`
jinnianshilongnian
  • 浏览: 21503032 次
  • 性别: Icon_minigender_1
博客专栏
5c8dac6a-21dc-3466-8abb-057664ab39c7
跟我学spring3
浏览量:2418429
D659df3e-4ad7-3b12-8b9a-1e94abd75ac3
Spring杂谈
浏览量:3008654
43989fe4-8b6b-3109-aaec-379d27dd4090
跟开涛学SpringMVC...
浏览量:5639348
1df97887-a9e1-3328-b6da-091f51f886a1
Servlet3.1规范翻...
浏览量:259898
4f347843-a078-36c1-977f-797c7fc123fc
springmvc杂谈
浏览量:1597268
22722232-95c1-34f2-b8e1-d059493d3d98
hibernate杂谈
浏览量:250209
45b32b6f-7468-3077-be40-00a5853c9a48
跟我学Shiro
浏览量:5858821
Group-logo
跟我学Nginx+Lua开...
浏览量:701942
5041f67a-12b2-30ba-814d-b55f466529d5
亿级流量网站架构核心技术
浏览量:785141
社区版块
存档分类
最新评论

第三章 授权——《跟我学Shiro》

阅读更多

 

目录贴: 跟我学Shiro目录贴

 

授权,也叫访问控制,即在应用中控制谁能访问哪些资源(如访问页面/编辑数据/页面操作等)。在授权中需了解的几个关键对象:主体(Subject)、资源(Resource)、权限(Permission)、角色(Role)。

主体

主体,即访问应用的用户,在Shiro中使用Subject代表该用户。用户只有授权后才允许访问相应的资源。

资源

在应用中用户可以访问的任何东西,比如访问JSP页面、查看/编辑某些数据、访问某个业务方法、打印文本等等都是资源。用户只要授权后才能访问。

权限

安全策略中的原子授权单位,通过权限我们可以表示在应用中用户有没有操作某个资源的权力。即权限表示在应用中用户能不能访问某个资源,如:

访问用户列表页面

查看/新增/修改/删除用户数据(即很多时候都是CRUD(增查改删)式权限控制)

打印文档等等。。。

 

如上可以看出,权限代表了用户有没有操作某个资源的权利,即反映在某个资源上的操作允不允许,不反映谁去执行这个操作。所以后续还需要把权限赋予给用户,即定义哪个用户允许在某个资源上做什么操作(权限),Shiro不会去做这件事情,而是由实现人员提供。

 

Shiro支持粗粒度权限(如用户模块的所有权限)和细粒度权限(操作某个用户的权限,即实例级别的),后续部分介绍。

角色

角色代表了操作集合,可以理解为权限的集合,一般情况下我们会赋予用户角色而不是权限,即这样用户可以拥有一组权限,赋予权限时比较方便。典型的如:项目经理、技术总监、CTO、开发工程师等都是角色,不同的角色拥有一组不同的权限。

隐式角色:即直接通过角色来验证用户有没有操作权限,如在应用中CTO、技术总监、开发工程师可以使用打印机,假设某天不允许开发工程师使用打印机,此时需要从应用中删除相应代码;再如在应用中CTO、技术总监可以查看用户、查看权限;突然有一天不允许技术总监查看用户、查看权限了,需要在相关代码中把技术总监角色从判断逻辑中删除掉;即粒度是以角色为单位进行访问控制的,粒度较粗;如果进行修改可能造成多处代码修改。

显示角色:在程序中通过权限控制谁能访问某个资源,角色聚合一组权限集合;这样假设哪个角色不能访问某个资源,只需要从角色代表的权限集合中移除即可;无须修改多处代码;即粒度是以资源/实例为单位的;粒度较细。

 

 

请google搜索“RBAC”和“RBAC新解”分别了解“基于角色的访问控制”“基于资源的访问控制(Resource-Based Access Control)”。

 

3.1 授权方式

Shiro支持三种方式的授权:

 

编程式:通过写if/else授权代码块完成: 

Subject subject = SecurityUtils.getSubject();
if(subject.hasRole(“admin”)) {
    //有权限
} else {
    //无权限
} 

 

注解式:通过在执行的Java方法上放置相应的注解完成: 

@RequiresRoles("admin")
public void hello() {
    //有权限
} 

没有权限将抛出相应的异常;

 

JSP/GSP标签:在JSP/GSP页面通过相应的标签完成: 

<shiro:hasRole name="admin">
<!— 有权限 —>
</shiro:hasRole> 

后续部分将详细介绍如何使用。   

 

3.2 授权

基于角色的访问控制(隐式角色)

