Shiro授权流程

分手后的思念是犯贱 2024-04-18 10:25 108阅读 0赞

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzM2NzYxODMx_size_16_color_FFFFFF_t_70][]

### 授权流程如下： ###

1.  首先调用 Subject.isPermitted\*/hasRole\* 接口，其会委托给 SecurityManager，而 SecurityManager 接着会委托给 Authorizer;
2.  Authorizer是真正的授权者，如果调用如 isPermitted(“user:view”)，其首先会通过 • PermissionResolver 把字符串转换成相应的 Permission 实例；
3.  在进行授权之前，其会调用相应的 Realm 获取 Subject 相应的角 色/权限用于匹配传入的角色/权限；
4.  Authorizer 会判断 Realm 的角色/权限是否和传入的匹配，如果 有多个Realm，会委托给 ModularRealmAuthorizer 进行循环判断， 如果匹配如 isPermitted\*/hasRole\* 会返回true，否则返回false表示 授权失败。

### ModularRealmAuthorizer  ###

ModularRealmAuthorizer 进行多 Realm 匹配流程：

1.  首先检查相应的 Realm 是否实现了实现了Authorizer；
2.  如果实现了 Authorizer，那么接着调用其相应的 isPermitted\*/hasRole\* 接口进行匹配；
3.  如果有一个Realm匹配那么将返回 true，否则返回 false。

### 示例 ###

AuthorizingRealm授权Realm是AuthenticatingRealm认证Realm的子类，所以AuthorizingRealm既可以提供授权数据也可以提供认证数据，所以要实现认证与授权，只需要继承AuthorizingRealm类即可。这里写一个Test类，继承AuthorizingRealm：

package com.test.shiro.realms;
    import org.apache.shiro.authc.AuthenticationException;
    import org.apache.shiro.authc.AuthenticationInfo;
    import org.apache.shiro.authc.AuthenticationToken;
    import org.apache.shiro.authz.AuthorizationInfo;
    import org.apache.shiro.realm.AuthorizingRealm;
    import org.apache.shiro.subject.PrincipalCollection;
    public class TestRealm extends AuthorizingRealm{
     
     
    	//用于授权的方法
    	@Override
    	protected AuthorizationInfo doGetAuthorizationInfo(
    			PrincipalCollection principals) {
    		// TODO Auto-generated method stub
    		return null;
    	}
     
     
    	//用于认证的方法
    	@Override
    	protected AuthenticationInfo doGetAuthenticationInfo(
    			AuthenticationToken token) throws AuthenticationException {
    		// TODO Auto-generated method stub
    		return null;
    	}
     
     
    }

可以看到，继承了AuthorizingRealm中之后，就要实现其两个方法：doGetAuthenticationInfo、doGetAuthorizationInfo  
上面两个方法分别用于为校验提供认证信息和授权信息。因为Subject的login方法会调用Realm的doGetAuthenticationInfo获取认证信息进行密码比对，而Subject的hasRole、hasPermission等方法会调用Realm的doGetAuthorizationInfo获取授权信息  
进行权限判定。

这里需要注意的一点，当我们配置了多个Realm授权时，如何判定是授权通过呢？我们通过Subject的hasRole源码可看到：

![Center][]

![Center 1][]

上面可以看到执行了securityManager的hasRole方法，而securityManager根据不同情况会继承不同的类：

![Center 2][]

ModularRealmAuthorizer当有多个Realm时，securityManager继承的类。此时securityManager的hasRole的实现为ModularRealmAuthorizer父类的实现：

![Center 3][]

