1.授權流程
2. 三種授權方法
Shiro 支持三種方式的授權:
編程式:通過寫if/else 授權代碼塊完成:
Subject subject = SecurityUtils.getSubject();
if(subject.hasRole(“admin”)) {
//有權限
} else {
//無權限
}
注解式:通過在執行的Java方法上放置相應的注解完成:
@RequiresRoles("admin")
public void hello() {
//有權限
}
JSP/GSP 標簽:在JSP/GSP 頁面通過相應的標簽完成:
<shiro:hasRole name="admin">
<!— 有權限—>
</shiro:hasRole>
3.shiro-permission.ini
#用戶
[users]
#用戶zhang的密碼是123,此用戶具有role1和role2兩個角色
zhangsan=123,role1,role2
wang=123,role2
#權限
[roles]
#角色role1對資源user擁有create、update權限
role1=user:create,user:update
#角色role2對資源user擁有create、delete權限
role2=user:create,user:delete
#角色role3對資源user擁有create權限
role3=user:create
權限標識符號規則:資源:操作:實例(中間使用半角:分隔)
user:create:01 表示對用戶資源的01實例進行create操作。
user:create:表示對用戶資源進行create操作,相當於user:create:*,對所有用戶資源實例進行create操作。
user:*:01 表示對用戶資源實例01進行所有操作。
4.程序
@Test public void testActhorization() { // 1.創建securityManager工廠 Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro-permission.ini"); // 2.創建securityManager SecurityManager securityManager = factory.getInstance(); // 3.將securityManager綁定到運行環境 SecurityUtils.setSecurityManager(securityManager); // 4.創建主體 Subject subject = SecurityUtils.getSubject(); // 5.創建token用於認證 UsernamePasswordToken token = new UsernamePasswordToken("zhangsan", "123"); // 6.登錄(認證) try { subject.login(token); } catch (AuthenticationException e) { // TODO Auto-generated catch block e.printStackTrace(); } System.out.println("認證狀態:" + subject.isAuthenticated()); // 7.授權 基於角色授權 基於資源的授權 // 7.1基於角色授權 // 授權單個 boolean permitted = subject.hasRole("role1"); System.out.println("這是授權單個:" + permitted); boolean hasAllRoles = subject.hasAllRoles(Arrays.asList("role1", "role2", "role3")); System.out.println("這是多個授權:" + hasAllRoles); // 使用check方法進行授權,如果授權不通過會拋出異常 // subject.checkRole("role13"); // 7.2 基於資源的授權 // isPermitted傳入權限標識符 boolean isPermitted = subject.isPermitted("user:create:1"); System.out.println("單個權限判斷" + isPermitted); boolean isPermittedAll = subject.isPermittedAll("user:create:1", "user:delete"); System.out.println("多個權限判斷" + isPermittedAll); // 使用check方法進行授權,如果授權不通過會拋出異常 subject.checkPermission("items:create:1"); }
------------------------------------------------------自定義realm授權--------------------------------------------------------------------------------------------------
在原來自定義的realm中,修改doGetAuthorizationInfo方法。
package cn.qlq.realm; import java.util.ArrayList; import java.util.List; import org.apache.shiro.authc.AuthenticationException; import org.apache.shiro.authc.AuthenticationInfo; import org.apache.shiro.authc.AuthenticationToken; import org.apache.shiro.authc.SimpleAuthenticationInfo; import org.apache.shiro.authz.AuthorizationInfo; import org.apache.shiro.authz.SimpleAuthorizationInfo; import org.apache.shiro.realm.AuthorizingRealm; import org.apache.shiro.subject.PrincipalCollection; /** * 自定義realm。根據上面穿下來的token去數據庫查信息,查到返回一個SimpleAuthenticationInfo,查不到返回null * * @author: qlq * @date : 2017年7月28日下午8:45:52 */ public class CustomRealm extends AuthorizingRealm { // 設置realm的名稱 @Override public void setName(String name) { super.setName("customRealm"); } // 用於認證 @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException { // token是用戶輸入的 // 第一步從token中取出身份信息(token代表用戶輸入的傳下來的信息) String userCode = (String) token.getPrincipal(); // 第二步:根據用戶輸入的userCode從數據庫查詢 // ....從數據庫查數據 // 如果查詢不到返回null // 數據庫中用戶賬號是zhangsansan /* * if(!userCode.equals("zhangsansan")){// return null; } */ // 模擬從數據庫查詢到密碼 String password = "111111"; // 如果查詢到返回認證信息AuthenticationInfo SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo(userCode, password, this.getName()); return simpleAuthenticationInfo; } // 用於授權 @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { // 從 principals獲取主身份信息 // 將getPrimaryPrincipal方法返回值轉為真實身份類型(在上邊的doGetAuthenticationInfo認證通過填充到SimpleAuthenticationInfo中身份類型), String userCode = (String) principals.getPrimaryPrincipal(); // 根據身份信息獲取權限信息 // 連接數據庫... // 模擬從數據庫獲取到數據 List<String> permissions = new ArrayList<String>(); permissions.add("user:create");// 用戶的創建 permissions.add("items:add");// 商品添加權限 // .... // 查到權限數據,返回授權信息(要包括 上邊的permissions) SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo(); // 將上邊查詢到授權信息填充到simpleAuthorizationInfo對象中 simpleAuthorizationInfo.addStringPermissions(permissions); return simpleAuthorizationInfo; } }
ini文件
測試:
// 自定義realm進行資源授權測試 @Test public void testAuthorizationCustomRealm() { // 創建SecurityManager工廠 Factory<SecurityManager> factory = new IniSecurityManagerFactory( "classpath:shiro-realm.ini"); // 創建SecurityManager SecurityManager securityManager = factory.getInstance(); // 將SecurityManager設置到系統運行環境,和spring后將SecurityManager配置spring容器中,一般單例管理 SecurityUtils.setSecurityManager(securityManager); // 創建subject Subject subject = SecurityUtils.getSubject(); // 創建token令牌 UsernamePasswordToken token = new UsernamePasswordToken("zhangsan", "111111"); // 執行認證 try { subject.login(token); } catch (AuthenticationException e) { // TODO Auto-generated catch block e.printStackTrace(); } System.out.println("認證狀態:" + subject.isAuthenticated()); // 認證通過后執行授權 // 基於資源的授權,調用isPermitted方法會調用CustomRealm從數據庫查詢正確權限數據 // isPermitted傳入權限標識符,判斷user:create:1是否在CustomRealm查詢到權限數據之內 boolean isPermitted = subject.isPermitted("user:create:1"); System.out.println("單個權限判斷" + isPermitted); boolean isPermittedAll = subject.isPermittedAll("user:create:1", "user:create"); System.out.println("多個權限判斷" + isPermittedAll); // 使用check方法進行授權,如果授權不通過會拋出異常 subject.checkPermission("items:add:1"); }
總結授權流程:
1、對subject進行授權,調用方法isPermitted("permission串")
2、SecurityManager執行授權,通過ModularRealmAuthorizer執行授權
3、ModularRealmAuthorizer執行realm(自定義的CustomRealm)從數據庫查詢權限數據
調用realm的授權方法:doGetAuthorizationInfo
4、realm從數據庫查詢權限數據,返回ModularRealmAuthorizer
5、ModularRealmAuthorizer調用PermissionResolver進行權限串比對
6、如果比對后,isPermitted中"permission串"在realm查詢到權限數據中,說明用戶訪問permission串有權限,否則 沒有權限,拋出異常。