权限管理框架Shiro renren-security权限管理结构

Posted dlage

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了权限管理框架Shiro renren-security权限管理结构相关的知识,希望对你有一定的参考价值。

权限管理框架Shiro:

一直在做项目,由于是二次开发的项目,今天才发现自己连权限控制都没有搞懂。二次开发的是基于renren开源的一个项目。
链接:https://gitee.com/renrenio/renren-security
这个项目主要使用shiro权限管理框架来进行权限管理

shiro主要概念:

  • Subject: 正如我们在教程中提到的,该Subject本质上是当前执行用户的安全特定“视图”。虽然“用户”一词通常意味着一个人,但Subject可以是人,但它也可以代表第三方服务、守护进程帐户、cron作业或任何类似的东西——基本上是目前与软件交互的任何东西。Subject实例都绑定(并需要)SecurityManager。当您与Subject交互时,这些交互将转换为与SecurityManager的特定主题交互。

  • SecurityManager: SecurityManager是Shiro架构的核心,它充当一种“雨伞”对象,协调其内部安全组件,这些组件一起形成一个对象图。然而,一旦SecurityManager及其内部对象图为应用程序配置,它通常就会被单独使用,应用程序开发人员几乎所有的时间都花在Subject API上。

    我们稍后将详细讨论SecurityManager,但重要的是要意识到,当您与Subject互动时,实际上是SecurityManager在幕后为任何Subject安全操作做了所有繁重的工作。这反映在上面的基本流程图中。

  • Realms: Realms充当Shiro和应用程序安全数据之间的“桥梁”或“连接器”。当需要实际与用户帐户等安全相关数据进行交互以执行身份验证(登录)和授权(访问控制)时,Shiro会从为应用程序配置的一个或多个Realms查找其中许多内容。

    从这个意义上讲,Realms本质上是一个特定于安全的DAO:它封装了数据源的连接详细信息,并根据需要向Shiro提供相关数据。在配置Shiro时,您必须指定至少一个用于身份验证和/或授权的RealmsSecurityManager可以配置多个Realms,但至少需要一个领域。

  • Subject : 当前与软件交互的实体(用户、第三方服务、cron作业等)的安全特定“视图”。
  • SecurityManager: 如上所述,SecurityManager是Shiro架构的核心。它主要是一个“雨伞”对象,负责协调其托管组件,以确保它们平稳地一起工作。它还管理Shiro对每个应用程序用户的视图,因此它知道如何为每个用户执行安全操作。
  • Authenticator: 身份验证器是负责执行和响应用户身份验证(登录)尝试的组件。当用户尝试登录时,该逻辑由身份验证器执行。身份验证器知道如何与一个或多个存储相关用户/帐户信息的Realms进行协调。从这些Realms获得的数据用于验证用户的身份,以保证用户真的是他们所说的自己。
    • Authentication Strategy : 如果配置了多个Realms,身份验证策略将协调Realms,以确定身份验证尝试成功或失败的条件(例如,如果一个领域成功,而其他领域失败,则尝试是否成功?所有领域都必须成功吗?只有第一个?)。
  • Authorizer: Authorizer 是负责确定应用程序中用户访问控制的组件。它最终表明用户是否被允许做某事的机制。与身份 Authenticator一样, Authorizer 也知道如何与多个后端数据源协调以访问角色和权限信息。 Authorizer 使用此信息来准确确定是否允许用户执行给定操作。
  • SessionManager : SessionManager 知道如何创建和管理用户会话生命周期,以便在所有环境中为用户提供强大的会话体验。这是安全框架世界中的一项独特功能-Shiro有能力在任何环境中原生管理用户会话,即使没有可用的Web/Servlet或EJB容器。默认情况下,Shiro将使用现有的会话机制(例如Servlet容器),但如果没有,例如在独立应用程序或非Web环境中,它将使用其内置的企业会话管理来提供相同的编程体验。SessionDAO的存在是为了允许使用任何数据源来持久化会话。
    • SessionDAO : SessionDAO代表SessionManager执行会话持久性(CRUD)操作。这允许将任何数据存储插入 SessionManager.基础架构。
  • CacheManager: CacheManager 创建和管理其他Shiro组件使用的Cache实例生命周期。由于Shiro可以访问许多后端数据源进行身份验证、授权和会话管理,因此缓存一直是框架中一流的架构功能,以提高使用这些数据源时的性能。任何现代开源和/或企业缓存产品都可以插入Shiro,以提供快速高效的用户体验。
  • Cryptography: Cryptography(密码学)是企业安全框架的自然补充。Shiro的加密包包含易于使用和理解的冷冻密码、散列(又名摘要)和不同编解码器实现的表示。此软件包中的所有类都经过精心设计,非常易于使用和理解。任何使用过Java原生密码学支持的人都知道,驯服它可能是一种具有挑战性的动物。Shiro的加密API简化了复杂的Java机制,使密码学易于普通凡人使用。
  • Realms: 如上所述,Realms充当Shiro和应用程序安全数据之间的“桥梁”或“连接器”。当需要实际与用户帐户等安全相关数据进行交互以执行身份验证(登录)和授权(访问控制)时,Shiro会从为应用程序配置的一个或多个Realms查找其中许多内容。您可以根据需要配置尽可能多的Realms(通常每个数据源一个),Shiro将在身份验证和授权方面根据需要与他们协调。