可以从上面的方法中得知，当配置有多个Realm时，只要一个Realm有该权限，那么就直接通过。

**下面我们来实现授权Realm：**

之前在Shiro3工程中有一个认证Realm为ShiroRealm，其继承了AuthenticatingRealm父类并实现了doGetAuthenticationInfo为系统的登录认证提供认证信息：

package com.test.shiro.realms;
 import java.util.HashMap;
 import java.util.HashSet;
 import java.util.Iterator;
 import java.util.Map;
 import java.util.Set;
 import org.apache.shiro.authc.AuthenticationException;
 import org.apache.shiro.authc.AuthenticationInfo;
 import org.apache.shiro.authc.AuthenticationToken;
 import org.apache.shiro.authc.LockedAccountException;
 import org.apache.shiro.authc.SimpleAuthenticationInfo;
 import org.apache.shiro.authc.UnknownAccountException;
 import org.apache.shiro.authc.UsernamePasswordToken;
 import org.apache.shiro.crypto.hash.SimpleHash;
 import org.apache.shiro.realm.AuthenticatingRealm;
 import org.apache.shiro.util.ByteSource;
 import com.test.shiro.po.User;
 public class ShiroRealm extends AuthenticatingRealm{
 	
 	private static Map<String,User> userMap = new HashMap<String,User>();
 	static{
 		//使用Map模拟数据库获取User表信息
 	 userMap.put("administrator", new User("administrator","5703a57069fce1f17882d283132229e0",false));//密码明文：aaa123
 		userMap.put("jack", new User("jack","43e66616f8730a08e4bf1663301327b1",false));//密码明文：aaa123
 		userMap.put("tom", new User("tom","3abee8ced79e15b9b7ddd43b95f02f95",false));//密码明文：bbb321
 		userMap.put("jean", new User("jean","1a287acb0d87baded1e79f4b4c0d4f3e",true));//密码明文：ccc213
 	}
 
 
 	@Override
 	protected AuthenticationInfo doGetAuthenticationInfo(
 			AuthenticationToken token) throws AuthenticationException {
 		System.out.println("[ShiroRealm]");
 		//1.把AuthenticationToken转换为UsernamePasswordToken
 		UsernamePasswordToken userToken = (UsernamePasswordToken) token;
 		
 		//2.从UsernamePasswordToken中获取username
 		String username = userToken.getUsername();
 		
 		//3.调用数据库的方法，从数据库中查询Username对应的用户记录
 		System.out.println("从数据看中获取UserName为"+username+"所对应的信息。");
 		//Map模拟数据库取数据
 		User u = userMap.get(username);
 		
 		//4.若用户不行存在，可以抛出UnknownAccountException
 		if(u==null){
 			throw new UnknownAccountException("用户不存在");
 		}
 		
 		//5.若用户被锁定，可以抛出LockedAccountException
 		if(u.isLocked()){
 			throw new LockedAccountException("用户被锁定");
 		}
 		
 		//7.根据用户的情况，来构建AuthenticationInfo对象,通常使用的实现类为SimpleAuthenticationInfo
 		//以下信息是从数据库中获取的
 		//1)principal：认证的实体信息，可以是username，也可以是数据库表对应的用户的实体对象
 		Object principal = u.getUsername();
 		//2)credentials：密码
 		Object credentials = u.getPassword();
 		//3)realmName：当前realm对象的name，调用父类的getName()方法即可
 		String realmName = getName();
 		//4)credentialsSalt盐值
 		ByteSource credentialsSalt = ByteSource.Util.bytes(principal);//使用账号作为盐值
 		
 		SimpleAuthenticationInfo info = null; //new SimpleAuthenticationInfo(principal,credentials,realmName);
 		info = new SimpleAuthenticationInfo(principal, credentials, credentialsSalt, realmName);
 		return info;
 	}
 	
 	public static void main(String[] args) {
 		User u = null;
 		Iterator<String> it = userMap.keySet().iterator();
 		while(it.hasNext()){
 			u = userMap.get(it.next());
 			String hashAlgorithmName = "MD5";//加密方式
 			Object crdentials = u.getPassword();//密码原值
 			ByteSource salt = ByteSource.Util.bytes(u.getUsername());//以账号作为盐值
 			int hashIterations = 1024;//加密1024次
 			Object result = new SimpleHash(hashAlgorithmName,crdentials,salt,hashIterations);
 			System.out.println(u.getUsername()+":"+result);
 		}
 	}
 }

