权限控制
功能权限,数据权限,管理权限
用户和资源
让指定用户管理指定的资源
初学java怎么实现权限控制
- Filter接口有个doFilter,编写好对应的业务,并配置编写好对应的web资源拦截
- 如果访问的路径是对应的Filter,则会执行doFilter,然后判断是否有权限访问对应的资源
身份认证
获取 SecurityManager 工厂,此处使用 Ini 配置文件初始化 SecurityManager
因为需要告诉SecurityManager安全管理器到哪一个realm进行查找
创建realm
private DefaultSecurityManager securityManager = new DefaultSecurityManager();
private SimpleAccountRealm realm = new SimpleAccountRealm();@Beforepublic void init(){
//初始化数据源
realm.addAccount("lzw","lzw");
//构建环境
securityManager.setRealm(realm);
}在测试类上实现用户认证逻辑
@Test
public void testAuthentication(){
//设置securityManager上下文
SecurityUtils.setSecurityManager(securityManager);
//获取当前主体
Subject subject = SecurityUtils.getSubject();
//用户输入账号密码
UsernamePasswordToken token = new UsernamePasswordToken("lzw","lzw");
//登录
subject.login(token);
//获取是否认证成功
System.out.println("是否认证成功--------"+subject.isAuthenticated());
}Shrio授权和认证和常用API
public void testAuthentication(){
//设置securityManager上下文
SecurityUtils.setSecurityManager(securityManager);
//获取当前主体
Subject subject = SecurityUtils.getSubject();
//用户输入账号密码
UsernamePasswordToken token = new UsernamePasswordToken("lzw","lzw");
//登录
subject.login(token);
//获取是否认证成功
System.out.println("是否认证成功--------"+subject.isAuthenticated());
System.out.println("是否有对应的角色-------"+subject.hasRole("admin"));
System.out.println("认证结果用户名--------"+subject.getPrincipal());
//退出登录
subject.logout();
}自定义Realm
Shrio内置Filter过滤器
shiro注解权限控制-5个权限注解
- RequiresAuthentication:
使用该注解标注的类,实例,方法在访问或调用时,当前Subject必须在当前session中已经过认证
- RequiresGuest:
使用该注解标注的类,实例,方法在访问或调用时,当前Subject可以是“gust”身份,不需要经过认证或者在原先的session中存在记录。
- RequiresPermissions:
当前Subject需要拥有某些特定的权限时,才能执行被该注解标注的方法。如果当前Subject不具有这样的权限,则方法不会被执行。
- RequiresRoles:
当前Subject必须拥有所有指定的角色时,才能访问被该注解标注的方法。如果当天Subject不同时拥有所有指定角色,则方法不会执行还会抛出AuthorizationException异常。
- RequiresUser
当前Subject必须是应用的用户,才能访问或调用被该注解标注的类,实例,方法。
使用方法:
Shiro的认证注解处理是有内定的处理顺序的,如果有个多个注解的话,前面的通过了会继续检查后面的,若不通过则直接返回,处理顺序依次为(与实际声明顺序无关):
RequiresRoles
RequiresPermissions
RequiresAuthentication
RequiresUser
RequiresGuest
例如:你同时声明了RequiresRoles和RequiresPermissions,那就要求拥有此角色的同时还得拥有相应的权限。
1) RequiresRoles
- 可以用在Controller或者方法上。可以多个roles,多个roles时默认逻辑为 AND也就是所有具备所有role才能访问。
@Target({ElementType.TYPE, ElementType.METHOD})
@Retention(RetentionPolicy.RUNTIME)
public @interface RequiresRoles {
String[] value();
Logical logical() default Logical.AND;
}示例
//属于user角色
@RequiresRoles("user")
//必须同时属于user和admin角色
@RequiresRoles({"user","admin"})
//属于user或者admin之一;修改logical为OR 即可
@RequiresRoles(value={"user","admin"},logical=Logical.OR)2) RequiresPermissions
- 与 RequiresRoles类似
@Target({ElementType.TYPE, ElementType.METHOD})@Retention(RetentionPolicy.RUNTIME)public @interface RequiresPermissions {String[] value();Logical logical() default Logical.AND;}//符合index:hello权限要求@RequiresPermissions("index:hello")//必须同时复核index:hello和index:world权限要求@RequiresPermissions({"index:hello","index:world"})//符合index:hello或index:world权限要求即可@RequiresPermissions(value={"index:hello","index:world"},logical=Logical.OR)3) RequiresAuthentication,RequiresUser,RequiresGuest
- 这三个的使用方法一样
@RequiresAuthentication
@RequiresUser
@RequiresGusst