摘要:授權(quán)三大要素是安全框架中最原子性的元素��,它用來描述能夠做什么或者說能夠執(zhí)行什么樣的操作�����,比如刪除用戶查看用戶詳情查看商品詳情等���。用戶就是我們之前提到的三大核心概念之一的����。
在上篇Shiro認(rèn)證原理的最后�����,我們介紹了IniRealm是如何進(jìn)行認(rèn)證�,本篇我們將介紹Shiro授權(quán)過程中的幾個(gè)概念以及Shiro編程式的授權(quán)操作,并通過常用的用戶、角色��、權(quán)限授權(quán)模式來加深理解授權(quán)的過程��。
1 授權(quán)三大要素
① Permissions
Permissions是Shiro安全框架中最原子性的元素����,它用來描述能夠做什么或者說Subject能夠執(zhí)行什么樣的操作,比如刪除用戶���、查看用戶詳情��、查看商品詳情等�。
② Roles
Roles大家應(yīng)該都很清楚了��,某人具有某個(gè)角色��,那么就對應(yīng)具有怎樣的行為或責(zé)任�,也就是一個(gè)角色代表一組行為或責(zé)任。比如我們的后臺管理系統(tǒng)���,用戶的角色常常會(huì)有超級管理員�、普通管理員之分���,它們對應(yīng)的權(quán)限是不相同的��,一般超級管理員會(huì)具有更多的權(quán)限����。
③ 用戶
Users就是我們之前提到的Shiro三大核心概念之一的Subject��。用戶與角色���、權(quán)限的關(guān)系取決于我們的應(yīng)用�����,可以選擇直接將權(quán)限賦給用戶�����,也可以選擇將權(quán)限賦給角色���,然后將角色賦給用戶,本篇我們將通過后者來講述��。
1.2 授權(quán)常見操作
我們首先來回顧下INI配置文件�����,看下我們?nèi)绾瓮ㄟ^INI配置文件指定用戶、角色���、權(quán)限
#對象以及對象的屬性�����,比如SecurityManager���、Realms
[main]
#hashedMatcher = org.apache.shiro.authc.credential.HashedCredentialsMatcher
#hashedMatcher.hashAlgorithmName = MD5
#riversRealm = com.rivers.study.RiversRealm
#riversRealm.credentialsMatcher = $hashedMatcher
#securityManager.realms = $riversRealm
#用戶名以及該用戶對應(yīng)的密碼以及角色
#username = password, role1, role2..., roleN
[users]
rivers = secret, admin
calabash = warrior, guest
#角色以及該角色可以擁有的權(quán)限
#rolename = permission1, permission2..., permissionN
[roles]
admin = UserManagerment:*
guest = UserManagerment:getUserInfo
[urls]
在上面的配置文件中,我們指定了兩個(gè)用戶rivers�����、calabash���,用戶rivers的密碼是secret����,具有admin角色�,而用戶calabash的密碼是warrior,具有g(shù)uest角色��;角色admin具有UserManagerment:*下的所有操作,而guest只有UserManagerment:getUserInfo權(quán)限��。
① 角色判斷
那么我們?nèi)绾闻袛嘤脩簦⊿ubject)是否具有某種角色或者某些角色呢��?Subject提供了hasRole*方法來幫助我們進(jìn)行處理�。
Subject currentUser = SecurityUtils.getSubject();
UsernamePasswordToken token = new UsernamePasswordToken("calabash", "warrior");
currentUser.login(token);
if (currentUser.hasRole("admin")) {
logger.info("用戶【" + currentUser.getPrincipal() + "】具有【admin】角色");
}
List roleList = new ArrayList();
roleList.add("admin");
roleList.add("guest");
boolean[] results = currentUser.hasRoles(roleList);
for (int i = 0; i < results.length; i++) {
String tmp = results[i] ? "具有" : "不具有";
logger.info("用戶【" + currentUser.getPrincipal() + tmp + "【" + roleList.get(i) + "】角色");
}
另外我們也可以通過hasAllRoles(Collection roleNames)來判斷用戶是否具有所有集合中指定的角色,都存在返回true�����,否則返回false�����。
如果我們不想做太多的邏輯處理�����,用戶存在角色就執(zhí)行�,不存在就直接拋出異常���,那么我們可以checkRole*系列方法�����。
currentUser.checkRole("admin");
② 權(quán)限判斷
那么我們?nèi)绾闻袛嘤脩簦⊿ubject)是否具有某種權(quán)限或者某些權(quán)限呢���?Subject提供了isPermitted*方法來幫助我們進(jìn)行處理����。
if (currentUser.isPermitted("UserManagerment:deleteUser")) {
logger.info("用戶【" + currentUser.getPrincipal() + "】具有【UserManagerment:deleteUser】權(quán)限");
}
if (currentUser.isPermitted("UserManagerment:getUserInfo")) {
logger.info("用戶【" + currentUser.getPrincipal() + "】具有【UserManagerment:getUserInfo】權(quán)限");
}
Shiro還提供了其他的方法供我們使用�,當(dāng)然也包括checkPermission*系列,有興趣的朋友可以去到Subject接口了解���。
文章版權(quán)歸作者所有��,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為�����,您可以聯(lián)系管理員刪除��。
轉(zhuǎn)載請注明本文地址:http://systransis.cn/yun/67465.html
