Shiro基于角色授权

/ 笔记 / 无站内评论 / 456浏览

授权,也叫访问控制,即在应用中控制谁能访问哪些资源(如访问页面/编辑数据/页面操作等)。 在权限认证中,最核心的是:主体/用户(Subject)、权限(Permission)、角色(Role)、资源(Resource)。 1、权限,即操作资源的权利,通过权限我们可以表示在应用中用户有没有操作某个资源的权力。即权限表示在应用中用户能不能访问某个资源,比如访问某个页面,以及对某个模块的数据的添加,修改,删除,查看的权利; 可以看出,权限代表了用户有没有操作某个资源的权利,即反映在某个资源上的操作允不允许,不反映谁去执行这个操作。所以后续还需要把权限赋予给用户,即定义哪个用户允许在某个资源上做什么操作(权限),Shiro不会去做这件事情,而是由实现人员提供。 Shiro支持粗粒度权限(如用户模块的所有权限)和细粒度权限(操作某个用户的权限,即实例级别的), 2、角色,是权限的集合,一中角色可以包含多种权限; 角色代表了操作集合,可以理解为权限的集合,一般情况下我们会赋予用户角色而不是权限,即这样用户可以拥有一组权限,赋予权限时比较方便。典型的如:项目经理、技术总监、CTO、开发工程师等都是角色,不同的角色拥有一组不同的权限。 隐式角色:即直接通过角色来验证用户有没有操作权限,如在应用中CTO、技术总监、开发工程师可以使用打印机,假设某天不允许开发工程师使用打印机,此时需要从应用中删除相应代码;再如在应用中CTO、技术总监可以查看用户、查看权限;突然有一天不允许技术总监查看用户、查看权限了,需要在相关代码中把技术总监角色从判断逻辑中删除掉;即粒度是以角色为单位进行访问控制的,粒度较粗;如果进行修改可能造成多处代码修改。 显示角色:在程序中通过权限控制谁能访问某个资源,角色聚合一组权限集合;这样假设哪个角色不能访问某个资源,只需要从角色代表的权限集合中移除即可;无须修改多处代码;即粒度是以资源/实例为单位的;粒度较细。 3、主体,即访问应用的用户,在Shiro中使用Subject代表该用户。用户只有授权后才允许访问相应的资源。 4、资源:在应用中用户可以访问的任何东西,比如访问JSP页面、查看/编辑某些数据、访问某个业务方法、打印文本等等都是资源。用户只要授权后才能访问。

一、角色授权

1,编程式授权:通过写if/else授权代码块完成 1.1 基于角色的访问控制 1.2 基于权限的访问控制

Subject subject = SecurityUtils.getSubject();    
if(subject.hasRole(“admin”)) {    
    //有权限    
} else {    
    //无权限    
} 

2,注解式授权:通过在执行的Java方法上放置相应的注解完成:

@RequiresRoles("admin")    
public void hello() {    
    //有权限    
}  

3,Jsp 标签授权:在JSP/GSP页面通过相应的标签完成:

<shiro:hasRole name="admin">    
<!— 有权限 —>    
</shiro:hasRole>  

##1-1.编程式授权 1-1-1.基于角色的访问控制(隐式角色) 1、在ini配置文件配置用户拥有的角色(shiro-role.ini)

[users]  
tom=123456,role1,role2  
jack=123,role1  

规则即:“用户名=密码,角色1,角色2”,如果需要在应用中判断用户是否有相应角色,就需要在相应的Realm中返回角色信息,也就是说Shiro不负责维护用户-角色信息,需要应用提供,Shiro只是提供相应的接口方便验证,后续会介绍如何动态的获取用户角色

@Test  
   public void testHasRole() {  
       Subject currentUser= login("classpath:shiro_role.ini", "tom", "123456");  
  
       //hasRole(String roleName)判断roleName是否有这个权限  
       System.out.println(currentUser.hasRole("role1")?"有role1这个角色":"没有role1这个角色");  
       //上面的也可以这么写  
       Assert.assertTrue(currentUser.hasRole("role1"));  
  
       //hasRoles  
       boolean []results=currentUser.hasRoles(Arrays.asList("role1", "role2", "role3"));  
//       System.out.println(results[0]?"有role1这个角色":"没有role1这个角色");  
//       System.out.println(results[1]?"有role2这个角色":"没有role2这个角色");  
//       System.out.println(results[2]?"有role3这个角色":"没有role3这个角色");  
       //将上面写成这样  
       Assert.assertEquals(true, results[0]);  
       Assert.assertEquals(true, results[1]);  
       Assert.assertEquals(false, results[2]);  
  
       //hasAllRoles  
       System.out.println(currentUser.hasAllRoles(Arrays.asList("role1","role2"))?"role1,role2这两个角色都有":"role1,role2这个两个角色不全有");  
  
       currentUser.logout();  
   }  

Shiro提供了hasRole/hasRole用于判断用户是否拥有某个角色/某些权限;但是没有提供如hashAnyRole用于判断是否有某些权限中的某一个。

@Test  
public void testCheckRole() {  
    Subject currentUser=login("classpath:shiro_role.ini", "tom", "123456");  
    currentUser.checkRole("role1");  
  
    currentUser.checkRoles(Arrays.asList("role1","role2"));  
    //上一行代码或者这么写  
    currentUser.checkRoles("role1","role2");  
      currentUser.checkRoles("role1","role2","role3");//这里有有异常:Subject does not have role [role3]  
    currentUser.logout();  
}  

Shiro提供的checkRole/checkRoles和hasRole/hasAllRoles不同的地方是它在判断为假的情况下会抛出UnauthorizedException异常。 到此基于角色的访问控制(即隐式角色)就完成了,这种方式的缺点就是如果很多地方进行了角色判断,但是有一天不需要了那么就需要修改相应代码把所有相关的地方进行删除;这就是粗粒度造成的问题。

召唤蕾姆
琼ICP备18000156号

鄂公网安备 42011502000211号