shiro教程（3）-shiro授权

1 shiro授权

 

1.1 授权流程

 

1.2 授权方式

Shiro 支持三种方式的授权：

1、编程式：通过写if/else 授权代码块完成：

Subject subject = SecurityUtils.getSubject();

if(subject.hasRole(“admin”)) {

//有权限

} else {

//无权限

}

2、注解式：通过在执行的Java方法上放置相应的注解完成：

@RequiresRoles("admin")

public void hello() {

//有权限

}

3、 JSP/GSP 标签：在JSP/GSP页面通过相应的标签完成：

<shiro:hasRole name="admin">

<!— 有权限—>

</shiro:hasRole>

 

本教程序授权测试使用第一种编程方式，实际与web系统集成使用后两种方式。

 

1.3 授权测试

1.3.1 shiro-permission.ini

创建存放权限的配置文件shiro-permission.ini，如下：

[html] view plain copy print?

1. [users]  

2. #用户zhang的密码是123，此用户具有role1和role2两个角色  

3. zhang=123,role1,role2  

4. wang=123,role2  

5.   

6. [roles]  

7. #角色role1对资源user拥有create、update权限  

8. role1=user:create,user:update  

9. #角色role2对资源user拥有create、delete权限  

10. role2=user:create,user:delete  

11. #角色role3对资源user拥有create权限  

12. role3=user:create  

 

在ini文件中用户、角色、权限的配置规则是：“用户名=密码，角色1，角色2...” “角色=权限1，权限2...”，首先根据用户名找角色，再根据角色找权限，角色是权限集合。

 

 

 

1.3.2 权限字符串规则

权限字符串的规则是：“资源标识符：操作：资源实例标识符”，意思是对哪个资源的哪个实例具有什么操作，“:”是资源/操作/实例的分割符，权限字符串也可以使用*通配符。

 

例子：

用户创建权限：user:create，或user:create:*

用户修改实例001的权限：user:update:001

用户实例001的所有权限：user：*：001

 

 

1.3.3 测试代码

 

测试代码同认证代码，注意ini地址改为shiro-permission.ini，主要学习下边授权的方法，注意：在用户认证通过后执行下边的授权代码。

 

[java] view plain copy print?

1. @Test  

2.   

3. public void testPermission() {  

4.   

5.    

6.   

7. // 从ini文件中创建SecurityManager工厂  

8.   

9. Factory<SecurityManager> factory = new IniSecurityManagerFactory(  

10.   

11. "classpath:shiro-permission.ini");  

12.   

13.    

14.   

15. // 创建SecurityManager  

16.   

17. SecurityManager securityManager = factory.getInstance();  

18.   

19.    

20.   

21. // 将securityManager设置到运行环境  

22.   

23. SecurityUtils.setSecurityManager(securityManager);  

24.   

25.    

26.   

27. // 创建主体对象  

28.   

29. Subject subject = SecurityUtils.getSubject();  

30.   

31.    

32.   

33. // 对主体对象进行认证  

34.   

35. // 用户登陆  

36.   

37. // 设置用户认证的身份(principals)和凭证(credentials)  

38.   

39. UsernamePasswordToken token = new UsernamePasswordToken("zhang", "123");  

40.   

41. try {  

42.   

43. subject.login(token);  

44.   

45. } catch (AuthenticationException e) {  

46.   

47. // TODO Auto-generated catch block  

48.   

49. e.printStackTrace();  

50.   

51. }  

52.   

53.    

54.   

55. // 用户认证状态  

56.   

57. Boolean isAuthenticated = subject.isAuthenticated();  

58.   

59.    

60.   

61. System.out.println("用户认证状态：" + isAuthenticated);  

62.   

63.    

64.   

65. // 用户授权检测 基于角色授权  

66.   

67. // 是否有某一个角色  

68.   

69. System.out.println("用户是否拥有一个角色：" + subject.hasRole("role1"));  

70.   

71. // 是否有多个角色  

72.   

73. System.out.println("用户是否拥有多个角色：" + subject.hasAllRoles(Arrays.asList("role1", "role2")));  

74.   

