6.Shiro授权管理
2019-07-03 本文已影响0人
__元昊__
1.授权:给身份认证通过的人,授予他可以访问某些资源的权限。
2.权限粒度:分为粗粒度和细粒度。
粗粒度:对user的crud。也就是说通常对表的操作。
细粒度:是对记录的操作,如只允许查询id为1的user的工资。
shiro一般管理的是粗粒度的权限,比如:菜单,按钮,url。
一般细粒度的权限是通过业务来控制的。
3.角色:权限的集合。
4.权限表示规则: 资源:操作:实例。可以用通配符表示
如: user:add 表示对user有添加的权限
user:* 表示对user具有所有权限
user:delete:100 表示对user标识为100的记录有删除权限
5.shiro中的权限流程
微信截图_20190703094542.png
6.编码实现
ini配置文件:
[main]
[users]
zhangsan=123,role1
lisi=1234,role2
[roles]
role1=user:add,user:update,user:delete
role2=user:*
shiro测试代码:
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.util.Factory;
import java.util.Arrays;
public class shouquan_demo {
public static void main(String[] args) {
//1、获取SecurityManager工厂,此处使用Ini配置文件初始化SecurityManager
Factory<SecurityManager> factory= new IniSecurityManagerFactory("classpath:quanxian.ini");
//2、得到SecurityManager实例 并绑定给SecurityUtils
SecurityManager securityManager = factory.getInstance();
SecurityUtils.setSecurityManager(securityManager);
//3、得到Subject及创建用户名/密码身份验证Token(即用户身份/凭证)
Subject subject = SecurityUtils.getSubject();
//4、假如登陆用户名密码为zhangsan=123,这个地方的zhangsan、123表示用户在网页登陆时输入的账号密码,而shiro.ini文件中的信息相当于数据库中的存放的信息
UsernamePasswordToken token = new UsernamePasswordToken("zhangsan", "123");
try{
//进行用户身份验证
subject.login(token);
//通过Subject来判断是否登陆成功
if(subject.isAuthenticated()){
System.out.println("用户登陆成功");
}
//先验证身份在进行权限验证
//基于角色的授权
boolean f = subject.hasRole("role1");
System.out.println(f);
//判断是否具有多个角色
boolean[] booleans = subject.hasRoles(Arrays.asList("role1", "role2"));
System.out.println(Arrays.toString(booleans));
//可以通过checkRole来检查,如果不具备该角色会报错抛出异常
//subject.checkRole("role1");
//同时检查多个角色
//subject.checkRoles("role1","role2");
//基于资源的授权
f=subject.isPermitted("user:delete");
System.out.println(f);
//判断是否具有多个权限
f=subject.isPermittedAll("user:add","user:update","user:delete");
System.out.println(f);
//check方法检查授权如果没有抛异常
subject.checkPermission("user:dd");
}catch (AuthenticationException e){
e.printStackTrace();
System.out.println("用户名或密码不正确");
}
}
}
7.shiro中的权限检查方式有3种:
a)编程式
if(subject.hasRole("管理员")){
操作某些资源
}
b)注解式
//在执行指定的方法时,会检测是否具有该权限
@RequiresRoles("管理员")
public void list(){
查询数据
}
c)标签
<shiro:hasPermission name="user:update">
<a href="#">更新</a>
</shiro:hasPermission>
