Shiro笔记(五)Shiro授权
Shiro授权
也叫访问控制,即在应用中控制谁能访问那些资源(如访问页面、编辑数据、页面操作等)。在授权中需要了解几个关键对象:主体(subject)、资源(resource)、权限(Permission)、角色(Role)。
Shiro授权需要了解的几个对象:
主体:访问应用的用户,在Shiro中使用Subject代表该用户。用户只有授权后才能允许访问响应的资源。
资源:在应用中用户可以访问的URL,比如JSP页面,查看/编辑某些数据,访问某个业务方法,打印文本等都是资源,只有经过用户授权后才可以访问。
权限:安全策略中的原子授权单位,通过权限我们可以表示在应用中用户有没有操作某个资源的权利。即权限表示在应用中用户能不能访问某个资源,如:访问用户列表页面的查看/新增/修改/删除用户数据(即很多时候都是CRUD式权限控制)等。权限代表用户有没有操作某个资源的权利,即反应某个资源上的操作是否被允许。
角色:权限的集合,一般情况下会赋予用户 角色而不是权限,这样用户可以拥有一组权限,赋予权限的时候比较方便,典型的如:项目经理、技术总监、CTO、开发工程师都是角色,不同的角色有一组不同的权限。
Shiro支持操作用户模块的所有权限或操作某个用户的权限。
授权流程
1.在Spring-shiro.xml中的页面配置上,给想要授权的页面添加访问许可,如给user.jsp和admin.jsp添加权限,user.jsp只能拥有user角色才能访问,而admin.jsp只能拥有admin角色才能访问,则过滤器配置如下:
/user.jsp = roles[user]
/admin.jsp = roles[admin]
或在Controller中给某个方法添加注解的方式,如上述给user.jsp页面添加权限,则在get请求上放添加@RequiresPermissions(value={"roles[user]"})注解即可。
这样当我们登录成功后再想访问上述页面发现已经没有权限了!
2.在配置好过滤器后,授权需要实现AuthorizingRealm类中的doGetAuthorizationInfo方法,因为AuthorizingRealm继承AuthenticatingRealm,但并没有实现AuthorizingRealm类中的doGetAuthorizationInfo方法,所以 ,我们在做认证和授权的时候只需要继承AuthorizingRealm就可以了,同时实现两个抽象方法:认证(doGetAuthenticationInfo)、授权(doGetAuthorizationInfo)即可。
在进行多Realm认证的时候,调用的是ModularRealmAuthorizer,实际上还是走的AuthorizingRealm中的doGetAuthorizationInfo方法。
3.之前在做认证的时候,我们继承的是认证Realm(AuthenticatingRealm),现在让它继承(AuthorizingRealm),并同时实现两个抽象类。

4.在doGetAuthorizationInfo方法中实现授权的过程
1.从principalCollection中获取登录用户的信息(principal对象)。
Principal principal = (Principal) getAvailablePrincipal(principals);
String loginName = principal.getName();
2.利用登录的用户信息来获取当前用户的角色或权限(缓存中查询或者数据库中)。
// 把角色信息查出来
List<Role> roles = UserUtils.getRolesByIds(user.getRoleIds(), user.getId());
3.创建SimpleAuthorizationInfo对象,并设置roles属性,将info对象返回。
SysUser user = UserUtils.getByLoginName(loginName);
if (user != null) {
SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
// 把角色信息查出来
List<Role> roles = UserUtils.getRolesByIds(user.getRoleIds(), user.getId());
// 遍历他所拥有的角色
for (int i = 0; i < roles.size(); i++) {
Role ro = roles.get(i);
info.addRole(ro.getRole());
// 通过ResourceIds获取对应的权限信息
List<Resource> sresources = UserUtils.getPermissionByIds(ro.getResourceIds(), user.getId());
for (int j = 0; j < sresources.size(); j++) {
Resource re = sresources.get(j);
//给info对象设置角色
info.addStringPermission(re.getPermission());
}
}
return info;
}
Shiro笔记(五)Shiro授权的更多相关文章
- Shiro学习笔记五(Shiro标签,及通配符)
1.首先是导入标签库 <%@taglib prefix="shiro" uri="http://shiro.apache.org/tags" %> ...
