shiro采坑指南—基础概念与实战

说明

  代码及部分相关资料根据慕课网Mark老师的视频进行整理。

  其他资料:

• shiro官网

基础概念

Authenticate/Authentication(认证)

  认证是指检查用户身份合法性，通过校验用户输入的密码是否正确，判断用户是否为本人。

  有几个概念需要理解:

• Principals (主体标识)
  
  任何可以唯一地确定一个用户的属性都可以充当principal，例如：邮箱、手机号、用户ID等，这些都是与用户一一对应的，可以唯一地确定一个用户。

• credentials (主体凭证)
  
  credentials是能确认用户身份的东西，可以是证书（Certificate），也可以是密码（password）。

• token（令牌）
  
  这里的token和api里的token有一点儿差别，这里token是principal和credential的结合体或者说容器。这里先讲一部分，剩下的放到"Subject"讲解。

Authorize/Authorization(授权)

  shiro中的“授权”，更贴切说法是“鉴权”，即判定用户是否拥有某些权限，至于拥有该权限在业务上有何意义，则是由业务本身来决定。

  关于“授权”，shiro引入了两种概念:

• Role (角色)
  
  角色用来区分用户的类别。角色与用户间是多对多的关系，一个用户可以拥有多个角色，如Bob可以同时是admin(管理员)和user(普通用户)。

• Permission (权限)
  
  权限是对角色的具体的描述，用于说明角色在业务上的特殊性。如admin(管理员)可以拥有user:delete(删除用户)、user:modify(修改用户信息)等的权限。同样的，角色与权限是多对多的数量关系。
  
  shiro权限可以分级，使用":"分割，如delete、user:delete、user:info:delete。可以使用"*"作通配符，例如可以给admin赋予操作用户的所有权限，可以配置为"user:*"，这样在授权时，isPermitted("user:123")、isPermitted("user:123:abc")都是返回true；如果配置为"*