 

1、在ini配置文件配置用户拥有的角色(shiro-role.ini) 

[users]
zhang=123,role1,role2
wang=123,role1 

规则即:“用户名=密码,角色1,角色2”,如果需要在应用中判断用户是否有相应角色,就需要在相应的Realm中返回角色信息,也就是说Shiro不负责维护用户-角色信息,需要应用提供,Shiro只是提供相应的接口方便验证,后续会介绍如何动态的获取用户角色。

 

2、测试用例(com.github.zhangkaitao.shiro.chapter3.RoleTest) 

    @Test
    public void testHasRole() {
        login("classpath:shiro-role.ini", "zhang", "123");
        //判断拥有角色:role1
        Assert.assertTrue(subject().hasRole("role1"));
        //判断拥有角色:role1 and role2
        Assert.assertTrue(subject().hasAllRoles(Arrays.asList("role1", "role2")));
        //判断拥有角色:role1 and role2 and !role3
        boolean[] result = subject().hasRoles(Arrays.asList("role1", "role2", "role3"));
        Assert.assertEquals(true, result[0]);
        Assert.assertEquals(true, result[1]);
        Assert.assertEquals(false, result[2]);
    } 

Shiro提供了hasRole/hasRole用于判断用户是否拥有某个角色/某些权限;但是没有提供如hashAnyRole用于判断是否有某些权限中的某一个。 

 

    @Test(expected = UnauthorizedException.class)
    public void testCheckRole() {
        login("classpath:shiro-role.ini", "zhang", "123");
        //断言拥有角色:role1
        subject().checkRole("role1");
        //断言拥有角色:role1 and role3 失败抛出异常
        subject().checkRoles("role1", "role3");
    } 

Shiro提供的checkRole/checkRoles和hasRole/hasAllRoles不同的地方是它在判断为假的情况下会抛出UnauthorizedException异常。

 

到此基于角色的访问控制(即隐式角色)就完成了,这种方式的缺点就是如果很多地方进行了角色判断,但是有一天不需要了那么就需要修改相应代码把所有相关的地方进行删除;这就是粗粒度造成的问题。

 

基于资源的访问控制(显示角色)

1、在ini配置文件配置用户拥有的角色及角色-权限关系(shiro-permission.ini) 

[users]
zhang=123,role1,role2
wang=123,role1
[roles]
role1=user:create,user:update
role2=user:create,user:delete 

规则:“用户名=密码,角色1,角色2”“角色=权限1,权限2”,即首先根据用户名找到角色,然后根据角色再找到权限;即角色是权限集合;Shiro同样不进行权限的维护,需要我们通过Realm返回相应的权限信息。只需要维护“用户——角色”之间的关系即可。

 

2、测试用例(com.github.zhangkaitao.shiro.chapter3.PermissionTest)     

    @Test
    public void testIsPermitted() {
        login("classpath:shiro-permission.ini", "zhang", "123");
        //判断拥有权限:user:create
        Assert.assertTrue(subject().isPermitted("user:create"));
        //判断拥有权限:user:update and user:delete
        Assert.assertTrue(subject().isPermittedAll("user:update", "user:delete"));
        //判断没有权限:user:view
        Assert.assertFalse(subject().isPermitted("user:view"));
    } 

Shiro提供了isPermitted和isPermittedAll用于判断用户是否拥有某个权限或所有权限,也没有提供如isPermittedAny用于判断拥有某一个权限的接口。

 

    @Test(expected = UnauthorizedException.class)
    public void testCheckPermission () {
        login("classpath:shiro-permission.ini", "zhang", "123");
        //断言拥有权限:user:create
        subject().checkPermission("user:create");
        //断言拥有权限:user:delete and user:update
        subject().checkPermissions("user:delete", "user:update");
        //断言拥有权限:user:view 失败抛出异常
        subject().checkPermissions("user:view");
    } 

但是失败的情况下会抛出UnauthorizedException异常。

 

到此基于资源的访问控制(显示角色)就完成了,也可以叫基于权限的访问控制,这种方式的一般规则是“资源标识符:操作”,即是资源级别的粒度;这种方式的好处就是如果要修改基本都是一个资源级别的修改,不会对其他模块代码产生影响,粒度小。但是实现起来可能稍微复杂点,需要维护“用户——角色,角色——权限(资源:操作)”之间的关系。  

 

3.3 Permission

字符串通配符权限

规则:“资源标识符:操作:对象实例ID”  即对哪个资源的哪个实例可以进行什么操作。其默认支持通配符权限字符串,“:”表示资源/操作/实例的分割;“,”表示操作的分割;“*”表示任意资源/操作/实例。

