- 1、本文档共11页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
将 Shiro 作为应用权限基础 三:基于注解实现授权认证过程
授权即访问控制,它将判断用户在应用程序中对资源是否拥有相应的访问权限。?如,判断一个用户有查看页面的权限,编辑数据的权限,拥有某一按钮的权限等等。?
一、用户权限模型
为实现一个较为灵活的用户权限数据模型,通常把用户信息单独用一个实体表示,用户权限信息用两个实体表示。
用户信息用 LoginAccount 表示,最简单的用户信息可能只包含用户名 loginName 及密码 password 两个属性。实际应用中可能会包含用户是否被禁用,用户信息是否过期等信息。
用户权限信息用 Role 与 Permission 表示,Role 与 Permission 之间构成多对多关系。Permission 可以理解为对一个资源的操作,Role 可以简单理解为 Permission 的集合。
用户信息与 Role 之间构成多对多关系。表示同一个用户可以拥有多个 Role,一个 Role 可以被多个用户所拥有。
权限声明及粒度?
Shiro权限声明通常是使用以冒号分隔的表达式。就像前文所讲,一个权限表达式可以清晰的指定资源类型,允许的操作。同时,Shiro权限表达式支持简单的通配符,可以更加灵活的进行权限设置。?下面以实例来说明权限表达式。?
可查询用户数据?
User:view?
可查询或编辑用户数据?
User:view,edit?
可对用户数据进行所有操作?
User:*或 user?
可编辑id为123的用户数据?
User:edit:123?
授权处理过程
认证通过后接受 Shiro 授权检查,授权验证时,需要判断当前角色是否拥有该权限。
只有授权通过,才可以访问受保护 URL 对应的资源,否则跳转到“未经授权页面”。
如果我们自定义Realm实现,比如我后面的例子中,自定义了ShiroDbRealm类,当访问被@RequiresPermissions注解的方法时,会先执行ShiroDbRealm.doGetAuthorizationInfo()进行授权。
@Controller
@RequestMapping(value = /user)
public class UserController {
@Resource(name=userService)
private IUserService userService;
/**
* 测试权限
* 只有拥有 user:create权限,才能进行注册
* @param user
* @return
*/
@RequestMapping(value = /register)
@ResponseBody
@RequiresPermissions(user:create)
public boolean register(User user){
return userService.register(user);
}
二、授权实现?
Shiro支持三种方式实现授权过程:?
编码实现
注解实现
JSP Taglig实现
1、基于编码的授权实现?
1、基于权限对象的实现?
创建org.apache.shiro.authz.Permission的实例,将该实例对象作为参数传递给Subject.isPermitted()进行验证。
Permission printPermission =
new PrinterPermission(laserjet4400n, print);
Subject currentUser = SecurityUtils.getSubject();
if (currentUser.isPermitted(printPermission)) {
//show the Print button
} else {
//dont show the button? Grey it out?
}
2、基于字符串的实现?
相比笨重的基于对象的实现方式,基于字符串的实现便显得更加简洁。?
Subject currentUser = SecurityUtils.getSubject();
if (currentUser.isPermitted(printer:print:laserjet4400n)) {
//show the Print button
} else {
//dont show the button? Grey it out?
}
使用冒号分隔的权限表达式是org.apache.shiro.authz.permission.
WildcardPermission默认支持的实现方式。?
这里分别代表了资源类型:操作:资源ID?
2、基于注解的授权实现?
S
文档评论(0)