1、授权:给身份认证通过的人,授予他可以访问某些资源的权限。
2、权限粒度:分为粗粒度和细粒度。
粗粒度:对user的crud。也就是说通常对表的操作。
细粒度:是对记录的操作。如:只允许查询id为1的user的工资。
Shiro一般管理的是粗粒度的权限。比如:菜单,按钮,url。一般细粒度的权限是通过业务来控制的。
3、角色:权限的集合。
4、权限表示规则:资源:操作:实例。可以用通配符表示:
如:user:add 表示对user有添加的权限,user:* 表示对user具有所有操作的权限。
user:delete:100,表示对user标识为100的记录有删除的权限。
5、Shiro中的权限流程
6、编码实现
(1)新建java项目
(2)编辑shiro.ini配置文件
1 [users] 2 zhangsan=1111,role1 3 lisi=1111,role2 4 5 [roles] 6 role1=user:add,user:update,user:delete 7 role2=user:*
(3)编码测试
1 package com.sun123.shiro; 2 3 import java.util.Arrays; 4 5 import org.apache.shiro.SecurityUtils; 6 import org.apache.shiro.authc.AuthenticationException; 7 import org.apache.shiro.authc.UsernamePasswordToken; 8 import org.apache.shiro.config.IniSecurityManagerFactory; 9 import org.apache.shiro.mgt.SecurityManager; 10 import org.apache.shiro.subject.Subject; 11 import org.apache.shiro.util.Factory; 12 13 public class AuthorizationDemo { 14 15 public static void main(String[] args) { 16 Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini"); 17 SecurityManager securityManager = factory.getInstance(); 18 SecurityUtils.setSecurityManager(securityManager); 19 Subject subject = SecurityUtils.getSubject(); 20 21 UsernamePasswordToken token = new UsernamePasswordToken("zhangsan", "1111"); 22 23 try { 24 //认证 25 subject.login(token); 26 } catch (AuthenticationException e) { 27 e.printStackTrace(); 28 System.out.println("认证不通过"); 29 } 30 31 //基于角色的授权 32 boolean flag = subject.hasRole("role2"); 33 System.out.println(flag); 34 //判断是否具有多个角色 35 subject.hasRoles(Arrays.asList("role1","role2")); 36 //可以通过checkRole来检测是否具有某个角色,如果不具有该角色,则抛出AuthorizerException 37 //subject.checkRole("role2"); 38 //也就可以同时检测多个角色 39 //subject.checkRoles("role1","role2"); 40 //基于资源的授权 41 flag = subject.isPermitted("user:delete"); 42 System.out.println(flag); 43 44 //判断是否具有多个权限 45 flag = subject.isPermittedAll("user:add","user:update","user:delete"); 46 System.out.println(flag); 47 //通过checkPermission检测认证用户是否具有某个权限,如果没有,则抛出异常 48 subject.checkPermission("user:dd"); 49 50 } 51 }
7、Shiro中的权限检查方式有3种
(1)编程式
if(subject.hasRole("管理员")){ //操作某个资源 }
(2)注解式 在执行指定的方法时,会检测是否具有该权限
@RequiresRoles("管理员")
public void list(){
//查询数据
}
(3)标签
1 <%@ page language="java" contentType="text/html; charset=ISO-8859-1" 2 pageEncoding="ISO-8859-1"%> 3 <%@taglib prefix="shiro" uri="http://shiro.apache.org/tags"%> 4 <!DOCTYPE html> 5 <html> 6 <head> 7 <meta charset="ISO-8859-1"> 8 <title>Insert title here</title> 9 </head> 10 <body> 11 <shiro:hasPermission name="user:update"> 12 <a href="#">更新</a> 13 </shiro:hasPermission> 14 </body> 15 </html>
8、授权流程
(1)获取subject主体
(2)判断主体是否通过认证
(3)调用subject.isPermitted*,或者hasRole*来进行权限判断
① Subject是由其实现类DelegatingSubject来调用方法的,该类将处理交给了securityManager
② securityManager是由其实现类DefaultSecurityManager来进行处理,该类的isPermitted来处理,其本质父类AuthorizingSecurityManager来处理的。该类将处理authorizer(授权器)
③ Authorizer由其实现类ModularRealmAuthorizer来处理该类可以调用对应的Realm来获取数据,在该类有PermissionResolver对权限字符串进行解析,在对应的Realm中也有对应的PermissionResolver交给WildcardPermissionResolver该类调用WildcardPermission来进行权限字符串的解析。
④ 返回处理结果。