  

1、单个资源单个权限 

subject().checkPermissions("system:user:update");

用户拥有资源“system:user”的“update”权限。

 

2、单个资源多个权限

ini配置文件 

role41=system:user:update,system:user:delete

然后通过如下代码判断

subject().checkPermissions("system:user:update", "system:user:delete");

用户拥有资源“system:user”的“update”和“delete”权限。如上可以简写成:

 

ini配置(表示角色4拥有system:user资源的update和delete权限)   

role42="system:user:update,delete"  

 接着可以通过如下代码判断 

subject().checkPermissions("system:user:update,delete");

通过“system:user:update,delete”验证"system:user:update, system:user:delete"是没问题的,但是反过来是规则不成立。

 

3、单个资源全部权限

ini配置 

role51="system:user:create,update,delete,view"

然后通过如下代码判断 

subject().checkPermissions("system:user:create,delete,update:view");

用户拥有资源“system:user”的“create”、“update”、“delete”和“view”所有权限。如上可以简写成:

 

ini配置文件(表示角色5拥有system:user的所有权限)

role52=system:user:*

也可以简写为(推荐上边的写法):

role53=system:user

然后通过如下代码判断

subject().checkPermissions("system:user:*");
subject().checkPermissions("system:user"); 

通过“system:user:*”验证“system:user:create,delete,update:view”可以,但是反过来是不成立的。

 

4、所有资源全部权限

ini配置 

role61=*:view

然后通过如下代码判断

subject().checkPermissions("user:view");

用户拥有所有资源的“view”所有权限。假设判断的权限是“"system:user:view”,那么需要“role5=*:*:view”这样写才行。

 

5、实例级别的权限

5.1、单个实例单个权限

ini配置

role71=user:view:1

对资源user的1实例拥有view权限。

然后通过如下代码判断 

subject().checkPermissions("user:view:1");

 

5.2、单个实例多个权限

ini配置           

role72="user:update,delete:1"

对资源user的1实例拥有update、delete权限。

然后通过如下代码判断

subject().checkPermissions("user:delete,update:1");
subject().checkPermissions("user:update:1", "user:delete:1"); 

  

5.3、单个实例所有权限

ini配置  

role73=user:*:1

对资源user的1实例拥有所有权限。

然后通过如下代码判断 

subject().checkPermissions("user:update:1", "user:delete:1", "user:view:1");

   

5.4、所有实例单个权限

ini配置 

role74=user:auth:*

对资源user的1实例拥有所有权限。

然后通过如下代码判断 

subject().checkPermissions("user:auth:1", "user:auth:2");

  

5.5、所有实例所有权限

ini配置 

role75=user:*:*

对资源user的1实例拥有所有权限。

然后通过如下代码判断     

subject().checkPermissions("user:view:1", "user:auth:2");

  

6、Shiro对权限字符串缺失部分的处理

如“user:view”等价于“user:view:*”;而“organization”等价于“organization:*”或者“organization:*:*”。可以这么理解,这种方式实现了前缀匹配。

另外如“user:*”可以匹配如“user:delete”、“user:delete”可以匹配如“user:delete:1”、“user:*:1”可以匹配如“user:view:1”、“user”可以匹配“user:view”或“user:view:1”等。即*可以匹配所有,不加*可以进行前缀匹配;但是如“*:view”不能匹配“system:user:view”,需要使用“*:*:view”,即后缀匹配必须指定前缀(多个冒号就需要多个*来匹配)。

 

7、WildcardPermission

如下两种方式是等价的:  

subject().checkPermission("menu:view:1");
subject().checkPermission(new WildcardPermission("menu:view:1")); 

因此没什么必要的话使用字符串更方便。

 

8、性能问题

通配符匹配方式比字符串相等匹配来说是更复杂的,因此需要花费更长时间,但是一般系统的权限不会太多,且可以配合缓存来提供其性能,如果这样性能还达不到要求我们可以实现位操作算法实现性能更好的权限匹配。另外实例级别的权限验证如果数据量太大也不建议使用,可能造成查询权限及匹配变慢。可以考虑比如在sql查询时加上权限字符串之类的方式在查询时就完成了权限匹配。 

 

3.4 授权流程


流程如下:

1、首先调用Subject.isPermitted*/hasRole*接口,其会委托给SecurityManager,而SecurityManager接着会委托给Authorizer;

2、Authorizer是真正的授权者,如果我们调用如isPermitted(“user:view”),其首先会通过PermissionResolver把字符串转换成相应的Permission实例;

