6.Shiro授权管理

1.授权：给身份认证通过的人，授予他可以访问某些资源的权限。

2.权限粒度：分为粗粒度和细粒度。

粗粒度：对user的crud。也就是说通常对表的操作。
细粒度：是对记录的操作，如只允许查询id为1的user的工资。

shiro一般管理的是粗粒度的权限，比如：菜单，按钮，url。

一般细粒度的权限是通过业务来控制的。

3.角色：权限的集合。

4.权限表示规则： 资源：操作：实例。可以用通配符表示

如： user:add 表示对user有添加的权限
user:* 表示对user具有所有权限
user:delete:100 表示对user标识为100的记录有删除权限

5.shiro中的权限流程

微信截图_20190703094542.png

6.编码实现

ini配置文件：

[main]

[users]
zhangsan=123,role1
lisi=1234,role2

[roles]
role1=user:add,user:update,user:delete
role2=user:*

shiro测试代码：

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.util.Factory;

import java.util.Arrays;

public class shouquan_demo {
    public static void main(String[] args) {
        //1、获取SecurityManager工厂，此处使用Ini配置文件初始化SecurityManager
        Factory<SecurityManager> factory= new IniSecurityManagerFactory("classpath:quanxian.ini");

        //2、得到SecurityManager实例 并绑定给SecurityUtils
        SecurityManager securityManager = factory.getInstance();
        SecurityUtils.setSecurityManager(securityManager);

        //3、得到Subject及创建用户名/密码身份验证Token（即用户身份/凭证）
        Subject subject = SecurityUtils.getSubject();

        //4、假如登陆用户名密码为zhangsan=123，这个地方的zhangsan、123表示用户在网页登陆时输入的账号密码，而shiro.ini文件中的信息相当于数据库中的存放的信息
        UsernamePasswordToken token = new UsernamePasswordToken("zhangsan", "123");

        try{
            //进行用户身份验证
            subject.login(token);
            //通过Subject来判断是否登陆成功
            if(subject.isAuthenticated()){
                System.out.println("用户登陆成功");
            }
            //先验证身份在进行权限验证
            //基于角色的授权
            boolean f = subject.hasRole("role1");
            System.out.println(f);
            //判断是否具有多个角色
            boolean[] booleans = subject.hasRoles(Arrays.asList("role1", "role2"));
            System.out.println(Arrays.toString(booleans));
            //可以通过checkRole来检查，如果不具备该角色会报错抛出异常
            //subject.checkRole("role1");
            //同时检查多个角色
            //subject.checkRoles("role1","role2");

            //基于资源的授权
            f=subject.isPermitted("user:delete");
            System.out.println(f);
            //判断是否具有多个权限
            f=subject.isPermittedAll("user:add","user:update","user:delete");
            System.out.println(f);
            //check方法检查授权如果没有抛异常
            subject.checkPermission("user:dd");
        }catch (AuthenticationException e){
            e.printStackTrace();
            System.out.println("用户名或密码不正确");
        }
    }
}

7.shiro中的权限检查方式有3种：
a）编程式

if(subject.hasRole("管理员"))｛
    操作某些资源
｝

b）注解式

//在执行指定的方法时，会检测是否具有该权限
@RequiresRoles("管理员")
public void list(){
      查询数据
}

c）标签

<shiro:hasPermission name="user:update">
      <a href="#">更新</a>
</shiro:hasPermission>