Apache Shiro 授权授权组件 Shiro 中我们经常要用到它们:权限(permissions )、角色(roles )和用户(users )。权限(Permissions ) Apache Shiro 中安全策略最基本的组件,它们是一组关于行为的基本指令,以明确表示在一个程序中什么可以做。一个很好定义的权限指令必须描述资源以及当一个Subject 与这些资源交互时什么动作可以执行。/user/list ”页面;Jsmith ”用户。CRUD (create,read,update,delete )操作,但对于特定资源类型,任何动作都是可以的。权限设置最基础的思想是在资源和动作的基础上设置最小量的权限指令。权限只描述行为 权限指令只描述行为(和资源相关的动作),并不关心“谁”有能力执行这个动作。 -- 程序根据需求决定如何设计。shiro 如何判断一个Subject 是否被允许。权限粒度 -- 例如, “删除”(delete )名为“Jsmith ”(实例标识)的“用户”(资源类型 ),在Shiro 中,你可以精确定义指令到你所能细化到的程度。Shiro 的Permissions 文档中详细讨论权限粒度和权限指令的“级别”。角色 Shiro 都支持。A 、B 和C ”,而是将行为隐含于一个单独的角色名字中。潜在的安全隐患 虽然这是一个非常简单和常用的方法,但隐含的角色可能会增加软件的维护成本和管理问题。 例如,如果你想增加或删除一个角色,或者重定义角色的行为怎么办?你不得不重新打开代码,修改所有对更改后的角色的检测,每次都需要这样做,这还没提到其引起的执行代价(重测试,通过质量验证,关闭程序,升级软件,重启程序等)。 对于简单程序这种方法可能适用(比如只有一个'admin' 角色和'everyoneelse' 角色),但复杂的程序中,这会成为你程序生命周期中一个主要的问题,会给你的软件带来很大的维护代价。 shiro )准确知道一个特定的角色是什么意思,因为它确切知道某行为是否可以执行,而不用去猜测特定的角色可以或不可以做什么。shiro 团队提倡使用权限和明确为角色指定权限替代原始的将权限隐含于角色中的方法,这样你可以对程序安全提供更强的控制。基于资源的访问控制 读一下Les Hazlewood 的文章:TheNew RBAC: Resource-Based Access Control ,这篇文章深入讨论了使用权限和明确为角色指定权限代替旧的将权限隐含于角色中方法的好处(以及对源代码的影响) 。 用户 Subject 实际上是shiro 的“用户”。Subjects )通过与角色或权限关联确定是否被允许执行程序内特定的动作,程序数据模型确切定义了Subject 是否允许做什么事情。Shiro 依赖一个Realm 实现将你的数据模型关联转换成Shiro 可以理解的内容,我们将稍后讨论Realms 。最终,是Realm 与你的数据源(RDBMS,LDAP 等)做交流,Realm 用来告知Shiro 是否角色或权限是否存在,你可以完全控制你的授权模型如何创建和定义。 授权对象 Shiro 中执行授权可以有三种途径:-- 你可以在你的JAVA 代码中执行用类似于if 和else 的结构来执行权限检查。JDK 注解-- 你可以在你的JAVA 方法上附加权限注解JSP/GSP 标签-- 你可以基于角色和权限控制JSP 或GSP 页面输出内容。程序中检查授权 Subject 实例检查授权可能是最简单也最常用的方法。基于角色的授权 / 传统的角色名进行访问控制,你可以执行角色检查:角色检查 Subject 是否拥有一个角色,你可以在一个实例上调用hasRole* 方法。Subject 是否有特定(单独)的角色,你可以调用subject.hasRole(roleName) 方法,做出相应的反馈。Subject currentUser = SecurityUtils.getSubject(); if (currentUser.hasRole("administrator")) { //show the admin button} else { //don't show the button? Grey it out?} hasRole(String roleName) Subject 指定了特定的角色返回真,否则返回假;hasRoles(List<String> roleNames) hasRole 结果数组,当一次有多个角色需要检测时非常有用(如定制一个复杂的视图)。hasAllRoles(Collection<String> roleNames) Subject 具备所有角色返回真,否则返回假。角色判断 Subjet 是否是指定为某个角色,你可以在的代码执行之前简单判断他们是否是所要求的角色,如果Subject 不是所要求的角色, AuthorizationException 异常将被抛出,如果是所要求的角色,判断将安静地执行并按期望顺序执行下面的逻辑。Subject currentUser = SecurityUtils.getSubject(); //guarantee that the current user is a bank teller and //therefore allowed to open the account: currentUser.checkRole("bankTeller"); openBankAccount(); hasRole* 方法相比,这种方法的好处在于代码更为清晰,如果当前Subject 不满足所需条件你不需要建立你自己的AuthorizationExceptions异常(如果你不想那么做)。 checkRole(String roleName) Subject 被指定为特定角色则安静地返回否则抛出AuthorizationException 异常;checkRoles(Collection<String> roleNames) Subject 被指定了所有特定的角色则安静地返回否则抛出AuthorizationException 异常;checkRoles(String... roleNames) checkRoles 具有相同的效果,但允许Java5 的变参形式。基于权限的授权 权限检查 Subject 是否允许做某件事情,你可以调用isPermitted* 方法的变形,有两种主要方式检查授权-- 基于对象的权限实例和基于字符串的权限表示。基于对象的权限检查 Shiro 的org.apache.shiro.authz.Permission 接口并且将它传递给接收权限实例的*isPermitted 方法。laserjet4400n 的打印机,在我们向用户显示打印按钮之前,软件需要检查当前用户是否允许用这台打印机打印文档,检查权限的方式会是这样:Permission printPermission = new PrinterPermission("laserjet4400n", "print"); Subject currentUser = SecurityUtils.getSubject(); if (currentUser.isPermitted(printPermission)) { //show the Print button} else { //don't show the button? Grey it out?