授权
:授权,也叫访问控制,即在应用中控制谁访问哪些资源(如访问页面/编辑数据/页面操作 等)。在授权中需了解的几个关键对象:主体(Subject)、资源(Resource)、权限 (Permission)、角色(Role)。
主体 (Subject)
:访问应用的用户,在 Shiro 中使用 Subject 代表该用户。用户只有授权 后才允许访问相应的资源。
资源 (Resource)
:在应用中用户可以访问的 URL,比如访问 JSP 页面、查看/编辑某些数据、访问某个业务方法、打印文本等等都是资源。用户只要授权后才能访问。
权限 (Permission)
:安全策略中的原子授权单位,通过权限我们可以表示在应用中用户有没有操作某个资源的权力。如:访问用户列表页面查看/新增/修改/删除用户数据(即很多时候都是CRUD式权限控制)等。
权限、粒度
:Shiro 支持粗粒度权限(如用户模块的所有权限)和细粒度权限(操作某个用户的权限, 即实例级别的)。
角色 (Role)
:权限的集合,一般情况下会赋予用户角色而不是权限,即这样用户可以拥有一组权限,赋予权限时比较方便。典型的如:项目经理、技术总监、CTO、开发工程师等 都是角色,不同的角色拥有一组不同的权限。
1 编程式
:
//通过写if/else 授权代码块完成
if(subject.hasRole("admin")){
//有权限
}else{
//无权限
}
2 注解式
:
//通过在执行的Java方法上放置相应的注解完成,没有权限将抛出相应的异常
@RequiresRoles("admin")
public void do(){
//有权限
}
3 标签式
:
<!--在JSP/GSP 页面通过相应的标签完成-->
<shiro:hasRole name="admin">
<!--有权限-->
</shiro:hasRole>
流程原理
:
导入坐标
:
<!-- shiro-core -->
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-core</artifactId>
<version>1.9.0</version>
</dependency>
<dependency>
<groupId>commons-logging</groupId>
<artifactId>commons-logging</artifactId>
<version>1.2</version>
</dependency>
配置ini文件
:
# Shiro获取权限相关信息可以通过数据库获取,也可以通过ini文件获取
# 配置账户密码信息
# role1,role2为userA用户的角色(权限组)信息
[users]
userA = 123a,role1,role2
userB = 123b
# 配置对应角色(权限组)的权限
[roles]
role1 = user:select,user:update
测试案例
:
/**
* @author .29.
* @create 2024-03-16 16:54
*/
public class shiroRun {
public static void main(String[] args){
//1. 初始化获取安全管理器SecurityManager
IniSecurityManagerFactory factory = new IniSecurityManagerFactory("classpath:Shiro.ini");
SecurityManager securityManager = factory.getInstance();
SecurityUtils.setSecurityManager(securityManager);
//2. 获取Subject对象
Subject subject = SecurityUtils.getSubject();
//3. 创建token对象,web应用用户名密码从页面传递
UsernamePasswordToken token = new UsernamePasswordToken("userA", "123a");
//如果希望应用程序在用户返回时记住用户,可以使用令牌的setRememberMe()方法,并设置参数为true
token.setRememberMe(true);
//4. 完成登录
//你可以接受该方法调用并将其包装在 try/catch 块中,如果你想处理它们并做出相应的反应,你可以捕获各种异常。
try{
subject.login(token);
System.out.println("登陆成功!");
//5. 授权
//判断用户是否拥有该角色(权限组)
boolean role1 = subject.hasRole("role1");
System.out.println("是否拥有此角色role1:-->" + role1);
//判断用户是否拥有该权限
boolean permitted = subject.isPermitted("user:select");
System.out.println("是否拥有该权限:user:select -->" + permitted);
boolean permitted2 = subject.isPermitted("user:delete");
System.out.println("是否拥有该权限:user:delete -->" + permitted2);
//可以使用checkPermission()查看权限,没有返回值,无权限会直接抛异常
subject.checkPermission("user:insert");
}catch (UnknownAccountException e){
e.printStackTrace();
System.out.println("用户不存在!");
}catch (IncorrectCredentialsException e){
e.printStackTrace();
System.out.println("密码错误!");
}catch (AuthenticationException ae){
//这个块捕获了所有的认证异常,
//表达的意思是,以此类推,你可以通过捕获异常的方式来处理逻辑
}
}
}
登陆成功! 是否拥有此角色role1:–>true 是否拥有该权限:user:select -->true 是否拥有该权限:user:delete -->false Exception in thread “main” org.apache.shiro.authz.UnauthorizedException: Subject does not have permission [user:insert]