3、在进行授权之前,其会调用相应的Realm获取Subject相应的角色/权限用于匹配传入的角色/权限;

4、Authorizer会判断Realm的角色/权限是否和传入的匹配,如果有多个Realm,会委托给ModularRealmAuthorizer进行循环判断,如果匹配如isPermitted*/hasRole*会返回true,否则返回false表示授权失败。

 

ModularRealmAuthorizer进行多Realm匹配流程:

1、首先检查相应的Realm是否实现了实现了Authorizer;

2、如果实现了Authorizer,那么接着调用其相应的isPermitted*/hasRole*接口进行匹配;

3、如果有一个Realm匹配那么将返回true,否则返回false。

 

如果Realm进行授权的话,应该继承AuthorizingRealm,其流程是:

1.1、如果调用hasRole*,则直接获取AuthorizationInfo.getRoles()与传入的角色比较即可;

1.2、首先如果调用如isPermitted(“user:view”),首先通过PermissionResolver将权限字符串转换成相应的Permission实例,默认使用WildcardPermissionResolver,即转换为通配符的WildcardPermission;

2、通过AuthorizationInfo.getObjectPermissions()得到Permission实例集合;通过AuthorizationInfo. getStringPermissions()得到字符串集合并通过PermissionResolver解析为Permission实例;然后获取用户的角色,并通过RolePermissionResolver解析角色对应的权限集合(默认没有实现,可以自己提供);

3、接着调用Permission. implies(Permission p)逐个与传入的权限比较,如果有匹配的则返回true,否则false。 

 

3.5 Authorizer、PermissionResolver及RolePermissionResolver

Authorizer的职责是进行授权(访问控制),是Shiro API中授权核心的入口点,其提供了相应的角色/权限判断接口,具体请参考其Javadoc。SecurityManager继承了Authorizer接口,且提供了ModularRealmAuthorizer用于多Realm时的授权匹配。PermissionResolver用于解析权限字符串到Permission实例,而RolePermissionResolver用于根据角色解析相应的权限集合。

 

我们可以通过如下ini配置更改Authorizer实现: 

authorizer=org.apache.shiro.authz.ModularRealmAuthorizer
securityManager.authorizer=$authorizer 

对于ModularRealmAuthorizer,相应的AuthorizingSecurityManager会在初始化完成后自动将相应的realm设置进去,我们也可以通过调用其setRealms()方法进行设置。对于实现自己的authorizer可以参考ModularRealmAuthorizer实现即可,在此就不提供示例了。

 

设置ModularRealmAuthorizer的permissionResolver,其会自动设置到相应的Realm上(其实现了PermissionResolverAware接口),如:

permissionResolver=org.apache.shiro.authz.permission.WildcardPermissionResolver
authorizer.permissionResolver=$permissionResolver 

 

设置ModularRealmAuthorizer的rolePermissionResolver,其会自动设置到相应的Realm上(其实现了RolePermissionResolverAware接口),如:

rolePermissionResolver=com.github.zhangkaitao.shiro.chapter3.permission.MyRolePermissionResolver
authorizer.rolePermissionResolver=$rolePermissionResolver 

 

示例

1、ini配置(shiro-authorizer.ini    

[main]
#自定义authorizer
authorizer=org.apache.shiro.authz.ModularRealmAuthorizer
#自定义permissionResolver
#permissionResolver=org.apache.shiro.authz.permission.WildcardPermissionResolver
permissionResolver=com.github.zhangkaitao.shiro.chapter3.permission.BitAndWildPermissionResolver
authorizer.permissionResolver=$permissionResolver
#自定义rolePermissionResolver
rolePermissionResolver=com.github.zhangkaitao.shiro.chapter3.permission.MyRolePermissionResolver
authorizer.rolePermissionResolver=$rolePermissionResolver

securityManager.authorizer=$authorizer
#自定义realm 一定要放在securityManager.authorizer赋值之后(因为调用setRealms会将realms设置给authorizer,并给各个Realm设置permissionResolver和rolePermissionResolver)
realm=com.github.zhangkaitao.shiro.chapter3.realm.MyRealm
securityManager.realms=$realm 

设置securityManager 的realms一定要放到最后,因为在调用SecurityManager.setRealms时会将realms设置给authorizer,并为各个Realm设置permissionResolver和rolePermissionResolver。另外,不能使用IniSecurityManagerFactory创建的IniRealm,因为其初始化顺序的问题可能造成后续的初始化Permission造成影响。

 

2、定义BitAndWildPermissionResolver及BitPermission

BitPermission用于实现位移方式的权限,如规则是:

