01、为什么 shiro 有了《角色》后,还要设置《角色权限》呢?(问题)
思考:设置好角色了,那么就代表什么操作都可以执行了吗?
理解:如果上边回答是的话,那么只是《角色》层次的控制。
举例:如果你是个老师,那么你就可以教学生数学课,但是现实呢,是个老师就能教数学课吗?体育老师、美术老师…路过;
所以:
- 角色权限就是用来指定这个角色可以做哪些操作。
- 换句话说角色就是某些权限的集合。
- 比如学校里面校长,老师,学生,等角色,但是他们都有不同的职业,这就是权限。
- 如果只有角色没有权限,那角色就没有意义了。
值的一提的是,《角色》 跟 《角色权限》 都是用来控制用户访问权限的,如果项目中只是需要用到 《角色》来限制用户访问,那么,角色权限就没什么用了,所以,《角色权限》更像是《角色》更加细化后的操作,比如上边学校老师、校长、学生那个例子;
02、代码小例子
/**
* 权限认证
*/
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
/**1、获取登录时输入的用户名**/
String loginName=(String) principalCollection.fromRealm(getName()).iterator().next();
/**2、到数据库查是否有此对象 **/
User user=userService.findByName(loginName);
if(user!=null){
/**2.1、权限信息对象info,用来存放查出的用户的所有的角色(role)及权限(permission)**/
SimpleAuthorizationInfo info=new SimpleAuthorizationInfo();
/**2.2、用户的角色集合 **/
info.addRoles(user.getRolesName());
/**2.3、用户的角色对应的所有权限,如果只使用角色定义访问权限,下面的四行可以不要 **/
List<Role> roleList=user.getRoleList();
for (Role role : roleList) {
info.addStringPermissions(role.getPermissionsName());
}
return info;
}
return null;
}
上边代码截取的自定义 AuthorizingRealm 中的 doGetAuthenticationInfo 方法;
结合上方代码,举两个例子。
1、角色控制
场景描述:只允许(admin)登录角色显示。
界面代码:jsp代码(非前后端分离,仅供参考)
<shiro:hasRole name="manager">manager角色登录显示此内容</shiro:hasRole>
<shiro:hasRole name="admin">admin角色登录显示此内容</shiro:hasRole>
后端代码:上边 2.2 步骤,用户角色设置中,如果给该用户 “admin”权限,那么在 jsp 中就能显示出第一条来。
info.addRoles("admin");
2、权限控制
场景描述:只允许拥有 (add)权限的用户显示
界面代码:jsp代码(非前后端分离,仅供参考)
<shiro:hasPermission name="add">add权限用户显示此内容</shiro:hasPermission>
<shiro:hasPermission name="edit">edit权限用户显示此内容</shiro:hasPermission> 后端代码:上边 2.3 步骤,用户角色权限设置中,如果给该用户角色设置 “add”权限,那么在 jsp 中就能显示出第一条来。
info.addStringPermissions("add");
03、补充
关于 shiro 《角色》与《权限》相信你大概有一点概念了,下一篇会总结一下关于 shiro 常用注解,以及注解使用场景。
博客地址:http://www.cnblogs.com/niceyoo
18年专科毕业后一度迷茫,创建了一个用来记录自己成长的公众号,感兴趣的小伙伴可以关注一下~
