Shiro之授权-蒲公英云

Shiro之授权

Shiro中授权功能通过继承AuthorizingRealm实现类或实现Realm接口，实现doGetAuthorizationInfo抽象方法来实现授权功能。

AuthorizingRealm与AuthenticatingRealm间关系如图:

从上图可知，AuthorizingRealm是AuthenticatingRealm的子类，且他们都为CachingRealm的子类。而CachingRealm实现了Realm接口。

从图中得出结论，授权实际是扩展了认证。

授权实现示例代码:

//实现`doGetAuthorizationInfo`抽象方法
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
    /** * the primary principal used to uniquely identify the owning account/Subject */
    Object primaryPrincipal = principals.getPrimaryPrincipal();
    //权限集合
    Set<String> roles = new HashSet<>();
    //判断当前登录用户名
    if("admin".equals(primaryPrincipal)) {
        //如果当前用户登录的是"admin",则拥有访问user的权限
        roles.add("user");
    }
    SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo(roles);
    return simpleAuthorizationInfo;
}

doGetAuthorizationInfo返回的AuthorizationInfo会被shiro通过调用ModularRealmAuthorizer或AuthorizingRealm的hasRole方法进行权限校验。

通常: 权限并非是定死的，而是从数据库中查询获取到的。所以可以通过工厂类的工厂方法，通过修改ShiroFilterFactoryBean的filterChainDefinitionMap属性来从数据库中查询出权限。

配置文件:

<!-- shiro权限过滤:id要和web.xml中的ShiroFilter的filter-name一致[默认情况下， 如果不一致，spring会在filer的init-param中的targetBeanName配置参数中获取到对应的bean名称， 如果没有在容器中配置该bean，则会抛出NoSuchBeanDefinitionException异常] -->
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
    <property name="securityManager" ref="securityManager" />
    <!-- 登录页面 -->
    <property name="loginUrl" value="/login.jsp" />
    <!-- 登录成功页面 -->
    <property name="successUrl" value="/success.jsp" />
    <!-- 无权限页面 -->
    <property name="unauthorizedUrl" value="/unauthorized.jsp" />
    <!-- Shiro会通过Web.xml中的ShiroFilter过滤器调用该 id为shiroFilter的Bean,然后通过该Bean的property name为filterChainDefinitions中设置的value来 判断页面是否需要验证授权才能访问。 默认情况下，没有配置到value中的路径shiro不会拦截，而路径被标识为anon的则为 可以通过匿名访问[也就是可以直接访问],标识为authc则为需要授权才能访问的页面。 -->
    <!-- <property name="filterChainDefinitions"> <value> anon:表示可以匿名访问 = anon /user.jsp = roles[user] /shiroRequest/login = anon /shiro/logout = logout authc:表示需要授权才可以访问 /** = authc </value> </property> -->
    <property name="filterChainDefinitionMap" ref="filterChainDefinition"></property>
</bean>
<bean id="filterChainDefinition" factory-bean="filterChainDefinitionBuilder" factory-method="FilterChainFactoryBeanBuilder"></bean>
<bean id="filterChainDefinitionBuilder" class="com.heiketu.shiro.factorybean.FilterChainDefinitionFactory"></bean>

示例工厂类filterChainDefinitionBuilder

/** * Shiro过滤链工厂类 * @author zhengjie * */
public class FilterChainDefinitionFactory { 
    /** * FilterChainFactoryBeanBuilder */
    public LinkedHashMap<String, String> FilterChainFactoryBeanBuilder(){
        LinkedHashMap<String,String> perm = new LinkedHashMap<String,String>();
        perm.put("/login.jsp","anon");
        perm.put("/user.jsp","roles[user]");
        perm.put("/shiroRequest/login","anon");
        perm.put("/**", "authc");
        return perm;
    }
}