权限字符串格式:+资源字符串+权限位+实例ID;以+开头中间通过+分割;权限:0 表示所有权限;1 新增(二进制:0001)、2 修改(二进制:0010)、4 删除(二进制:0100)、8 查看(二进制:1000);如 +user+10 表示对资源user拥有修改/查看权限。

public class BitPermission implements Permission {
    private String resourceIdentify;
    private int permissionBit;
    private String instanceId;
    public BitPermission(String permissionString) {
        String[] array = permissionString.split("\\+");
        if(array.length > 1) {
            resourceIdentify = array[1];
        }
        if(StringUtils.isEmpty(resourceIdentify)) {
            resourceIdentify = "*";
        }
        if(array.length > 2) {
            permissionBit = Integer.valueOf(array[2]);
        }
        if(array.length > 3) {
            instanceId = array[3];
        }
        if(StringUtils.isEmpty(instanceId)) {
            instanceId = "*";
        }
    }

    @Override
    public boolean implies(Permission p) {
        if(!(p instanceof BitPermission)) {
            return false;
        }
        BitPermission other = (BitPermission) p;
        if(!("*".equals(this.resourceIdentify) || this.resourceIdentify.equals(other.resourceIdentify))) {
            return false;
        }
        if(!(this.permissionBit ==0 || (this.permissionBit & other.permissionBit) != 0)) {
            return false;
        }
        if(!("*".equals(this.instanceId) || this.instanceId.equals(other.instanceId))) {
            return false;
        }
        return true;
    }
} 

Permission接口提供了boolean implies(Permission p)方法用于判断权限匹配的;

public class BitAndWildPermissionResolver implements PermissionResolver {
    @Override
    public Permission resolvePermission(String permissionString) {
        if(permissionString.startsWith("+")) {
            return new BitPermission(permissionString);
        }
        return new WildcardPermission(permissionString);
    }
} 

BitAndWildPermissionResolver实现了PermissionResolver接口,并根据权限字符串是否以“+”开头来解析权限字符串为BitPermission或WildcardPermission。

 

3、定义MyRolePermissionResolver

RolePermissionResolver用于根据角色字符串来解析得到权限集合。

public class MyRolePermissionResolver implements RolePermissionResolver {
    @Override
    public Collection<Permission> resolvePermissionsInRole(String roleString) {
        if("role1".equals(roleString)) {
            return Arrays.asList((Permission)new WildcardPermission("menu:*"));
        }
        return null;
    }
} 

此处的实现很简单,如果用户拥有role1,那么就返回一个“menu:*”的权限。

 

4、自定义Realm

public class MyRealm extends AuthorizingRealm {
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
        authorizationInfo.addRole("role1");
        authorizationInfo.addRole("role2");
        authorizationInfo.addObjectPermission(new BitPermission("+user1+10"));
        authorizationInfo.addObjectPermission(new WildcardPermission("user1:*"));
        authorizationInfo.addStringPermission("+user2+10");
        authorizationInfo.addStringPermission("user2:*");
        return authorizationInfo;
    }
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        //和com.github.zhangkaitao.shiro.chapter2.realm.MyRealm1. getAuthenticationInfo代码一样,省略
}
} 

此时我们继承AuthorizingRealm而不是实现Realm接口;推荐使用AuthorizingRealm,因为:

AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token):表示获取身份验证信息;

AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals):表示根据用户身份获取授权信息。

这种方式的好处是当只需要身份验证时只需要获取身份验证信息而不需要获取授权信息。对于AuthenticationInfo和AuthorizationInfo请参考其Javadoc获取相关接口信息。

 

另外我们可以使用JdbcRealm,需要做的操作如下:

1、执行sql/ shiro-init-data.sql 插入相关的权限数据;

2、使用shiro-jdbc-authorizer.ini配置文件,需要设置jdbcRealm.permissionsLookupEnabled

为true来开启权限查询。

 

此次还要注意就是不能把我们自定义的如“+user1+10”配置到INI配置文件,即使有IniRealm完成,因为IniRealm在new完成后就会解析这些权限字符串,默认使用了WildcardPermissionResolver完成,即此处是一个设计权限,如果采用生命周期(如使用初始化方法)的方式进行加载就可以解决我们自定义permissionResolver的问题。

 

5、测试用例

public class AuthorizerTest extends BaseTest {

    @Test
    public void testIsPermitted() {
        login("classpath:shiro-authorizer.ini", "zhang", "123");
        //判断拥有权限:user:create
        Assert.assertTrue(subject().isPermitted("user1:update"));
        Assert.assertTrue(subject().isPermitted("user2:update"));
        //通过二进制位的方式表示权限
        Assert.assertTrue(subject().isPermitted("+user1+2"));//新增权限
        Assert.assertTrue(subject().isPermitted("+user1+8"));//查看权限
        Assert.assertTrue(subject().isPermitted("+user2+10"));//新增及查看

