shiro（六）授权-蒲公英云

shiro（六）授权

港控/mmm° 2021-11-17 11:42 496阅读 0赞

1.权限粒度：分为粗粒度和细粒度。粗粒度：对user的crud。也就是通常说的对表的操作。
细粒度：是对记录的操作。如：只允许查询id为1 的user的工资。shiro一般管理的是粗粒度的权限。比如：菜单，按钮，url。一般细粒度的权限是通过业务来控制的。
2.角色：权限的集合。
3.权限表示规则：资源：操作：实例。可以用通配符表示：
如：user：add 表示对user有添加的权限，user：*表示对user具有所有操作的权限。
user：delete：100表示对user标识为100的记录有删除的权限。
4.shiro中的权限流程：
在这里插入图片描述
5.编码实现：
1.新建Java项目
2.编辑shiro.ini配置文件

[users]
zhangsan=123,role1
lisi=456,role2
[roles]
role1=user:add,user:update,user:delete
role2=user:*
3.编码测试
package com.sxt.shiro;
import java.util.ArrayList;
import java.util.Arrays;
import java.util.List;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.*;
import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.util.Factory;
import org.apache.shiro.mgt.SecurityManager;
/** * 完成用户认证demo * @author Lee * */
public class AuthorizationDemo { 
    public static void main(String[] args) { 
        Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini");
        SecurityManager securityManager = factory.getInstance();
        SecurityUtils.setSecurityManager(securityManager);
        Subject subject = SecurityUtils.getSubject();
        UsernamePasswordToken token = new UsernamePasswordToken("zhangsan","123");
        try { 
            //认证
            subject.login(token);
        } catch (AuthenticationException e) { 
            System.out.println("认证不通过");
            e.printStackTrace();
        }
        //基于角色的授权
        boolean flag = subject.hasRole("role2");
        System.out.println(flag);
        //判断是否具有多个角色
        List<String> list = new ArrayList<String>();
        list.add("role1");
        list.add("role2");
        boolean[] flags = subject.hasRoles(list);
        for (boolean b : flags) { 
            System.out.println("-----"+b);
        }
        //可以通过checkRole来检测是否具有某个角色，如果不具有该角色则抛出UnauthorizedException
        subject.checkRole("role1");
        //也可以同时检测多个角色
        subject.checkRoles("role1","role2");
        //基于资源的授权
        flag = subject.isPermitted("user:delete");
        System.out.println(flag);
        //判断是否具有多个权限
        flag = subject.isPermittedAll("user:add","user:delete","user:update");
        System.out.println(flag);
         //通过checkPermission（）检测用户是否具有某个权限，如果没有则抛出UnauthorizedException异常
        subject.checkPermission("user:dd");
    }
}

6.shiro中的权限检查方式有三种：
1.编程式

if（subject.hasRole("管理员")）{
    //操作某个资源
}

2.注解式在执行指定的方法时会检测是否具有该权限

@RequireRoles（“管理员”）
public void list（）{
    //查询数据
}

3.标签
使用标签时须在jsp页面上方导入shiro标签库

<%@ taglib prefix="shiro" uri="http://shiro.apache.org/tags"%>
<shiro:hasPermission name="user:add">
      <a href="#">更新</a>
</shiro:hasPermission>

8.授权流程：
1.获取subject主体
2.判断主体是否通过
3.调用subject.isPermited*/hasRole*来进行权限的判断
3.1subject是由其实现类DelegatingSubject来调用方法的，该类将处理交给了SecurityManager
3.2SecurityManager是由其实现类DefaultSecurityManager来进行处理，该类的isPermitted来处理，其本质父类AuthorizingSecurityManager来处理的。该类将处理交给了Authorizer（授权器）
3.3Authorizer由其实现类ModularRealmAuthenticator来处理，该类可以调用对应的Realm来获取数据，在该类有PermissionResolver对权限字符串进行解析，在对应的Realm中也有对应的PermissionResolver交给WildcardPermissionResolver该类调用WildcardPermission来进行权限字符的解析。
3.4返回处理结果