shiro教程之四授权、表达式、权限、角色测试

RBAC

RBAC: 基于角色的权限管理
简单理解为：谁扮演什么角色， 被允许做什么操作
用户对象：user： 当前操作用户
角色对象：role：表示权限操作许可权的集合
权限对象：permission: 资源操作许可权

shiro的授权方式

• 编程方式

Subject subject = SecurityUtils.getSubject();  
if(subject.hasRole(“admin”)) {  
    //有权限  
} else {  
    //无权限  
}  

• 注解方式

通过在执行的Java方法上放置相应的注解完成

@RequiresRoles("admin")  
@RequiresPermission(“employee:save”)
public void hello() {  
    //有权限  
} 

• jsp标签

通过相应的标签完成
<shiro:hasRole name="admin">  
         <!— 有权限 —>  
</shiro:hasRole> 

权限表达式定义

在ini文件中用户、角色、权限的配置规则是：“用户名=密码，角色1，角色2...” “角色=权限1，权限2...”，首先根据用户名找角色，再根据角色找权限，角色是权限集合。

权限字符串的规则是：“资源标识符：操作：资源实例标识符”，意思是对哪个资源的哪个实例具有什么操作，“:”是资源/操作/实例的分割符，权限字符串也可以使用*通配符。
例子：
用户创建权限：user:create，或user:create:*
用户修改实例001的权限：user:update:001
用户实例001的所有权限：user：*：001

一般而已，我们操作只需要关注前面两节：
资源：操作  ：   
*:* : 所有资源的所有操作权限--->admin

使用ini方式来测试权限、角色

• shiro-permission.ini

[users]
##用户zhangsan的密码是123，此用户具有role1和role2的角色
zhangsan=666,role1,role2
lisi=888,role2

[roles]
##角色role1对资源user拥有create、update权限
role1=user:create,user:update
#角色role2对资源user拥有create、delete权限
role2=user:create,user:delete
#角色role3对资源user拥有create权限
role3=user:create

• 测试类

public class TestShiro {
	public static void main(String[] args) {
		//1、创建SecurityManager工厂对象,加载配置文件，创建工厂对象
		Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro-permission.ini");
		//2、通过工厂对象,创建SecurityManager对象
		SecurityManager securityManager = factory.getInstance();
		//3、将SecurityManager绑定到当前运行环境中:让系统随时随地都可以访问SecurityManager对象
		SecurityUtils.setSecurityManager(securityManager);		
		//4、创建当前登录的主体、注意：此时主体没有经过认证
		Subject subject = SecurityUtils.getSubject();
		//5、收集主体登录的身份/凭证，即账号密码
		//参数1:将要登录的用户名，参数2：登录用户的密码
		UsernamePasswordToken token = new UsernamePasswordToken("zhangsan", "666");
		//6:主体登录
		try {
			subject.login(token);
		} catch (Exception e) {
			//登录失败
			e.printStackTrace();
		}
		//7、判断等是否成功
		System.out.println("验证登录是否成功:"+subject.isAuthenticated());
		//进行授权前，必须通过用户认证
		
		/**测试角色开始**/
		System.out.println("测试角色开始");
		//判断当前用户是否拥有某个角色：返回true表示拥有，false表示没有
		System.out.println(subject.hasRole("role2"));
		//判断当前用户是否拥有一些角色，返回true表示全部拥有，返回false表示不全部拥有
		System.out.println(subject.hasAllRoles(Arrays.asList("role1","role2","role3")));
		//判断当前用户是否拥有一些角色：返回boolean类型数据,true表示拥有某个角色，false表示没有
		System.out.println(Arrays.toString(subject.hasRoles(Arrays.asList("role1","role2","role3"))));
		
		//判断当前用户是否拥有某个角色：没有返回值，如果拥有角色，不做任何操作，没有报异常
		subject.checkRole("role1");
		//判断当前用户是否拥有一些角色  如果其中没有一个,会报错
		try {
			//org.apache.shiro.authz.UnauthorizedException: Subject does not have role [role3]
			subject.checkRoles("role1","role2","role3");
		} catch (AuthorizationException e1) {
			// TODO Auto-generated catch block
			e1.printStackTrace();
		}
		System.out.println("测试角色结束");
		/**测试角色结束**/
		