        Assert.assertFalse(subject().isPermitted("+user1+4"));//没有删除权限

        Assert.assertTrue(subject().isPermitted("menu:view"));//通过MyRolePermissionResolver解析得到的权限
    }
} 

通过如上步骤可以实现自定义权限验证了。另外因为不支持hasAnyRole/isPermittedAny这种方式的授权,可以参考我的一篇《简单shiro扩展实现NOT、AND、OR权限验证 》进行简单的扩展完成这个需求,在这篇文章中通过重写AuthorizingRealm里的验证逻辑实现的。       

 

示例源代码:https://github.com/zhangkaitao/shiro-example;可加群134755960探讨Spring/Shiro技术。

55
10
分享到:
评论
46 楼 cainiao1923 2016-08-04  
我是12年用的shiro,当时一个项目用到,当时就觉得user:*:*这种通配符根本没什么用,以为很强大的,其实就是相应细粒度权限的ID而已,代表当前资源,不如直接用ID或者URL代表相应资源(菜单、按钮)进行权限匹配了。

TAO GE 解释下
45 楼 cainiao1923 2016-08-04  
我是12年用的shiro,当时一个项目用到,当时就觉得user:*:*这种通配符根本没什么用,以为很强大的,其实就是相应细粒度权限的ID而已,代表当前资源,不如直接用ID或者URL代表相应资源(菜单、按钮)进行权限匹配了。

TAO哥解释下
44 楼 20160629w 2016-07-04  
懵懵懂懂,顶一个
43 楼 张晓燕 2016-05-11  
谢谢TaoGe的分享
42 楼 泡沫__opt 2016-03-21  
太有帮助了!感谢……
41 楼 yl23250 2016-03-05  
苦逼老周 写道

看群主的part3,自定义BitPermission中的implies方法,在判断权限位时用
if(!(this.permissionBit ==0 || (this.permissionBit & other.permissionBit) != 0)) {
            return false;
        }

这样的话,并不能完全说明this的权限位包含other的权限位,举例this  10(2 8),而other 6(2 4)
其中this中不包括 4,但是会返回true
应该是这个吧
(this.permissionBit & other.permissionBit)==other.permissionBit  如理解的不对,还望指正

我错了。把自己绕晕了。哥你是对的。this才是系统中的授权码,other是鉴权的码
顶你。!
40 楼 yl23250 2016-03-05  
苦逼老周 写道

看群主的part3,自定义BitPermission中的implies方法,在判断权限位时用
if(!(this.permissionBit ==0 || (this.permissionBit & other.permissionBit) != 0)) {
            return false;
        }

这样的话,并不能完全说明this的权限位包含other的权限位,举例this  10(2 8),而other 6(2 4)
其中this中不包括 4,但是会返回true
应该是这个吧
(this.permissionBit & other.permissionBit)==other.permissionBit  如理解的不对,还望指正



根据二进制鉴权的规则
(“授权码(系统中赋予用户的)”&“权限(用户请求尝试访问的权限)”=“权限”)
(other.permissionBit & this.permissionBit ) == this.permissionBit
你的this就是请求鉴权的权限,other就是系统中的授权码
6&10
0110  & 1010 = 0010 =》2   2!=10所以是失败的,也就是权限不正确
所以我觉得tao哥这里也有问题。但是改应该按照我这样

  if(!(this.permissionBit ==0 ||
(other.permissionBit & this.permissionBit) ==other.permissionBit )) {
            return false;
        }

这样就对了
39 楼 boulder_cn 2016-03-01  
yanlijun_jsp 写道
细粒度权限(操作某个用户的权限,即实例级别的) ,大神,这个不明白神马意思啊,

还有role73=user:*:1

这个1是什么意思

1可以理解为用户的id,就是说我只能操作ID为1的用户,属于数据权限范畴。
38 楼 su_chunlong 2016-01-26  
JavaXXXd 写道
关于RBAC新解不是看的很懂啊,既然细分到通过权限控制了,那还要“角色”做什么呢?

