Shiro的授权流程
用户访问系统资源时的授权流程如下:
系统调用subject主体对象相关方法将用户权限信息(例如isPermitted)递交给SecurityManager
SecurityManager将权限检测操作委托给Authorizer授权管理器对象
Authorizer授权管理器将用户信息委托给realm
Realm访问数据库获取用户权限信息(有没有权限,有什么样的权限)并封装
Authorizer对用户授权信息进行判定(判断用户访问资源时需要什么权限,假如用户所具有的权限包含这个资源访问时所需要的权限,那么用户就可以访问这个资源了)。
不是每一个用户都能访问系统中的所有资源,能访问哪些资源需要有一个授权的过程,这个授权的对象叫做Authorizer。
授权方式
Shiro支持四种方式的授权验证
Suject subject = SecurityUtils.getSubject();
(1)代码级别权限控制:通过写 if/else授权代码块完成,前面测试类中即该方式
- if ( subject.hasRole(“管理员”)){
// 有权限
}else{
//无权限
}
(2)页面标签权限控制:在页面通过相应的标签完成
<shiro:hasRole name=“管理员”>
<!-有权限->
</shiro:hasRole>
(3)方法注解权限控制:通过在执行的Java方法上添加相应的注解完成
@RequiresRoles(“管理员”)
public String add(Model model){
//有权限
}
(4)URL拦截权限控制:在 ShiroFilterFactoryBean对象中配置URL拦截规则完成
filterChainDefinitionMap.put("/login",“anon”);
filterChainDefinitionMap.put("/user/add",“perms[用户添加]”);
filterChainDefinitionMap.put("/user/edit",“perms[用户编辑]”);
filterChainDefinitionMap.put("/user/del",“perms[]用户删除]”);