必ずあなたを守る(二):Shiro中Realm的解析

Realm

Realm作为securityManager的核心,主要解决了一个问题:

从哪里获得Role(角色)和Permission(权限)以供Authentication和Authorization使用

在阅读本文之前首先要了解权限控制的基本概念 : 基于角色的权限控制和基于资源的权限控制(自行百度)

从数据库获得Role和Permission

在通常情况下角色和权限存在于数据库,Shiro提供了一个realm类 org.apache.shiro.realm.jdbc.JdbcRealm 供使用

假设存在以下Table

  • users
username password salt
admin xxxxxxxxx sakf3s
  • roles
username role
admin su
  • permissions
username permission
admin write
admin read

那么我们可以如此配置JdbcRealm

1
2
3
4
5
6
7
<bean id="sampleRealm" class="org.apache.shiro.realm.jdbc.JdbcRealm">
    <property name="dataSource" ref="dataSource"/>     <====使用哪个数据源链接数据库
    <property name="authenticationQuery" value="SELECT password FROM users WHERE username = ?"/>  <====获得到密码
    <property name="userRolesQuery" value="SELECT role FROM roles WHERE username = ?"/>           <====获得到角色
    <property name="permissionsQuery" value="SELECT permission FROM permissisons WHERE username = ?"/> <===获得到权限
    <property name="permissionsLookupEnabled" value="true"/> <====允许通过查表进行权限查询,默认False,只有设置了True才会执行permissionsQuery
</bean>

Subject

虽然我们配置好了 org.apache.shiro.realm.jdbc.JdbcRealm 有个疑问出现 sampleRealm 如何判断我想使用哪个username登陆呢?

答案是由 SubjectToken 来提供的

Subject是什么

Subject 英文直译主题缘由,是指Security Manager处理信息的集合体,在上一章Shiro与Spring集成中我们讲了 Security Manager 的三个主要功能

  1. Authentication: 认证
  2. Authorization: 授权
  3. Realm: 域

这三个逻辑功能都既不会产生信息,也不会保存信息,都是一些逻辑操作,认证和授权比较容易理解,域本身也仅仅是从数据库拿数据的逻辑,并不会储存或者接收数据

这一切的逻辑处理,都是针对Subject进行处理,Subject才带有信息

将Token带入Subject进行登陆

org.apache.shiro.realm.jdbc.JdbcRealm 配合使用的是Class UsernamePasswordToken 其初始化函数需要

  1. username
  2. password

最常用的登陆逻辑

1
UsernamePasswordToken usernamePasswordToken = new UsernamePasswordToken(userReqVO.getUsername(),userReqVO.getPassword());

登陆流程

到此为止我们已经阐述了太多的概念,到底怎么登陆??

  1. Web页面进行登陆操作,输入username和password
  2. 被 SpringMVC 的 Controller 接收,放入一个Token
  3. Token 进入 Subject
  4. Subject进行登陆操作去 Security Manager 验证逻辑
  5. Security Manager 验证通过OR不通过

反应到代码上就是

1
2
3
4
5
6
7
8
// 1. 根据外部数据生成Token
UsernamePasswordToken usernamePasswordToken = new UsernamePasswordToken(userReqVO.getUsername(),userReqVO.getPassword());

// 2. 在代码中通过SecurityUtils单例得到subject
Subject subject = SecurityUtils.getSubject();

// 3. subject进行登陆逻辑验证,逻辑存在于Spring配置文件的 sampleRealm 和 securityManager
subject.login(usernamePasswordToken);

如果登陆失败 subject.login() 会抛出 Exception

权限管理

在登陆之后就可以进行权限管理了,因为所有的数据和逻辑结果都存在于subject中,所以说subject本身就提供了一系列的函数

1
2
SecurityUtils.getSubject().checkRole("admin"); <====是否有某个角色
SecurityUtils.getSubject().checkPermission("write"); <====是否有某个权限

目前为止配置还不能用

到目前为止,Shiro的配置还暂时不能用,因为还有两个不那么重要的问题有待我们处理

  1. Shiro中的Session
  2. Shiro中的Cache

将在下章讲解

请问老板还招人么(/ω\)

支付宝
微信

扫一扫,分享到微信

微信分享二维码

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

我写的,大概率是错的。。。。。