Shiro第二篇【授权、整合Spirng、过滤器】（一）

2022-04-12 167

版权

本文内容由阿里云实名注册用户自发贡献，版权归原作者所有，阿里云开发者社区不拥有其著作权，亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容，填写侵权投诉表单进行举报，一经查实，本社区将立刻删除涉嫌侵权内容。

简介： 本文主要讲解的知识点有以下：Shiro授权的方式简单介绍与Spring整合初始Shiro过滤器

前言

本文主要讲解的知识点有以下：

Shiro授权的方式简单介绍
与Spring整合
初始Shiro过滤器

一、Shiro授权

上一篇我们已经讲解了Shiro的认证相关的知识了，现在我们来弄Shiro的授权

Shiro授权的流程和认证的流程其实是差不多的：

这里写图片描述

1.1Shiro支持的授权方式

Shiro支持的授权方式有三种：

Shiro 支持三种方式的授权：
编程式：通过写if/else 授权代码块完成：
Subject subject = SecurityUtils.getSubject();
if(subject.hasRole(“admin”)) {
//有权限
} else {
//无权限
}
注解式：通过在执行的Java方法上放置相应的注解完成：
@RequiresRoles("admin")
public void hello() {
//有权限
}
JSP/GSP 标签：在JSP/GSP 页面通过相应的标签完成：
<shiro:hasRole name="admin">
<!— 有权限—>
</shiro:hasRole>

1.2使用编程式授权

同样的，我们是通过安全管理器来去授权的，因此我们还是需要配置对应的配置文件的：

shiro-permission.ini配置文件：

#用户
[users]
#用户zhang的密码是123，此用户具有role1和role2两个角色
zhang=123,role1,role2
wang=123,role2
#权限
[roles]
#角色role1对资源user拥有create、update权限
role1=user:create,user:update
#角色role2对资源user拥有create、delete权限
role2=user:create,user:delete
#角色role3对资源user拥有create权限
role3=user:create
#权限标识符号规则：资源:操作:实例(中间使用半角:分隔)
user：create:01  表示对用户资源的01实例进行create操作。
user:create：表示对用户资源进行create操作，相当于user:create:*，对所有用户资源实例进行create操作。
user：*：01  表示对用户资源实例01进行所有操作。

代码测试：

// 角色授权、资源授权测试
    @Test
    public void testAuthorization() {
        // 创建SecurityManager工厂
        Factory<SecurityManager> factory = new IniSecurityManagerFactory(
                "classpath:shiro-permission.ini");
        // 创建SecurityManager
        SecurityManager securityManager = factory.getInstance();
        // 将SecurityManager设置到系统运行环境，和spring后将SecurityManager配置spring容器中，一般单例管理
        SecurityUtils.setSecurityManager(securityManager);
        // 创建subject
        Subject subject = SecurityUtils.getSubject();
        // 创建token令牌
        UsernamePasswordToken token = new UsernamePasswordToken("zhangsan",
                "123");
        // 执行认证
        try {
            subject.login(token);
        } catch (AuthenticationException e) {
            // TODO Auto-generated catch block
            e.printStackTrace();
        }
        System.out.println("认证状态：" + subject.isAuthenticated());
        // 认证通过后执行授权
        // 基于角色的授权
        // hasRole传入角色标识
        boolean ishasRole = subject.hasRole("role1");
        System.out.println("单个角色判断" + ishasRole);
        // hasAllRoles是否拥有多个角色
        boolean hasAllRoles = subject.hasAllRoles(Arrays.asList("role1",
                "role2", "role3"));
        System.out.println("多个角色判断" + hasAllRoles);
        // 使用check方法进行授权，如果授权不通过会抛出异常
        // subject.checkRole("role13");
        // 基于资源的授权
        // isPermitted传入权限标识符
        boolean isPermitted = subject.isPermitted("user:create:1");
        System.out.println("单个权限判断" + isPermitted);
        boolean isPermittedAll = subject.isPermittedAll("user:create:1",
                "user:delete");
        System.out.println("多个权限判断" + isPermittedAll);
        // 使用check方法进行授权，如果授权不通过会抛出异常
        subject.checkPermission("items:create:1");
    }

