shiro的授权及自定义Realm实现授权
- 授权:给身份认证通过的人,授予他可以访问某些资源的权限。
-
权限粒度:分为粗粒度和细粒度。粗粒度:对user的crud。也就是对表的操作。细粒度:是对记录的操作。如:只允许查询id为1的user的工资。Shiro一般管理的时粗粒度的权限。比如:菜单、按钮、url。一般细粒度的权限是通过业务来控制的。
3. 权限表示规则:资源:操作:实例。可以用通配符表示。
如: user:add 表示对user有添加的权限,user:* 表示对user具有所有操作的权限
User:delete:100,表示对user标识100的记录有删除的权限。
4,shiro中的权限流程:
5,测试:
shiro.ini 配置:
[users]
reyco=123456,role1
sihaihou=123456,role2
[roles]
role1=user:add,user:update
role2=user:*test:
public static void main(String[] args) {
Factory factory = new IniSecurityManagerFactory("classpath:shiro.ini");
SecurityManager securityManager = factory.getInstance();
SecurityUtils.setSecurityManager(securityManager);
Subject subject = SecurityUtils.getSubject();
UsernamePasswordToken token = new UsernamePasswordToken("reyco", "123456");
try {
subject.login(token);
if (subject.isAuthenticated())
System.out.println("验证成功");
} catch (UnknownAccountException e) {
e.printStackTrace();
System.out.println("用户或密码错误");
}catch (IncorrectCredentialsException e) {
e.printStackTrace();
System.out.println("用户或密码错误");
}
//判断拥有角色:role1
boolean flag = subject.hasRole("role1");
System.out.println(flag);
//可以通过checkRole来检测是否具有某个角色,如果不具有则抛出异常UnauthorizedException
//subject.checkRole("role2");
//也可以同时检测多个角色
//subject.checkRoles("role1","role2");
//基于授权的资源
flag = subject.isPermitted("user:add");
System.out.println("isPermitted="+flag);
flag = subject.isPermittedAll("user:add","user:delete");
System.out.println("isPermitted="+flag);
//通过checkPermission监测认证用户是否具有某个权限,如果没有则抛出异常UnauthorizedException
subject.checkPermission("user:add");
} 6,shiro中的权限检查方式有3种:
1),编程式:
If(subject.hasRole("管理员")){
//操作某个资源
}2),注解式:在执行指定的方法时 会检测是否具有该权限
@RequiresRoles("管理员")
public void list(){
//查询数据
}3),标签式:
添加
7,授权流程:
a),获取Subject实例
b),判断主体是否通过认证
c),调用subject.isPermitted*/hasRole*来进行权限的判断
I,Subject是由其实现类DelegatingSubject来调用方法的,该类将处理交给了SecurityManager。
II,SecurityManager是接口提供DefaultSecurityManager来完成相关的功能,该类的isPermitted来处理,其本质父类AuthorizingSecurityManager来处理的。该类将处理交给了authorizer(授权器)
III,Authorizer由其实现类ModularRealmAuthorizer来处理类可以调用对应的Realm来获取数据,在该类PermissionRessolver对权限字符串进行解析,在对应的Realm中也有对应的PermissionReaolver交给WildcaredPermissionResolver,该类调用WildcaredPermission来进行权限字符串的解析。
iV:返回处理结果。
8,自定义Realm实现授权
1),仅仅通过配置文件来指定权限不过灵活,而且不方便。在实际应用中大多数情况下都是讲用户信息,角色信息,授权信息保存到数据库中。所以需要从数据库中获取相关的数据信息。可以使用shiro提供的jdbcRealm来实现,也可以自定义realm来实现。使用jdbcRealm往往也不够灵活。所以在实际应用大多数情况下都是自定义realm来实现。
2),自定义Realm需要继承AuthorizingRealm:
代码:UserRealm.java
/**
* 自定义realm
* @author reyco
*/
public class UserRealm extends AuthorizingRealm{
@Override
public String getName() {
return "UserRrealm";
}
/**
* 完成身份认证(从数据库取数据),并且返回认证信息
* 如果身份认证失败返回null
*/
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
//获取用户输入的用户名
String username = (String)token.getPrincipal();
System.out.println("username111111="+username);
//获取密码
String password = "123456";//假如从数据库中获取密码为123456
//返回认证信息
SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo(username,password,this.getName());
return simpleAuthenticationInfo;
}
/**
* 授权的信息
*/
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection token) {
Object username = token.getPrimaryPrincipal();
System.out.println("授权------username="+username);
//根据用户信息到数据库查询该用户对应的权限信息 ---- 模拟
List permission = new ArrayList();
permission.add("user:add");
permission.add("user:delete");
permission.add("user:update");
permission.add("user:find");
SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
for (String string : permission) {
simpleAuthorizationInfo.addStringPermission(string);
}
return simpleAuthorizationInfo;
}
} shiro.ini配置信息
[main]
userRealm=com.shiro.reyco.core.realm.UserRealm
securityManager.realm=$userRealm
[users]
reyco=123456
sihaihou=123456测试:
public static void main(String[] args) {
Factory factory = new IniSecurityManagerFactory("classpath:shiro.ini");
SecurityManager securityManager = factory.getInstance();
SecurityUtils.setSecurityManager(securityManager);
Subject subject = SecurityUtils.getSubject();
UsernamePasswordToken token = new UsernamePasswordToken("reyco", "123456");
try {
subject.login(token);
if (subject.isAuthenticated())
System.out.println("验证成功");
} catch (UnknownAccountException e) {
e.printStackTrace();
System.out.println("用户或密码错误");
}catch (IncorrectCredentialsException e) {
e.printStackTrace();
System.out.println("用户或密码错误");
}
boolean flag = subject.isPermittedAll("user:add","user:update","user:delete");
System.out.println("isPermittedAll="+flag);
}