我们修改之前Shiro3工程中的ShiroRealm，将其原来继承的AuthenticatingRealm父类更换为AuthorizingRealm类，并实现其doGetAuthorizationInfo方法用于提供授权信息：

//给Shiro的授权验证提供授权信息
 @Override
 protected AuthorizationInfo doGetAuthorizationInfo(
 		PrincipalCollection principals) {
 	//1.从principals中获取登录用户的信息
 	Object principal = principals.getPrimaryPrincipal();
 	
 	//2.利用登录用户的信息获取当前用户的角色（有数据库的话，从数据库中查询）
 	Set<String> roles = new HashSet<String>();//放置用户角色的set集合(不重复)
 	roles.add("user");//放置所有用户都有的普通用户角色
 	if("administrator".equals(principal)){
 		roles.add("admin");//当账号为administrator时，添加admin角色
 	}
 	
 	//3.创建SimpleAuthorizationInfo，并设置其roles属性
 	SimpleAuthorizationInfo info = new SimpleAuthorizationInfo(roles);
 	
 	//4.返回SimpleAuthorizationInfo对象
 	return info;
 }

由于这里我们没有数据库，仅仅用数据模拟角色添加，设置当登录账号为“adminstrator”时，为其添加admin角色。  
  
shiroFilter中配置了User.jsp与admin.jsp的访问权限：

<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
 <property name="securityManager" ref="securityManager"/>
 <property name="loginUrl" value="/login.jsp"/>
 <property name="successUrl" value="/list.jsp"/>
 <property name="unauthorizedUrl" value="/index.jsp"/>
 
 <property name="filterChainDefinitions">
 <value>
 /login.jsp = anon
 /userAuth/login = anon
 /userAuth/logout = logout
 
 /User.jsp = roles[user]
 /admin.jsp = roles[admin]
 
 # everything else requires authentication:
 /** = authc
 </value>
 </property>
 </bean>

然后主页list.jsp：

<%@ page language="java" import="java.util.*" pageEncoding="UTF-8"%>
 <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
 <html>
 <head>
 <title>首页</title>
 </head>
 <body>
 登录成功！欢迎访问首页O(∩_∩)O
 <a href="userAuth/logout">登出</a>
 
 <a href="admin.jsp">Admin Page</a>
 
 <a href="User.jsp">User Page</a>
 </body>
 </html>

User.jsp:

<%@ page language="java" import="java.util.*" pageEncoding="ISO-8859-1"%>
 <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
 <html>
 <head>
 <title>user page</title>
 </head>
 
 <body>
 This is User page. 
 </body>
 </html>

admin.jsp:

<%@ page language="java" import="java.util.*" pageEncoding="ISO-8859-1"%>
 <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
 <html>
 <head>
 <title>admin page</title>
 </head>
 
 <body>
 This is Admin page. 
 </body>
 </html>

无权限时unauthorizedUrl指向的index.jsp页面：

<%@ page language="java" import="java.util.*" pageEncoding="utf-8"%>
 <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
 <html>
 <head>
 <title>提示</title>
 </head>
 <body>
 抱歉，没有权限访问该资源！ 
 </body>
 </html>

[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzM2NzYxODMx_size_16_color_FFFFFF_t_70]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/18/409a16f4a8ac4eb7b585b7c6f4555d38.png
[Center]: https://img-blog.csdn.net/20171202140629155?watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQvYWNtbWFu/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center
[Center 1]: https://img-blog.csdn.net/20171202140640642?watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQvYWNtbWFu/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center
[Center 2]: https://img-blog.csdn.net/20171202140654109?watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQvYWNtbWFu/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center
[Center 3]: https://img-blog.csdn.net/20171202140704992?watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQvYWNtbWFu/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center