Shiro简单授权原理分析

深藏阁楼爱情的钟 2022-08-07 03:41 190阅读 0赞

# Shiro授权简介 #

**Shiro**授权简单来说分为两种类型：

1.  粗粒度的：也就是代码中直接写入和角色的绑定。
2.  细粒度的：代码中写入的是和权限的绑定，而角色到权限和可配置的。

对于粗粒度来说，若角色对应权限有改变的话，那么则需要更改代码，很不方便。而细粒度的好处显而易见，所以一般项目中应该都采用细粒度的权限配置。

# 源码及流程分析 #

那么Shiro中是如何来完成权限检验的呢？  
通过调用`Subject.hasRoles(...)`或`Subject.isPermitted(...)`  
另外还有`Subject.checkRoles(...)`或`Subject.checkPermissions(...)`  
前两种和后两种的区别是，后两种在没有权限时会抛出异常。

关于角色，相信你都会定义，因为就是一个名字，比如admin、vip、user等。  
而对于权限的定义，就需要有一套规则了。在Shiro中我们可以这么来定义权限字符串：**资源标识符：操作：对象实例ID**。另外这里支持通配符配置，  
比如：  
`user:create`表示对**user**有**create**的权限（这里省略了:对象实例ID，等价于`user:create:*`）  
`user:*`表示对**user**拥有所有操作的权限(**create,update,delete,view**)  
`user:view:1`表示对**user**的1实例有**view**的权限  
差不多就类似这样，就不多说了。**Shiro**内部会有一个**PermissionResolver**来负责将这类字符串解析为**Permission**对象。

下面分析一下授权的流程：

1.  当我们调用`Subject.hasRole(...)`后
2.  首先会委托给**securityManager**来处理，而**securityManager**内部有一个**Authorizer**来做真正的授权，默认实现为**ModularRealmAuthorizer**
3.  **ModularRealmAuthorizer**可以根据多个Realm来判断是否拥有相应的角色，其中只要某个Realm匹配，则返回true
4.  **AuthorizingRealm**对于判断**hasRole**的逻辑也很简单

protected boolean hasRole(String roleIdentifier, AuthorizationInfo info) {
            return info != null && info.getRoles() != null && info.getRoles().contains(roleIdentifier);
        }

而对于`Subject.isPermitted(...)`稍微会显得复杂一些，前三步都一样，就是**AuthorizingRealm**对于判断**isPermitted**的逻辑稍微有点不一样。它会先将权限字符串转换成**Permission**，将用户的权限转换成`List<Permission>`，这里的`List<Permission>`由三个部分组成：

*  通过`AuthorizationInfo.getObjectPermissions()`得到**Permission**实例集合
 *  通过`AuthorizationInfo. getStringPermissions()`得到字符串集合并通过**PermissionResolver**解析为Permission实例
 *  然后获取用户的角色，并通过**RolePermissionResolver**解析角色对应的权限集合（默认没有实现，可以自己提供）

而**JdbcRealm**的实现是使用了**stringPermissions**，可能第一想法以为它是用了**RolePermissionResolver**吧。  
好了，接下来，用**Permission**和**List**进行匹配，其中遍历用户权限的匹配方法就是`implies(...)`，这个单词可以理解成“蕴含”的意思，这样就比较好理解了。

private boolean isPermitted(Permission permission, AuthorizationInfo info) {
            Collection<Permission> perms = getPermissions(info);
            if (perms != null && !perms.isEmpty()) {
                for (Permission perm : perms) {
                    if (perm.implies(permission)) {
                        return true;
                    }
                }
            }
            return false;
        }

举个例子，比如`user:*`权限**implies**`user:create`权限，这就是一种蕴含关系。

# 具体用法 #

一般有编程式和声明式两种：

*  编程式：

Subject subject = SecurityUtils.getSubject();
    if(subject.hasRole(“admin”)) {
        //有权限
    } else {
        //无权限
    }

*  声明式：

@RequiresRoles("admin")
    public void hello() {
        //有权限
    }

没有权限的话就抛出相应的异常。而我们只需要捕获异常做出相应的处理就可以了，在**Spring**中是可以配置一个全局的**ExceptionHandler**的。当然在**Spring3.2**之后的版本还提供了**@ControllerAdvice**来增强**Controller**，其中定义的所有**@ExceptionHandler**方法将会应用于所有的**@RequestMapping**方法，那么我们可以这么来定义异常处理类：

@ControllerAdvice
    public class DefaultExceptionHandler { 
    
        @ExceptionHandler( { UnauthorizedException.class })
        @ResponseStatus(HttpStatus.UNAUTHORIZED)
        public ModelAndView processUnauthorizedException(
                NativeWebRequest request, UnauthorizedException e) {
            ModelAndView mv = new ModelAndView();
            mv.addObject("contextPath", request.getContextPath());
            mv.addObject("exception", e);
            mv.setViewName("special/unauthorized");
            return mv;
        }
    }

当然对于编程式的也可以直接使用`subject.checkRoles(“admin”)`，这样一来也会抛出异常并被**ExceptionHandler**捕获了。

这里若启用声明式的鉴权，还需要启用**aspectJ**自动代理，并支持对类的代理。

<aop:aspectj-autoproxy proxy-target-class="true" />
        <bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
            <property name="securityManager" ref="securityManager" />
        </bean>

下一篇文章会写一个**Spring**项目中整合**JdbcRealm**来实现鉴权的实例。