实现角色授权

一、授权概念

授权，也叫访问控制，即在应用中控制谁访问哪些资源(如访问页面/编辑数据/页面操作:等)。在授权中需了解的几个关键对象：主体(Subject) 、资源(Resource) 、权限，(Permission) 、角色(Role)

1. 主体(Subject)：访问应用的用户，在Shiro中使用Subject代表该用户。用户只有授权后才允许访问相应的资源。
2. 资源(Resource)：在应用中用户可以访问的URL,比如访问JSP页面、查看/编辑某些数据、访问某个业务方法、打印文本等等都是资源。用户只有授权后才能访问
3. 权限(Permission)：安全策略中的原子授权单位，通过权限我们可以表示在应用中用户有没有操作某个资源的权力。即权限表示在应用中用户能不能访问某个资源，如：访问用户列表页面查看/新增/修改/删除用户数据(即很多时候都是CRUD (增查改删)式权限控制)等。权限代表了用户有没有操作某个资源的权利，即反映在某个资源上的操作允不允许。
4. Shiro支持粗粒度权限(如用户模块的所有权限)和细粒度权限(操作某个用户的权限，即实例级别的)
5. 角色(Role)：取限的集合，一般情况下会赋予用户角色而不是权限，即这样用户可以拥有一组权限，赋予权限时比较方便。

二、示例

2.1、沿用上一篇博客项目

2.2、在shiro.ini中增加角色配置

2.3、在ShiroRun中，添加功能，登录成功后判断角色

2.4、在shiro.ini中增加权限配置

2.5、在ShiroRun中，判断权限信息