shiro 方法级别细粒度权限控制_Shiro的认证和权限控制
從類別上分,有兩大類:
- 認證:你是誰?–識別用戶身份。
- 授權:你能做什么?–限制用戶使用的功能。
權限的控制級別
從控制級別(模型)上分:
- URL級別-粗粒度
- 方法級別-細粒度
- 頁面級別-自定義標簽(顯示)
- 數(shù)據(jù)級別-最細化的(數(shù)據(jù))
URL級別的權限控制-粗粒度
在web.xml中配置一個過濾器filter,在過濾器中,對請求的地址進行解析,字符串截取:
url.substring()…把上下文前面的路徑都截取掉,剩下user_login.action。
過濾器代碼:
以通過查詢數(shù)據(jù)庫,來判斷,當前登錄用戶,是否可以訪問user_login.action。
url級別控制,每次請求過程中只控制一次 ,相比方法級別權限控制 是粗粒度的 !URL級別權限控制,基于Filter實現(xiàn)。
方法級別的權限控制-細粒度
aop面向切面的編程,在方法執(zhí)行之前,進行權限判斷,如果沒有權限,拋出異常,終止方法的繼續(xù)運行。
自定義注解 在需要權限控制方法上, 添加需要的權限信息
代理 (Spring AOP ),在目標方法運行時 進行增強 ,通過反射技術獲取目標方法上注解中權限 , 查詢數(shù)據(jù)庫獲取當前登陸用戶具有權限,進行比較。
相比URL級別權限控制, 可以控制到服務器端執(zhí)行的每個方法,一次請求中可以控制多次。
頁面(顯示)級別的權限控制-自定義標簽
頁面顯示的權限控制,通常是通過 自定義標簽來實現(xiàn)
數(shù)據(jù)級別的權限控制
在每條數(shù)據(jù)上增加一個字段,該字段記錄了權限的值。數(shù)據(jù)和權限綁定。
代碼,你在查詢數(shù)據(jù)的時候,需要去權限和用戶對應表中,通過當前登錄用戶的條件,查詢出你的數(shù)據(jù)權限。然后再將數(shù)據(jù)權限作為一個條件,放到業(yè)務表中進行查詢。從而限制了數(shù)據(jù)的訪問。
權限系統(tǒng)的數(shù)據(jù)表設計
資源:用戶要訪問的目標,通常是服務中的程序或文件
權限:用戶具有訪問某資源的能力
角色:權限的集合,為了方便給用戶授權。
用戶:訪問系統(tǒng)的’人’。
表對象實體:
- 用戶(User)表:訪問系統(tǒng)的用戶,比如用戶登錄要用
- 權限(Function)表:系統(tǒng)某個功能允許訪問而對應的權限
- 角色(Role)表:角色是權限的集合(權限組),方便用戶授權。
表對象之間的關系:
- 用戶和角色關系表:一個用戶對應N個角色,一個角色可以授予N個用戶—》多對多關系
- 角色和權限關系表:一個角色包含N個權限,一個權限可以屬于N個角色—》多對多關系
完整的權限相關表:
URL級別權限控制包含:資源表、權限表、角色表、用戶表,以及相關關系(都是多對多),共7張表。
方法級別的權限控制包含:功能權限、角色、用戶,以及相關關系(都是多對多),共5張表。
但Apache Shiro框架支持的URL級別權限控制,是將資源和資源權限對應關系配置到了配置文件中,不需要表的支撐,只需要5張表了。
Apache Shiro權限控制
Apache Shiro 可以不依賴任何技術使用, 可以直接和web整合,通常在企業(yè)中和Spring 結合使用。
Authentication: 認證 — 用戶登錄
Authorization : 授權 —- 功能權限管理
通過引入Maven坐標導入shiro
官方建議:不推薦直接引入shiro-all,依賴比較多,原因怕有jar沖突。官方推薦根據(jù)需要單獨導入jar。
Shiro基本原理
Shiro的框架的體系結構:
Shiro權限控制流程的原理:
應用代碼 —- 調用Subject (shiro的Subject 就代表當前登陸用戶) 控制權限 —- Subject 在shiro框架內部 調用 Shiro SecurityManager 安全管理器 —– 安全管理器調用 Realm (程序和安全數(shù)據(jù)連接器 )。
Subject要進行任何操作,都必須要調用安全管理器(對我們來說是自動的)。
而安全管理器會調用指定的Realms對象,來連接安全數(shù)據(jù)。
Realms用來編寫安全代碼邏輯和訪問安全數(shù)據(jù),是連接程序和安全數(shù)據(jù)的橋梁。
URL級別的權限控制
配置整合和url級別認證
配置過濾器web.xml:放在struts的前端控制器之前配置,但放在openEntitymanage之后。
shiroSecurityFilter
org.springframework.web.filter.DelegatingFilterProxy
targetFilterLifecycle
true
shiroSecurityFilter
/*
配置ApplicationContext.xml:(shiro權限控制過濾器+ shiro安全管理器)
/login.jsp = anon
/validatecode.jsp = anon
/js/** = anon
/css/** = anon
/images/** = anon
/user_login.action* = anon
/page_base_staff.action = anon
/page_base_region.action = perms["user"]
/page_base_subarea.action = roles["operator"]
/** = authc
配置shiroFilter 其實是一個過濾器鏈,含有10個Filter(校驗功能)。
常用:
認證
- anon不用認證(登錄)就能訪問(單詞注意大小寫)
- authc: 需要認證(登錄)才能使用,例如/admins/user/**=authc,沒有參數(shù)。
授權:
- perms:需要擁有某權限才能使用,如具體允許的權限:/page_base_region.action =perms[“user”],如果要訪問該action,當前登錄用戶必須擁有user名字的權限。