1.3自定义realm进行授权

一般地，我们的权限都是从数据库中查询的，并不是根据我们的配置文件来进行配对的。因此我们需要自定义reaml，让reaml去对比的是数据库查询出来的权限

shiro-realm.ini配置文件：将自定义的reaml信息注入到安全管理器中

[main]
#自定义 realm
customRealm=cn.itcast.shiro.realm.CustomRealm
#将realm设置到securityManager，相当 于spring中注入
securityManager.realms=$customRealm

我们上次已经使用过了一个自定义reaml，当时候仅仅重写了doGetAuthenticationInfo()方法，这次我们重写doGetAuthorizationInfo()方法

// 用于授权
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(
            PrincipalCollection principals) {
        //从 principals获取主身份信息
        //将getPrimaryPrincipal方法返回值转为真实身份类型（在上边的doGetAuthenticationInfo认证通过填充到SimpleAuthenticationInfo中身份类型），
        String userCode =  (String) principals.getPrimaryPrincipal();
        //根据身份信息获取权限信息
        //连接数据库...
        //模拟从数据库获取到数据
        List<String> permissions = new ArrayList<String>();
        permissions.add("user:create");//用户的创建
        permissions.add("items:add");//商品添加权限
        //....
        //查到权限数据，返回授权信息(要包括 上边的permissions)
        SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
        //将上边查询到授权信息填充到simpleAuthorizationInfo对象中
        simpleAuthorizationInfo.addStringPermissions(permissions);
        return simpleAuthorizationInfo;
    }

测试程序：

// 自定义realm进行资源授权测试
    @Test
    public void testAuthorizationCustomRealm() {
        // 创建SecurityManager工厂
        Factory<SecurityManager> factory = new IniSecurityManagerFactory(
                "classpath:shiro-realm.ini");
        // 创建SecurityManager
        SecurityManager securityManager = factory.getInstance();
        // 将SecurityManager设置到系统运行环境，和spring后将SecurityManager配置spring容器中，一般单例管理
        SecurityUtils.setSecurityManager(securityManager);
        // 创建subject
        Subject subject = SecurityUtils.getSubject();
        // 创建token令牌
        UsernamePasswordToken token = new UsernamePasswordToken("zhangsan",
                "111111");
        // 执行认证
        try {
            subject.login(token);
        } catch (AuthenticationException e) {
            // TODO Auto-generated catch block
            e.printStackTrace();
        }
        System.out.println("认证状态：" + subject.isAuthenticated());
        // 认证通过后执行授权
        // 基于资源的授权，调用isPermitted方法会调用CustomRealm从数据库查询正确权限数据
        // isPermitted传入权限标识符，判断user:create:1是否在CustomRealm查询到权限数据之内
        boolean isPermitted = subject.isPermitted("user:create:1");
        System.out.println("单个权限判断" + isPermitted);
        boolean isPermittedAll = subject.isPermittedAll("user:create:1",
                "user:create");
        System.out.println("多个权限判断" + isPermittedAll);
        // 使用check方法进行授权，如果授权不通过会抛出异常
        subject.checkPermission("items:add:1");
    }

这里写图片描述

Shiro第二篇【授权、整合Spirng、过滤器】（一）

前言

一、Shiro授权

1.1Shiro支持的授权方式

1.2使用编程式授权

1.3自定义realm进行授权

热门文章

最新文章

相关课程

相关电子书

热门

活动广场

任务中心

开发者评测

高校计划

乘风者计划

训练营

阿里云MVP

话题

直播

下载

镜像站

技术资料

插件

Shiro第二篇【授权、整合Spirng、过滤器】（一）

前言

一、Shiro授权

1.1Shiro支持的授权方式

1.2使用编程式授权

1.3自定义realm进行授权

热门文章

最新文章

相关课程

相关电子书