} -- 在单独数据实例上限制行为的能力。implies 方法)执行方式进行明确控制;isPermitted(Permission p) Subject 允许执行特定权限实例综合指定的动作或资源访问权返回真,否则返回假;isPermitted(List<Permission> perms) isPermitted 的结果数组,如果许多权限需要检查时非常有用(如定制一个复杂的视图);isPermittedAll(Collection<Permission> perms) Subject 拥有指定的所有权限返回真,否则返回假。基于字符串的权限检查 Subject currentUser = SecurityUtils.getSubject(); if (currentUser.isPermitted("printer:print:laserjet4400n")) { //show the Print button} else { //don't show the button? Grey it out?} --printer (资源类型)、print (动作)、laserjet4400n (实例ID )都表现为一个字符串。Shiro 的 org.apache.shiro.authz.permission.WildcardPermission 中,它适合大多数用户的需求。Permission p = new WildcardPermission("printer:print:laserjet4400n"); if (currentUser.isPermitted(p) { //show the Print button} else { //don't show the button? Grey it out?} WildcardPermission 令牌形式和构成选项将在Shiro 的Permission 文档中深入讨论。WildcardPermission 格式,实际上你可以创造并使用你自己的字符串格式,我们将在下面Realm 授权章节讨论如何这样做。Shiro 的终端用户因为其简单而选择基于字符串的方式,但最终你的程序需求决定了哪一种方法会更好。isPermitted(String perm) Subject 被允许执行字符串表达的动作或资源访问权限,返回真,否则返回假;isPermitted(String... perms) isPermitted 的结果数组,当许多字符串权限需要检查时非常有用(如定制一个复杂的视图时);isPermittedAll(String... perms) Subject 具备所有字符串定义的权限时返回真,否则返回假。权限判断 Subject 是否被允许做某件事的方法是,在逻辑执行之前简单判断他们是否具备所需的权限,如果不允许,AuthorizationException 异常被抛出,如果是允许的,判断将安静地执行并按期望顺序执行下面的逻辑。Subject currentUser = SecurityUtils.getSubject(); //guarantee that the current user is permitted //to open a bank account: Permission p = new AccountPermission("open"); currentUser.checkPermission(p); openBankAccount(); Subject currentUser = SecurityUtils.getSubject(); //guarantee that the current user is permitted //to open a bank account: currentUser.checkPermission("account:open"); openBankAccount(); isPermitted* 方法相比较,这种方法的优势是代码更为清晰,如果当前Subject 不符合条件,你不必创建你自己的AuthorizationExceptions 异常(如果你不想那么做)。checkPermission(Permission p) Subject 被允许执行特定权限实例指定的动作或资源访问,安静地返回,否则抛出AuthorizationException 异常。checkPermission(String perm) Subject 被允许执行权限字符串指定的动作或资源访问,安静地返回,否则抛出AuthorizationException 异常。checkPermissions(Collection<Permission> perms) Subject 被允许执行所有权限实例指定的动作或资源访问,安静地返回,否则抛出AuthorizationException 异常。checkPermissions(String... perms) 和上面的checkPermissions 效果一样,只是使用字符串权限类型。基于注解的授权 Subject 的API 之外,Shiro 提供了一个Java5 的注解集。配置 JAVA 的注解之前,你需要在程序中启动AOP 支持,因为有许多AOP 框架,所以很不幸,在这里并没有标准的在程序中启用AOP 的方法。AspectJ ,你可以查看我们的AspectJ sample application (http://svn.apache.org/repos/asf/shiro/trunk/samples/aspectj/ );Spring ,你可以查看Spring Integration 文档;Guice ,你可以查看我们的 Guice Integration 文档;RequiresAuthentication 注解RequiresAuthentication 注解表示在访问或调用被注解的类/ 实例/ 方法时,要求Subject 在当前的session 中已经被验证。@RequiresAuthentication public void updateAccount(Account userAccount) { //this method will only be invoked by a //Subject that is guaranteed authenticated ...} public void updateAccount(Account userAccount) { if (!SecurityUtils.getSubject().isAuthenticated()) { throw new AuthorizationException(...); } //Subject is guaranteed authenticated here ...} RequiresGuest 注解RequiresGuest 注解表示要求当前Subject 是一个“访客”,也就是,在访问或调用被注解的类/ 实例/ 方法时,他们没有被认证或者在被前一个Session 记住。