Shiro授权

上一篇我们已经讲解了Shiro的认证相关的知识了,现在我们来弄Shiro的授权

Shiro授权的流程和认证的流程其实是差不多的:

Shiro支持的授权方式

Shiro支持的授权方式有三种:



Shiro 支持三种方式的授权:

编程式:通过写if/else 授权代码块完成:

Subject subject = SecurityUtils.getSubject();

if(subject.hasRole(“admin”)) {

//有权限

} else {

//无权限

}

注解式:通过在执行的Java方法上放置相应的注解完成:

@RequiresRoles("admin")

public void hello() {

//有权限

}

JSP/GSP 标签:在JSP/GSP 页面通过相应的标签完成:

<shiro:hasRole name="admin">

<!— 有权限—>

</shiro:hasRole>

使用编程式授权

同样的,我们是通过安全管理器来去授权的,因此我们还是需要配置对应的配置文件的:

shiro-permission.ini配置文件:



#用户

[users]

#用户zhang的密码是123,此用户具有role1和role2两个角色

zhang=123,role1,role2

wang=123,role2

#权限

[roles]

#角色role1对资源user拥有create、update权限

role1=user:create,user:update

#角色role2对资源user拥有create、delete权限

role2=user:create,user:delete

#角色role3对资源user拥有create权限

role3=user:create

权限标识符号规则:**资源:操作:实例(中间使用半角:分隔)**

user:create:01  表示对用户资源的01实例进行create操作。

user:create:表示对用户资源进行create操作,相当于user:create:*,对所有用户资源实例进行create操作。

user:*:01  表示对用户资源实例01进行所有操作。

代码测试:



    // 角色授权、资源授权测试

    @Test

    public void testAuthorization() {

        // 创建SecurityManager工厂

        Factory<SecurityManager> factory = new IniSecurityManagerFactory(

                "classpath:shiro-permission.ini");

        // 创建SecurityManager

        SecurityManager securityManager = factory.getInstance();

        // 将SecurityManager设置到系统运行环境,和spring后将SecurityManager配置spring容器中,一般单例管理

        SecurityUtils.setSecurityManager(securityManager);

        // 创建subject

        Subject subject = SecurityUtils.getSubject();

        // 创建token令牌

        UsernamePasswordToken token = new UsernamePasswordToken("zhangsan",

                "123");

        // 执行认证

        try {

            subject.login(token);

        } catch (AuthenticationException e) {

            // TODO Auto-generated catch block

            e.printStackTrace();

        }

        System.out.println("认证状态:" + subject.isAuthenticated());

        // 认证通过后执行授权

        // 基于角色的授权

        // hasRole传入角色标识

        boolean ishasRole = subject.hasRole("role1");

        System.out.println("单个角色判断" + ishasRole);

        // hasAllRoles是否拥有多个角色

        boolean hasAllRoles = subject.hasAllRoles(Arrays.asList("role1",

                "role2", "role3"));

        System.out.println("多个角色判断" + hasAllRoles);

        // 使用check方法进行授权,如果授权不通过会抛出异常

        // subject.checkRole("role13");

        // 基于资源的授权

        // isPermitted传入权限标识符

        boolean isPermitted = subject.isPermitted("user:create:1");

        System.out.println("单个权限判断" + isPermitted);

        boolean isPermittedAll = subject.isPermittedAll("user:create:1",

                "user:delete");

        System.out.println("多个权限判断" + isPermittedAll);

        // 使用check方法进行授权,如果授权不通过会抛出异常

        subject.checkPermission("items:create:1");

    }

自定义realm进行授权

一般地,我们的权限都是从数据库中查询的,并不是根据我们的配置文件来进行配对的。因此我们需要自定义reaml,让reaml去对比的是数据库查询出来的权限

shiro-realm.ini配置文件:将自定义的reaml信息注入到安全管理器中



[main]

