2. 程式人生 > >Shiro實現使用者對動態資源細粒度的許可權校驗

Shiro實現使用者對動態資源細粒度的許可權校驗

阿新 發佈:2019-09-08

前言

在實際系統應用中,普遍存在這樣的一種業務場景,需要實現使用者對要訪問的資源進行動態許可權校驗。
譬如,在某平臺的商家系統中,存在商家、品牌、商品等業務資源。它們之間的關係為:一個商家可以擁有多個品牌,一個品牌下可以擁有多個商品。

一個商家使用者可以擁有多個賬戶,每個賬戶擁有不同級別的許可權。
例如,小王負責商家A下的所有資源的運營工作,小張負責品牌A和品牌A下所有商品的運營工作。而小李負責品牌B

Shiro本身提供了RequiresAuthentication、RequiresPermissions和RequiresRoles等註解用於實現靜態許可權認證,
但不適合對於這種細粒度的動態資源的許可權認證校驗。基於以上描述,這篇文章就是補充了一種對細粒度動態資源的訪問許可權校驗。

大概的設計思路

  • 1.新增一個自定義註解Permitable,用於將資源轉換為shiro的許可權表示字串(支援SpEL表示式)
  • 2.新增加一個AOP切面,用於將自定義註解標註的方法和Shiro許可權校驗關聯起來
  • 3.校驗當前使用者是否擁有足夠的許可權去訪問受保護的資源

編碼實現

  • 1、新建PermissionResolver介面
import java.util.Collections;
import java.util.List;
import java.util.Optional;

import static java.util.stream.Collectors.toList;

/**
 * 資源許可權解析器
 *
 * @author wuyue
 * @since 1.0, 2019-09-07
 */
public interface PermissionResolver {

    /**
     * 解析資源
     *
     * @return 資源的許可權表示字串
     */
    String resolve();

    /**
     * 批量解析資源
     */
    static List<String> resolve(List<PermissionResolver> list) {
        return Optional.ofNullable(list).map(obj -> obj.stream().map(PermissionResolver::resolve).collect(toList()))
                .orElse(Collections.emptyList());
    }

}
  • 2、新增業務資源實體類,並實現PermissionResolver介面,此處以商品資源為例,例如新建Product.java
import com.wuyue.shiro.shiro.PermissionResolver;
import lombok.Getter;
import lombok.Setter;
import lombok.ToString;
import org.hibernate.annotations.GenericGenerator;

import javax.persistence.*;
import java.util.Date;

@Getter
@Setter
@ToString
@Entity
@Table(name = "product")
public class Product implements PermissionResolver {

    @Override
    public String resolve() {
        return merchantId + ":" + brandId + ":" + id;
    }

    @Id
    @GenericGenerator(name = "idGen", strategy = "uuid")
    @GeneratedValue(generator = "idGen")
    private String id;

    @Column(name = "merchant_id")
    private String merchantId;

    @Column(name = "brand_id")
    private String brandId;

    @Column(name = "name")
    private String name;

    @Column(name = "create_time")
    private Date createTime;

    @Column(name = "update_time")
    private Date updateTime;

}
  • 3、新增自定義註解Permitable
import java.lang.annotation.*;

/**
 * 自定義細粒度許可權校驗註解,配合SpEL表示式使用
 */
@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
@Documented
public @interface Permitable {

    /**
     * 前置校驗資源許可權表示式
     *
     * @return 資源的許可權字串表示(如“位元組跳動”下的“抖音”可以表達為BYTE_DANCE:TIK_TOK)
     */
    String pre() default "";

    /**
     * 後置校驗資源許可權表示式
     *
     * @return
     */
    String post() default "";

}
  • 4、新增許可權校驗切面
import lombok.extern.slf4j.Slf4j;
import org.aopalliance.intercept.MethodInterceptor;
import org.apache.commons.lang3.StringUtils;
import org.apache.shiro.SecurityUtils;
import org.springframework.aop.support.StaticMethodMatcherPointcutAdvisor;
import org.springframework.context.expression.MethodBasedEvaluationContext;
import org.springframework.core.DefaultParameterNameDiscoverer;
import org.springframework.core.annotation.AnnotationUtils;
import org.springframework.expression.EvaluationContext;
import org.springframework.expression.spel.standard.SpelExpressionParser;

import java.lang.annotation.Annotation;
import java.lang.reflect.Method;
import java.util.List;

