Shiro第三篇【受權、自定義reaml受權】

Shiro受權

上一篇咱們已經講解了Shiro的認證相關的知識了，如今咱們來弄Shiro的受權

Shiro受權的流程和認證的流程實際上是差很少的：

Shiro支持的受權方式

Shiro支持的受權方式有三種：

Shiro 支持三種方式的受權：
編程式：經過寫if/else 受權代碼塊完成：
Subject subject = SecurityUtils.getSubject();
if(subject.hasRole(「admin」)) {
//有權限
} else {
//無權限
}
註解式：經過在執行的Java方法上放置相應的註解完成：
@RequiresRoles("admin")
public void hello() {
//有權限
}
JSP/GSP 標籤：在JSP/GSP 頁面經過相應的標籤完成：
<shiro:hasRole name="admin">
<!— 有權限—>
</shiro:hasRole>

使用編程式受權

一樣的，咱們是經過安全管理器來去受權的，所以咱們仍是須要配置對應的配置文件的：

shiro-permission.ini配置文件：

#用戶
[users]
#用戶zhang的密碼是123，此用戶具備role1和role2兩個角色
zhang=123,role1,role2
wang=123,role2

#權限
[roles]
#角色role1對資源user擁有create、update權限 role1=user:create,user:update #角色role2對資源user擁有create、delete權限 role2=user:create,user:delete #角色role3對資源user擁有create權限 role3=user:create 權限標識符號規則：**資源:操做:實例(中間使用半角:分隔)** user：create:01 表示對用戶資源的01實例進行create操做。 user:create：表示對用戶資源進行create操做，至關於user:create:*，對全部用戶資源實例進行create操做。 user：*：01 表示對用戶資源實例01進行全部操做。 

代碼測試：

 // 角色受權、資源受權測試 @Test public void testAuthorization() { // 建立SecurityManager工廠 Factory<SecurityManager> factory = new IniSecurityManagerFactory( "classpath:shiro-permission.ini"); // 建立SecurityManager SecurityManager securityManager = factory.getInstance(); // 將SecurityManager設置到系統運行環境，和spring後將SecurityManager配置spring容器中，通常單例管理 SecurityUtils.setSecurityManager(securityManager); // 建立subject Subject subject = SecurityUtils.getSubject(); // 建立token令牌 UsernamePasswordToken token = new UsernamePasswordToken("zhangsan", "123"); // 執行認證 try { subject.login(token); } catch (AuthenticationException e) { // TODO Auto-generated catch block e.printStackTrace(); } System.out.println("認證狀態：" + subject.isAuthenticated()); // 認證經過後執行受權 // 基於角色的受權 // hasRole傳入角色標識 boolean ishasRole = subject.hasRole("role1"); System.out.println("單個角色判斷" + ishasRole); // hasAllRoles是否擁有多個角色 boolean hasAllRoles = subject.hasAllRoles(Arrays.asList("role1", "role2", "role3")); System.out.println("多個角色判斷" + hasAllRoles); // 使用check方法進行受權，若是受權不經過會拋出異常 // subject.checkRole("role13"); // 基於資源的受權 // isPermitted傳入權限標識符 boolean isPermitted = subject.isPermitted("user:create:1"); System.out.println("單個權限判斷" + isPermitted); boolean isPermittedAll = subject.isPermittedAll("user:create:1", "user:delete"); System.out.println("多個權限判斷" + isPermittedAll); // 使用check方法進行受權，若是受權不經過會拋出異常 subject.checkPermission("items:create:1"); } 

自定義realm進行受權

通常地，咱們的權限都是從數據庫中查詢的，並非根據咱們的配置文件來進行配對的。所以咱們須要自定義reaml，讓reaml去對比的是數據庫查詢出來的權限

shiro-realm.ini配置文件：將自定義的reaml信息注入到安全管理器中

[main]
#自定義 realm
customRealm=cn.itcast.shiro.realm.CustomRealm
#將realm設置到securityManager，至關 於spring中注入
securityManager.realms=$customRealm

咱們上次已經使用過了一個自定義reaml，當時候僅僅重寫了doGetAuthenticationInfo()方法，此次咱們重寫doGetAuthorizationInfo()方法

// 用於受權
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(
            PrincipalCollection principals) {

        //從 principals獲取主身份信息
        //將getPrimaryPrincipal方法返回值轉爲真實身份類型（在上邊的doGetAuthenticationInfo認證經過填充到SimpleAuthenticationInfo中身份類型），
        String userCode =  (String) principals.getPrimaryPrincipal();

        //根據身份信息獲取權限信息
        //鏈接數據庫...
        //模擬從數據庫獲取到數據
        List<String> permissions = new ArrayList<String>();
        permissions.add("user:create");//用戶的建立
        permissions.add("items:add");//商品添加權限
        //....

        //查到權限數據，返回受權信息(要包括 上邊的permissions)
        SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
        //將上邊查詢到受權信息填充到simpleAuthorizationInfo對象中
        simpleAuthorizationInfo.addStringPermissions(permissions);

        return simpleAuthorizationInfo;
    }

測試程序：

// 自定義realm進行資源受權測試
    @Test
    public void testAuthorizationCustomRealm() {

        // 建立SecurityManager工廠
        Factory<SecurityManager> factory = new IniSecurityManagerFactory(
                "classpath:shiro-realm.ini");
        // 建立SecurityManager
        SecurityManager securityManager = factory.getInstance();
        // 將SecurityManager設置到系統運行環境，和spring後將SecurityManager配置spring容器中，通常單例管理
        SecurityUtils.setSecurityManager(securityManager);
        // 建立subject
        Subject subject = SecurityUtils.getSubject();

        // 建立token令牌
        UsernamePasswordToken token = new UsernamePasswordToken("zhangsan",
                "111111");
        // 執行認證
        try {
            subject.login(token);
        } catch (AuthenticationException e) {
            // TODO Auto-generated catch block
            e.printStackTrace();
        }

        System.out.println("認證狀態：" + subject.isAuthenticated());
        // 認證經過後執行受權

        // 基於資源的受權，調用isPermitted方法會調用CustomRealm從數據庫查詢正確權限數據
        // isPermitted傳入權限標識符，判斷user:create:1是否在CustomRealm查詢到權限數據以內
        boolean isPermitted = subject.isPermitted("user:create:1");
        System.out.println("單個權限判斷" + isPermitted);

        boolean isPermittedAll = subject.isPermittedAll("user:create:1",
                "user:create");
        System.out.println("多個權限判斷" + isPermittedAll);

        // 使用check方法進行受權，若是受權不經過會拋出異常
        subject.checkPermission("items:add:1");

    }