		
		System.out.println("------------------------");
		/**测试权限开始**/
		System.out.println("测试权限开始");
		//判断当前用户是否拥有某个权限:返回true表示拥有,返回false,表示没有
		System.out.println(subject.isPermitted("user:delete"));
		//判断当前用户是否拥有一些权限、返回true表示全部拥有，返回false，表示不全部拥有
		System.out.println(subject.isPermittedAll("user:delete","user:create"));
		System.out.println(subject.isPermittedAll("user:delete","user:create","user:role"));
		//判断当前用户是否拥有一些权限:返回的是boolean类型数据，true表示拥有某个权限，false表示没有
		System.out.println(Arrays.toString(subject.isPermitted("user:delete","user:create","user:role")));
		
		
		/*************************判断当前用户是否拥有某个角色**************************/
		//判断当前用户是否拥有某个权限：没有返回值，如果拥有权限,不做任何操作，没有报异常:UnauthorizedException
		subject.checkPermission("user:delete");
		try {
			//Exception in thread "main" org.apache.shiro.authz.UnauthorizedException: Subject does not have permission [user:role]
			subject.checkPermission("user:role");
		} catch (AuthorizationException e) {
			// TODO Auto-generated catch block
			//e.printStackTrace();
		}
		System.out.println("测试权限结束");
		/**测试权限结束**/
		//8:登出(注销)
		subject.logout();
		System.out.println("验证登录是否成功:"+subject.isAuthenticated());
	}
}

通过自定义realm文件来模拟权限数据从数据库查询出来的

• 自定义realm文件

[main]
#声明一个realm
myReal = cn.com.zhangjh.shiro.PermissionRealm
#指定SecurityManager的realms实现
securityManager.realms=$myReal

• 自定义realm文件如下

public class PermissionRealm extends AuthorizingRealm{

	@Override
	public String getName() {
		// TODO Auto-generated method stub
		return "PermissionRealm";
	}
	
	@Override
	protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principal) {
		//传入参数:principals:用户凭证信息
		//当前登录用户信息:用户凭证
		String username = (String) principal.getPrimaryPrincipal();
		//这里模拟数据库查询:查询用户指定的角色以及用户权限
		List<String> roles = new ArrayList<>();//角色集合
		List<String> permission = new ArrayList<>();//权限集合
		//假设用户在数据库中有role1角色
		roles.add("role3");
		//假设用户在数据库中拥有user:delete 权限
		permission.add("user:delete");
		//返回用户在数据库中的权限与角色
		SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
		info.addRoles(roles);
		info.addStringPermissions(permission);
		return info;
	}

	@Override
	protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
		System.out.println(token);
		//参数token：表示登录时包装的UsernamePasswordToken
		//通过用户名到数据库中查用户信息，封装成一个AuthenticationInfo对象返回，方便认证器进行对比
		//获取token中的用户名
		String username = (String) token.getPrincipal();
		//通过用户名查询数据库,将该用户对应数据查询返回:账号和密码
		//假设查询数据库返回数据是：zhangsan  666
		if(!"zhangsan".equals(username)){
			return null;
		}
		String password = "666";
		//info对象表示realm登录比对信息:参数1：用户信息(真实登录中是登录对象user对象),参数2：密码  参数3：当前realm名字
		SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(username, password, getName());
		return info;
	}

}

授权过程

1、首先调用Subject.isPermitted*/hasRole*接口，其会委托给SecurityManager，而SecurityManager接着会委托给Authorizer
2、Authorizer是真正的授权者，如果我们调用如isPermitted(“user:view”)，其首先会通过PermissionResolver把字符串转换成相应的Permission实例；
3、在进行授权之前，其会调用相应的Realm获取Subject相应的角色/权限用于匹配传入的角色/权限；
4、Authorizer会判断Realm的角色/权限是否和传入的匹配，如果有多个Realm，会委托给ModularRealmAuthorizer进行循环判断，如果匹配如isPermitted*/hasRole*会返回true，否则返回false表示授权失败。