本节讲权限认证，也就是授权

基于角色的访问控制和基于权限的访问控制的小实例

以及注解式授权和JSP标签授权详解

权限认证

权限认证核心要素

权限认证，也就是访问控制，即在应用中控制谁能访问哪些资源

在权限认证中，最核心的三个要素是：权限，角色和用户 (资源也算一个要素，但不是最核心的)

权限，即操作资源的权限，比如访问某个页面，以及对某个模块的数据的添加，修改，删除，查看的权利(整合以后，其实就是一些对URL请求的权限)

角色，是权限的集合，一种角色可以包含多种权限(将权限赋给角色)

用户，在Shiro中，代表访问系统的用户，即Subject(将角色赋给用户)

英文好的，可以去看官方文档介绍: http://shiro.apache.org/authorization.html

授权

编程式授权(Programmatic Authorization)

—-基于角色的访问控制

首先配置ini文件:

[users]
;基于角色的访问控制的配置文件
chx=123456,role1,role2
;加角色，密码后面是拥有的角色
jack=123456,role1

测试类

package cn.chenhaoxiang.shiro;
import cn.chenhaoxiang.common.ShiroUtils;
import org.apache.shiro.subject.Subject;
import org.junit.Test;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import java.util.Arrays;
/**
 * 基于角色的访问控制
 */
public class RoleTest {
    private static Logger logger = LoggerFactory.getLogger(RoleTest.class);
    /**
     * hasRole(String roleName)  Returns true if the Subject is assigned the specified role, false otherwise.
     * hasRoles(List<String> roleNames) Returns a array of hasRole results corresponding to the indices in the method argument. Useful as a performance enhancement if many role checks need to be performed (e.g. when customizing a complex view)
     * hasAllRoles(Collection<String> roleNames) Returns true if the Subject is assigned all of the specified roles, false otherwise.
     * hasRole 判断是否拥有某个角色
     *
     * hasRoles 判断拥有某个角色  返回的是boolean[]  用来高效判断对应角色拥有
     * hasAllRoles 判断拥有所有角色  拥有传入的全部角色的话，才返回true
     *
     */
    @Test
    public void testHasRole(){
        Subject subject = ShiroUtils.login("classpath:shiro_role.ini","chx","123456");
        logger.info(subject.hasRole("role1")?"有role1这个角色":"没有role1这个角色");
        logger.info(subject.hasRole("role2")?"有role2这个角色":"没有role2这个角色");
        Subject subject2 = ShiroUtils.login("classpath:shiro_role.ini","jack","123456");
        logger.info(subject2.hasRole("role1")?"有role1这个角色":"没有role1这个角色");
        logger.info(subject2.hasRole("role2")?"有role2这个角色":"没有role2这个角色");
        // hasRoles 判断拥有某个角色  返回的是boolean[]  用来高效判断对应角色拥有
        boolean[] results = subject.hasRoles(Arrays.asList("role1","role2","role3"));
        logger.info(results[0]?"有role1这个角色":"没有role1这个角色");
        logger.info(results[1]?"有role2这个角色":"没有role2这个角色");
        logger.info(results[2]?"有role2这个角色":"没有role3这个角色");
        //hasAllRoles 判断拥有所有角色  拥有传入的全部角色的话，才返回true
        logger.info(subject.hasAllRoles(Arrays.asList("role1","role2"))?"有role1和role2这两个个角色":"role1，role2这两个角色不全部有");
        subject.logout();//退出
    }
    /**
     * CheckRole
     */
    @Test
    public void testCheckRole(){
        Subject subject = ShiroUtils.login("classpath:shiro_role.ini","chx","123456");
        subject.checkRole("role1");//没有返回值
        //subject.checkRole("role3");//没有这个角色会抛出异常 //org.apache.shiro.authz.UnauthorizedException: Subject does not have role [role211]
        //checkRoles(Collection<String> roleNames)
        subject.checkRoles(Arrays.asList("role1","role2"));
        //subject.checkRoles(Arrays.asList("role1","role2","role3"));//没有全部角色会抛出异常 //org.apache.shiro.authz.UnauthorizedException: Subject does not have role [role3]
        //checkRoles(String... roleNames)和checkRoles(Collection<String> roleNames)意思一样，传入的参数类型不同
        subject.checkRoles("role1","role2");
        subject.logout();//退出
    }
}

演示结果自己跑一遍就出来啦

—-基于权限的访问控制

配置ini文件:

[users]
;基于权限的访问控制的配置文件
chx=123456,role1,role2
;加角色，密码后面是拥有的角色
jack=123456,role1
[roles]
;不判断角色，直接判断权限
role1=user:select
;role1拥有select权限 这里的user:select权限名字是自己定义的
role2=user:add,user:update,user:delete
;权限无非就是增删改查

