将 Shiro 作为应用权限基础 三：基于注解实现授权认证过程.doc

授权即访问控制，它将判断用户在应用程序中对资源是否拥有相应的访问权限。?如，判断一个用户有查看页面的权限，编辑数据的权限，拥有某一按钮的权限等等。? 一、用户权限模型 为实现一个较为灵活的用户权限数据模型，通常把用户信息单独用一个实体表示，用户权限信息用两个实体表示。 用户信息用 LoginAccount 表示，最简单的用户信息可能只包含用户名 loginName 及密码 password 两个属性。实际应用中可能会包含用户是否被禁用，用户信息是否过期等信息。 用户权限信息用 Role 与 Permission 表示，Role 与 Permission 之间构成多对多关系。Permission 可以理解为对一个资源的操作，Role 可以简单理解为 Permission 的集合。 用户信息与 Role 之间构成多对多关系。表示同一个用户可以拥有多个 Role，一个 Role 可以被多个用户所拥有。 权限声明及粒度? Shiro权限声明通常是使用以冒号分隔的表达式。就像前文所讲，一个权限表达式可以清晰的指定资源类型，允许的操作。同时，Shiro权限表达式支持简单的通配符，可以更加灵活的进行权限设置。?下面以实例来说明权限表达式。? 可查询用户数据? User:view? 可查询或编辑用户数据? User:view,edit? 可对用户数据进行所有操作? User:*或 user? 可编辑id为123的用户数据? User:edit:123? 授权处理过程 认证通过后接受 Shiro 授权检查，授权验证时，需要判断当前角色是否拥有该权限。 只有授权通过，才可以访问受保护 URL 对应的资源，否则跳转到“未经授权页面”。 如果我们自定义Realm实现，比如我后面的例子中，自定义了ShiroDbRealm类，当访问被@RequiresPermissions注解的方法时，会先执行ShiroDbRealm.doGetAuthorizationInfo()进行授权。 @Controller @RequestMapping(value = /user) public class UserController { @Resource(name=userService) private IUserService userService; /** * 测试权限 * 只有拥有 user:create权限，才能进行注册 * @param user * @return */ @RequestMapping(value = /register) @ResponseBody @RequiresPermissions(user:create) public boolean register(User user){ return userService.register(user); } 二、授权实现? Shiro支持三种方式实现授权过程：? 编码实现 注解实现 JSP Taglig实现 1、基于编码的授权实现? 1、基于权限对象的实现? 创建org.apache.shiro.authz.Permission的实例，将该实例对象作为参数传递给Subject.isPermitted（）进行验证。 Permission printPermission = new PrinterPermission(laserjet4400n, print); Subject currentUser = SecurityUtils.getSubject(); if (currentUser.isPermitted(printPermission)) { //show the Print button } else { //dont show the button? Grey it out? } 2、基于字符串的实现? 相比笨重的基于对象的实现方式，基于字符串的实现便显得更加简洁。? Subject currentUser = SecurityUtils.getSubject(); if (currentUser.isPermitted(printer:print:laserjet4400n)) { //show the Print button } else { //dont show the button? Grey it out? } 使用冒号分隔的权限表达式是org.apache.shiro.authz.permission. WildcardPermission默认支持的实现方式。? 这里分别代表了资源类型：操作：资源ID? 2、基于注解的授权实现? S