- roles:需要擁有某角色才能使用,如具體允許的角色:/page_base_subarea.action = roles[“operator”]如果要訪問該action,當前用戶必須擁有operator權限。
用戶認證(登錄)—自定義Realm
Shiro實現(xiàn)登錄邏輯
用戶輸入用戶名和密碼 —- 應用程序調用Subject的login方法 —- Subject 調用SecurityManager的方法 —- SecurityManager 調用Realm的認證方法 —- 認證方法根據(jù)登錄用戶名查詢密碼 ,返回用戶的密碼 —- SecurityManager 比較用戶輸入的密碼和真實密碼是否一致 。
編寫Shiro的認證登錄邏輯
@Action(value="user_login",results={@Result(name=SUCCESS,type="redirect",location="/index.jsp"),@Result(name=LOGIN,location="/login.jsp")})
@InputConfig(resultName="login")
public String login() throws Exception {
//shrio:登陸邏輯
//獲取認證對象的包裝對象
Subject subject = SecurityUtils.getSubject();
//獲取一個認證的令牌:
//直接獲取頁面的用戶和密碼進行校驗
AuthenticationToken authenticationToken = new UsernamePasswordToken(model.getUsername(),MD5Utils.md5(model.getPassword()));
//認證過程
try {
// 如果成功,就不拋出異常,會自動將用戶放入session的一個屬性
subject.login(authenticationToken);
//成功,返回首頁
return SUCCESS;
}catch(UnknownAccountException e){
//用戶名錯誤
addActionError(getText("UserAction.usernamenotfound"));
//返回登陸頁面
return LOGIN;
}catch (IncorrectCredentialsException e) {
//密碼錯誤
addActionError(getText("UserAction.passwordinvalid"));
//返回登陸頁面
return LOGIN;
}
catch (AuthenticationException e) {
//認證失敗
e.printStackTrace();
//頁面上進行提示
addActionError(getText("UserAction.loginfail"));
//返回登陸頁面
return LOGIN;
}
}
編寫Realm,給SecurityManager提供
JdbcRealm和jndiLdapRealm,直接連接jdbc或jndi或ldap。
相當于dao和reaml整合了,能直接讀取數(shù)據(jù)庫,邏輯代碼都實現(xiàn)好了。
/**
* 實現(xiàn)認證和授權功能
*自定義的realm,作用從數(shù)據(jù)庫查詢數(shù)據(jù),并返回數(shù)據(jù)庫認證的信息
*/
@Component("bosRealm")
public class BosRealm extends AuthorizingRealm{
//注入ehcache的緩存區(qū)域
@Value("BosShiroCache")//注入緩存具體對象的名字,該名字在ehcache.xml中配置的
public void setSuperAuthenticationCacheName(String authenticationCacheName){
super.setAuthenticationCacheName(authenticationCacheName);
}
//注入service
@Autowired
private UserService userService;
//注入角色dao
@Autowired
private RoleDao roleDao;
//注入功能的dao
@Autowired
private FunctionDao functionDao;
//授權方法:獲取用戶的權限信息
//授權:回調方法
//如果返回null,說明沒有權限,shiro會自動跳到
//如果不返回null,根據(jù)配置/page_base_subarea.action = roles["weihu"],去自動匹配
//給授權提供數(shù)據(jù)的
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
//給當前用戶授權的權限(功能權限、角色)
SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
//兩種方式:
//方式1:工具類來獲取(首長-)
// User user=(User)SecurityUtils.getSubject().getPrincipal();
//方式2:通過參數(shù)獲取首長(推薦)
User user = (User) principals.getPrimaryPrincipal();
//實際:需要根據(jù)當前用戶的角色和功能權限來構建一個授權信息對象,交給安全管理器
if (user.getUsername().equals("admin")) {
//如果是超級管理員
//查詢出所有的角色,給認證信息對象
List roleList = roleDao.findAll();
for (Role role : roleList) {
authorizationInfo.addRole(role.getCode());
}
