Shiro授权
1.定义
- 授权,也叫访问控制,即在应用中控制谁访问哪些资源(如访问页面/编辑数据/页面操作
等)。在授权中需了解的几个关键对象:主体( Subject)、资源( Resource)、权限
( Permission)、角色( Role)。 - 主体(Subject): 访问应用的用户, 在 Shiro 中使用 Subject 代表该用户。用户只有授权
后才允许访问相应的资源。 - 资源(Resource): 在应用中用户可以访问的 URL, 比如访问 JSP 页面、查看/编辑某些
数据、访问某个业务方法、打印文本等等都是资源。用户只要授权后才能访问。 - 权限(Permission): 安全策略中的原子授权单位,通过权限我们可以表示在应用中用户
有没有操作某个资源的权力。即权限表示在应用中用户能不能访问某个资源,如:访问用
户列表页面查看/新增/修改/删除用户数据(即很多时候都是CRUD(增查改删)式权限控
制)等。权限代表了用户有没有操作某个资源的权利,即反映在某个资源上的操作允不允
许。 Shiro 支持粗粒度权限(如用户模块的所有权限)和细粒度权限(操作某个用户的权限,
即实例级别的)角色 (Role): 权限的集合,一般情况下会赋予用户角色而不是权限,即这样用户可以拥有
一组权限,赋予权限时比较方便。典型的如:项目经理、技术总监、 CTO、开发工程师等
都是角色,不同的角色拥有一组不同的权限
2.授权的方式
- 编程式:通过写if/else授权代码完成 (使用不是很多)
- 注解式:通过在执行java方法上放置相应的注解完成,没有权限将抛出相应的异常 (常用)
- jsp/gsp标签:在jsp页面通过相应的标签完成
//1.编程式
if(subject.hasRole("admin")){
//有权
}else{
//无权
}
//2.注解式
@RequiresRoles("admin")
public void hello(){
//有权限
}
//3.标签式
<shiro:hasRole name="admin">
//有权限
</shiro:hasRole>
3.授权步骤
- 授权需要继承 AuthorizingRealm 类, 并实现其 doGetAuthorizationInfo 方法
- AuthorizingRealm 类继承自 AuthenticatingRealm, 但没有实现 AuthenticatingRealm 中的doGetAuthenticationInfo, 所以认证和授权只需要继承 AuthorizingRealm 就可以了. 同时实现他的两个抽象方法.
public class ShiroRealm extends AuthorizingRealm {
//授权 会被 shiro 回调方法
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
//1. 从PrincipalCollection中来获取登录用户信息
Object principal = principals.getPrimaryPrincipal();
//2.利用登录的用户信息来当前用户的角色和权限(可能需要查询数据库)
Set<String> roles = new HashSet<String>();
roles.add("user");
if("admin".equals(principal)){
roles.add("admin");
}
//3.创建SimpleAuthorizationInfo,并设置其reles属性
SimpleAuthorizationInfo info = new SimpleAuthorizationInfo(roles);
//4.返回SimpleAuthorizationInfo对象
return info;
}
}
4.shiro标签
Shiro 提供了 JSTL 标签用于在 JSP 页面进行权限控制,如根据登录用户显示相应的页面按钮。
/**需要导入标签*/
<%@taglib prefix="shiro" uri="http://shiro.apache.org/tags" %>
- * guest 标签*:用户没有身份验证时显示相应信息,即游客访问信息
<shiro:guest>
游客访问
</shiro:guest>
- user 标签:用户已经经过认证/记住我登录后显示相应的信息
<shiro:user>
·欢迎
</shiro:user>
- authenticated标签:yoghurt已经身份验证通过,即Subject.log()登录成功,不是记住我登录的
<shiro:authenticated></shiro:authenticated>
- notAuthenticated标签:用户未进行身份验证,即没有调用subjec.log进行登录,包括记住我自动登录也属于为进行身份验证
<shiro:notAuthenticated>
身份未验证(包括记住我)
<shiro:notAuthenticated>
- principal标签显示用户信息,默认调用subject.getPrincipal()获取,即Primary Principal
<shiro:principal property="username"/>
- hasRole标签如果当前Subject有角色将显示body体内容
<shiro:hasRole name="admin">
用户[<shiro:principal/>] 拥有admin角色
</shiro:hasRole>
- hasAnyRoles标签如果当前Subject有任意一个角色将显示body内容
<shiro:hasAnyRoles name="admin,user"></shiro:hasAnyRoles>
- lacksRole标签如果当前subject没有角色将显示body内容
<shiro:lacksRole name= "admin">
用户[<shirl:principal/>] 没有角色admin
</shiro:lacksRole>
- hasPermission标签:如果当前subject有权限将显示body内容
<shiro:hasPermission name="user:create"></shiro:hasPermission>
- lacksPermission标签:如果当前subject没有权限将显示body内容
<shiro:lacksPermission name="user:create"></shiro:lacksPermission>
5. 注解式
- @RequiresAuthentication:表示当前Subject已经通过login进行了身份验证; 即 Subject. isAuthenticated() 返回 true
- * @RequiresUser *:表示当前 Subject 已经身份验证或者通过记住我登录的。
- @RequiresGuest:表示当前Subject没有身份验证或通过记住我登录过,即是游客身份。
- @RequiresRoles(value={“admin”, “user”}, logical=Logical.AND):表示当前 Subject 需要角色admin 和user
- @RequiresPermissions (value={“user:a”, “user:b”},logical= Logical.OR):表示当前 Subject 需要权限 user:a 或user:b。
6.从数据表中初始化资源和权限
- 1..编写 FilterChainDefinitionMapBuilder 类
public class FilterChainDefinitionMapBuilder {
public LinkedHashMap<String,String> buildFilterChainDefinitionMap(){
LinkedHashMap<String, String> map = new LinkedHashMap<>();
//需要注意加载的顺序
map.put("/login.jsp", "anon");
map.put("/**", "authc");
return map;
}
}
- 2.配置 filterChainDefinitionMap
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
<!-- 1.配置filterChainDefinitionMap -->
<property name="filterChainDefinitionMap" ref="filterChainDefinitionMap"/>
<!-- 之前的做法注释掉 -->
<!--<property name="filterChainDefinitions">-->
<!--<value>-->
<!--/login.jsp = anon-->
<!--/shiro/login=anon-->
<!--/user.jsp=roles[user]-->
<!--/admin.jsp=roles[admin]-->
<!--/shiro/logout=logout-->
<!--# everything else requires authentication:-->
<!--/** = authc-->
<!--</value>-->
<!--</property>-->
</bean>
<!-- 2.配置一个 bean, 该 bean 实际上是一个 Map. 通过实例工厂方法的方式 -->
<bean id="filterChainDefinitionMap"
factory-bean="filterChainDefinitionMapBuilder" factory-method="buildFilterChainDefinitionMap"></bean>
<bean id="filterChainDefinitionMapBuilder"
class="com.gdy.shiro.FilterChainDefinitionMapBuilder"></bean>