#自定义 realm

customRealm=cn.itcast.shiro.realm.CustomRealm

#将realm设置到securityManager,相当 于spring中注入

securityManager.realms=$customRealm

我们上次已经使用过了一个自定义reaml,当时候仅仅重写了doGetAuthenticationInfo()方法,这次我们重写doGetAuthorizationInfo()方法

    // 用于授权

    @Override

    protected AuthorizationInfo doGetAuthorizationInfo(

            PrincipalCollection principals) {

        //从 principals获取主身份信息

        //将getPrimaryPrincipal方法返回值转为真实身份类型(在上边的doGetAuthenticationInfo认证通过填充到SimpleAuthenticationInfo中身份类型),

        String userCode =  (String) principals.getPrimaryPrincipal();

        //根据身份信息获取权限信息

        //连接数据库...

        //模拟从数据库获取到数据

        List<String> permissions = new ArrayList<String>();

        permissions.add("user:create");//用户的创建

        permissions.add("items:add");//商品添加权限

        //....

        //查到权限数据,返回授权信息(要包括 上边的permissions)

        SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();

        //将上边查询到授权信息填充到simpleAuthorizationInfo对象中

        simpleAuthorizationInfo.addStringPermissions(permissions);

        return simpleAuthorizationInfo;

    }

测试程序:



    // 自定义realm进行资源授权测试

    @Test

    public void testAuthorizationCustomRealm() {

        // 创建SecurityManager工厂

        Factory<SecurityManager> factory = new IniSecurityManagerFactory(

                "classpath:shiro-realm.ini");

        // 创建SecurityManager

        SecurityManager securityManager = factory.getInstance();

        // 将SecurityManager设置到系统运行环境,和spring后将SecurityManager配置spring容器中,一般单例管理

        SecurityUtils.setSecurityManager(securityManager);

        // 创建subject

        Subject subject = SecurityUtils.getSubject();

        // 创建token令牌

        UsernamePasswordToken token = new UsernamePasswordToken("zhangsan",

                "111111");

        // 执行认证

        try {

            subject.login(token);

        } catch (AuthenticationException e) {

            // TODO Auto-generated catch block

            e.printStackTrace();

        }

        System.out.println("认证状态:" + subject.isAuthenticated());

        // 认证通过后执行授权

        // 基于资源的授权,调用isPermitted方法会调用CustomRealm从数据库查询正确权限数据

        // isPermitted传入权限标识符,判断user:create:1是否在CustomRealm查询到权限数据之内

        boolean isPermitted = subject.isPermitted("user:create:1");

        System.out.println("单个权限判断" + isPermitted);

        boolean isPermittedAll = subject.isPermittedAll("user:create:1",

                "user:create");

        System.out.println("多个权限判断" + isPermittedAll);

        // 使用check方法进行授权,如果授权不通过会抛出异常

        subject.checkPermission("items:add:1");

    }

Shiro第三篇【授权、自定义reaml授权】的更多相关文章

  1. Qt学习之路:自定义Model三篇,自定义委托等等

    http://devbean.blog.51cto.com/448512/d-8/p-2

  2. 【.NET Core项目实战-统一认证平台】第六章 网关篇-自定义客户端授权

    [.NET Core项目实战-统一认证平台]开篇及目录索引 上篇文章我们介绍了网关使用Redis进行缓存,并介绍了如何进行缓存实现,缓存信息清理接口的使用.本篇我们将介绍如何实现网关自定义客户端授权, ...

  3. shiro源码篇 - shiro认证与授权,你值得拥有

    前言 开心一刻 我和儿子有个共同的心愿,出国旅游.昨天儿子考试得了全班第一,我跟媳妇合计着带他出国见见世面,吃晚饭的时候,一家人开始了讨论这个.我:“儿子,你的心愿是什么?”,儿子:“吃汉堡包”,我: ...

