro:guest>用户没有身份验证时显示相应信息,即游客访问信息
<shiro:user>用户已经经过认证/记住我登录后显示相应的信息
<shiro:hasAnyRoles name=“abc,123”>在有abc或者123角色时
<shiro:hasRole name=“abc”>拥有角色abc
<shiro:lacksRole name=“abc”>没有角色abc
<shiro:hasPermission name=“abc”>拥有权限资源abc
<shiro:lacksPermission name=“abc”>没有abc权限资源
<shiro:principal>显示用户身份名称
<shiro:principal property=“username”/>显示用户身份信息,默认调用 Subject.getPrincipal()获取,即 Primary Principal。

三、Shiro 授权流程

Shiro 授权流程

1.授权流程

  1. 首先调用 Subject.isPermitted*/hasRole* 接口,其会委托给SecurityManager,而 SecurityManager接着会委托给 Authorizer;
  1. Authorizer是真正的授权者,如果调用如 isPermitted(“user:view”),其首先会通过 PermissionResolver把字符串转换成相应的 Permission实例;
  2. 在进行授权之前,其会调用相应的 Realm 获取 Subject 相应的角色/权限用于匹配传入的角色/权限;
  3. Authorizer 会判断 Realm 的角色/权限是否和传入的匹配,如果 有多个Realm,会委托给ModularRealmAuthorizer 进行循环判断,如果匹配如 isPermitted*/hasRole* 会返回true,否则返回false表示授权失败。

1.1.Permissions

Shiro 的 Permissions

  • 规则:
    资源标识符:操作:对象实例 ID 即对哪个资源的哪个实例可以进行什么操作. 其默认支持通配符权限字符串;
  • : 表示资源/操作/实例的分割;
  • , 表示操作的分割,
  • * 表示任意资源/操作/实例。
  • 多层次管理:
    例如:user:query、user:edit
  • 冒号是一个特殊字符,它用来分隔权限字符串的下一部件:第一部分 是权限被操作的领域(打印机),第二部分是被执行的操作;
  • 多个值:每个部件能够保护多个值。因此,除了授予用户 user:query 和 user:edit 权限外,也可以简单地授予他们一个:user:query, edit;
  • 还可以用 * 号代替所有的值,如:user:* , 也可以写:*:query,表示某个用户在所有的领域都有 query 的权限。
  • 实例级访问控制:
    • 这种情况通常会使用三个部件:域、操作、被付诸实施的实例。如:user:edit:manager;
    • 也可以使用通配符来定义,如:user:edit:*、user:*:*、user:*:manager;
    • 部分省略通配符:缺少的部件意味着用户可以访问所有与之匹配的值,比如:user:edit 等价于 user:edit :*、 user 等价于 user:*:*;
    • 注意:通配符只能从字符串的结尾处省略部件,也就是说 user:edit 并不等价于 user:*:edit

1.2.ModularRealmAuthorizer

ModularRealmAuthorizer 进行多 Realm 匹配流程:

  1. 首先检查相应的 Realm 是否实现了实现了Authorizer;
  2. 如果实现了 Authorizer,那么接着调用其相应的 isPermitted*/hasRole* 接口进行匹配;
  3. 如果有一个Realm匹配那么将返回 true,否则返回 false。

附:授权相关的的拦截器及其他
授权相关的的拦截器
其他拦截器