renren-security 总体权限的表结构:

renren-security 主要的配置文件:

renren-security 登录流程:

  1. 获取用户名和密码:SysUserDTO user = sysUserService.getByUsername(login.getUsername());
  2. 如果用户存在,并且密码正确返回token,否则返回登录失败。
  3. 返回token:sysUserTokenService.createToken(user.getId());
    1. 根据id获取token,查看以前是否生成过token SysUserTokenEntity tokenEntity = baseDao.getByUserId(userId);,生成过了token的用户都会将信息存储到数据库的表sys_user_token

    2. 需要注意的是这个token只是一个随机字符串,真正存储了有效时间的是在这个表中。

    3. 如果以前没有生成过token,则会生产新的token,并插入到这个表中,expire_date的时间为12个小时之后。

    4. 如果以前有生成过token,则会把这个数据库中的信息取出来,

renren-security 授权流程:

    @GetMapping("id")
    @ApiOperation("信息")
    @RequiresPermissions("sys:dict:info")
    public Result<SysDictDataDTO> get(@PathVariable("id") Long id)
        SysDictDataDTO data = sysDictDataService.get(id);

        return new Result<SysDictDataDTO>().ok(data);
    

权限:

  1. 在controller层里面加上权限认证:@RequiresPermissions("sys:dict:info")
  2. 如果有请求发送到这个方法上面,则会调用Realm里面的doGetAuthorizationInfo权限验证方法。
  3. 通过传进来的参数获取到用户信息:UserDetail user = (UserDetail)principals.getPrimaryPrincipal();
  4. 通过用户信息查询权限列表:Set<String> permsSet = shiroService.getUserPermissions(user);
    1. 这里需要注意:permissionsList = sysMenuDao.getPermissionsList();sys_menu表里面查询权限。
  5. 将权限列表设置到SimpleAuthorizationInfo里面即可,info.setStringPermissions(permsSet); 如果没有相应的权限就会报错。如果有权限即可执行方法。

角色:

  1. 将上面的第四步改成查询角色即可。info.setRoles(roles);

参考文章链接:

  • https://gitee.com/renrenio/renren-security
  • https://shiro.apache.org
  • https://www.renren.io/guide/security

以上是关于权限管理框架Shiro renren-security权限管理结构的主要内容,如果未能解决你的问题,请参考以下文章

shiro框架--权限管理

权限框架之Shiro详解

Shiro权限管理框架详解

Shiro权限管理框架:Shiro中权限过滤器的初始化流程和实现原理

Shiro权限管理框架:Shiro的基本使用

Shiro(Java权限框架)入门