Apache Shiro 编程方式授权

我会带着你远行 2022-04-15 07:23 234阅读 0赞

最简单和最常见的方式来执行授权是直接以编程方式与当前Subject实例交互。

**基于角色授权**

Rolechecks(角色检查)

如果你只是简单的想检查当前的Subject是否拥有一个角色，你可以在Subject实例上调用hasRole方法。例如：

<table> 
 <tbody> 
  <tr> 
   <td> <p>SubjectcurrentUser=SecurityUtils.getSubject();</p> <p>if(currentUser.hasRole("administrator")){ </p> <p>//showtheadminbutton</p> <p>}else{ </p> <p>//don'tshowthebutton?Greyitout?</p> <p>}</p> </td> 
  </tr> 
 </tbody> 
</table>

相关的断言检查方法如下：

<table> 
 <tbody> 
  <tr> 
   <td> <p>Subject方法</p> </td> 
   <td> <p>描述</p> </td> 
  </tr> 
  <tr> 
   <td> <p>checkRole(StringroleName)</p> </td> 
   <td> <p>安静地返回，如果Subject被分配了指定的角色，不然的话就抛出。</p> </td> 
  </tr> 
  <tr> 
   <td> <p>checkRoles(Collection&lt;String&gt;roleNames)</p> </td> 
   <td> <p>安静地返回，如果Subject被分配了所有的指定的角色，不然的话就抛出。</p> </td> 
  </tr> 
  <tr> 
   <td> <p>checkRoles(String...roleNames)</p> </td> 
   <td> <p>与上面的checkRoles方法的效果相同，但允许Java5的var-args类型的参数。</p> </td> 
  </tr> 
 </tbody> 
</table>

**基于权限授权**

相比传统角色模式，基于权限的授权模式耦合性要更低些，它不会因角色的改变而对源代码进行修改，因此，基于权限的授权模式是更好的访问控制方式。

如果你想进行检查，看一个Subject是否被允许做某事，你可以调用各种isPermitted\*方法的变种。检查权限主要有两个方式——基于对象的权限实例或代表权限的字符串。

Object-basedPermissionChecks(基于对象的权限检查)

执行权限检查的一个可行方法是实例化org.apache.shiro.authz.Permission接口的一个实例，并把它传递给接收权限实例的\*isPermitted方法。比如，在办公室有一台打印机，具有唯一标识符laserjet4400n。我们的软件需要检查当前用户是否被允许在该打印机上打印文档。上述情况的权限检查可以明确地像这样表达：

<table> 
 <tbody> 
  <tr> 
   <td> <p>PermissionprintPermission=newPrinterPermission("laserjet4400n","print");</p> <p>SubjectcurrentUser=SecurityUtils.getSubject();</p> <p>If(currentUser.isPermitted(printPermission)){ </p> <p>//showthePrintbutton</p> <p>}else{ </p> <p>//don'tshowthebutton?Greyitout?</p> <p>}</p> </td> 
  </tr> 
 </tbody> 
</table>

相关的验证方法如下：

<table> 
 <tbody> 
  <tr> 
   <td> <p>Subject方法</p> </td> 
   <td> <p>描述</p> </td> 
  </tr> 
  <tr> 
   <td> <p>isPermitted(Permissionp)</p> </td> 
   <td> <p>返回true如果该Subject被允许执行某动作或访问被权限实例指定的资源集合，否则返回false。</p> </td> 
  </tr> 
  <tr> 
   <td> <p>isPermitted(List&lt;Permission&gt;perms)</p> </td> 
   <td> <p>返回一个与方法参数中目录一致的isPermitted结果的数组。</p> </td> 
  </tr> 
  <tr> 
   <td> <p>isPermittedAll(Collection&lt;Permission&gt;perms)</p> </td> 
   <td> <p>返回true如果该Subject被允许所有指定的权限，否则返回false。</p> </td> 
  </tr> 
 </tbody> 
</table>

String-basedpermissionchecks(基于字符串的权限检查)

基于对象的权限可以是很有用的（编译时类型安全，保证行为，定制蕴含逻辑等），但它们有时对应用程序来说会感到有点“笨手笨脚”的。另一种方法是使用正常的字符串来表示权限实例。例如上述的例子使用基于字符串的权限检查如下：

<table> 
 <tbody> 
  <tr> 
   <td> <p>SubjectcurrentUser=SecurityUtils.getSubject();</p> <p>if(currentUser.isPermitted("printer:print:laserjet4400n")){ </p> <p>//showthePrintbutton</p> <p>}else{ </p> <p>//don'tshowthebutton?Greyitout?</p> <p>}</p> </td> 
  </tr> 
 </tbody> 
</table>

这个例子显示了一个特殊冒号分隔的格式，它由Shiro默认的org.apache.shiro.authz.permission.WildcardPermission实现来定义的。这里分别代表了：资源类型：操作：资源ID。WildcardPermissiontoken规定和构造操作的格式在Shiro的Permission文档中被深入的涉及到。除了上面的字符串默认的WildcardPermission格式，你可以创建和使用自己的字符串格式如果你喜欢的话。

相关的验证方法如下：

<table> 
 <tbody> 
  <tr> 
   <td> <p>Subject方法</p> </td> 
   <td> <p>描述</p> </td> 
  </tr> 
  <tr> 
   <td> <p>isPermitted(Stringperm)</p> </td> 
   <td> <p>返回<span style="font-family:Calibri;">true</span>如果该<span style="font-family:Calibri;">Subject</span>被允许执行某动作或访问被字符串权限指定的资源，否则返回<span style="font-family:Calibri;">false</span>。</p> </td> 
  </tr> 
  <tr> 
   <td> <p>isPermitted(String…perms)</p> </td> 
   <td> <p>返回一个与方法参数中目录一致的<span style="font-family:Calibri;">isPermitted</span>结果的数组。</p> </td> 
  </tr> 
  <tr> 
   <td> <p>isPermittedAll(String…perms)</p> </td> 
   <td> <p>返回<span style="font-family:Calibri;">true</span>如果该<span style="font-family:Calibri;">Subject</span>被允许所有指定的字符串权限，否则返回<span style="font-family:Calibri;">false</span>。</p> </td> 
  </tr> 
 </tbody> 
</table>

PermissionAssertions(权限断言)

以断言的方式进行授权验证。断言成功，不返回任何值，程序继续执行；断言失败时，将抛出异常信息AuthorizationException。例如：

<table> 
 <tbody> 
  <tr> 
   <td> <p>SubjectcurrentUser=SecurityUtils.getSubject();</p> <p>//guaranteethatthecurrentuserispermitted</p> <p>//toopenabankaccount:</p> <p>Permissionp=newAccountPermission("open");</p> <p>currentUser.checkPermission(p);</p> <p>openBankAccount();</p> </td> 
  </tr> 
 </tbody> 
</table>

或者使用字符串来检查权限：

<table> 
 <tbody> 
  <tr> 
   <td> <p>SubjectcurrentUser=SecurityUtils.getSubject();</p> <p>//guaranteethatthecurrentuserispermitted</p> <p>//toopenabankaccount:</p> <p>currentUser.checkPermission("open");</p> <p>openBankAccount();</p> </td> 
  </tr> 
 </tbody> 
</table>