授权即访问控制,它将判断用户在应用程序中对资源是否拥有相应的访问权限。

如,判断一个用户有查看页面的权限,编辑数据的权限,拥有某一按钮的权限等等。

一、用户权限模型

为实现一个较为灵活的用户权限数据模型,通常把用户信息单独用一个实体表示,用户权限信息用两个实体表示。

  1. 用户信息用 LoginAccount 表示,最简单的用户信息可能只包含用户名 loginName 及密码 password 两个属性。实际应用中可能会包含用户是否被禁用,用户信息是否过期等信息。
  2. 用户权限信息用 Role 与 Permission 表示,Role 与 Permission 之间构成多对多关系。Permission 可以理解为对一个资源的操作,Role 可以简单理解为 Permission 的集合。
  3. 用户信息与 Role 之间构成多对多关系。表示同一个用户可以拥有多个 Role,一个 Role 可以被多个用户所拥有。

权限声明及粒度

Shiro权限声明通常是使用以冒号分隔的表达式。就像前文所讲,一个权限表达式可以清晰的指定资源类型,允许的操作。同时,Shiro权限表达式支持简单的通配符,可以更加灵活的进行权限设置。

下面以实例来说明权限表达式。

可查询用户数据

User:view

可查询或编辑用户数据

User:view,edit

可对用户数据进行所有操作

User:*或 user

可编辑id为123的用户数据

User:edit:123

授权处理过程

认证通过后接受 Shiro 授权检查,授权验证时,需要判断当前角色是否拥有该权限。

只有授权通过,才可以访问受保护 URL 对应的资源,否则跳转到“未经授权页面”。

如果我们自定义Realm实现,比如我后面的例子中,自定义了ShiroDbRealm类,当访问ShiroDbRealm.doGetAuthorizationInfo()进行授权。

@Controller

@RequestMapping(value = "/user")

public class UserController {

@Resource(name="userService")

private IUserService userService;

/**

 * 测试权限

 * 只有拥有 user:create权限,才能进行注册

 * @param user

 * @return

 */

@RequestMapping(value = "/register")

@ResponseBody

@RequiresPermissions("user:create")

public boolean register(User user){

return userService.register(user);

}

二、授权实现

Shiro支持三种方式实现授权过程:

  • 编码实现
  • 注解实现
  • JSP Taglig实现

1、基于编码的授权实现

1、基于权限对象的实现

创建org.apache.shiro.authz.Permission的实例,将该实例对象作为参数传递给Subject.isPermitted()进行验证。

Permission printPermission = new PrinterPermission("laserjet4400n", "print");

Subject currentUser = SecurityUtils.getSubject();

if (currentUser.isPermitted(printPermission)) {

    //show the Print button

} else {

    //don't show the button?  Grey it out?

}

2基于字符串的实现

相比笨重的基于对象的实现方式,基于字符串的实现便显得更加简洁。

Subject currentUser = SecurityUtils.getSubject();

if (currentUser.isPermitted("printer:print:laserjet4400n")) {

    //show the Print button

} else {

    //don't show the button?  Grey it out?

}

使用冒号分隔的权限表达式是org.apache.shiro.authz.permission.WildcardPermission默认支持的实现方式。

这里分别代表了资源类型:操作:资源ID

2、基于注解的授权实现

Shiro注解支持AspectJ、Spring、Google-Guice等,可根据应用进行不同的配置。

相关的注解:

@RequiresAuthentication

可以用户类/属性/方法,用于表明当前用户需是经过认证的用户。

@RequiresAuthentication

public void updateAccount(Account userAccount) {

    //this method will only be invoked by a

    //Subject that is guaranteed authenticated

    ...

}

@RequiresPermissions

当前用户需拥有制定权限

@RequiresPermissions("account:create")

public void createAccount(Account account) {

    //this method will only be invoked by a Subject

    //that is permitted to create an account

    ...

}

3、基于JSP TAG的授权实现

Shiro提供了一套JSP标签库来实现页面级的授权控制。

在使用Shiro标签库前,首先需要在JSP引入shiro标签:

hasRole标签

验证当前用户是否属于该角色

<shiro:hasRole name="administrator">

    <a href="admin.jsp">Administer the system</a>

</shiro:hasRole>

hasPermission标签

验证当前用户是否拥有制定权限

<shiro:hasPermission name="user:create">

    <a href="createUser.jsp">Create a new User</a>

</shiro:hasPermission>

三、Shiro授权的内部处理机制

1、在应用程序中调用授权验证方法(Subject的isPermitted*或hasRole*等)

2、Sbuject会委托应用程序设置的securityManager实例调用相应的isPermitted*或hasRole*方法。

3、接下来SecurityManager会委托内置的Authorizer的实例(默认是ModularRealmAuthorizer类的实例,类似认证实例)调用相应的授权方法。

