③【Shiro】角色(权限组)、权限授权

痛定思痛。 2024-04-17 10:23 55阅读 0赞

![在这里插入图片描述][8d8e0d8a542946af858489a536162608.gif_pic_center]

> 个人简介：Java领域新星创作者；阿里云技术博主、星级博主、专家博主；正在Java学习的路上摸爬滚打，记录学习的过程~  
> 个人主页：[.29.的博客][.29.]  
> 学习社区：[进去逛一逛~][Link 1]

> [![在这里插入图片描述][811e39b29f344182b55db62c011b3155.png_pic_center]][811e39b29f344182b55db62c011b3155.png_pic_center 1]

#### Shiro角色、权限授权 ####

*   *  授权的相关概念
     *  Shiro授权方式
     *  Shiro授权 执行流程
     *  Shiro授权案例

### 授权的相关概念 ###

*  `授权`：授权，也叫访问控制，即在应用中控制谁访问哪些资源（如访问页面/编辑数据/页面操作 等）。在授权中需了解的几个关键对象：**主体（Subject）、资源（Resource）、权限 （Permission）、角色（Role）。**
 *  `主体 (Subject)`：访问应用的用户，在 Shiro 中使用 Subject 代表该用户。用户只有授权 后才允许访问相应的资源。
 *  `资源 (Resource)`：在应用中用户可以访问的 URL，比如访问 JSP 页面、查看/编辑某些数据、访问某个业务方法、打印文本等等都是资源。用户只要授权后才能访问。
 *  `权限 (Permission)`：安全策略中的原子授权单位，通过权限我们可以表示在应用中用户有没有操作某个资源的权力。如：访问用户列表页面查看/新增/修改/删除用户数据（即很多时候都是CRUD式权限控制）等。
 *  `权限、粒度`：Shiro 支持**粗粒度权限**（如用户模块的所有权限）和**细粒度权限**（操作某个用户的权限， 即实例级别的）。
 *  `角色 (Role)`：权限的集合，一般情况下会赋予用户角色而不是权限，即这样用户可以拥有一组权限，赋予权限时比较方便。典型的如：项目经理、技术总监、CTO、开发工程师等 都是角色，不同的角色拥有一组不同的权限。

--------------------

### Shiro授权方式 ###

`1 编程式`：

//通过写if/else 授权代码块完成
    if(subject.hasRole("admin")){
        
        //有权限
    }else{
        
        //无权限
    }

`2 注解式`：

//通过在执行的Java方法上放置相应的注解完成，没有权限将抛出相应的异常
    @RequiresRoles("admin")
    public void do(){
        
        //有权限
    }

`3 标签式`：

<shiro:hasRole name="admin">
        
    </shiro:hasRole>

--------------------

### Shiro授权 执行流程 ###

`流程原理`：

1.  首先调用Subject.isPermitted\*/hasRole\*接口，其会委托给SecurityManager，而SecurityManager接着会委托给 Authorizer；
2.  Authorizer是真正的授权者，如果调用如isPermitted(“user:view”)，其首先会通过Permission Resolver 把字符串转换成相应的Permission实例；
3.  在进行授权之前，其会调用相应的Realm获取Subject相应的角色/权限用于匹配传入的角色/权限；
4.  Authorizer会判断Realm的角色/权限是否和传入的匹配，如果有多个Realm，会委托给ModularRealmAuthorizer进行循环判断，如果匹配如isPermitted\*/hasRole\* 会返回true，否则返回false表示授权失败；

> ![在这里插入图片描述][c9e3c482ad4441de9aff2fd9e012caa4.png]

--------------------

### Shiro授权案例 ###

`导入坐标`：

<dependency>
                <groupId>org.apache.shiro</groupId>
                <artifactId>shiro-core</artifactId>
                <version>1.9.0</version>
            </dependency>
    
            <dependency>
                <groupId>commons-logging</groupId>
                <artifactId>commons-logging</artifactId>
                <version>1.2</version>
            </dependency>

`配置ini文件`：

# Shiro获取权限相关信息可以通过数据库获取，也可以通过ini文件获取
    
    # 配置账户密码信息
    # role1,role2为userA用户的角色(权限组)信息
    [users]
    userA = 123a,role1,role2
    userB = 123b
    
    # 配置对应角色(权限组)的权限
    [roles]
    role1 = user:select,user:update

> ![在这里插入图片描述][06cc2d374a00438b820da48c702a34e5.png]

