其实过滤器就是一级一级的筛选匹配,通过后放行
用authc 表示访问资源需要验证登录
用roles表示访问资源需要角色匹配成功
用perms表示访问角色需要perms中的匹配到
方式一:一般的权限设计用authc+roles即可(也可精确到按钮),
方式二:还可authc+perms 此时就是用户的资源和perms中的资源匹配
方式一:
所有用户及对应的资源信息在初始化的时候就加载到每台机器的内存,验证通过的情况下,授权时用户自身的信息每次请求一次每次从新加载(url,角色 分开),用户请求url,
在服务器中找此用户访问此url对应的role[].此资源要求的角色role[]和当前用户的角色(subject中有(role,perm,principal(用户信息)))是否匹配
subject中的role用来走roles过滤器验证角色条件
subject中的permission用来走perm过滤器用来验证perm需要的条件
subject中的principal用来存储用户登录信息
当前用户的subject中的信息来源:组织用户的role,perm,这种实现只需要role角色
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
//得到 doGetAuthenticationInfo 方法中传入的凭证
FinancialSalesUser shiroUser = (FinancialSalesUser) principals.fromRealm(getName()).iterator().next();
List
List
String userName = shiroUser.getUserName();
List
if(null!=shiroUser){
selectedRoleList = this.financialSalesUserFacade.selectUserRole(shiroUser.getId());
if (null != selectedRoleList && selectedRoleList.size() > 0) {
for(FinancialSalesUserRole r: selectedRoleList){
roleList.add(r.getRoleId()+"");
FinancialSalesUserRoleCondition financialSalesRoleCondition =new FinancialSalesUserRoleCondition();
financialSalesRoleCondition.setRoleId(r.getRoleId()+"");
List
if (null != branchArr&& branchArr.size() > 0) {
for (Iterator
Map resource = it.next();
if (!"".equals(resource)&&resource!=null) {
permissionList.add(resource.get("url")+"");
}
}
}
}
}
}
SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
//这个确定页面�?
info.addRoles(roleList);
//这个就是页面�?
info.addStringPermissions(permissionList);
return info;
}
role过滤器的验证过程:
单个用户的只需要角色信息即可(之前做的也有单个用户的url信息),所有用户的即需要资源,有需要 角色
public boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue)
throws Exception
{
Subject subject = getSubject(request, response);
HttpServletRequest request1 =(HttpServletRequest) ((WebSubject) SecurityUtils.getSubject()).getServletRequest(); //ServletActionContext.getRequest();
Cookie[] cookies = request1.getCookies();
String username1=getCookieValue(cookies, "username");
//String uk="Subject"+username1;
//Subject currentUserrds=(Subject)webSession.getAttribute(uk);
String uk="request";
String rk="response";
//byte[] request2=(byte[])webSession.getAttribute(uk+username1);
//byte[] response1=(byte[])webSession.getAttribute(rk+username1);
//
//ObjectInputStream ois = new ObjectInputStream(new BufferedInputStream(new java.io.ByteArrayInputStream(request2)));
//HttpServletRequest user = (HttpServletRequest) ois.readObject();
//if(request2!=null&&response1!=null){
////subject= getSubject(user, response1);
//}
String[] rolesArray = (String[])mappedValue;
if ((rolesArray == null) || (rolesArray.length == 0))
{
return true;
}
// Set
boolean flag=false;
String[] roles = (String[])rolesArray[0].split(",");
for(int i=0;i System.out.println(roles[i]); if(subject.hasRole(roles[i])){ return subject.hasRole(roles[i]); } } return flag; } 方式 二: 全局所有用户的资源及对应要求的perm信息加载到内存中,组装好此用户的perm信息,当用户访问资源时,用户的perm信息和此访问资源对应要求的perm匹配,有的话通过 即授权的时候不通过角色,但是我们在设计组织数据的时候,还是要通过用户关联角色,角色关联资源,只是匹配的时候只去用户的perm和数据库中的perm即可 当前用户的subject中的信息来源:用户的perm信息组织:这种权限思路只需要perm //授权 @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) { User user= (User) SecurityUtils.getSubject().getPrincipal();//User{id=1, username='admin', password='3ef7164d1f6167cb9f2658c07d3c2f0a', enable=1} Map map.put("userid",user.getId()); List // 权限信息对象info,用来存放查出的用户的所有的角色(role)及权限(permission) SimpleAuthorizationInfo info = new SimpleAuthorizationInfo(); for(Resources resources: resourcesList){ info.addStringPermission(resources.getResurl()); } return info; } perm的过滤器验证过程: protected boolean isPermitted(Permission permission, AuthorizationInfo info) { Collection if (perms != null && !perms.isEmpty()) { for (Permission perm : perms) { if (perm.implies(permission)) { return true; } } } return false; }