1. 授权:给身份认证通过的人,授予他可以访问某些资源的权限。
2.权限粒度:分为粗粒度和细粒度。
粗粒度:对user的crud。也就是说同常对表的操作。
细粒度:是对记录的操作。如:只允许查询id为1的user的工资。
(shiro一般是管理粗粒度的权限,比如:菜单,按钮,url。一般细粒度的权限是通过业务来控制的)
3. 角色:权限的集合。
4.权限表示规则:资源:操作:实例。可以用通配符表示:
如:user:add 表示对user有添加的权限,user:* 表示对user具有所有的操作的权限。 user:delete:100,表示对user标识为100的记录有删除的权限。
5. shiro中的权限流程:
6. 编码实现:
a) 新建java项目
b) 编辑shiro,ini配置文件
[users] zhangsan=1111,role1 lisi=1111,role2 [roles] role1=user:add,user:update,user:delete role2=user:*
c)编写测试代码
public static void main(String[] args) { Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini"); SecurityManager securityManager=factory.getInstance(); SecurityUtils.setSecurityManager(securityManager); Subject subject = SecurityUtils.getSubject(); UsernamePasswordToken token = new UsernamePasswordToken("zhangsan", "1111"); try { //认证 subject.login(token); } catch (AuthenticationException e) { e.printStackTrace(); System.out.println("认证不通过"); } //基于角色的授权 boolean flag=subject.hasRole("role2"); System.out.println(flag); //判断是否具有多个角色 subject.hasRoles(Arrays.asList("role1","role2")); //可以通过checkRole来检测是否具有某个角色 如果该不具有该角色则抛出UnauthorizedException //subject.checkRole("role2"); //也可以同时检测多个角色 //subject.checkRoles("role1","role2"); //基于资源的授权 flag = subject.isPermitted("user:delete"); System.out.println(flag); //判断是否具有多个权限 flag = subject.isPermittedAll("user:add","user:update","user:delete"); System.out.println(flag); //通过checkPermission检测认证用户是否具有某个权限,如果没有则抛出异常UnauthorizedException subject.checkPermission("user:dd"); }
7. Shiro中的权限检查方式有3种:
a)编程式
If(subject.hasRole(“管理员”)){ //操作某个资源 }
b)注解式(在执行指定的方法 会检测是否具有该权限)
@RequiresRoles(“管理员”) public void list(){ //查询数据 }
c) 标签
<shiro:hasPermission name="user:update"> <a href="#">更新</a> </shiro:hasPermission>
8. 授权的流程:
a) 获取subject主体
b) 判断主题是否通过认证
c)调用subject.isPermitted*/hasRole*来进行权限的判断
- Subject是由其实现类DelegatingSubject来调用方法的,该类将处理交给了securityManager
- securityManager是由其实现类DefaultSecurityManager来进行处理,该类的isPermitted来处理,其本质父类AuthorizingSecurityManager来处理的。该类将处理交给了authorizer(授权器)
- Authorizer由其实现类ModularRealmAuthorizer来处理该类可以调用对应的Realm来获取数据,在该类有PermissionResolver对权限字符串进行解析,在对应的Ream中也有对应的PermissionResolver交给WildcardPermissionResolver该类调用WildcardPermission来进行权限字符串的解析。
- 返回处理结果