有了“个” 是不是就不用 “群”了呢?
37 楼 JavaXXXd 2015-12-18  
关于RBAC新解不是看的很懂啊,既然细分到通过权限控制了,那还要“角色”做什么呢?
36 楼 苦逼老周 2015-12-08  

看群主的part3,自定义BitPermission中的implies方法,在判断权限位时用
if(!(this.permissionBit ==0 || (this.permissionBit & other.permissionBit) != 0)) {
            return false;
        }

这样的话,并不能完全说明this的权限位包含other的权限位,举例this  10(2 8),而other 6(2 4)
其中this中不包括 4,但是会返回true
应该是这个吧
(this.permissionBit & other.permissionBit)==other.permissionBit  如理解的不对,还望指正
35 楼 u011248489 2015-11-06  
u011248489 写道
lay139217 写道
cfanllm 写道
role42="system:user:update,delete"这种写法是不是有问题呢?由三部分组成的都是实例级别的权限吧?我的理解是update和delete实例拥有资源system的user权限,而开涛你的本来要表达的意思应该是资源system:user有update和delete权限。请指教

同问啊,不是资源:操作吗,如果三个就是资源:操作:实例,那system:user:delete,怎么就把system:user看成资源了?


这个问题我也遇到了,然后发现是有没有引号的区别,具体原因看看内部解析过程


引用错。。
34 楼 u011248489 2015-11-06  
lay139217 写道
cfanllm 写道
role42="system:user:update,delete"这种写法是不是有问题呢?由三部分组成的都是实例级别的权限吧?我的理解是update和delete实例拥有资源system的user权限,而开涛你的本来要表达的意思应该是资源system:user有update和delete权限。请指教

同问啊,不是资源:操作吗,如果三个就是资源:操作:实例,那system:user:delete,怎么就把system:user看成资源了?


这个问题我也遇到了,然后发现是有没有引号的区别,具体原因看看内部解析过程
33 楼 cn_bboy 2015-11-04  
看得懵懵懂懂的,,还是非常感谢
32 楼 一瓶爱因斯坦 2015-09-21  
测试的时候发现, 使用addStringPermission的话会在需要验证的时候都构建一个BitPermission对象
使用addObjectPermission则不会。。
这个对效率的影响还是挺大的。。。。。
是不是各自使用的场景不同呢?
31 楼 alex_xinxin_xinixn 2015-05-19  
T哥。想请问一下, 就是跟我学shiro第二章的时候进行那个shiro-jdbc-realm.ini试验的时候怎么总是报Access denied for user 'root'@'localhost' (using password: NO)这个错呢,可是我的mysql的密码确定没有写错呢


你的subject 没有释放

30 楼 balancebug 2015-05-13  
shiro自带的ehcache缓存怎么不生效呢?
权限检验的时候每次要调用doGetAuthorizationInfo,
应该只走一次,其他的走缓存吧
29 楼 lay139217 2015-04-15  
cfanllm 写道
role42="system:user:update,delete"这种写法是不是有问题呢?由三部分组成的都是实例级别的权限吧?我的理解是update和delete实例拥有资源system的user权限,而开涛你的本来要表达的意思应该是资源system:user有update和delete权限。请指教

同问啊,不是资源:操作吗,如果三个就是资源:操作:实例,那system:user:delete,怎么就把system:user看成资源了?
28 楼 van_2013 2015-04-11  
个人觉得你这授权这张讲的很隐晦,看到的甚至有种连作者都没有看懂shiro授权机制的感觉(但那是不可能),我想说的是,开涛这篇并没有讲清楚授权请求的完整过程,从作者讲的部分过程,我再结合shiro的源码,看里面方法的调用关系,我才搞明白,貌似我在开涛的博客里面就没有看出这些。。。。。这也是一些我最直观的感受,不过索性的事,我还是看懂了,不过是看了很久。所以我想给出一个建议:最好给出类图以及方法之间的调用关系,对理解授权这章节帮助很大!
27 楼 tasha5151 2014-11-20  
授权是不是应该指分配权限,这里讲的授权是不是应该指鉴权?

相关推荐

    第十七章 OAuth2集成——《跟我学Shiro》 - 开涛的博客 - ITeye技术网站2

    在《跟我学Shiro》的第十七章中,作者开涛介绍了如何集成OAuth2,使用Apache Oltu作为OAuth2服务端的实现。实现中涉及以下关键部分: 1. **依赖**:引入了`authzserver`(授权服务器依赖)和`resourceserver`(资源...

    跟我一起学shiro 张开涛

    《跟我一起学Shiro——张开涛》这本书是针对初学者的优秀教程,旨在帮助读者快速理解和掌握Shiro的基本用法和核心概念。 **1. Shiro基础** Shiro的基础概念包括Subject、Realms、Cryptography和Session。Subject是...