4、每一个Realm将检查是否实现了相同的Authorizer 接口。然后,将调用Reaml自己的相应的授权验证方法。

四、授权代码

UserController:处理用户登录后的请求(注册)

		package org.shiro.demo.controller;

		import javax.annotation.Resource;

		import org.apache.shiro.authz.annotation.RequiresPermissions;

		import org.apache.shiro.authz.annotation.RequiresRoles;

		import org.shiro.demo.entity.User;

		import org.shiro.demo.service.IUserService;

		import org.springframework.stereotype.Controller;

		import org.springframework.web.bind.annotation.RequestMapping;

		import org.springframework.web.bind.annotation.ResponseBody;

		@Controller

		@RequestMapping(value = "/user")

		public class UserController {

			@Resource(name="userService")

			private IUserService userService;

			/**

			 * 测试权限

			 * 只有拥有 user:create 权限,才能进行注册

			 * @param user

			 * @return

			 */

			@RequestMapping(value = "/register")

			@ResponseBody

			@RequiresPermissions("user:create")

			public boolean register(User user){

				return userService.register(user);

			}

			/**

			 * 测试角色

			 * 只有拥有 administrator 角色,才能跳转到register页面

			 * @return

			 */

			@RequestMapping(value = "/toRegister")

			@RequiresRoles("administrator")

			public String toRegister(){

				return "/system/user/register";

			}

		}

ShiroDbRealm:自定义的指定Shiro验证用户授权的类

packageorg.shiro.demo.service.realm;

importjava.util.ArrayList;

importjava.util.List;

importjavax.annotation.Resource;

importorg.apache.commons.lang.StringUtils;

importorg.apache.shiro.authc.AuthenticationException;

importorg.apache.shiro.authc.AuthenticationInfo;

importorg.apache.shiro.authc.AuthenticationToken;

importorg.apache.shiro.authc.SimpleAuthenticationInfo;

importorg.apache.shiro.authc.UsernamePasswordToken;

importorg.apache.shiro.authz.AuthorizationException;

importorg.apache.shiro.authz.AuthorizationInfo;

importorg.apache.shiro.authz.SimpleAuthorizationInfo;

importorg.apache.shiro.realm.AuthorizingRealm;

importorg.apache.shiro.subject.PrincipalCollection;

importorg.shiro.demo.entity.Permission;

importorg.shiro.demo.entity.Role;

importorg.shiro.demo.entity.User;

importorg.shiro.demo.service.IUserService;

/**

 * 自定义的指定Shiro验证用户登录的类

 * @author TCH

 *

 */

publicclass ShiroDbRealm extends AuthorizingRealm{

//@Resource(name="userService")

privateIUserService userService;

publicvoid setUserService(IUserService userService) {

this.userService= userService;

}

    /**

     * 为当前登录的Subject授予角色和权限

     * @see 经测试:本例中该方法的调用时机为需授权资源被访问时

     * @see经测试:并且每次访问需授权资源时都会执行该方法中的逻辑,这表明本例未启用AuthorizationCache

     * @seeweb层可以有shiro的缓存,dao层可以配有hibernate的缓存(后面介绍)

     */

protectedAuthorizationInfo doGetAuthorizationInfo(

PrincipalCollectionprincipals) {

//获取当前登录的用户名,等价于(String)principals.fromRealm(this.getName()).iterator().next()

Stringaccount = (String) super.getAvailablePrincipal(principals);

List<String>roles = new ArrayList<String>();

List<String>permissions = new ArrayList<String>();

//从数据库中获取当前登录用户的详细信息

Useruser = userService.getByAccount(account);

if(user!= null){

//实体类User中包含有用户角色的实体类信息

if(user.getRoles() != null && user.getRoles().size() > 0) {

//获取当前登录用户的角色

for(Role role : user.getRoles()) {

roles.add(role.getName());

 //实体类Role中包含有角色权限的实体类信息

if(role.getPmss() != null && role.getPmss().size() > 0) {

 //获取权限

for(Permission pmss : role.getPmss()) {

if(!StringUtils.isEmpty(pmss.getPermission())){

permissions.add(pmss.getPermission());

}

}

}

}

}

}else{

thrownew AuthorizationException();

}

//为当前用户设置角色和权限

SimpleAuthorizationInfoinfo = new SimpleAuthorizationInfo();

info.addRoles(roles);

        info.addStringPermissions(permissions);

returninfo;

}

}

将 Shiro 作为应用的权限基础 三:基于注解实现的授权认证过程的更多相关文章

  1. 将 Shiro 作为应用的权限基础 二:shiro 认证

    认证就是验证用户身份的过程.在认证过程中,用户需要提交实体信息(Principals)和凭据信息(Credentials)以检验用户是否合法.最常见的“实体/凭证”组合便是“用户名/密码”组合. 一. ...

