一 . 概述
授权: 就是访问控制.
在用户认证之后,用户做出的一些操作之前需要判断用户是否有权限可以完成该操作,这个过程就是授权.
在shiro之中,支持两个方面的授权检测.
(1)角色授权
(2)权限授权
二 授权环境的搭建
[users]
trek=123,admin
[roles]
admin=user:add,user,del
我们这里还是使用int文件充当Realm,自然还会使用IniSecurityManager对象完成授权操作.
上面的文本表示的含义:
有一个账号为trek,密码为123的用户,他的角色是admin.
其中admin角色拥有user:add,user:del的权限.
三 .授权代码
//实现shiro的认证过程 //创建SecurityManager SecurityManager securityManager = new IniSecurityManagerFactory("classpath:shiro.ini").createInstance(); //将当前的SecurityManager设置到当前的环境之中 SecurityUtils.setSecurityManager(securityManager); //下面实现的是一个登陆的功能 //获取Subkect,相当与一个Currentuser Subject currentUser = SecurityUtils.getSubject(); //创建认证需要的token UsernamePasswordToken token = new UsernamePasswordToken("trek","123"); //实现登录功能 try { currentUser.login(token); } catch (AuthenticationException e) { logger.info("认证失败,账号为{},密码为{}",token.getUsername(),new String(token.getPassword())); throw new AuthenticationException(); } logger.info("认证成功!!"); //此处完成shiro的授权操作 //角色授权 logger.info("当前的用户是否具有admin的角色{}",currentUser.hasRole("admin")); //权限授权 logger.info("当前的用户是否具有user:add的权限{}",currentUser.isPermitted("user:add"));
核心的代码就是上面的红色部分,我们调用了Subjec对象的hasRole()方法,isPermitted()方法分别进行了角色授权和权限授权的操作.
我们一定需要注意的就是授权就是权限的检查.
四 .授权流程
[1]认证之后
[2]调用Subject的各种授权方法进行操作
注意 : 授权的方式有两种,
(1)一种通过方法的返回值的true和false进行授权是否成功的判断
(2)一种是通过是否抛出异常进行判断.