/**
 * 靜態自定義許可權認證切面
 */
@Slf4j
public class PermitAdvisor extends StaticMethodMatcherPointcutAdvisor {

    private static final Class<? extends Annotation>[] AUTHZ_ANNOTATION_CLASSES =
            new Class[] {
                    Permitable.class
            };

    public PermitAdvisor(SpelExpressionParser parser) {
        // 構造一個通知,當方法上有加入Permitable註解時,會觸發此通知執行許可權校驗
        MethodInterceptor advice = mi -> {
            Method method = mi.getMethod();
            Object targetObject = mi.getThis();
            Object[] args = mi.getArguments();
            Permitable permitable = method.getAnnotation(Permitable.class);
            // 前置許可權認證
            checkPermission(parser, permitable.pre(), method, args, targetObject, null);
            Object proceed = mi.proceed();
            // 後置許可權認證
            checkPermission(parser, permitable.post(), method, args, targetObject, proceed);
            return proceed;
        };
        setAdvice(advice);
    }

    /**
     * 匹配加了Permitable註解的方法,用於通知許可權校驗
     */
    @Override
    public boolean matches(Method method, Class<?> targetClass) {
        Method m = method;

        if (isAuthzAnnotationPresent(m)) {
            return true;
        }
        return false;
    }

    private boolean isAuthzAnnotationPresent(Method method) {
        for (Class<? extends Annotation> annClass : AUTHZ_ANNOTATION_CLASSES) {
            Annotation a = AnnotationUtils.findAnnotation(method, annClass);
            if ( a != null ) {
                return true;
            }
        }
        return false;
    }

    /**
     * 動態許可權認證
     */
    private void checkPermission(SpelExpressionParser parser, String expr,
                                 Method method, Object[] args, Object target, Object result){

        if (StringUtils.isBlank(expr)){
            return;
        }

        // 解析SpEL表示式,獲得資源的許可權表示字串
        Object resources = parser.parseExpression(expr)
                .getValue(createEvaluationContext(method, args, target, result), Object.class);

        // 呼叫Shiro進行許可權校驗
        if (resources instanceof String) {
            SecurityUtils.getSubject().checkPermission((String) resources);
        } else if (resources instanceof List){
            List<Object> list = (List) resources;
            list.stream().map(obj -> (String) obj).forEach(SecurityUtils.getSubject()::checkPermission);
        }
    }

    /**
     * 構造SpEL表示式上下文
     */
    private EvaluationContext createEvaluationContext(Method method, Object[] args, Object target, Object result) {
        MethodBasedEvaluationContext evaluationContext = new MethodBasedEvaluationContext(
                target, method, args, new DefaultParameterNameDiscoverer());
        evaluationContext.setVariable("result", result);
        try {
            evaluationContext.registerFunction("resolve", PermissionResolver.class.getMethod("resolve", List.class));
        } catch (NoSuchMethodException e) {
            log.error("Get method error:", e);
        }
        return evaluationContext;
    }

}
  • 5、實現對使用者的授權
    /**
     * 授權
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        Map<String, Object> principal = (Map<String, Object>) principals.getPrimaryPrincipal();
        String accountId = (String) principal.get("accountId");

        // 擁有的商家資源許可權
        List<AccountMerchantLink> merchantLinks = accountService.findMerchantLinks(accountId);
        Set<String> merchantPermissions = merchantLinks.stream().map(AccountMerchantLink::getMerchantId).collect(toSet());
        SimpleAuthorizationInfo authzInfo = new SimpleAuthorizationInfo();
        authzInfo.addStringPermissions(merchantPermissions);

        // 擁有的品牌資源許可權
        List<AccountBrandLink> brandLinks = accountService.findBrandLinks(accountId);
        Set<String> brandPermissions = brandLinks.stream().map(link -> link.getMerchantId() + ":" + link.getBrandId()).collect(toSet());
        authzInfo.addStringPermissions(brandPermissions);

        return authzInfo;
    }

  • 6、自定義註解的應用

    6.1、根據id獲取商家資訊

      @Permitable(pre = "#id")
  @Override
  public Optional<Merchant> findById(String id) {
      if (StringUtils.isBlank(id)) {
          return Optional.empty();
      }
      return merchantDao.findById(id);
  }

