Shiro快速入门 —— 5.受权

本系列博文目录：http://www.javashuo.com/article/p-ewndobct-kn.html

 

shiro受权的操做主要分为两个步骤

一、匹配登陆用户的角色，并将权限赋予当前用户所建立的Subject。

二、访问某一资源时，从当前用户Subject中取得权限并验证是否能够访问这个资源。

 

权限管理

shiro自己并不提供权限管理的机制，权限的管理须要咱们本身进行维护。常见的作法是在数据库建立用户、角色和权限表进行管理。数据结构相似于下图

权限的标识符（代码中匹配权限的字符串）理论上能够自由定义，可是通常状况咱们会赋予含义。

例如：“company_add“或“company：add”。前面表明模块后面表明功能。

 

赋予权限

当一个用户成功登录后，咱们会先取得用户的userId，而后去数据库中找到对应的角色以及下面的全部权限。最后将这些权限存入当前用户的权限信息中，以便访问资源时使用这些权限进行比对。

 

赋予权限时咱们要继承AuthorizingRealm类，并实现doGetAuthorizationInfo抽象方法。

/**
     * 受权
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        //获取当前登陆用户的信息（登陆认证时取得的）
        Principal principal = (Principal) principals.getPrimaryPrincipal();
        //使用登陆信息中存入的userId获取当前用户全部权限
        List<String> authorities = getAuthority(principal.getUserId());
        //建立受权信息类
        SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
        //将权限存入受权信息类
        authorizationInfo.addStringPermissions(authorities);

        return authorizationInfo;
    }

 

验证权限

shiro支持经过四种方式进行权限验证。

一、代码判断（代码级）

使用subject.isPermitted( )方法，验证是否有权限，后进行对应的处理。验证失败逻辑本身实现。

if(SecurityUtils.getSubject().isPermitted("admin_home")){
   System.out.println("我有这个权限");
}else{
   System.out.println("我没有这个权限");
}

 

二、使用注解（方法级）

注解方式属于方法级的权限控制。使用@RequiresPermissions注解的方法时会验证权限。验证失败抛出org.apache.shiro.authz.AuthorizationException异常。

@RequiresPermissions("admin_home")
@RequestMapping(value="/index", method = RequestMethod.GET)
public String index(ModelMap model){
    System.out.println("我有这个权限");
}

 

三、使用标签（页面元素级）

使用标签属于页面元素及的权限控制。访问被标签控制的页面元素时，须要拥有标签指定的权限。验证失败的的内容在页面上是隐藏的。

这里须要注意freemaker是不能直接使用shiro权限验证标签的，若是要使用须要引入shiro-freemarker-tags包，具体方法请参考另外一篇博文《Shiro快速入门 —— 9.freemaker使用shiro标签》。

<!-- 验证单个权限 -->
<@shiro.hasPermission name = "admin_company_manage">
  <!-- 被控制的页面元素 -->
</@shiro.hasPermission>


<!-- 验证多个权限是能够在外层嵌套循环，只要拥有其中一个权限就显示标签 -->
<#list ["admin1","admin2","admin3"] as permission>
  <@shiro.hasPermission name = permission>
     <!-- 被控制的页面元素 -->
  </@shiro.hasPermission>
</#list>

 

四、拦截器（路径级）

在拦截器拦截路径配置时，能够指定权限拦截器和所需的权限。当访问此路径时进行权限验证。验证失败会访问在拦截器工厂类中配置的无权限提示页。具体方法能够参考《Shiro快速入门 —— 2.拦截器》

Map<String, String> filterChainDefinitionMap = new LinkedHashMap<String, String>();
filterChainDefinitionMap.put("/home1/**", "perms[admin1]");
filterChainDefinitionMap.put("/home2/**", "perms[admin2]");
filterChainDefinitionMap.put("/home3/**", "perms[admin3]");
shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);//设置拦截规则

拦截器工厂类中配置无权限提示页。具体方法能够参考《Shiro快速入门 —— 2.拦截器》

shiroFilterFactoryBean.setUnauthorizedUrl("/common/unauthorized");//配置没有权限跳转的页面