    [资料][Java]跟我学Shiro教程_Java跟我学Shiro教程_shiro_

    Apache Shiro 是一个强大且易用的 Java 安全框架,提供了认证、授权、加密和会话管理功能,可以非常方便地开发出足够安全的应用。...阅读 "[资料][Java]跟我学Shiro教程.pdf",你将得到更详细的步骤指导和实践案例。

    跟我学Shiro

    通过《跟我学Shiro》.pdf,你将学习到如何创建 Realm 实现数据源连接、配置 Shiro 安全框架、处理登录和登出逻辑、实现权限控制以及在实际项目中部署和调优 Shiro。 10. **最佳实践** 学习 Shiro 的过程中,了解...

    跟我学Shiro教程.rar

    "跟我学Shiro教程"这个资源显然是为了帮助学习者深入理解并掌握Shiro的核心概念和实际应用。 在Shiro的认证服务中,其主要目标是确认用户身份。这通常涉及用户登录过程,其中用户提供的凭证(如用户名和密码)被...

    跟我学Shiro教程及其课程分章节源码

    Apache Shiro是一个强大易用的Java安全框架,...我找了一版 跟我学Shiro教程PDF,里面讲的很详细.里面还附带了每个章节的源码.值得你收藏哟!饮水思源——原文出自:http://jinnianshilongnian.iteye.com/blog/2049092

    跟我学Shiro-java开发+spring开发

    《跟我学Shiro-java开发+spring开发》是一个深入学习Java安全框架Shiro和Spring集成的教程,旨在帮助开发者掌握这两个关键技术在实际项目中的应用。Shiro是一个强大的且易用的Java安全框架,提供了认证、授权、加密...

    《跟我学Shiro》- 张开涛.txt

    ***txt文件中含有下载地址** 《跟我学Shiro》- 张开涛,PDF版本,带目录,清晰。 示例源代码:https://github.com/zhangkaitao/shiro-example; 加qun 231889722 探讨Spring/Shiro技术。

    跟我学shiro

    - **概念**:集成 OAuth2 授权协议,实现第三方登录。 - **组件**: - **OAuth 角色**:定义 OAuth2 中的各个角色。 - **POM 依赖**:添加必要的依赖项。 - **数据字典**:定义数据结构。 - **表及数据 SQL**:...

    跟我学Shiro教程 pdf

    《跟我学Shiro》PDF完结版下载, Apache Shiro是Java的一个安全框架。目前,使用Apache Shiro的人越来越多,因为它相当简单,对比Spring Security,可能没有Spring Security做的功能强大,但是在实际工作时可能并不...

    shiro教程 跟我学Shiro教程

    "跟我学Shiro教程"资源包包含了全面学习Shiro所需的重要材料,包括文档和实践示例。 首先,我们来看《Apache_Shiro参考手册中文版.pdf》。这本书籍详细介绍了Shiro框架的各个组件和使用方法。通过阅读,你可以了解...

    跟我学Shiro第11章Demo

    总的来说,"跟我学Shiro第11章Demo"是一份详尽的实践教程,涵盖了Shiro的核心功能,包括缓存管理、会话管理、认证和授权。通过这个Demo,你可以更好地理解Shiro的工作原理,并学习如何在实际项目中应用这些知识,...

    跟我学 Shiro - v1.1.rar

    Apache Shiro 是 Java 的一个安全框架。目前,使用 Apache Shiro 的人越来越多,因为它相当简单,对比 Sp ring Security,可能没有 Spring Security 做的功能强大,但是在实际工作时可能并不需要那么复杂的东西,所 ...

    跟我学Shiro第12章Demo(仅JAVA SE+Web+Shiro权限注解)

    《跟我学Shiro第12章Demo:Java SE、Web与Shiro权限注解实践》 Apache Shiro是一款强大的安全框架,广泛应用于Java项目中,提供了身份验证、授权、会话管理和加密等功能。本Demo主要涵盖了Shiro在Java Standard ...

    跟我学Shiro第13章Demo(RememberMe)

    "跟我学Shiro第13章Demo(RememberMe)"是一个实战教程,旨在帮助开发者理解并实现Shiro中的RememberMe特性。RememberMe功能允许用户在一段时间内免于重新登录,提高了用户体验。 在这个Demo中,我们将探讨以下几个...

    跟我学shiro源代码

    在"跟我学Shiro源代码"中,你将看到如何使用Shiro进行身份验证、授权实践,以及如何解决实际项目中的安全问题。通过阅读源代码,你可以深入理解Shiro的工作原理,从而更好地运用到自己的项目中。这份教程的源代码...

Global site tag (gtag.js) - Google Analytics