SpringBoot+Shiro學習(四):Realm受權
上一節咱們講了自定義Realm中的認證(doGetAuthenticationInfo),這節咱們繼續講另外一個方法doGetAuthorizationInfo受權數據庫
受權流程
流程以下:bash
- 首先調用Subject.isPermitted/hasRole接口,其會委託給SecurityManager,而SecurityManager接着會委託給Authorizer;
- Authorizer是真正的受權者,若是咱們調用如isPermitted(「user:view」),其首先會經過PermissionResolver把字符串轉換成相應的Permission實例;
- 在進行受權以前,其會調用相應的Realm獲取Subject相應的角色/權限用於匹配傳入的角色/權限;
- Authorizer會判斷Realm的角色/權限是否和傳入的匹配,若是有多個Realm,會委託給ModularRealmAuthorizer進行循環判斷,若是匹配如isPermitted*/hasRole*會返回true,不然返回false表示受權失敗。
ModularRealmAuthorizer進行多Realm匹配流程:ide
- 首先檢查相應的Realm是否實現了實現了Authorizer;
- 若是實現了Authorizer,那麼接着調用其相應的isPermitted*/hasRole*接口進行匹配;
- 若是有一個Realm匹配那麼將返回true,不然返回false。
若是Realm進行受權的話,應該繼承AuthorizingRealm,其流程是:
1.一、若是調用hasRole,則直接獲取AuthorizationInfo.getRoles()與傳入的角色比較便可;
1.二、首先若是調用如isPermitted(「user:view」),首先經過PermissionResolver將權限字符串轉換成相應的Permission實例,默認使用WildcardPermissionResolver,即轉換爲通配符的WildcardPermission;
二、經過AuthorizationInfo.getObjectPermissions()獲得Permission實例集合;經過AuthorizationInfo. getStringPermissions()獲得字符串集合並經過PermissionResolver解析爲Permission實例;而後獲取用戶的角色,並經過RolePermissionResolver解析角色對應的權限集合(默認沒有實現,能夠本身提供);
三、接着調用Permission. implies(Permission p)逐個與傳入的權限比較,若是有匹配的則返回true,不然false。ui
先看一段簡單的受權方法重寫this
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
//獲取用戶名
String username = (String) principals.getPrimaryPrincipal();
//此處從數據庫獲取該用戶的角色
Set<String> roles = getRolesByUserName(username);
//此處從數據庫獲取該角色的權限
Set<String> permissions = getPermissionsByUserName(username);
//放到info裏返回
SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
info.setStringPermissions(permissions);
info.setRoles(roles);
return info;
}
複製代碼
PrincipalCollection
由於咱們能夠在Shiro中同時配置多個Realm,因此呢身份信息可能就有多個;所以其提供了PrincipalCollection用於聚合這些身份信息:spa
public interface PrincipalCollection extends Iterable, Serializable {
Object getPrimaryPrincipal(); //獲得主要的身份
<T> T oneByType(Class<T> type); //根據身份類型獲取第一個
<T> Collection<T> byType(Class<T> type); //根據身份類型獲取一組
List asList(); //轉換爲List
Set asSet(); //轉換爲Set
Collection fromRealm(String realmName); //根據Realm名字獲取
Set<String> getRealmNames(); //獲取全部身份驗證經過的Realm名字
boolean isEmpty(); //判斷是否爲空
}
複製代碼
由於PrincipalCollection聚合了多個,此處最須要注意的是getPrimaryPrincipal,若是隻有一個Principal那麼直接返回便可,若是有多個Principal,則返回第一個(由於內部使用Map存儲,因此能夠認爲是返回任意一個);oneByType / byType根據憑據的類型返回相應的Principal;fromRealm根據Realm名字(每一個Principal都與一個Realm關聯)獲取相應的Principal。code
AuthorizationInfo
AuthorizationInfo用於聚合受權信息的:cdn
public interface AuthorizationInfo extends Serializable {
Collection<String> getRoles(); //獲取角色字符串信息
Collection<String> getStringPermissions(); //獲取權限字符串信息
Collection<Permission> getObjectPermissions(); //獲取Permission對象信息
}