@RequiresGuest public void signUp(User newUser) { //this method will only be invoked by a //Subject that is unknown/anonymous ...} public void signUp(User newUser) { Subject currentUser = SecurityUtils.getSubject(); PrincipalCollection principals = currentUser.getPrincipals(); if (principals != null && !principals.isEmpty()) { //known identity - not a guest: throw new AuthorizationException(...); } //Subject is guaranteed to be a 'guest' here ...} RequiresPermissions 注解RequiresPermissions 注解表示要求当前Subject 在执行被注解的方法时具备一个或多个对应的权限。@RequiresPermissions("account:create") public void createAccount(Account account) { //this method will only be invoked by a Subject //that is permitted to create an account ...} public void createAcc /this method will only be invoked by an administrator ...} RequiresRoles 注解RequiresPermissions 注解表示要求当前Subject 在执行被注解的方法时具备所有的角色,否则将抛出AuthorizationException 异常。@RequiresRoles("administrator") public void deleteUser(User user) { //this method will only be invoked by an administrator ...} public void deleteUser(User user) { Subject currentUser = SecurityUtils.getSubject(); if (!subject.hasRole("administrator")) { throw new AuthorizationException(...); } //Subject is guaranteed to be an 'administrator' here ...} RequiresUser 注解RequiresUser* 注解表示要求在访问或调用被注解的类/ 实例/ 方法时,当前Subject 是一个程序用户,“程序用户”是一个已知身份的Subject ,或者在当前Session 中被验证过或者在以前的Session 中被记住过。@RequiresUser public void updateAccount(Account account) { //this method will only be invoked by a 'user' //i.e. a Subject with a known identity ...} public void updateAccount(Account account) { Subject currentUser = SecurityUtils.getSubject(); PrincipalCollection principals = currentUser.getPrincipals(); if (principals == null || principals.isEmpty()) { //no identity - they're anonymous, not allowed: throw new AuthorizationException(...); } //Subject is guaranteed to have a known identity here ...} JSP 标签库授权Shiro 提供了一个标签库来控制JSP/GSP 页面输出,这将在Web 文档中的JSP/GSP 标签库中讨论。授权序列 Subject 执行授权,让我们了解一下当一个授权命令调用时Shiro 内部发生了什么事情。Architecture 章节里的架构图,在左侧仅仅与授权相关的组件是高亮的,每一个数字代表授权操作中的一个步骤:第1 步 :程序或框架代码调用一个Subject 的hasRole* 、checkRole* 、isPermitted* 或者 checkPermission* 方法,传递所需的权限或角色。第2 步 :Subject 实例,通常是一个DelegatingSubject (或子类),通过调用securityManager 与各hasRole* 、checkRole* 、isPermitted* 或checkPermission* 基本一致的方法将权限或角色传递给程序的SecurityManager 。第3 步 :SecurityManager ,基本的安全组件,通过调用authorizer 的各hasRole* 、checkRole* 、isPermitted* 或checkPermission* 方法将权限转交/ 委托给其内部的org.apache.shiro.authz.Authorizer 实例,它负责在授权操作中协调一个或多个Realm 实例。第4 步 ,检查每一个被配置的Realm 是否实现相同的Authorizer 接口,如果是,Realm 自己的各hasRole* 、checkRole* 、isPermitted* 或checkPermission* 方法被调用。ModularRealmAuthorizer Shiro SecurityManager 默认使用ModularRealmAuthorizer 实例,ModularRealmAuthorizer 实例同等支持用一个Realm 的程序和用多个Realm 的程序。ModularRealmAuthorizer 将在其内部的Realm 集中迭代(iterator),按迭代(iteration)顺序同每一个Realm 交互,与每一个Realm 交互的方法如下:1. 如果Realm 实现了Authorizer 接口,调用它各自的授权方法(hasRole* 、 checkRole* 、isPermitted* 或checkPermission* )。 1. 如果Realm 函数的结果是一个exception ,该exception 衍生自一个Subject 调用者的AuthorizationException ,就切断授权过程,剩余的授权Realm 将不在执行。 2. 