Shiro授权
也叫访问控制,即在应用中控制谁能访问那些资源(如访问页面、编辑数据、页面操作等)。在授权中需要了解几个关键对象:主体(subject)、资源(resource)、权限(Permission)、角色(Role)。
Shiro授权需要了解的几个对象:
主体:访问应用的用户,在Shiro中使用Subject代表该用户。用户只有授权后才能允许访问响应的资源。
资源:在应用中用户可以访问的URL,比如JSP页面,查看/编辑某些数据,访问某个业务方法,打印文本等都是资源,只有经过用户授权后才可以访问。
权限:安全策略中的原子授权单位,通过权限我们可以表示在应用中用户有没有操作某个资源的权利。即权限表示在应用中用户能不能访问某个资源,如:访问用户列表页面的查看/新增/修改/删除用户数据(即很多时候都是CRUD式权限控制)等。权限代表用户有没有操作某个资源的权利,即反应某个资源上的操作是否被允许。
角色:权限的集合,一般情况下会赋予用户 角色而不是权限,这样用户可以拥有一组权限,赋予权限的时候比较方便,典型的如:项目经理、技术总监、CTO、开发工程师都是角色,不同的角色有一组不同的权限。
Shiro支持操作用户模块的所有权限或操作某个用户的权限。
授权流程
1.在Spring-shiro.xml中的页面配置上,给想要授权的页面添加访问许可,如给user.jsp和admin.jsp添加权限,user.jsp只能拥有user角色才能访问,而admin.jsp只能拥有admin角色才能访问,则过滤器配置如下:
/user.jsp = roles[user]
/admin.jsp = roles[admin]
或在Controller中给某个方法添加注解的方式,如上述给user.jsp页面添加权限,则在get请求上放添加@RequiresPermissions(value={"roles[user]"})注解即可。
这样当我们登录成功后再想访问上述页面发现已经没有权限了!
2.在配置好过滤器后,授权需要实现AuthorizingRealm类中的doGetAuthorizationInfo方法,因为AuthorizingRealm继承AuthenticatingRealm,但并没有实现AuthorizingRealm类中的doGetAuthorizationInfo方法,所以 ,我们在做认证和授权的时候只需要继承AuthorizingRealm就可以了,同时实现两个抽象方法:认证(doGetAuthenticationInfo)、授权(doGetAuthorizationInfo)即可。
在进行多Realm认证的时候,调用的是ModularRealmAuthorizer,实际上还是走的AuthorizingRealm中的doGetAuthorizationInfo方法。
3.之前在做认证的时候,我们继承的是认证Realm(AuthenticatingRealm),现在让它继承(AuthorizingRealm),并同时实现两个抽象类。
4.在doGetAuthorizationInfo方法中实现授权的过程
1.从principalCollection中获取登录用户的信息(principal对象)。
Principal principal = (Principal) getAvailablePrincipal(principals);
String loginName = principal.getName();
2.利用登录的用户信息来获取当前用户的角色或权限(缓存中查询或者数据库中)。
// 把角色信息查出来
List<Role> roles = UserUtils.getRolesByIds(user.getRoleIds(), user.getId());
3.创建SimpleAuthorizationInfo对象,并设置roles属性,将info对象返回。
SysUser user = UserUtils.getByLoginName(loginName);
if (user != null) {
SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
// 把角色信息查出来
List<Role> roles = UserUtils.getRolesByIds(user.getRoleIds(), user.getId());
// 遍历他所拥有的角色
for (int i = 0; i < roles.size(); i++) {
Role ro = roles.get(i);
info.addRole(ro.getRole());
// 通过ResourceIds获取对应的权限信息
List<Resource> sresources = UserUtils.getPermissionByIds(ro.getResourceIds(), user.getId());
for (int j = 0; j < sresources.size(); j++) {
Resource re = sresources.get(j);
//给info对象设置角色
info.addStringPermission(re.getPermission());
}
}
return info;
}