一、授权的一些概念

• 授权,也叫访问控制,即在应用中控制谁访问哪些资源(如访问页面/编辑数据/页面操作等)。在授权中需了解的几个关键对象:主体(Subject)、资源(Resource)、权限(Permission)、角色(Role)。
• 主体(Subject):访问应用的用户,在 Shiro 中使用 Subject 代表该用户。用户只有授权后才允许访问相应的资源。
• 资源(Resource):在应用中用户可以访问的 URL,比如访问 JSP 页面、查看/编辑某些数据、访问某个业务方法、打印文本等等都是资源。用户只要授权后才能访问。
• 权限(Permission):安全策略中的原子授权单位,通过权限我们可以表示在应用中用户有没有操作某个资源的权力。即权限表示在应用中用户能不能访问某个资源,如:访问用户列表页面查看/新增/修改/删除用户数据(即很多时候都是CRUD(增查改删)式权限控制)等。权限代表了用户有没有操作某个资源的权利,即反映在某个资源上的操作允不允许。
• Shiro 支持粗粒度权限(如用户模块的所有权限)和细粒度权限(操作某个用户的权限,即实例级别的)
• 角色(Role):权限的集合,一般情况下会赋予用户角色而不是权限,即这样用户可以拥有一组权限,赋予权限时比较方便。典型的如:项目经理、技术总监、CTO、开发工程师等都是角色,不同的角色拥有一组不同的权限。

二、授权的几种方式
– 编程式:通过写if/else 授权代码块完成  比较麻烦一般不用
– 注解式:通过在执行的Java方法上放置相应的注解完成,没有权限将抛出相应的异常,较为常用。
– JSP/GSP 标签:在JSP/GSP 页面通过相应的标签完成

三、默认的拦截器

 1、Shiro 内置了很多默认的拦截器,比如身份验证、授权等相关的。默认拦截器可以参考org.apache.shiro.web.filter.mgt.DefaultFilter中的枚举拦截器:

resource包含哪些权限 resource是什么权限_身份验证

四、身份验证相关的

resource包含哪些权限 resource是什么权限_resource包含哪些权限_02

 五、授权相关的

resource包含哪些权限 resource是什么权限_身份验证_03

 六、其他

resource包含哪些权限 resource是什么权限_身份验证_04

 七、Permissions

规则: 资源 标识符:操作:对象实例 例  ID 即对哪个资源的哪个实例可以进行什么操作. 其 默认支持通配符权限字符串,:  表
示 资源/ / 操作/ / 实例的分割;,  表示 操作的 分割,*  表示 任意资源/ / 操作/ / 实例。
 多层次管理:
– 例如:user:query、user:edit
–  冒号 是一个特殊字符,它用来分隔权限字符串的下一 部件:第一部分是权限被操作的领域,第二部分是被执行的操作。
– 多个值: 每个 部件能够保护多个值。因此,除了授予用户 user:query和 user:edit 权限外,也 可以 简单地授予他们一 个: user: query , edit
– 还可以用 用 *  号 代替所有的值,如:user:* , 也可以写:*:query,表示某个用户在所有的领域都有 query 的权限

 八、shiro的Permissions

实例级访问控制
– 这种情况通常会使用三个部件: 域、操作、被付诸实施的实例。如:user:edit:manager
– 也 可以使用通配符来定义,如:user:edit:*、user:*:*、user:*:manager
–  部分 省略 通配符:缺少的部件意味着用户可以访问所有与之匹配的值,比如:user:edit 等价于 user:edit :*、user 等价于 user:*:*
– 注意: 通配符只能 从字符串的结尾处省略部件,也就是说 user:edit 并不等价于 user:*:edit

九、授权流程

resource包含哪些权限 resource是什么权限_拦截器_05

• 1首先调用 Subject.isPermitted*/hasRole* 接口,其会委托给SecurityManager,而 SecurityManager 接着会委托给 Authorizer;
• 2Authorizer是真正的授权者,如果调用如isPermitted(“user:view”),其首先会通过 PermissionResolver 把字符串转换成相应的 Permission 实例;
• 3在进行授权之前,其会调用相应的 Realm 获取 Subject 相应的角色/权限用于匹配传入的角色/权限;
• 4Authorizer 会判断 Realm 的角色/权限是否和传入的匹配,如果有多个Realm,会委托给 ModularRealmAuthorizer 进行循环判断,如果匹配如 isPermitted*/hasRole* 会返回true,否则返回false表示授权失败。 

7、ModularRealmAuthorizer
• ModularRealmAuthorizer 进行多 Realm 匹配流程:
– 首先检查相应的 Realm 是否实现了实现了Authorizer;
– 如果实现了 Authorizer,那么接着调用其相应的isPermitted*/hasRole* 接口进行匹配;
– 如果有一个Realm匹配那么将返回 true,否则返回 false。

十、Shiro标签
• Shiro 提供了 JSTL 标签用于在 JSP 页面进行权限控制,如根据登录用户显示相应的页面按钮。
• guest 标签:用户没有身份验证时显示相应信息,即游客访问信息:

resource包含哪些权限 resource是什么权限_resource包含哪些权限_06


• user 标签:用户已经经过认证/记住我登录后显示相应的信息:

resource包含哪些权限 resource是什么权限_身份验证_07

• authenticated 标签:用户已经身份验证通过,即Subject.login登录成功,不是记住我登录的

resource包含哪些权限 resource是什么权限_身份验证_08

• notAuthenticated 标签:用户未进行身份验证,即没有调用Subject.login进行登录,包括记住我自动登录也属未进行身份验证。

 

resource包含哪些权限 resource是什么权限_resource包含哪些权限_09

• pincipal 标签:显示用户身份信息,默认调用Subject.getPrincipal() 获取,即 Primary Principal。 

resource包含哪些权限 resource是什么权限_身份验证_10

• hasRole 标签:如果当前 Subject 有角色将显示 body 体内容:

resource包含哪些权限 resource是什么权限_resource包含哪些权限_11

• hasAnyRoles 标签:如果当前Subject有任意一个角色(或的关系)将显示body体内容。 

resource包含哪些权限 resource是什么权限_数据_12

• lacksRole:如果当前 Subject 没有角色将显示 body 体内容 

resource包含哪些权限 resource是什么权限_resource包含哪些权限_13

• hasPermission:如果当前 Subject 有权限将显示 body 体内容

resource包含哪些权限 resource是什么权限_resource包含哪些权限_14

• lacksPermission:如果当前Subject没有权限将显示body体内容 

resource包含哪些权限 resource是什么权限_拦截器_15

 十一、权限注解

• @RequiresAuthentication:表示当前Subject已经通过login进行了身份验证;即 Subject. isAuthenticated() 返回 true
• @RequiresUser:表示当前 Subject 已经身份验证或者通过记住我登录的。
• @RequiresGuest:表示当前Subject没有身份验证或通过记住我登录过,即是游客身份。
• @RequiresRoles(value={“admin”, “user”}, logical=Logical.AND):表示当前 Subject 需要角色 admin 和user
• @RequiresPermissions (value={“user:a”, “user:b”},logical= Logical.OR):表示当前 Subject 需要权限 user:a 或user:b。

十二、自定义拦截器

通过自定义拦截器可以扩展功能,例如:动态url-角色/权限访问控制的实现、根据 Subject 身份信息获取用户信息绑定到 Request(即设置通用数据)、验证码验证、在线用户信息的保存等。