如果Realm 的方法是一个hasRole* 或isPermitted* ,并且返回真,则真值立即被返回而且剩余的Realm 被短路,这种做法作为一种性能增强,在一个Realm 判断允许后,隐含认为这个Subject 被允许。它支持最安全的安全策略:默认情况下所有都被禁止,明确指定允许的事情。2. 如果Realm 没有实现Authorizer 接口,将被忽略。Realm 授权顺序ModularRealmAuthorizer 按迭代(iteration)顺序与Realm 交互。ModularRealmAuthorizer 拥有SecurityManager 配置的Realm 实例的入口,当执行一个授权操作时,它将在整个集合中进行迭代(iteration),对于每一个实现Authorizer 接口的Realm ,调用Realm 各自的Authorizer 方法(如hasRole* 、 checkRole* 、 isPermitted* 或 checkPermission* )。配置全局的PermissionResolver Shiro 默认的Realm 将会在执行权限隐含逻辑之前首先把这个字符串转换成一个常用的权限实例。Permission 章节了解更多隐含与相等的对比)。隐含逻辑用代码表示要比通过字符串对比好,因此,大部分Realm 需要转换一个提交的权限字符串为对应的权限实例。Shiro 支持PermissionResolver ,大部分Shiro Realm 使用PermissionResolver 来支持它们对Authorizer 接口中基于字符串权限方法的实现:当这些方法在Realm 上被调用时,将使用PermissionResolver 将字符串转换为权限实例,并执行检查。Shiro Realm 默认使用内部的WildcardPermissionResolver ,它使用Shiro 的WildcardPermission 字符串格式。PermissionResolver 实现,比如说你想创建你自己的权限字符串语法,希望所有配置的Realm 实例都支持这个语法,你可以把自己的PermissionResolver设置成全局,供所有realm使用 。shiro.ini 中:shiro.ini globalPermissionResolver = com.foo.bar.authz.MyPermissionResolver ... securityManager.authorizer.permissionResolver = $globalPermissionResolver ... PermissionResolverAware 如果你想配置一个全局的PermissionResolver ,每一个会读取这个PermissionResolver 配置的Realm 必须实现PermissionResolverAware 接口,这确保被配置PermissionResolver 的实例可以传递给支持这种配置的每一个Realm 。 PermissionResolver 或者你不想被PermissionResolverAware 接口麻烦,你可以明确地为单个的Realm 配置PermissionResolver 接口(可看作是JavaBean 的setPermissionResolver 方法):permissionResolver = com.foo.bar.authz.MyPermissionResolver realm = com.foo.bar.realm.MyCustomRealm realm.permissionResolver = $permissionResolver ... 配置全局的RolePermissionResolver PermissionResolver 类似,RolePermissionResolver 有能力表示执行权限检查的Realm 所需的权限实例。RolePermissionResolver 被Realm 在需要时用来转换一个角色名到一组明确的权限实例。LDAP 目录存储角色名称(或组名)但不支持角色名和权限的联合,因为它没有权限的概念。一个使用shiro 的程序可以使用存储于LDAP 的角色名,但需要实现一个RolePermissionResolver 来转换LDAP 名到一组确切的权限中以执行明确的访问控制,权限的联合将被存储于其它的数据存储中,比如说本地数据库。Shiro 默认的Realm 没有使用它们。 RolePermissionResolver 并且希望用它配置多个Realm 实现,你可以将你的 RolePermissionResolver 设置成全局。shiro.ini globalRolePermissionResolver = com.foo.bar.authz.MyPermissionResolver ... securityManager.authorizer.rolePermissionResolver = $globalRolePermissionResolver ... RolePermissionResolverAware 如果你想配置一个全局的RolePermissionResolver ,每一个会读取这个RolePermissionResolver 配置的Realm 必须实现RolePermissionResolverAware 接口,这确保被配置了RolePermissionResolver 的实例可以传递给支持这种配置的每一个Realm 。 RolePermissionResolver 或者你不想麻烦实现RolePermissionResolverAware 接口,你可以单独为一个Realm 配置RolePermissionResolver (可以看作JavaBean 的setRolePermissionResolver 方法)。rolePermissionResolver = com.foo.bar.authz.MyRolePermissionResolver realm = com.foo.bar.realm.MyCustomRealm realm.rolePermissionResolver = $rolePermissionResolver ... 定制Authorizer Realm 来执行授权而ModularRealmAuthorizer 默认的简单迭代(iteration)、短路授权的行为不能满足你的需求,你可以创建自己的Authorizer 并配置给相应的SecurityManager 。shiro.ini 中:[main] ... authorizer = com.foo.bar.authz.CustomAuthorizer securityManager.authorizer = $authorizer
运维网声明
1、欢迎大家加入本站运维交流群:群②:261659950 群⑤:202807635 群⑦870801961 群⑧679858003运维网
QQ群⑧:
窥视卡
雷达卡
发表于 2016-12-30 10:15:28
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