//查詢出所有的功能權限,給認證對象
List functionList = functionDao.findAll();
for (Function function : functionList) {
authorizationInfo.addStringPermission(function.getCode());
}
} else {
//如果是普通用戶
List roleList = roleDao.findByUsers(user);
for (Role role : roleList) {
authorizationInfo.addRole(role.getCode());
//導航查詢,獲取某角色的擁有的功能權限
Set functions = role.getFunctions();
for (Function function : functions) {
authorizationInfo.addStringPermission(function.getCode());
}
}
}
return authorizationInfo;//將授權信息交給安全管理器接口。
}
//認證:回調,認證管理器會將認證令牌放到這里(action層的令牌AuthenticationToken)
//發(fā)現(xiàn)如果返回null,拋出用戶不存在的異常UnknownAccountException
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
//用戶名密碼令牌(action傳過來)
UsernamePasswordToken upToken = (UsernamePasswordToken) token;
//調用業(yè)務層來查詢(根據(jù)用戶名來查詢用戶,無需密碼)
User user = userService.findByUsername(upToken.getUsername());
//判斷用戶是否存在
if (user == null) {
//用戶不存在
return null;//拋出異常
} else {
//用戶名存在
//參數(shù)1:用戶對象,將來要放入session,數(shù)據(jù)庫查詢出來的用戶
//參數(shù)2:憑證(密碼):密碼校驗:校驗的動作交給shiro
//參數(shù)3:當前使用的Realm在Spring容器中的名字(bean的名字,自動在spring容器中尋找)
SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(user, user.getPassword(), super.getName());
return authenticationInfo;//密碼校驗失敗,會自動拋出IncorrectCredentialsException
}
}
}
ApplicatonContext.xml:
用戶認證(退出)以及修改密碼
/**
* 用戶退出登錄
*@return
*@throws Exception
*/
@Action(value="user_logout",results={@Result(name=LOGIN,type="redirect",location="/login.jsp")})
public String logout() throws Exception {
//shiro退出
Subject subject = SecurityUtils.getSubject();
subject.logout();
//跳轉登陸頁面
return LOGIN;
}
/**
* 用戶修改密碼
*@return
*@throws Exception
*/
// @Action(value="user_editPassword",results={@Result(name=JSON,type=JSON)})
@Action("user_editPassword")
public String editPassword() throws Exception {
//獲取Principal就是獲取當前用戶
User loginUser = (User) SecurityUtils.getSubject().getPrincipal();
model.setId(loginUser.getId());
//頁面結果
HashMap resultMap = new HashMap();
try {
//調用service進行修改密碼
userService.updateUserPassword(model);
//修改成功
resultMap.put("result", true);
} catch (Exception e) {
e.printStackTrace();
//修改失敗
resultMap.put("result", false);
}
//將結果壓入棧頂
ActionContext.getContext().getValueStack().push(resultMap);
//轉換為json
return JSON;
}
用戶授權(授權)—自定義Ream
數(shù)據(jù)庫數(shù)據(jù)添加,applicationContext.xml配置
/login.jsp = anon
/validatecode.jsp = anon
/js/** = anon
/css/** = anon
/images/** = anon
/user_login.action = anon
/page_base_staff.action = anon
/page_base_region.action = perms["region"]
/page_base_subarea.action = roles["weihu"]
/page_qupai_noticebill_add.action = perms["noticebill"]
/page_qupai_quickworkorder.action = roles["kefu"]
/** = authc
