Shiro 权限配置(八)

一.授权

  授权，也叫访问控制，即在应用中控制谁访问哪些资源（如访问页面/编辑数据/页面操作
等）。在授权中需了解的几个关键对象：主体（Subject）、资源（Resource）、权限
（Permission）、角色（Role）。

• 主体(Subject)：访问应用的用户，在 Shiro 中使用 Subject 代表该用户。用户只有授权
后才允许访问相应的资源。
• 资源(Resource)：在应用中用户可以访问的 URL，比如访问 JSP 页面、查看/编辑某些
数据、访问某个业务方法、打印文本等等都是资源。用户只要授权后才能访问。
• 权限(Permission)：安全策略中的原子授权单位，通过权限我们可以表示在应用中用户
有没有操作某个资源的权力。即权限表示在应用中用户能不能访问某个资源，如：访问用
户列表页面查看/新增/修改/删除用户数据（即很多时候都是CRUD（增查改删）式权限控
制）等。权限代表了用户有没有操作某个资源的权利，即反映在某个资源上的操作允不允
许。
• Shiro 支持粗粒度权限（如用户模块的所有权限）和细粒度权限（操作某个用户的权限，
即实例级别的）
• 角色(Role)：权限的集合，一般情况下会赋予用户角色而不是权限，即这样用户可以拥有
一组权限，赋予权限时比较方便。典型的如：项目经理、技术总监、CTO、开发工程师等

都是角色，不同的角色拥有一组不同的权限。

二.Shiro 支持三种方式的授权：

1) 编程式：通过写if/else 授权代码块完成

if(subject.hasRole("mike"){
 //有权限
}else{
 //无权限
}

2) 注解式：通过在执行的Java方法上放置相应的注解完成，没有权限将抛出相应的异常(一般推荐使用这个)

@RequiresRoles("mike")
public void show(){
 //有权限
}

3) JSP/GSP 标签：在JSP/GSP 页面通过相应的标签完成

<shiro:hasRole name="mike">
<!--有权限-->
</shiro:hasRole>

三.Shiro 内置了默认的拦截器

 默认的拦截器很多比如身份验证、授权等相关的。默认拦截器可以参考org.apache.shiro.web.filter.mgt.DefaultFilter中的枚举拦截器：

查看AnonymousFilter javadoc

创建两个JSP页面

运行登录

单击这两个页面都可以访问!

下面在application.xml文件中配置角色

运行登录

单击这任一个页面都不可以访问!跳转到了"未认证页面" 

如何解决上面的问题呢?

其他的代码一致!

再重写这个方法!

再次运行用admin登录认证

那么UserJSP 和Admin.jsp页面是可以被访问的!

用mike登录

单击admin.jsp页面还是不能访问哦!