複製代碼
當咱們使用AuthorizingRealm時,若是身份驗證成功,在進行受權時就經過doGetAuthorizationInfo方法獲取角色/權限信息用於受權驗證。 Shiro提供了一個實現SimpleAuthorizationInfo,大多數時候使用這個便可。對象
咱們再跟蹤一下代碼,看看是如何調用Authorizer的blog
subject.hasRole("admin")
複製代碼
- 調用DelegatingSubject類的hasRole方法
public boolean hasRole(String roleIdentifier) {
return hasPrincipals() && securityManager.hasRole(getPrincipals(), roleIdentifier);
}
複製代碼
- 調用AuthorizingSecurityManager的hasRole
public boolean hasRole(PrincipalCollection principals, String roleIdentifier) {
return this.authorizer.hasRole(principals, roleIdentifier);
}
複製代碼
- AuthorizingSecurityManager類在建立的時候就注入了ModularRealmAuthorizer類爲authorizer
public AuthorizingSecurityManager() {
super();
this.authorizer = new ModularRealmAuthorizer();
}
複製代碼
- 繼續跟進到ModularRealmAuthorizer的hasRole方法
public boolean hasRole(PrincipalCollection principals, String roleIdentifier) {
assertRealmsConfigured();
for (Realm realm : getRealms()) {
if (!(realm instanceof Authorizer)) continue;
if (((Authorizer) realm).hasRole(principals, roleIdentifier)) {
return true;
}
}
return false;
}
複製代碼
- 此處的hasRole是調用AuthorizingRealm抽象類的hasRole方法。同理,isPermitted也是最後調用到此。
public boolean hasRole(PrincipalCollection principal, String roleIdentifier) {
AuthorizationInfo info = getAuthorizationInfo(principal);
return hasRole(roleIdentifier, info);
}
protected boolean hasRole(String roleIdentifier, AuthorizationInfo info) {
return info != null && info.getRoles() != null && info.getRoles().contains(roleIdentifier);
}
public boolean isPermitted(PrincipalCollection principals, String permission) {
Permission p = getPermissionResolver().resolvePermission(permission);
return isPermitted(principals, p);
}
public boolean isPermitted(PrincipalCollection principals, Permission permission) {
AuthorizationInfo info = getAuthorizationInfo(principals);
return isPermitted(permission, info);
}
//changed visibility from private to protected for SHIRO-332
protected boolean isPermitted(Permission permission, AuthorizationInfo info) {
Collection<Permission> perms = getPermissions(info);
if (perms != null && !perms.isEmpty()) {
for (Permission perm : perms) {
if (perm.implies(permission)) {
return true;
}
}
}
return false;
}
複製代碼
- 1. shiro受權及自定義realm受權(七)
- 2. springboot shiro 多realm配置認證、受權
- 3. Realm學習(二)
- 4. shiro受權,自定義realm實現受權,shiro與項目集成,在項目中實現認證及受權
- 5. auth2.0四種受權模式
- 6. Ocelot(四)- 認證與受權
- 7. Oauth2.0(四):Implicit 受權方式
- 8. Shiro入門(七)自定義Realm的受權
- 9. shiro中自定義Realm的認證和受權信息
- 10. OAuth 2.0受權之受權碼受權
- 更多相關文章...
- • 您已經學習了 XML Schema,下一步學習什麼呢? - XML Schema 教程
- • 我們已經學習了 SQL,下一步學習什麼呢? - SQL 教程
- • Tomcat學習筆記(史上最全tomcat學習筆記)
- • 適用於PHP初學者的學習線路和建議
-
每一个你不满意的现在,都有一个你没有努力的曾经。