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
代碼在上面的BosRealm的中,protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals)
RoleDao省略。
方法級別的權限控制
啟用Shiro注解
需要 Shiro 的 Spring AOP 集成來掃描合適的注解類以及執(zhí)行必要的安全邏輯。
ApplicationContext.xml
depends-on="lifecycleBeanPostProcessor">
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
在需要權限控制的目標方法上面使用shiro的注解:
@RequiresAuthentication 需要用戶登錄
subject.isAuthenticated() 必須返回true
@ RequiresUser
subject.isAuthenticated() 返回true 或者subject.isRemembered() 返回true
“Remember Me”服務:
認證機制 基于 session
被記憶機制 基于 cookie (subject.isAuthenticated() 返回 false )
@ RequiresGuest 與 @RequiresUser 相反,不能認證也不能被記憶。
@ RequiresRoles 需要角色
@RequiresPermissions 需要權限
異常
動態(tài)代理異常
解決方案:
配置ApplicationContext.xml,設置代理為cglib代理(對目標類代理)
depends-on="lifecycleBeanPostProcessor" >
1
2
3
4
5
6
方案二:
1
類型轉換異常
解決方案:遞歸向上尋找泛型的類型。
//遞歸向上 查找
Class actionClass =this.getClass();
//向父類遞歸尋找泛型
while(true){
//得到帶有泛型的類型,如BaseAction
Type type = actionClass.getGenericSuperclass();
if(type instanceof ParameterizedType){
//轉換為參數(shù)化類型
ParameterizedType parameterizedType = (ParameterizedType) type;
//獲取泛型的第一個參數(shù)的類型類,如Userinfo
Class modelClass = (Class) parameterizedType.getActualTypeArguments()[0];
//實例化模型對象
try {
model=modelClass.newInstance();
} catch (InstantiationException e) {
e.printStackTrace();
} catch (IllegalAccessException e) {
e.printStackTrace();
}
break;
}
//尋找父類
actionClass=actionClass.getSuperclass();
}
空指針異常
解決方案1:使用public 的Setter方法上的注解直接注入Service。
SubareaAction:
//注入service
private SubareaService subareaService;
@Autowired
public void setSubareaService(SubareaService subareaService) {
this.subareaService = subareaService;
}
解決方案2:
@Autowire還放到私有聲明上,
在struts.xml中覆蓋常量(開啟自動裝配策略):
值默認是false,struts2默認注入采用的是構造器注入(從spring中尋找的bean)
改成true,struts2會采用setter方法注入
頁面標簽(實現(xiàn)頁面內容定制顯示)
頁面拿Session中的user對象: 代表user對象。
程序中拿Session中的user對象:SecurityUtils.getSubject().getPrincipal()
資源通配符和權限通配符可便捷開發(fā)。
代碼級別
使用代碼編程的方式,直接在程序中使用Subject對象,調用內部的一些API。(有代碼侵入)
//代碼級別的權限控制(授權):功能權限和角色權限:兩套機制:boolean判斷,異常判斷
//授權的權限控制
//====布爾值判斷
//功能權限
if(subject.isPermitted("staff")){
//必須擁有staff功能權限才能執(zhí)行代碼
System.out.println("我是一段代碼。。。。。");
}
//角色權限
if(subject.hasRole("weihu")){
//必須擁有staff功能權限才能執(zhí)行代碼
System.out.println("我是一段代碼。。。。。");
}
//====異常判斷
//功能權限
try {
subject.checkPermission("staff");
//有權限
} catch (AuthorizationException e) {
// 沒權限
e.printStackTrace();
}
//角色權限
try {
subject.checkRole("weihu");
//有權限
} catch (AuthorizationException e) {
// 沒權限
e.printStackTrace();
}
總結
以上是生活随笔為你收集整理的shiro 方法级别细粒度权限控制_Shiro的认证和权限控制的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: java userdao,Java We
- 下一篇: linux matlab runtime