SHIRO源码解读——Authorizer权限校验
权限控制可以描述为:“谁”对“什么”进行什么”操作"。通过权限控制,我们可以有效控制用户的行为操作,进而做到对资源的有效保护。
一、SHIRO授权示例
shiro支持两种两种访问控制方式,分别为:基于角色的访问控制、基于资源的访问控制。
基于角色的访问控制:
Subject subject = SecurityUtils.getSubject();
subject.hasRole("tole1");
subject.hasAllRoles("role1","role2");
基于资源的访问控制:
Subject subject = SecurityUtils.getSubject();
subject.isPermitted("user:create");
subject.isPermittedAll("user:update","user:delete");
下面本文将对shiro的内部授权逻辑过程进行详细分析。
二、SHIRO授权过程
“基于角色的访问控制逻辑”和“基于资源的访问控制逻辑”内部过程基本是一样的,因此本文分析只分析下“基于资源的访问控制逻辑”的过程。
使用者调用Subject.isPermitted方法进行授权,isPermitted接口实现是在DelegatingSubject中,代码如下:
public class DelegatingSubject implements Subject {
public boolean isPermitted(String permission) {
return hasPrincipals() && securityManager.isPermitted(getPrincipals(), permission);
}
public boolean isPermitted(Permission permission) {
return hasPrincipals() && securityManager.isPermitted(getPrincipals(), permission);
}
public boolean[] isPermitted(String... permissions) {
if (hasPrincipals()) {
return securityManager.isPermitted(getPrincipals(), permissions);
} else {
return new boolean[permissions.length];
}
}
...
}
从代码可以发现,DelegatingSubject又委托给了SecurityManager,调用SecurityManager中的isPermitted方法。下面看看SecurityManager的授权处理。
首先看看shiro核心逻辑类图。
Shiro核心逻辑类图
SecurityManager其实是一个代理,SecurityManager代理了Authorizer,SecurityManager子类AuthorizingSecuritymanager为具体代理子类,看看类中相应方法定义:
public boolean isPermitted(PrincipalCollection principals, String permissionString) {
return this.authorizer.isPermitted(principals, permissionString);
}
public boolean isPermitted(PrincipalCollection principals, Permission permission) {
return this.authorizer.isPermitted(principals, permission);
}
public boolean[] isPermitted(PrincipalCollection principals, String... permissions) {
return this.authorizer.isPermitted(principals, permissions);
}
...
确实是代理模式,类中真正校验是Authorizer做的,具体Authorizer为ModularRealmAuthorizer,ModularRealmAuthorizer中方法定义如下:
public boolean isPermitted(PrincipalCollection principals, String permission) {
assertRealmsConfigured();
for (Realm realm : getRealms()) {
if (!(realm instanceof Authorizer)) continue;
if (((Authorizer) realm).isPermitted(principals, permission)) {
return true;
}
}
return false;
}
public boolean isPermitted(PrincipalCollection principals, Permission permission) {
assertRealmsConfigured();
for (Realm realm : getRealms()) {
if (!(realm instanceof Authorizer)) continue;
if (((Authorizer) realm).isPermitted(principals, permission)) {
return true;
}
}
return false;
}
从上面代码又可以看出,ModularRealmAuthorizer又把校验的工作交给了Realm,授权的Realm为AuthorizingRealm,AuthorizingRealm中实现了isPermitted方法,方法定义如下:
public boolean isPermitted(PrincipalCollection principals, String permission) {
Permission p = getPermissionResolver().resolvePermission(permission);
return isPermitted(principals, p);
}
public boolean isPermitted(PrincipalCollection principals, Permission permission) {
AuthorizationInfo info = getAuthorizationInfo(principals);
return isPermitted(permission, info);
}
如果是字符串Permission,首先要进行处理,处理过程如下:
PermissionResolver对字符串权限进行转化处理,其继承类为WildcardPermissionResolver.
List<String> parts = CollectionUtils.asList(wildcardString.split(PART_DIVIDER_TOKEN));
上面这句代码首先将权限按 " : "进行分割成数组。然后对这个数组中的每个元素再按照 ”,“ 分割。
Set<String> subparts = CollectionUtils.asSet(part.split(SUBPART_DIVIDER_TOKEN));
最终返回形式为List<Set<String>>。
那么转化后怎么用了,看看WildcardPermission的继承关系:
public class WildcardPermission implements Permission, Serializable{
......
}
而Permission的定义如下:
public interface Permission {
boolean implies(Permission p);
}
WildcardPermission的implices方法实现如下:
public boolean implies(Permission p) {
if (!(p instanceof WildcardPermission)) {
return false;
}
WildcardPermission wp = (WildcardPermission) p;
List<Set<String>> otherParts = wp.getParts();
int i = 0;
for (Set<String> otherPart : otherParts) {
if (getParts().size() - 1 < i) {
return true;
} else {
Set<String> part = getParts().get(i);
if (!part.contains(WILDCARD_TOKEN) && !part.containsAll(otherPart)) {
return false;
}
i++;
}
}
// If this permission has more parts than the other parts, only imply it if all of the other parts are wildcards
for (; i < getParts().size(); i++) {
Set<String> part = getParts().get(i);
if (!part.contains(WILDCARD_TOKEN)) {
return false;
}
}
return true;
}
这个代码的意思就是instance的权限是否包含目标权限,如果包含,那么就鉴权成功,返回True,否则鉴权不通过,这样就完成了权限校验。
我们需要自定义授权逻辑时,继承AuthorizingRealm,然后自定义实现其授权方法即可!
三、总结
总结一下,权限校验流程如下:
SHIRO授权
具体流程为:
1)首先调用Subject.isPermitted/hasRole接口,其会委托给SecurityManager,而SecurityManager接着会委托给Authorizer(SecurityManager继承了Authorizer接口,其真正业务逻辑还是委托给相应的Authorizer实例。ModularRealmAuthenticator是Authenticator的一个实现类,一般主要用这个实现类)。
2)Authorizer是真正的授权者,如果我们调用如isPermitted(“user:view”),其首先会通过PermissionResolver把字符串转换成相应的Permission实例;
3)在进行授权之前,其会调用相应的Realm获取Subject相应的角色/权限用于匹配传入的角色/权限;
4)Authorizer会判断Realm的角色/权限是否和传入的匹配,如果有多个Realm,会委托给ModularRealmAuthorizer进行循环判断,如果匹配如isPermitted/hasRole会返回true,否则返回false表示授权失败。
一般是使用Realm进行授权,此时继承AuthorizingRealm,其流程是:
1.如果调用hasRole,则直接获取AuthorizationInfo.getRoles()与传入的角色比较即可;
2、如果调用isPermitted(“user:view”),首先通过PermissionResolver将权限字符串转换成相应的Permission实例,默认使用WildcardPermissionResolver,即转换为通配符的WildcardPermission;
3、通过AuthorizationInfo.getObjectPermissions()得到Permission实例集合;通过AuthorizationInfo. getStringPermissions()得到字符串集合并通过PermissionResolver解析为Permission实例;然后获取用户的角色,并通过RolePermissionResolver解析角色对应的权限集合(默认没有实现,可以自己提供);
4、接着调用Permission. implies(Permission p)逐个与传入的权限比较,如果有匹配的则返回true,否则false。
ModularRealmAuthorizer进行多Realm匹配流程:
1)首先检查相应的Realm是否实现了实现了Authorizer;
2)如果实现了Authorizer,那么接着调用其相应的isPermitted/hasRole接口进行匹配;
3)如果有一个Realm匹配那么将返回true,否则返回false。
SHIRO授权分析到此为止,祝工作顺利,天天开心!
