③【Shiro】角色(权限组)、权限授权
授权的相关概念
-
授权:授权,也叫访问控制,即在应用中控制谁访问哪些资源(如访问页面/编辑数据/页面操作 等)。在授权中需了解的几个关键对象:主体(Subject)、资源(Resource)、权限 (Permission)、角色(Role)。 -
主体 (Subject):访问应用的用户,在 Shiro 中使用 Subject 代表该用户。用户只有授权 后才允许访问相应的资源。 -
资源 (Resource):在应用中用户可以访问的 URL,比如访问 JSP 页面、查看/编辑某些数据、访问某个业务方法、打印文本等等都是资源。用户只要授权后才能访问。 -
权限 (Permission):安全策略中的原子授权单位,通过权限我们可以表示在应用中用户有没有操作某个资源的权力。如:访问用户列表页面查看/新增/修改/删除用户数据(即很多时候都是CRUD式权限控制)等。 -
权限、粒度:Shiro 支持粗粒度权限(如用户模块的所有权限)和细粒度权限(操作某个用户的权限, 即实例级别的)。 -
角色 (Role):权限的集合,一般情况下会赋予用户角色而不是权限,即这样用户可以拥有一组权限,赋予权限时比较方便。典型的如:项目经理、技术总监、CTO、开发工程师等 都是角色,不同的角色拥有一组不同的权限。
Shiro授权方式
1 编程式:
//通过写if/else 授权代码块完成
if(subject.hasRole("admin")){
//有权限
}else{
//无权限
}2 注解式:
//通过在执行的Java方法上放置相应的注解完成,没有权限将抛出相应的异常
@RequiresRoles("admin")
public void do(){
//有权限
}3 标签式:
<!--在JSP/GSP 页面通过相应的标签完成-->
<shiro:hasRole name="admin">
<!--有权限-->
</shiro:hasRole>Shiro授权 执行流程
流程原理:
- 首先调用Subject.isPermitted*/hasRole*接口,其会委托给SecurityManager,而SecurityManager接着会委托给 Authorizer;
- Authorizer是真正的授权者,如果调用如isPermitted(“user:view”),其首先会通过Permission Resolver 把字符串转换成相应的Permission实例;
- 在进行授权之前,其会调用相应的Realm获取Subject相应的角色/权限用于匹配传入的角色/权限;
- Authorizer会判断Realm的角色/权限是否和传入的匹配,如果有多个Realm,会委托给ModularRealmAuthorizer进行循环判断,如果匹配如isPermitted*/hasRole* 会返回true,否则返回false表示授权失败;
Shiro授权案例
导入坐标:
<!-- shiro-core -->
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-core</artifactId>
<version>1.9.0</version>
</dependency>
<dependency>
<groupId>commons-logging</groupId>
<artifactId>commons-logging</artifactId>
<version>1.2</version>
</dependency>配置ini文件:
# Shiro获取权限相关信息可以通过数据库获取,也可以通过ini文件获取
# 配置账户密码信息
# role1,role2为userA用户的角色(权限组)信息
[users]
userA = 123a,role1,role2
userB = 123b
# 配置对应角色(权限组)的权限
[roles]
role1 = user:select,user:update
测试案例:
/**
* @author .29.
* @create 2024-03-16 16:54
*/
public class shiroRun {
public static void main(String[] args){
//1. 初始化获取安全管理器SecurityManager
IniSecurityManagerFactory factory = new IniSecurityManagerFactory("classpath:Shiro.ini");
SecurityManager securityManager = factory.getInstance();
SecurityUtils.setSecurityManager(securityManager);
//2. 获取Subject对象
Subject subject = SecurityUtils.getSubject();
//3. 创建token对象,web应用用户名密码从页面传递
UsernamePasswordToken token = new UsernamePasswordToken("userA", "123a");
//如果希望应用程序在用户返回时记住用户,可以使用令牌的setRememberMe()方法,并设置参数为true
token.setRememberMe(true);
//4. 完成登录
//你可以接受该方法调用并将其包装在 try/catch 块中,如果你想处理它们并做出相应的反应,你可以捕获各种异常。
try{
subject.login(token);
System.out.println("登陆成功!");
//5. 授权
//判断用户是否拥有该角色(权限组)
boolean role1 = subject.hasRole("role1");
System.out.println("是否拥有此角色role1:-->" + role1);
//判断用户是否拥有该权限
boolean permitted = subject.isPermitted("user:select");
System.out.println("是否拥有该权限:user:select -->" + permitted);
boolean permitted2 = subject.isPermitted("user:delete");
System.out.println("是否拥有该权限:user:delete -->" + permitted2);
//可以使用checkPermission()查看权限,没有返回值,无权限会直接抛异常
subject.checkPermission("user:insert");
}catch (UnknownAccountException e){
e.printStackTrace();
System.out.println("用户不存在!");
}catch (IncorrectCredentialsException e){
e.printStackTrace();
System.out.println("密码错误!");
}catch (AuthenticationException ae){
//这个块捕获了所有的认证异常,
//表达的意思是,以此类推,你可以通过捕获异常的方式来处理逻辑
}
}
}登陆成功! 是否拥有此角色role1:–>true 是否拥有该权限:user:select -->true 是否拥有该权限:user:delete -->false Exception in thread “main” org.apache.shiro.authz.UnauthorizedException: Subject does not have permission [user:insert]
本文参与 腾讯云自媒体分享计划,分享自作者个人站点/博客。
原始发表:2024-03-20,如有侵权请联系 cloudcommunity@tencent.com 删除
评论
登录后参与评论
推荐阅读
目录