SpringBoot:集成Shiro之INI授权篇

INI文件授权方式简单易懂,但是由于是硬编码,所以在可维护性上差强人意.自己酌情使用.

前言

---

前面说到如何使用INI文件进行登录认证,但是这一篇博客主要讲的是Shiro的另外一个重要功能就是授权操作,这里简单说明一下,授权操作就是来定义合法用户的权限操作.这一篇我们仍然使用INI文件的形式,看一下,我们如何来进行授权操作.

RBAC简单阐述

---

基于角色的权限访问控制（Role-Based Access Control）作为传统访问控制（自主访问，强制访问）的有前景的代替受到广泛的关注。在RBAC中，权限与角色相关联，用户通过成为适当角色的成员而得到这些角色的权限。这就极大地简化了权限的管理。在一个组织中，角色是为了完成各种工作而创造，用户则依据它的责任和资格来被指派相应的角色，用户可以很容易地从一个角色被指派到另一个角色。角色可依新的需求和系统的合并而赋予新的权限，而权限也可根据需要而从某角色中回收。角色与角色的关系可以建立起来以囊括更广泛的客观情况。(选自百度百科.)

上面所说的可以用一句话来简单阐述什么样的用户是怎样的角色.拥有什么的权限.在Shiro的授权方面就是遵循这一规则.下面我们就基于前面的一篇博客Shiro认证篇来编写我们的授权代码.来看一下使用INI文件如何实现用户授权的.

编写INI文件,实现授权

---

上一篇博客中我们的INI文件,定义了用户名称以及密码,如下所示.

[users]
root=123456
admin=admin

下面我们来分不同情况说一下我们如何给用户添加角色和权限.

• 最常见的就是某个用户拥有一个角色和一种权限,假设root是role1角色.拥有权限permission1.那么,在INI文件中我们首先要编写[roles]标签,和[users]标签类似.然后我们添加用户的角色以及标签,代码如下所示.

[users]
root=123456,role1

[roles]
roles = permission1

• 那么,一个用户是否可以拥有多个角色和多个权限呢?答案是肯定的,下面我就直接举例说明了,假设admin用户是role1,role2角色.同时,role2角色拥有permission2和permission3的权限,那么综合第一种情况,我们就可以如下编写代码.

[users]
root=123456,role1
admin=admin,role1,role2

[roles]
role1 = permission1
role2 = permission2,permission3

查询用户是否拥有角色

---

上面我们编写了什么样的用户对应什么样的角色和权限(其实已经完成了授权的操作),下面我们来看一下如何查询某个用户是否拥有某个角色.当然了,这个操作必须要在用户已经登录认证完成之后才能进行操作.我们首先把我们所需要的三个认证方法.具体方法和使用情景如下所示.

hasRole用于单一角色判断,参数为角色名称,返回值类型是布尔值.true表示拥有该角色,false表示未拥有该角色.
boolean hasRole(String var1);

hasAllRoles用于判断是否拥有某些角色,参数为角色数组,返回值类型是布尔值.true表示全部拥有,false表示未全部拥有.
boolean hasAllRoles(Collection<String> var1);

hasRoles用于判断是否拥有某些角色,,参数为角色数组,返回值是布尔值的数组.
boolean[] hasRoles(List<String> var1);

现在我们就接着上一篇文章中的MyShiro来进行一下逻辑代码的编写,MyShiro中的原始代码如下所示.

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.util.Factory;
import org.springframework.stereotype.Component;

import java.util.HashMap;
import java.util.Map;


@Component
public class MyShiro {


    public Map<String,Object> userLoginAction (String userName,String passWord){

        Map<String,Object> resultMap = new HashMap<>();

        //初始化SecurityManager对象
        Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini");

        //通过SecurityManager工厂对象,获取SecurityManager实例对象.
        SecurityManager securityManager =  factory.getInstance();

        // 把 securityManager 实例 绑定到 SecurityUtils
        SecurityUtils.setSecurityManager(securityManager);

        //组建Subject主体.
        Subject subject = SecurityUtils.getSubject();

        //创建 token 令牌
        UsernamePasswordToken token = new UsernamePasswordToken(userName,passWord);

        //用户登录操作.
        try{
            subject.login(token);
            resultMap.put("code","200");
            resultMap.put("msg","用户登录成功");
        }catch (AuthenticationException e){
            //登录失败原因 1 用户不存在 2 用户密码不正确
            resultMap.put("code","-1");
            resultMap.put("msg","用户登录失败");
        }
        return resultMap;

    }
}

由于,用户必须通过认证操作,所以在登录失败的情况下我们无法进行角色的判断.我们只能在用户登录成功的情况下进行角色是否含有的操作.所以我们就只在try成功的情况下进行验证操作.如下图所示.

代码比较简单,我就直接把三个方法直接使用进行代码的编写.如下所示.

        //用户登录操作.
        try{
            subject.login(token);
            resultMap.put("code","200");
            resultMap.put("msg","用户登录成功");

            if (subject.hasRole("role1")){
                resultMap.put("roleMsg1","用户拥有角色1");
            }else {
                resultMap.put("roleMsg1","用户未拥有角色1");

            }

            if (subject.hasAllRoles(Arrays.asList("role1","role2"))){
                resultMap.put("roleMsg2","用户同时拥有角色1和角色2");
            }else {
                resultMap.put("roleMsg2","用户未同时拥有角色1和角色2");
            }

            //这里就不返回第三种方法了,直接打印了
            System.out.println(Arrays.asList(subject.hasRoles(Arrays.asList("role1","role2"))));

        }catch (AuthenticationException e){
            //登录失败原因 1 用户不存在 2 用户密码不正确
            resultMap.put("code","-1");
            resultMap.put("msg","用户登录失败");
        }

我们启动下程序,然后使用接口登录一下查看是否正确.验证结果如下所示.

• 用户 root

• 用户 admin

查询用户是否拥有权限

---

查询用户是否含有某种权限的大致过程和用户是否含有某种角色的大致过程是大体相同的.方法如下所示.

boolean isPermitted(String var1);

boolean isPermittedAll(String... var1);

boolean[] isPermitted(String... var1);

具体实现代码如下所示.

            if (subject.isPermitted("permission1")){
                resultMap.put("PermittedMsg1","用户拥有权限1");
            }else {
                resultMap.put("PermittedMsg1","用户未拥有权限1");

            }

            if (subject.isPermittedAll("permission2","permission3")){
                resultMap.put("PermittedMsg2","用户同时拥有权限1和权限2");
            }else {
                resultMap.put("PermittedMsg2","用户未同时拥有权限1和权限2");
            }

接下来我们依然验证正确性,然后使用接口登录一下查看是否正确.验证结果如下所示.

• 用户 root

• 用户 admin

结语

---

本篇集成Shiro之INI授权篇到此就结束了,这里做一个简单的总结,使用INI文件的方式虽然简单,但是由于使用硬编码的方式,所以可维护性比较差,大家酌情使用! 好了,今天就到这里了.如果有任何问题欢迎在评论区留言.希望大家继续关注骚栋.谢谢喽~