- Shiro笔记(一)Shiro整体介绍
介绍:是一个java的安全(权限)框架 可以完成的功能:认证登录(Authentication).授权(Authorization).加密(cryptography).会话管理(session man ...
- Shiro笔记(五)JSP标签
Shiro笔记(五)JSP标签 导入标签库 <%@taglib prefix="shiro" uri="http://shiro.apache.org/tags&q ...
- Shiro笔记(三)授权
Shiro笔记(三)授权 一.授权方式 1.编程式: Subject subject=SecurityUtils.getSubject(); if(subject.hasRole("root ...
- Shiro第五篇【授权过滤、注解、JSP标签方式、与ehcache整合】
授权过滤器测试 我们的授权过滤器使用的是permissionsAuthorizationFilter来进行拦截.我们可以在application-shiro中配置filter规则 <!--商品查 ...
- Shiro 自定义登陆、授权、拦截器
Shiro 登陆.授权.拦截 按钮权限控制 一.目标 Maven+Spring+shiro 自定义登陆.授权 自定义拦截器 加载数据库资源构建拦截链 使用总结: 1.需要设计的数据库:用户.角色.权限 ...
- Shiro笔记(一)基本概念
Shiro笔记(一)基本概念 一.简介 Shiro是一个Java安全框架,可以帮助我们完成:认证.授权.加密.会话管理.与Web集成.缓存等. Authentication:身份认证/登录,验证用户是 ...
- 32、shiro框架入门3.授权
一. 授权,也叫访问控制,即在应用中控制谁能访问哪些资源(如访问页面/编辑数据/页面操作等).在授权中需了解的几个关键对象:主体(Subject).资源(Resource).权限(Permission ...
- Shiro笔记(四)编码/加密
Shiro笔记(四)编码/加密 一.编码和解码 //base64编码.解码 @Test public void testBase64(){ String str="tang"; b ...
- Shiro笔记(二)身份验证
Shiro笔记(二)身份验证 一.核心代码 @Test public void helloWorldTest(){ IniSecurityManagerFactory factory = new In ...
随机推荐
- @ModelAttribute设置request、response、session对象
利用spring web提供的@ModelAttribute注解 放在类方法的参数前面表示引用Model中的数据 @ModelAttribute放在类方法上面则表示该Action类中的每个请求调用之前 ...
- jenkins 安装网址
https://wiki.jenkins.io/display/JENKINS/Installing+Jenkins
- Js:消息弹出框、获取时间区间、时间格式、easyui datebox 自定义校验、表单数据转化json、控制两个日期不能只填一个
(function ($) { $.messageBox = function (message) { $.messager.show({ title:'消息框提示', msg:message, sh ...
- mongo数据库的各种查询语句示例
左边是mongodb查询语句,右边是sql语句.对照着用,挺方便. db.users.find() select * from users db.users.find({"age" ...
- py4j汉语转拼音多音字处理
先看下效果 一 .布局 <!-- 上面的搜索框 --> <com.example.editablealphalist.widgget.ClearEditText android:id ...
- 【mongo】centos6.9安装mongo2.6.3
参考:http://www.haorooms.com/post/3m 注意:centos6上就不要装mongo3了,容易出错. 1. 下载 curl -O http://downloads.mongo ...
- uva11916 bsgs算法逆元模板,求逆元,组合计数
其实思维难度不是很大,但是各种处理很麻烦,公式推导到最后就是一个bsgs算法解方程 /* 要给M行N列的网格染色,其中有B个不用染色,其他每个格子涂一种颜色,同一列上下两个格子不能染相同的颜色 涂色方 ...
- 20165314 2017-2018-2《Java程序设计》课程总结
20165314 2017-2018-2<Java程序设计>课程总结 每周作业链接汇总 预备作业1:我期望的师生关系 预备作业2:C语言基础调查和java学习展望 预备作业3:Linux安 ...
- Linux/Unix/Mac OS下的远程访问和文件共享方式
scp -P 20022 src.tar.gz zhouhh@192.168.12.13:/home/zhouhhscp -P 20022 zhouhh@192.168.12.13:/home/zho ...
- 开启Java之旅
学习应用系统的服务器开发,也许并不算什么“旅行”,也不会那么‘愉快’.但是,我希望这次能够同以往有所不同,更加努力地学习J2EE. 从2月份开始,从事web前端开发,并在公司的的项目中,独立完成了4个 ...