一,shiro授权
授权流程:
跟用户的认证流程类似,shrio在用户授权的时候,最后还是去Realm获取信息。
shiro的三种授权方式:
Shiro 支持三种方式的授权:
- 编程式:通过写if/else 授权代码块完成:
Subject subject = SecurityUtils.getSubject();
if(subject.hasRole(“admin”)) {
//有权限
} else {
//无权限
}
- 注解式:通过在执行的Java方法上放置相应的注解完成:
@RequiresRoles("admin")
public void hello() {
//有权限
}
- JSP/GSP 标签:在JSP/GSP 页面通过相应的标签完成:
<shiro:hasRole name="admin">
<!— 有权限—>
</shiro:hasRole>
二,代码测试shrio授权
首先编写ini文件:
#用户
[users]
#用户zhang的密码是123,此用户具有role1和role2两个角色
zhangsan=123,role1,role2
#权限
[roles]
#角色role1对资源user拥有create、update权限
role1=user:create,user:update
#角色role2对资源user拥有create、delete权限
role2=user:create,user:delete
#角色role3对资源user拥有create权限
role3=user:create
权限标识符号规则:资源:操作:实例(中间使用半角:分隔)
user:create:01 表示对用户资源的01实例进行create操作。
user:create:表示对用户资源进行create操作,相当于user:create:*,对所有用户资源实例进行create操作。
例如,user:*:01 表示对用户资源实例01进行所有操作。
授权测试代码:
/**
* 授权测试
* @author LiuHuiChao
*
*/
public class AuthorizationTest {
//角色授权,资源授权
@Test
public void testAuthorization(){
//创建SecurityManager工厂
Factory<SecurityManager> factory=new IniSecurityManagerFactory("classpath:shiro-permission.ini");
//创建SecurityManager
SecurityManager securityManager=factory.getInstance();
//将SecurityManager设置到系统运行环境,和spring整合后将SecurityManager配置到spring容器中
SecurityUtils.setSecurityManager(securityManager);
//创建subject
Subject subject=SecurityUtils.getSubject();
//执行认证
UsernamePasswordToken token=new UsernamePasswordToken("zhangsan","123");
try {
subject.login(token);
} catch (AuthenticationException e) {
e.printStackTrace();
}
System.out.println("认证状态:"+subject.isAuthenticated());
//认证通过后执行授权
/*基于角色的授权*/
boolean IsHasRole=subject.hasRole("role1");
System.out.println("是否有role1权限:"+IsHasRole);
//判断是否拥有多个角色
boolean hasAllRoles=subject.hasAllRoles(Arrays.asList("role1","role2"));
System.out.println("是否拥有所有角色([role1],[role2]):"+hasAllRoles);
//使用check方法进行授权,如果授权不通过,抛出异常
try {
subject.checkRole("role12");
} catch (AuthorizationException e) {
System.out.println("用户没有role12角色");
e.printStackTrace();
}
/*基于资源的授权*/
boolean isPermitted=subject.isPermitted("user:create:1");
System.out.println("是否有user:create权限:"+isPermitted);
boolean isPremittedAll=subject.isPermittedAll("user:create","user:delete");
System.out.println("是否有user:create,user:delete权限:"+isPermitted);
//使用无返回值的check
try {
subject.checkPermission("user:post");
} catch (AuthorizationException e) {
System.out.println("用户没有user:post权限");
e.printStackTrace();
}
}
}
注意,只需在用户认证代码的基础上接着加就ok了,这样就完成了简单的用户认证+授权。