网站大量收购独家精品文档,联系QQ:2885784924

将 Shiro 作为应用权限基础 三:基于注解实现授权认证过程.doc

将 Shiro 作为应用权限基础 三:基于注解实现授权认证过程.doc

  1. 1、本文档共11页,可阅读全部内容。
  2. 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
将 Shiro 作为应用权限基础 三:基于注解实现授权认证过程

授权即访问控制,它将判断用户在应用程序中对资源是否拥有相应的访问权限。?如,判断一个用户有查看页面的权限,编辑数据的权限,拥有某一按钮的权限等等。? 一、用户权限模型 为实现一个较为灵活的用户权限数据模型,通常把用户信息单独用一个实体表示,用户权限信息用两个实体表示。 用户信息用 LoginAccount 表示,最简单的用户信息可能只包含用户名 loginName 及密码 password 两个属性。实际应用中可能会包含用户是否被禁用,用户信息是否过期等信息。 用户权限信息用 Role 与 Permission 表示,Role 与 Permission 之间构成多对多关系。Permission 可以理解为对一个资源的操作,Role 可以简单理解为 Permission 的集合。 用户信息与 Role 之间构成多对多关系。表示同一个用户可以拥有多个 Role,一个 Role 可以被多个用户所拥有。 权限声明及粒度? Shiro权限声明通常是使用以冒号分隔的表达式。就像前文所讲,一个权限表达式可以清晰的指定资源类型,允许的操作。同时,Shiro权限表达式支持简单的通配符,可以更加灵活的进行权限设置。?下面以实例来说明权限表达式。? 可查询用户数据? User:view? 可查询或编辑用户数据? User:view,edit? 可对用户数据进行所有操作? User:*或 user? 可编辑id为123的用户数据? User:edit:123? 授权处理过程 认证通过后接受 Shiro 授权检查,授权验证时,需要判断当前角色是否拥有该权限。 只有授权通过,才可以访问受保护 URL 对应的资源,否则跳转到“未经授权页面”。 如果我们自定义Realm实现,比如我后面的例子中,自定义了ShiroDbRealm类,当访问被@RequiresPermissions注解的方法时,会先执行ShiroDbRealm.doGetAuthorizationInfo()进行授权。 @Controller @RequestMapping(value = /user) public class UserController { @Resource(name=userService) private IUserService userService; /** * 测试权限 * 只有拥有 user:create权限,才能进行注册 * @param user * @return */ @RequestMapping(value = /register) @ResponseBody @RequiresPermissions(user:create) public boolean register(User user){ return userService.register(user); } 二、授权实现? Shiro支持三种方式实现授权过程:? 编码实现 注解实现 JSP Taglig实现 1、基于编码的授权实现? 1、基于权限对象的实现? 创建org.apache.shiro.authz.Permission的实例,将该实例对象作为参数传递给Subject.isPermitted()进行验证。 Permission printPermission = new PrinterPermission(laserjet4400n, print); Subject currentUser = SecurityUtils.getSubject(); if (currentUser.isPermitted(printPermission)) { //show the Print button } else { //dont show the button? Grey it out? } 2、基于字符串的实现? 相比笨重的基于对象的实现方式,基于字符串的实现便显得更加简洁。? Subject currentUser = SecurityUtils.getSubject(); if (currentUser.isPermitted(printer:print:laserjet4400n)) { //show the Print button } else { //dont show the button? Grey it out? } 使用冒号分隔的权限表达式是org.apache.shiro.authz.permission. WildcardPermission默认支持的实现方式。? 这里分别代表了资源类型:操作:资源ID? 2、基于注解的授权实现? S

文档评论(0)

yan698698 + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档