`测试案例`：

/**
     * @author .29.
     * @create 2024-03-16 16:54
     */
    public class shiroRun {
        
        public static void main(String[] args){
        
            //1. 初始化获取安全管理器SecurityManager
            IniSecurityManagerFactory factory = new IniSecurityManagerFactory("classpath:Shiro.ini");
            SecurityManager securityManager = factory.getInstance();
            SecurityUtils.setSecurityManager(securityManager);
            //2. 获取Subject对象
            Subject subject = SecurityUtils.getSubject();
            //3. 创建token对象，web应用用户名密码从页面传递
            UsernamePasswordToken token = new UsernamePasswordToken("userA", "123a");
            //如果希望应用程序在用户返回时记住用户，可以使用令牌的setRememberMe()方法，并设置参数为true
            token.setRememberMe(true);
            //4. 完成登录
            //你可以接受该方法调用并将其包装在 try/catch 块中，如果你想处理它们并做出相应的反应，你可以捕获各种异常。
            try{
        
                subject.login(token);
                System.out.println("登陆成功！");
                //5. 授权
                //判断用户是否拥有该角色（权限组）
                boolean role1 = subject.hasRole("role1");
                System.out.println("是否拥有此角色role1：-->" + role1);
                //判断用户是否拥有该权限
                boolean permitted = subject.isPermitted("user:select");
                System.out.println("是否拥有该权限：user:select -->" + permitted);
                boolean permitted2 = subject.isPermitted("user:delete");
                System.out.println("是否拥有该权限：user:delete -->" + permitted2);
                //可以使用checkPermission()查看权限，没有返回值，无权限会直接抛异常
                subject.checkPermission("user:insert");
    
            }catch (UnknownAccountException e){
        
                e.printStackTrace();
                System.out.println("用户不存在！");
            }catch (IncorrectCredentialsException e){
        
                e.printStackTrace();
                System.out.println("密码错误！");
            }catch (AuthenticationException ae){
        
                //这个块捕获了所有的认证异常，
                //表达的意思是，以此类推，你可以通过捕获异常的方式来处理逻辑
            }
        }
    }

> 登陆成功！  
> 是否拥有此角色role1：–>true  
> 是否拥有该权限：user:select -->true  
> 是否拥有该权限：user:delete -->false  
> Exception in thread “main” org.apache.shiro.authz.UnauthorizedException: Subject does not have permission \[user:insert\]

--------------------

[![在这里插入图片描述][20a7f1b58dfb4660b75d7f021c157d57.png_pic_center]][20a7f1b58dfb4660b75d7f021c157d57.png_pic_center 1]

[8d8e0d8a542946af858489a536162608.gif_pic_center]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/14/60c29c37a8cf479bbaa89f429ff5a70a.gif
[.29.]: https://blog.csdn.net/ebb29bbe?spm=1018.2226.3001.5343
[Link 1]: https://bbs.csdn.net/forums/185241f773fb401b8ca7994dc3d02333?joinKey=cyru4ex9o7wq-mz6v1koj5x-1-add3ae8dc3827dbbd4360c79af92bbbe
[811e39b29f344182b55db62c011b3155.png_pic_center]: https://img-blog.csdnimg.cn/direct/811e39b29f344182b55db62c011b3155.png#pic_center
[811e39b29f344182b55db62c011b3155.png_pic_center 1]: https://blog.csdn.net/ebb29bbe/category_12607755.html?spm=1001.2014.3001.5482
[c9e3c482ad4441de9aff2fd9e012caa4.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/14/43f80bf07d6043b29858d5083c5ca0d5.png
[06cc2d374a00438b820da48c702a34e5.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/14/e59776ad5bd04e5cb3755ba3fd2f2d3a.png
[20a7f1b58dfb4660b75d7f021c157d57.png_pic_center]: https://img-blog.csdnimg.cn/20a7f1b58dfb4660b75d7f021c157d57.png#pic_center
[20a7f1b58dfb4660b75d7f021c157d57.png_pic_center 1]: https://blog.csdn.net/ebb29bbe?type=blog