    6.2、根據id獲取商品資訊

      @Permitable(post = "#result?.get().resolve()")
  @Override
  public Optional<Product> findById(String id) {
      if (StringUtils.isBlank(id)) {
          return Optional.empty();
      }
      return productDao.findById(id);
  }

    6.3、查詢品牌下的商品列表

      @Permitable(post = "#resolve(#result)")
  @Override
  public List<Product> findByBrandId(String brandId) {
      if (StringUtils.isBlank(brandId)) {
          return Collections.emptyList();
      }
      return productDao.findByBrandId(brandId);
  }

  • 7、測試

7.1、按照上面描述的業務場景,準備3個使用者資料

7.2、使用小王登入後測試

7.2.1、獲取商家資訊(擁有許可權)

7.2.2、獲取商品資訊(擁有許可權)

7.3、使用小李登入後測試

7.3.1、獲取商家資訊(許可權不足)

7.3.2、獲取商品資訊(許可權不足)

7.3.3、獲取商品資訊(擁有許可權)

7.4、小結

從上面的介面測試截圖中可以看出,此方案符合我們設計之初要實現的業務場景。

完整源

相關推薦

Shiro實現使用者動態資源粒度許可權

前言 在實際系統應用中,普遍存在這樣的一種業務場景,需要實現使用者對要訪問的資源進行動態許可權校驗。 譬如,在某平臺的商家系統中,存在商家、品牌、商品等業務資源。它們之間的關係為:一個商家可以擁有多個品牌,一個品牌下可以擁有多個商品。 一個商家使用者可以擁有多個賬戶,每個賬戶擁有不同級別的許可權。 例如,

jquery validate 動態表單元素新增

形如有如下表單元素: .... <input type="text" ....> <input type="text" ....> <input type="text" ....> <input type="text" ....&g

Shiro的Web——深入淺出學Shiro粒度許可權開發框架——私塾線上原創

nShiro可以和普通web整合的,但考慮到現在的應用基本都會使用spring,所以就不去講最基本的web集成了。跟Spring整合的方式前面已經講過了。 n在Web應用中,可以配置[urls]:   [urls]項允許你做一些在我們已經見過的任何Web 框架都不存在

springboot2+shiro+jwt整合(二)粒度許可權控制+使用redis作為快取

簡單來說,當專案啟動起來後,我們的後臺介面的許可權控制就應該起作用了,那麼如何使用shiro來實現呢?我這裡使用的是 如何使用註解來配置細粒度許可權。 首先,shiro預設不支援使用註解方式,需要在ShiroConfig中新增以下程式碼 /** * 下面

shiro實現方法級別的粒度url許可權控制

關於 Shiro 的許可權匹配器和過濾器 上一節,我們實現了自定義的 Realm,方式是繼承 AuthorizingRealm 這個抽象類,分別實現認證的方法和授權的方法。 這一節實現的程式碼的執行順序: 1、Shiro定義的過濾器和自定義的過濾器,在自定義的過濾器

springAOP與自定義註解實現粒度許可權控制管理

IOC與AOP無疑是spring的核心,提供了非常強大的功能,這兩個思想為我們開發帶來了巨大的方便。 這裡我們aop簡單實現一些許可權控制,用到的aop提供的環繞通知,至於spring提供了那些通知,大家可以自行百度。 <bean id="privilegeAspec

《玩轉粒度許可權管理》 三,使用者角色許可權RBCA

第三章 使用者角色許可權RBCA  第一章介紹了專業細粒度許可權管理軟體 Metadmin 的安裝。第二章講解了對於 WEB 頁面的控制。哪些頁面需要登入才能訪問,哪些頁面不需要登入就能訪問。需要登入的頁面,又如何頁面訪問許可權呢?即具有什麼樣角色的人才能訪問。  本

【限時免費】AppBoxCore - 粒度許可權管理框架(EFCore+RazorPages+async/await)!

