01、為什么 shiro 有了《角色》后,還要設置《角色權限》呢?(問題)
思考:設置好角色了,那么就代表什么操作都可以執行了嗎?
理解:如果上邊回答是的話,那么只是《角色》層次的控制。
舉例:如果你是個老師,那么你就可以教學生數學課,但是現實呢,是個老師就能教數學課嗎?體育老師、美術老師…路過;
所以:
- 角色權限就是用來指定這個角色可以做哪些操作。
- 換句話說角色就是某些權限的集合。
- 比如學校里面校長,老師,學生,等角色,但是他們都有不同的職業,這就是權限。
- 如果只有角色沒有權限,那角色就沒有意義了。
值的一提的是,《角色》 跟 《角色權限》 都是用來控制用戶訪問權限的,如果項目中只是需要用到 《角色》來限制用戶訪問,那么,角色權限就沒什么用了,所以,《角色權限》更像是《角色》更加細化后的操作,比如上邊學校老師、校長、學生那個例子;
02、代碼小例子
/**
* 權限認證
*/
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
/**1、獲取登錄時輸入的用戶名**/
String loginName=(String) principalCollection.fromRealm(getName()).iterator().next();
/**2、到數據庫查是否有此對象 **/
User user=userService.findByName(loginName);
if(user!=null){
/**2.1、權限信息對象info,用來存放查出的用戶的所有的角色(role)及權限(permission)**/
SimpleAuthorizationInfo info=new SimpleAuthorizationInfo();
/**2.2、用戶的角色集合 **/
info.addRoles(user.getRolesName());
/**2.3、用戶的角色對應的所有權限,如果只使用角色定義訪問權限,下面的四行可以不要 **/
List<Role> roleList=user.getRoleList();
for (Role role : roleList) {
info.addStringPermissions(role.getPermissionsName());
}
return info;
}
return null;
}
上邊代碼截取的自定義 AuthorizingRealm 中的 doGetAuthenticationInfo 方法;
結合上方代碼,舉兩個例子。
1、角色控制
場景描述:只允許(admin)登錄角色顯示。
界面代碼:jsp代碼(非前后端分離,僅供參考)
<shiro:hasRole name="manager">manager角色登錄顯示此內容</shiro:hasRole>
<shiro:hasRole name="admin">admin角色登錄顯示此內容</shiro:hasRole>
后端代碼:上邊 2.2 步驟,用戶角色設置中,如果給該用戶 “admin”權限,那么在 jsp 中就能顯示出第一條來。
info.addRoles("admin");
2、權限控制
場景描述:只允許擁有 (add)權限的用戶顯示
界面代碼:jsp代碼(非前后端分離,僅供參考)
<shiro:hasPermission name="add">add權限用戶顯示此內容</shiro:hasPermission>
<shiro:hasPermission name="edit">edit權限用戶顯示此內容</shiro:hasPermission> 后端代碼:上邊 2.3 步驟,用戶角色權限設置中,如果給該用戶角色設置 “add”權限,那么在 jsp 中就能顯示出第一條來。
info.addStringPermissions("add");
03、補充
關於 shiro 《角色》與《權限》相信你大概有一點概念了,下一篇會總結一下關於 shiro 常用注解,以及注解使用場景。
博客地址:http://www.cnblogs.com/niceyoo
18年專科畢業后一度迷茫,創建了一個用來記錄自己成長的公眾號,感興趣的小伙伴可以關注一下~