测试类:

package cn.chenhaoxiang.shiro;
import cn.chenhaoxiang.common.ShiroUtils;
import org.apache.shiro.subject.Subject;
import org.junit.Test;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
/**
 * 基于权限的访问控制
 */
public class PermissionTest {
    private static Logger logger = LoggerFactory.getLogger(PermissionTest.class);
    /**
     * isPermitted(Permission p)  isPermitted(String str)  如果是拥有访问某个资源的权限,返回true  单个权限判断
     *
     * isPermitted(String... var1);  分别判断多个权限  返回boolean[]
     *
     * isPermittedAll(String... var1);  拥有所有权限才返回true
     */
    @Test
    public void testIsPermitted(){
        //Subject subject = ShiroUtils.login("classpath:shiro_permission.ini","chx","123456");
        Subject subject = ShiroUtils.login("classpath:shiro_permission.ini","jack","123456");
        logger.info(subject.isPermitted("user:select")?"有user:select权限":"没有user:select权限");
        logger.info(subject.isPermitted("user:update")?"有user:update权限":"没有user:update权限");
        boolean results[] = subject.isPermitted("user:select","user:update","user:delete");
        logger.info(results[0]?"有user:select权限":"没有user:select权限");
        logger.info(results[1]?"有user:update权限":"没有user:update权限");
        logger.info(results[2]?"有user:delete权限":"没有user:delete权限");
        logger.info(subject.isPermittedAll("user:select","user:update")?"有user:select和user:update权限":"user:select和user:update权限不全有");
        subject.logout();//退出
    }
    /**
     *
     * checkPermission(String var1)  没有这一个权限就抛出异常
     * checkPermissions(String... var1)  没有这些权限就抛出异常
     */
    @Test
    public void testCheckPermitted(){
        //Subject subject = ShiroUtils.login("classpath:shiro_permission.ini","chx","123456");
        Subject subject = ShiroUtils.login("classpath:shiro_permission.ini","jack","123456");
        subject.checkPermission("user:select");//检查是否有某个权限  没有权限则抛出异常
        //subject.checkPermission("user:delete");//org.apache.shiro.authz.UnauthorizedException: Subject does not have permission [user:delete]
        subject.checkPermissions("user:select","user:update");
        subject.logout();//退出
    }
}

讲了几个org.apache.shiro.subject.Subject的函数。

其实官方文档都有介绍的

注解式授权

更加详细的介绍可以去官网查看： http://shiro.apache.org/authorization.html

首先你的Java版本5+才能集成shiro的注解

RequiresAuthentication注解

RequiresAuthentication注解需要在当前会话中对当前的Subject进行身份验证，以便访问或调用该注解的类/实例/方法。

也就是要求当前Subject已经在当前的Session中被验证通过才能被访问或调用

比如:

@RequiresAuthentication //判断验证有没有通过
public void updateAccount(Account userAccount) {
    //this method will only be invoked by a
    //Subject that is guaranteed authenticated
    ...
}

基本等同于下面的代码:

public void updateAccount(Account userAccount) {
    if (!SecurityUtils.getSubject().isAuthenticated()) {
        throw new AuthorizationException(...);
    }
    //Subject is guaranteed authenticated here
    ...
}

RequiresGuest注解

要求当前的Subject是一个’guest’(游客),也就是说，必须是在之前的session中没有被验证或被记住才能被访问和调用

例如:

@RequiresGuest
public void signUp(User newUser) {
    //this method will only be invoked by a
    //Subject that is unknown/anonymous
    ...
}

基本等价于下面的代码:

public void signUp(User newUser) {
    Subject currentUser = SecurityUtils.getSubject();
    PrincipalCollection principals = currentUser.getPrincipals();
    if (principals != null && !principals.isEmpty()) {
        //known identity - not a guest:
        throw new AuthorizationException(...);
    }
    //Subject is guaranteed to be a 'guest' here
    ...
}

RequiresPermissions注解

RequiresPermissions注解要求当前Subject允许一个或多个权限来执行带注释的方法。

也就是说，必须有这个权限才能访问

例如:

@RequiresPermissions("account:create") //必须有account:create权限,多个权限之间用逗号隔开
public void createAccount(Account account) {
    //this method will only be invoked by a Subject
    //that is permitted to create an account
    ...
}

基本等价于：

public void createAccount(Account account) {
    Subject currentUser = SecurityUtils.getSubject();
    if (!subject.isPermitted("account:create")) {
        throw new AuthorizationException(...);
    }
    //Subject is guaranteed to be permitted here
    ...
}

【Shiro】Shiro从小白到大神(三)-权限认证(授权)-1