目錄 前言 全新AppBoxCore RazorPages 和 TagHelpers 技術架構 頁面處理器和資料庫操作的非同步呼叫 Authorize特性和自定義許可權驗證過濾器 Authorize登入授權 自定義CheckPower許可權過濾器 CheckPower特性控制頁面的瀏覽許可權 表格行連結圖示

資料來源管理 | 動態許可權,表結構和資料遷移流程

本文原始碼:GitHub·點這裡 || GitEE·點這裡 一、資料同步簡介 1、場景描述 如果經常接觸資料開發,會有這樣一個場景,服務A提供一個數據源,假設稱為動態資料來源A,需要讀取該資料來源下的資料;服務B提供一個數據源,假設稱為動態資料來源B,需要寫入資料到該資料來源。這個場景通常描述為資料同步,或

使用WisdomTool RESTClient自動化測試REST API,如何取消返回的body內容的

client .com 需要 gpo 選擇 tor cli hub blog 使用WisdomTool RESTClient自動化測試API,默認是對返回HTTP狀態碼和body內容進行校驗的。 如果您的API返回body內容是變化的,可以通過設置來取消對body內容的校驗

服務閘道器 Zuul 與 Redis 結合實現 Token 許可權

這兩天在寫專案的全域性許可權校驗,用 Zuul 作為服務閘道器,在 Zuul 的前置過濾器裡做的校驗。 許可權校驗或者身份驗證就不得不提 Token,目前 Token 的驗證方式有很多種,有生成 Token 後將 Token 儲存在 Redis 或資料庫的,也有很多用 JWT(JSON Web Token)

ajax 輸入文字是否合法進行

var cnmsg = { required: “必選欄位”, remote: “請修正該欄位”, email: “請輸入正確格式的電子郵件”, url: “請輸入合法的網址”, date: “請輸入合法的日期”, dateISO: “請輸入合法的日期 (ISO).”, number: “請

vue如何使用rules錶單欄位進行

基於element-ui 1、在程式碼中,新增屬性::rule <el-form :model="form" :rules="rules" ref="form" label-width="150px"></el-form> 並且,在<el-f

【TP5.1】使用者全許可權流程(完善【TP5.1】Rbac設計)

author:咔咔 wechat:fangkangfk 1.首先是使用者登入校驗 2.使用者登入後 首先通過這部分判斷登入使用者,如果是系統管理員記錄使用者許可權      if ($user->is_system == 1) {         

檔案或資料進行CRC

用於對一個檔案進行CRC校驗,以確保檔案資料傳輸的正確性。 廢話不多說,直接上程式碼! crc32.h #ifndef CRC_32_H #define CRC_32_H #ifdef __cplusplus extern "C" { #endif void init_c

使用bcryptjs密碼加密時,其原理是怎樣的?

Question 剛開始接觸這種加密方式,而又對加密原理不瞭解時,很容易產生這種疑問❔: 對一個密碼,bcryptjs每次生成的hash都不一樣,那麼它是如何進行校驗的? Basic

Spring Security原理學習--許可權(四)

      在上一篇部落格Spring Security原理學習--使用者名稱和密碼認證(三)中我們已經瞭解到Spring Security關於使用者名稱和密碼在UsernamePasswordAuthenticationFilter中的認證處理邏輯,接下來我們看看許可權的校

Spring AOP 實現功能許可權功能

實現功能許可權校驗的功能有多種方法,其一使用攔截器攔截請求,其二是使用AOP拋異常。 首先用攔截器實現未登入時跳轉到登入介面的功能。注意這裡沒有使用AOP切入,而是用攔截器攔截,因為AOP一般切入的是service層方法,而攔截器是攔截控制器層的請求,它本身也

前後端分離的專案,採用ssm後端介面許可權

前後端分離的專案中,服務端對於每個請求都是一模一樣的,對於每個使用者的請求識別就需要用到一個統一的方式(jwt),然後在訪問每個介面的時候先對這個jwt進行識別,查出這個使用者的許可權級別,檢查是否擁有訪問這個介面的許可權,如果沒有,那麼將直接返回一個錯誤資訊,表示許可權不足,反之放過,繼續往下

Spring cloud微服務實戰(二)——Zuul整合Swagger2及許可權

一、前言 ##二、 整合Swagger2 Swagger2大家肯定都用過,為什麼我在這裡還要提到呢,因為各個微服務都會提供自己的API文件,我們總不能一個地址一個地址去查吧,能不能有個統一的入口呢。這就是這節要講的。 2.1 Zuul整合Swagger2 其他