  2. 将 Shiro 作为应用的权限基础 一:shiro的整体架构

    将 Shiro 作为应用的权限基础 一:shiro的整体架构 近来在做一个重量级的项目,其中权限.日志.报表.工作量由我负责,工作量还是蛮大的,不过想那么多干嘛,做就是了. 这段时间,接触的东西挺多, ...

  3. 将 Shiro 作为应用的权限基础 二:基于SpringMVC实现的认证过程

    认证就是验证用户身份的过程.在认证过程中,用户需要提交实体信息(Principals)和凭据信息(Credentials)以检验用户是否合法.最常见的“实体/凭证”组合便是“用户名/密码”组合. 一. ...

  4. 将 Shiro 作为应用的权限基础

    Shiro 是 Java 世界中新近出现的权限框架,较之 JAAS 和 Spring Security,Shiro 在保持强大功能的同时,还在简单性和灵活性方面拥有巨大优势.本文介绍了 Shiro 的 ...

  5. 将 Shiro 作为应用的权限基础 五:SpringMVC+Apache Shiro+JPA(hibernate)整合配置

    配置web.xml,applicationContext.xml, spring-mvc.xml,applicationContext-shiro.xml,而且都有详细的说明. Web.xml是web ...

  6. 将 Shiro 作为应用的权限基础 四:shiro的配置说明

    Apache Shiro的配置主要分为四部分: SecurityManager的配置 URL过滤器的配置 静态用户配置 静态角色配置 其中,由于用户.角色一般由后台进行操作的动态数据,比如通过@Req ...

  7. 【权限管理系统】Spring security(三)---认证过程(原理解析,demo)

      在前面两节Spring security (一)架构框架-Component.Service.Filter分析和Spring Security(二)--WebSecurityConfigurer配 ...

  8. 【原】无脑操作:IDEA + maven + Shiro + SpringBoot + JPA + Thymeleaf实现基础授权权限

    上一篇<[原]无脑操作:IDEA + maven + Shiro + SpringBoot + JPA + Thymeleaf实现基础认证权限>介绍了实现Shiro的基础认证.本篇谈谈实现 ...

  9. django-rest-framework 基础三 认证、权限和频率

    django-rest-framework 基础三 认证.权限和频率 目录 django-rest-framework 基础三 认证.权限和频率 1. 认证 1.1 登录接口 1.2 认证 2. 权限 ...

随机推荐

  1. linux 更改用户的默认shell

    由于卸载了zsh.导致用户的bash没有更新 用户无法登录.后来通过grup更改.修改/etc/passwd中的用户的shell成功 将下面的红色的更改成bash即可. root:x:::root:/ ...

  2. web开发性能优化---UI界面篇

    1.尽量采用div+css布局 DIV+CSS相比较与表格布局的优势: a.代码精简 使用DIV+CSS布局,页面代码精简,这一点对XHTML有所了解的都知道.代码精简所带来的直接好处有两点:一是提高 ...

  3. hdu5925 Coconuts

    比完看acdream说这题是签到题 怎么都不会写 我现在补完也觉得 这不是傻逼题么 我我这个这么快5题的人真的不应该啊 #include<bits/stdc++.h> using name ...

  4. C# 中 realdonly不等于只读

    Realdonly很多同学从字面理解.认为通过realdonly修饰的关键字是只读的,其实,并不完全是这样. 如int.string.bool等基本数据类型一旦赋值后,确实就不可以更改了. 但是如果是 ...

  5. WPF基础篇之移动特效

    前一段时间,在做动画特效的时候,在网上看到了一个水平移动控件的例子.里面用到了RenderTransform特效.在网上查找资料发现了一篇基础的文章: 文章源地址:http://www.ithao12 ...

  6. Aspose.Words for .NET

    Aspose.Words for .NET Aspose.Words for .NET是 .NET 下先进的 Word 文档处理 API.它支持 DOC, OOXML, RTF, HTML, Open ...

  7. Aspose实现Office转PDF (ASP.NET)

    0.添加Aspose的DLL 1.可以直接去官网下载,不过默认是带水印的,如需去除水印可以购买 2.当然也可以在国内的一些下载站下载 3.将Aspose.Cells.dll.Aspose.Words. ...

  8. iOS 双击tabbar刷新页面

    /*在继承UITabBarController控制器中*/ #pragma mark <UITabBarControllerDelegate> -(void)tabBarControlle ...

  9. 【BZOJ1257】余数之和(数论分块,暴力)

    [BZOJ1257]余数之和(数论分块,暴力) 题解 Description 给出正整数n和k,计算j(n, k)=k mod 1 + k mod 2 + k mod 3 + - + k mod n的 ...

  10. [BZOJ1058][ZJOJ2007]报表统计

    BZOJ Luogu 题目描述 Q的妈妈是一个出纳,经常需要做一些统计报表的工作.今天是妈妈的生日,小Q希望可以帮妈妈分担一些工作,作为她的生日礼物之一. 经过仔细观察,小Q发现统计一张报表实际上是维 ...