  4. shiro授权及自定义realm授权(七)

    1.授权流程

  5. Shiro第五篇【授权过滤、注解、JSP标签方式、与ehcache整合】

    授权过滤器测试 我们的授权过滤器使用的是permissionsAuthorizationFilter来进行拦截.我们可以在application-shiro中配置filter规则 <!--商品查 ...

  6. Shiro集成web环境[Springboot]-认证与授权

    Shiro集成web环境[Springboot]--认证与授权 在登录页面提交登陆数据后,发起请求也被ShiroFilter拦截,状态码为302 <form action="${pag ...

  7. java:shiro(认证,赋予角色,授权...)

    1.shiro(权限框架(认证,赋予角色,授权...)): readme.txt(运行机制): 1.从jsp的form中的action属性跳转到springmvc的Handler中(controlle ...

  8. openstack外篇之认识mysql授权及一些操作

    openstack外篇之认识mysql授权及一些操作  http://www.aboutyun.com/thread-11405-1-1.html

  9. 自定义View6 -塔防小游戏:第三篇防御塔随意放置+多组野怪

    第一篇:一个防御塔+多个野怪(简易版)第二篇:防御塔随意放置第三篇:防御塔随意放置+多组野怪 1.动态addView防御塔 2.防御塔放置后不可以移动 3.弯曲道路 4.素材替换 第四篇:多波野怪 第 ...

随机推荐

  1. 迭代器(Iterator)

    迭代器是一种设计模式,它是一个对象,它可以遍历并选择序列中的对象,而开发人员不需要了解该序列的底层结构.迭代器通常被称为"轻量级"对象,因为创建它的代价小. Java中的Itera ...

  2. RSA简介(四)——求逆算法

    此处所谓求逆运算,是指在模乘群里求逆. 第一节里提到互质的两个定义: (1)p,q两整数互质指p,q的最大公约数为1. (2)p.q两整数互质指存在整数a,b,使得ap+bq=1. 只要明白了欧几里得 ...

  3. 【Maven】项目中没有resources目录

    在eclipse中创建maven项目,src/main/只有java没有resources目录 解决办法: 1.项目右键properties 2.Java Build Path 中移除JRE Syst ...

  4. Apache Kafka系列(五) Kafka Connect及FileConnector示例

    Apache Kafka系列(一) 起步 Apache Kafka系列(二) 命令行工具(CLI) Apache Kafka系列(三) Java API使用 Apache Kafka系列(四) 多线程 ...

  5. LaTeX的表格插入与排版

    关于LaTex中的图表问题的几篇有用的文章 Graphics and Colour with LaTeX  有关在LaTex中插图和使用颜色的在线指导. Figure'ing and Picture' ...

  6. Visual Studio 2013怎么关闭智能提示?

    visual studio的智能提示加快了程序员写代码的速度,但是却让程序员更加的依赖编辑器,离开了智能提示,会忘记很多代码~,甚至会问自己,我还是程序员吗? 下面给出关闭visual studio智 ...

  7. Oracle03——游标、异常、存储过程、存储函数、触发器和Java代码访问Oracle对象

    作者: kent鹏 转载请注明出处: http://www.cnblogs.com/xieyupeng/p/7476717.html 1.游标(光标)Cursor 在写java程序中有集合的概念,那么 ...

  8. 从源码分析java.lang.String.isEmpty()

    今天在写代码的时候用到了java.lang.String.isEmpty()的这个方法,之前也用过,今天突发奇想,就看了看源码,了解了解它的实现方法,总结出来,大家可以交流交流. 通常情况下,我们使用 ...

  9. struts2和spring mvc的比较

    详见:http://blog.yemou.net/article/query/info/tytfjhfascvhzxcyt236   Struts2 Springmvc       机制 基于filt ...

  10. Mock Server 入门

    Mock Server介绍 什么是mock ? 我在去年的时候介绍一篇幅 python mock的基本使用,http://www.cnblogs.com/fnng/p/5648247.html 主要是 ...