75. //subject.checkRole("role1");  

76.   

77. //subject.checkRoles(Arrays.asList("role1", "role2"));  

78.   

79.    

80.   

81. // 授权检测，失败则抛出异常  

82.   

83. // subject.checkRole("role22");  

84.   

85.    

86.   

87. // 基于资源授权  

88.   

89. System.out.println("是否拥有某一个权限：" + subject.isPermitted("user:delete"));  

90.   

91. System.out.println("是否拥有多个权限：" + subject.isPermittedAll("user:create:1","user:delete"));  

92.   

93. //检查权限  

94.   

95. subject.checkPermission("sys:user:delete");  

96.   

97. subject.checkPermissions("user:create:1","user:delete");  

98.   

99.    

100.   

101. }  

 

 

1.3.4 基于角色的授权

[java] view plain copy print?

1. // 用户授权检测 基于角色授权  

2.   

3. // 是否有某一个角色  

4.   

5. System.out.println("用户是否拥有一个角色：" + subject.hasRole("role1"));  

6.   

7. // 是否有多个角色  

8.   

9. System.out.println("用户是否拥有多个角色：" + subject.hasAllRoles(Arrays.asList("role1", "role2")));  

 

对应的check方法：

subject.checkRole("role1");

subject.checkRoles(Arrays.asList("role1","role2"));

 

上边check方法如果授权失败则抛出异常：

[java] view plain copy print?

1. org.apache.shiro.authz.UnauthorizedException: Subject does not have role [.....]  

 

 

1.3.5 基于资源授权

 

[java] view plain copy print?

1. // 基于资源授权  

2.   

3. System.out.println("是否拥有某一个权限：" + subject.isPermitted("user:delete"));  

4.   

5. System.out.println("是否拥有多个权限：" + subject.isPermittedAll("user:create:1","user:delete"));  

6.   

7. 对应的check方法：  

8.   

9. subject.checkPermission("sys:user:delete");  

10.   

11. subject.checkPermissions("user:create:1","user:delete");  

 

 

上边check方法如果授权失败则抛出异常：

[java] view plain copy print?

1. org.apache.shiro.authz.UnauthorizedException: Subject does not have permission [....]  

 

 

1.4 自定义realm

与上边认证自定义realm一样，大部分情况是要从数据库获取权限数据，这里直接实现基于资源的授权。

1.4.1 realm代码

 

在认证章节写的自定义realm类中完善doGetAuthorizationInfo方法，此方法需要完成：根据用户身份信息从数据库查询权限字符串，由shiro进行授权。

 

[java] view plain copy print?

1. // 授权  

2.   

3. @Override  

4.   

5. protected AuthorizationInfo doGetAuthorizationInfo(  

6.   

7. PrincipalCollection principals) {  

8.   

9. // 获取身份信息  

10.   

11. String username = (String) principals.getPrimaryPrincipal();  

12.   

13. // 根据身份信息从数据库中查询权限数据  

14.   

15. //....这里使用静态数据模拟  

16.   

17. List<String> permissions = new ArrayList<String>();  

18.   

19. permissions.add("user:create");  

20.   

21. permissions.add("user.delete");  

22.   

23. //将权限信息封闭为AuthorizationInfo  

24.   

25. SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();  

26.   

27. for(String permission:permissions){  

28.   

29. simpleAuthorizationInfo.addStringPermission(permission);  

30.   

31. }  

32.   

33. return simpleAuthorizationInfo;  

34.   

35. }  

 

 

1.4.2 shiro-realm.ini

ini配置文件还使用认证阶段使用的，不用改变。

 

1.4.3 测试代码

同上边的授权测试代码，注意修改ini地址为shiro-realm.ini。

 

 

1.4.4 授权执行流程

1、 执行subject.isPermitted("user:create")

2、 securityManager通过ModularRealmAuthorizer进行授权

3、 ModularRealmAuthorizer调用realm获取权限信息

4、ModularRealmAuthorizer再通过permissionResolver解析权限字符串，校验是否匹配

转载于:https://blog.51cto.com/sihai/1913315