1.权限粒度:分为粗粒度和细粒度。粗粒度:对user的crud。也就是通常说的对表的操作。
细粒度:是对记录的操作。如:只允许查询id为1 的user的工资。shiro一般管理的是粗粒度的权限。比如:菜单,按钮,url。一般细粒度的权限是通过业务来控制的。
2.角色:权限的集合。
3.权限表示规则:资源:操作:实例。可以用通配符表示:
如:user:add 表示对user有添加的权限,user:*表示对user具有所有操作的权限。
user:delete:100表示对user标识为100的记录有删除的权限。
4.shiro中的权限流程:
5.编码实现:
1.新建Java项目
2.编辑shiro.ini配置文件
[users]
zhangsan=123,role1
lisi=456,role2
[roles]
role1=user:add,user:update,user:delete
role2=user:*
3.编码测试
package com.sxt.shiro;
import java.util.ArrayList;
import java.util.Arrays;
import java.util.List;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.*;
import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.util.Factory;
import org.apache.shiro.mgt.SecurityManager;
/**
* 完成用户认证demo
* @author Lee
*
*/
public class AuthorizationDemo {
public static void main(String[] args) {
Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini");
SecurityManager securityManager = factory.getInstance();
SecurityUtils.setSecurityManager(securityManager);
Subject subject = SecurityUtils.getSubject();
UsernamePasswordToken token = new UsernamePasswordToken("zhangsan","123");
try {
//认证
subject.login(token);
} catch (AuthenticationException e) {
System.out.println("认证不通过");
e.printStackTrace();
}
//基于角色的授权
boolean flag = subject.hasRole("role2");
System.out.println(flag);
//判断是否具有多个角色
List<String> list = new ArrayList<String>();
list.add("role1");
list.add("role2");
boolean[] flags = subject.hasRoles(list);
for (boolean b : flags) {
System.out.println("-----"+b);
}
//可以通过checkRole来检测是否具有某个角色,如果不具有该角色则抛出UnauthorizedException
subject.checkRole("role1");
//也可以同时检测多个角色
subject.checkRoles("role1","role2");
//基于资源的授权
flag = subject.isPermitted("user:delete");
System.out.println(flag);
//判断是否具有多个权限
flag = subject.isPermittedAll("user:add","user:delete","user:update");
System.out.println(flag);
//通过checkPermission()检测用户是否具有某个权限,如果没有则抛出UnauthorizedException异常
subject.checkPermission("user:dd");
}
}
6.shiro中的权限检查方式有三种:
1.编程式
if(subject.hasRole("管理员")){
//操作某个资源
}
2.注解式 在执行指定的方法时 会检测是否具有该权限
@RequireRoles(“管理员”)
public void list(){
//查询数据
}
3.标签
使用标签时须在jsp页面上方导入shiro标签库
<%@ taglib prefix="shiro" uri="http://shiro.apache.org/tags"%>
<shiro:hasPermission name="user:add">
<a href="#">更新</a>
</shiro:hasPermission>
8.授权流程:
1.获取subject主体
2.判断主体是否通过
3.调用subject.isPermited*/hasRole*来进行权限的判断
3.1subject是由其实现类DelegatingSubject来调用方法的,该类将处理交给了SecurityManager
3.2SecurityManager是由其实现类DefaultSecurityManager来进行处理,该类的isPermitted来处理,其本质父类AuthorizingSecurityManager来处理的。该类将处理交给了Authorizer(授权器)
3.3Authorizer由其实现类ModularRealmAuthenticator来处理,该类可以调用对应的Realm来获取数据,在该类有PermissionResolver对权限字符串进行解析,在对应的Realm中也有对应的PermissionResolver交给WildcardPermissionResolver该类调用WildcardPermission来进行权限字符的解析。
3.4返回处理结果