一、目标
权限配置在数据库中,通过注解Shiro的注解实现服务的权限验证
二、前言
在前面的一篇博文中《Shiro权限控制(二):自定义Filter》,我们的权限验证是配置在shiro配置文件中的,即在spring-shiro-web.xml中的ShiroFilterFactoryBean的filterChainDefinitions属性中,如下
<!-- Shiro的web过滤器 -->
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
<property name="securityManager" ref="securityManager"></property>
<property name="filters">
<map>
<entry key="authc" value-ref="loginCheckPermissionFilter"></entry>
<entry key="perms" value-ref="permissionsAuthorizationFilter"></entry>
</map>
</property>
<property name="filterChainDefinitions">
<value>
/user/queryUserInfo = authc
/user/deleteUser/** = perms[USER:DELETE]
</value>
</property>
</bean>
如何通过注解的方式,实现权限的验证呢?请看下面的介绍
三、启用注解
1、必须在Spring MVC的配置文件中,增加以下配置,启用Shiro的权限注解功能
<bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator"
depends-on="lifecycleBeanPostProcessor" />
<bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
<property name="securityManager" ref="securityManager" />
</bean>
说明:我的Spring MVC的文件是spring-servlet.xml,该文件必须在web.xml文件中引入
<servlet>
<servlet-name>springmvc</servlet-name>
<servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class>
<init-param>
<param-name>contextConfigLocation</param-name>
<param-value>classpath:config/spring-servlet.xml</param-value>
</init-param>
</servlet>
<servlet-mapping>
<servlet-name>springmvc</servlet-name>
<url-pattern>/*</url-pattern>
</servlet-mapping>
2、在spring-shiro-web.xml文件中增加以下配置
<bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"></bean>
通过上面的配置,Shiro的权限注解已经生效,下面来验证一下
三、验证
1.创建权限表
分别增加角色表sys_role_t,角色权限表sys_role_perm_t,用户角色权限关系表user_role_perm_t
在角色表sys_role_t中初始化三个角色,分别为系统管理员,普通用户,区域管理员
在角色权限表sys_role_perm_t中初始化普通用户,区域管理员具有增、删、改、查权限
在用户角色权限关系表user_role_perm_t中配置user_id=1的用户,有普通用户角色的查询、编辑、新增权限;有区域管理员角色的删除权限
2.自定义UserShiroRealm
自定义UserShiroRealm,继承AuthorizingRealm,重写doGetAuthorizationInfo方法,在方法中查询用户的所有权限,并交给Shiro进行权限验证
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
String userName = (String)principals.getPrimaryPrincipal();
if(userName == null) {
throw new BugException("未登录");
}
SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
Set<String> roles = new HashSet<String>();
Set<String> stringPermissions = new HashSet<String>();
List<UserPermissionVO> list = userService.queryUserPermission(userName);
for (UserPermissionVO userPermissionVO : list) {
roles.add(userPermissionVO.getRoleCode());
stringPermissions.add(userPermissionVO.getPermCodes());
}
//roles.add("USER");
//stringPermissions.add("USER:DELETE");//角色:删除权限
info.setRoles(roles);
info.setStringPermissions(stringPermissions);
return info;
}
3.编写服务
服务名称:增加用户
权限要求:普通用户角色的新增权限 或 区域管理员的新增权限才可访问
@ResponseBody
@RequiresPermissions(value = { "CUSTOMER_USER:ADD","AREA_MANAGER:ADD" },logical=Logical.OR)
@RequestMapping(value="/addUser",method = RequestMethod.GET)
public ResponseVO<String> addUser() {
ResponseVO<String> response = new ResponseVO<String>();
try {
response.setMessage("add user success");
} catch (Exception e) {
logger.error("add user error:",e);
response.setStatus(ResponseVO.failCode);
}
return response;
}
logical=Logical.OR 表示或,满足其中一个权限即可访问
logical=Logical.AND 表示与,满足所有权限才可访问
未登录,直接访问http://localhost:8080/bug.web/user/addUser,报如下错误,提示没有登录
登录成功后,再次访问http://localhost:8080/bug.web/user/addUser,请求成功,如果从数据库中删除用户的 CUSTOMER_USER:ADD权限和AREA_MANAGER:DELETE权限,再次请求时报如下错误,提示没有访问权限
上面的异常如何处理请看另一篇博文《Shiro权限控制之注解验证异常处理(四)》
上面只是用到了@RequiresPermissions注解,其他注解如下
四、其他注解说明
@RequiresAuthentication
验证用户是否登录,等同于方法subject.isAuthenticated() 结果为true时。
@RequiresUser
验证用户是否被记忆,user有两种含义:
一种是成功登录的(subject.isAuthenticated() 结果为true);
另外一种是被记忆的(subject.isRemembered()结果为true)。
@RequiresGuest
验证是否是一个guest的请求,与@RequiresUser完全相反。
换言之,RequiresUser == !RequiresGuest。
此时subject.getPrincipal() 结果为null.
@RequiresRoles
例如:@RequiresRoles(“aRoleName”);
void someMethod();
如果subject中有aRoleName角色才可以访问方法someMethod。如果没有这个权限则会抛出异常AuthorizationException。
@RequiresPermissions
例如: @RequiresPermissions({“file:read”, “write:aFile.txt”} )
void someMethod();
要求subject中必须同时含有file:read和write:aFile.txt的权限才能执行方法someMethod()。否则抛出异常AuthorizationException。