Shiro Review——使用ini文件进行授权测试


一,shiro授权


授权流程:



Shiro Review——使用ini文件进行授权测试_第1张图片



  跟用户的认证流程类似,shrio在用户授权的时候,最后还是去Realm获取信息。


   shiro的三种授权方式:

 

Shiro 支持三种方式的授权:

  • 编程式:通过写if/else 授权代码块完成:

Subject subject = SecurityUtils.getSubject();

if(subject.hasRole(admin)) {

//有权限

} else {

//无权限

}

  • 注解式:通过在执行的Java方法上放置相应的注解完成:

@RequiresRoles("admin")

public void hello() {

//有权限

}

  • JSP/GSP 标签:在JSP/GSP 页面通过相应的标签完成:

— 有权限—>


二,代码测试shrio授权


首先编写ini文件:


#用户
[users]
#用户zhang的密码是123,此用户具有role1和role2两个角色
zhangsan=123,role1,role2

#权限
[roles]
#角色role1对资源user拥有create、update权限
role1=user:create,user:update
#角色role2对资源user拥有create、delete权限
role2=user:create,user:delete
#角色role3对资源user拥有create权限
role3=user:create


  权限标识符号规则:资源:操作:实例(中间使用半角:分隔)

    user:create:01  表示对用户资源的01实例进行create操作。

    user:create:表示对用户资源进行create操作,相当于user:create:*,对所有用户资源实例进行create操作。

    例如,user:*:01  表示对用户资源实例01进行所有操作。



授权测试代码:


/**
 * 授权测试
 * @author LiuHuiChao
 *
 */
public class AuthorizationTest {

	//角色授权,资源授权
	@Test
	public void  testAuthorization(){
		//创建SecurityManager工厂
		Factory factory=new IniSecurityManagerFactory("classpath:shiro-permission.ini");
		//创建SecurityManager
		SecurityManager securityManager=factory.getInstance();
		//将SecurityManager设置到系统运行环境,和spring整合后将SecurityManager配置到spring容器中
		SecurityUtils.setSecurityManager(securityManager);
		//创建subject
		Subject subject=SecurityUtils.getSubject();
		//执行认证
		UsernamePasswordToken token=new UsernamePasswordToken("zhangsan","123");
		try {
			subject.login(token);
		} catch (AuthenticationException e) {
			e.printStackTrace();
		}
		System.out.println("认证状态:"+subject.isAuthenticated());
		
		//认证通过后执行授权
		/*基于角色的授权*/
		boolean IsHasRole=subject.hasRole("role1");
		System.out.println("是否有role1权限:"+IsHasRole);
		//判断是否拥有多个角色
		boolean hasAllRoles=subject.hasAllRoles(Arrays.asList("role1","role2"));
		System.out.println("是否拥有所有角色([role1],[role2]):"+hasAllRoles);
		
		//使用check方法进行授权,如果授权不通过,抛出异常
		try {
			subject.checkRole("role12");
		} catch (AuthorizationException e) {
			System.out.println("用户没有role12角色");
			e.printStackTrace();
		}
		
		/*基于资源的授权*/
		boolean isPermitted=subject.isPermitted("user:create:1");
		System.out.println("是否有user:create权限:"+isPermitted);
		boolean isPremittedAll=subject.isPermittedAll("user:create","user:delete");	
		System.out.println("是否有user:create,user:delete权限:"+isPermitted);
		
		//使用无返回值的check
		try {
			subject.checkPermission("user:post");
		} catch (AuthorizationException e) {
			System.out.println("用户没有user:post权限");
			e.printStackTrace();
		}
	}
}


注意,只需在用户认证代码的基础上接着加就ok了,这样就完成了简单的用户认证+授权。





你可能感兴趣的:(Shiro Review——使用ini文件进行授权测试)