复习
什么是权限管理?
权限管理是系统的安全范涛, 要求必须是合法用户才能访问系统(用户认证), 且必须具有该资源的访问权限才可以访问资源(授权).
认证: 对用户身份校验,要求必须是合法用户才能访问系统.
授权: 访问控制, 必须具有该资源的访问权限才能访问该资源.
权限模型: 标准权限数据模型包括:用户,角色,权限(包括资源和权限),用户角色关系,角色权限关系.
权限分配: 用过 UI 界面方便给用户分配权限, 对上边权限模型进行增删改查操作.
权限控制:
基于角色的权限控制: 根据角色判断是否有操作权限, 因为角色可能要随时发生变化, 所以当角色发生变化时, 我们需要修改系统代码. 这也就意味着系统可维护性不强.
基于组员的权限控制: 根据资源判断是否有操作权限, 因为当我们开发完系统后, 一些 URL 是很少发生变化的, 也就是说不管角色怎么变化,这些 URL 是不变的,所以系统的可维护性强.
权限管理的解决方案:
对于粗颗粒权限管理,建议在系统的架构层面解决.
比如当我们用户认证后,获取用户的菜单, 不同的用户有不同的菜单.也就是说对资源进行权限管理.
对细颗粒权限管理,建议在系统业务层进行处理.
比如当我们要修改或删除某条信息的时候, 不判断是否有权限.
基于 URL 的权限管理(掌握):
使用 web 应用中filter 来实现, 用户请求 url, 通过 filter 拦截,判断用户身份是否合法(用户认证), 再判断请求地址是否是用户权限范围内的 url(授权).
Shiro 授权流程
Shiro 授权流程授权方式
Shiro 支持三种授权的权限:
编程式: 通过编写 if/else 权限代码块完成
Subject subject = SecurityUtils.getSubject();
if(subject.hasRole("admin")){
//有权限
} else {
//无权限
}
注解式: 通过在执行的 Java 方法上放置相应的注解完成
@RequiresRoles("admin")
public void hello(){
//有权限
}
jsp/GSP 标签:在 jsp/gsp 页面通过相应的标签完成
<shiro:hasRole name="admin">
<!-- 有权限 -->
</shiro:hasRole>
授权入门程序
** 创建 shiro-permission.ini 文件**
#用户
[users]
#用户 zhang 密码是123,此用户具有role1和role2两个角色
zhangsan=123,role1,role2
wang=123,role2
#角色
[roles]
# 角色role1对资源 user 用于 create 和 update 权限.
role1=user:create,user:update
role2=user:create,user:delete
role3=user:create
权限标识符规则: 资源:操作:实例
例如user:create:01表示对用户资源的01实例进行 create 操作.
例如user:create表示对用户资源进行 create 操作.相当于``user:create:*```
具体实现
// 角色授权、资源授权测试
@Test
public void testAuthorization() {
// 创建SecurityManager工厂
Factory<SecurityManager> factory = new IniSecurityManagerFactory(
"classpath:shiro-permission.ini");
// 创建SecurityManager
SecurityManager securityManager = factory.getInstance();
// 将SecurityManager设置到系统运行环境,和spring后将SecurityManager配置spring容器中,一般单例管理
SecurityUtils.setSecurityManager(securityManager);
// 创建subject
Subject subject = SecurityUtils.getSubject();
// 创建token令牌
UsernamePasswordToken token = new UsernamePasswordToken("zhangsan",
"123");
// 执行认证
try {
subject.login(token);
} catch (AuthenticationException e) {
// TODO Auto-generated catch block
e.printStackTrace();
}
System.out.println("认证状态:" + subject.isAuthenticated());
// 认证通过后执行授权
// 基于角色的授权
// hasRole传入角色标识
boolean ishasRole = subject.hasRole("role1");
System.out.println("单个角色判断" + ishasRole);
// hasAllRoles是否拥有多个角色
boolean hasAllRoles = subject.hasAllRoles(Arrays.asList("role1",
"role2", "role3"));
System.out.println("多个角色判断" + hasAllRoles);
// 使用check方法进行授权,如果授权不通过会抛出异常
// subject.checkRole("role13");
// 基于资源的授权
// isPermitted传入权限标识符
boolean isPermitted = subject.isPermitted("user:create:1");
System.out.println("单个权限判断" + isPermitted);
boolean isPermittedAll = subject.isPermittedAll("user:create:1",
"user:delete");
System.out.println("多个权限判断" + isPermittedAll);
// 使用check方法进行授权,如果授权不通过会抛出异常
// subject.checkPermission("items:create:1");
}