本文详细介绍了使用Apache Shiro框架进行权限管理的具体实践,包括POM文件配置、shiro.ini文件定义用户信息与权限,以及Java代码实现身份认证、角色与权限校验。通过实例演示了如何在应用中集成Shiro并进行高效的安全管理。
1.1 pom 文件
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-core</artifactId>
<version>1.4.0</version>
</dependency>
<dependency>
<groupId>org.slf4j</groupId>
<artifactId>slf4j-api</artifactId>
<version>1.7.12</version>
</dependency>
<dependency>
<groupId>org.slf4j</groupId>
<artifactId>slf4j-log4j12</artifactId>
<version>1.7.12</version>
</dependency>
<dependency>
<groupId>log4j</groupId>
<artifactId>log4j</artifactId>
<version>1.2.16</version>
</dependency>
<dependency>
<groupId>commons-logging</groupId>
<artifactId>commons-logging</artifactId>
<version>1.2</version>
</dependency>
ops : require JDK 1.6+ and Maven 3.0.3+
1.2 配置
创建一个
shiro.ini文件
#定义用户信息
#格式:用户名=密码,角色1,角色2,....
[users]
zhangsan=123,admin
lisi=456,manager,seller
wangwu=789,clerk
# -----------------------------------------------------------------------------
# 角色及其权限信息
# 预定权限:user:query
# user:detail:query
# user:update
# user:delete
# user:insert
# order:update
# ....
[roles]
# admin 拥有所有权限,用*表示
admin=*
# clerk 只有查询权限
clerk=user:query,user:detail:query
# manager 有 user 的所有权限
manager=user:*
1.3 代码
- 通过在ini中设置的 身份信息、角色、权限,做安全管理
- 1.身份认证: subject.login(token)
- 2.是否认证身份判断:subject.isAuthenticated()
- 3.角色校验:subject.hasRole(String:role); subject.hasRoles(List:roles)
- 4.权限校验:subject.isPermitted(String:perm); subject.isPermittedAll(List:perms)
// 定义main函数测试效果
// 创建 "SecurityFactory",加载ini配置,并通过它创建SecurityManager
Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini");
SecurityManager securityManager = factory.getInstance();
// 将SecurityManager托管到SecurityUtils工具类中(ops:之后可以不必关心SecurityManager)
SecurityUtils.setSecurityManager(securityManager);
// 获得Subject,通过subject可以执行shiro的相关功能操作(身份认证或权限校验等)
Subject currentUser = SecurityUtils.getSubject();
// 身份认证( 类似登录逻辑 )
if (!currentUser.isAuthenticated()) {//判断是否已经登录
//如果未登录,则封装一个token,其中包含 用户名和密码
UsernamePasswordToken token = new UsernamePasswordToken("zhangsan", "123");
try {
//将token传入login方法,进行身份认证 (判断用户名和密码是否正确)
currentUser.login(token);//如果失败则会抛出异常
} catch (UnknownAccountException uae) {//用户不存在
System.out.println("There is no user with username of " + token.getPrincipal());
} catch (IncorrectCredentialsException ice) {//密码错误
System.out.println("Password for account " + token.getPrincipal() + " was incorrect!");
} catch (LockedAccountException lae) {//账户冻结
System.out.println("The account for username " + token.getPrincipal() + " is locked. "
+"Please contact your administrator to unlock it.");
}catch (AuthenticationException ae) {//其他认证异常
}
}
// 认证成功则用户信息会存入 currentUser(Subject)
System.out.println("User [" + currentUser.getPrincipal() + "] logged in successfully.");
// 可以进一步进行角色校验 和 权限校验
if (currentUser.hasRole("admin")) { //校验角色
System.out.println("hello,boss");
} else {
System.out.println("Hello, you");
}
if (currentUser.isPermitted("user:update")) { //校验权限
System.out.println("you can update user");
} else {
System.out.println("Sorry, you can not update.");
}
// 用户退出,会清除用户状态
currentUser.logout();
// System.exit(0);
##3.4 权限规则
最常用的权限标识:【资源 :操作】
1> user:query , user:insert , order:delete , menu:show
【:】 作为分隔符,分隔资源和操作【资源:操作】
【,】 作为分隔,分隔多个权限【权限1,权限2,权限3】
2> user:* , *:query
【*】 作为通配符,代表所有操作、资源
【user:* 即user的所有操作】
【*:query 即所有资源的查询操作】
3> *
【代表一切资源的一切权限 = 最高权限】
4> 细节:
1)【user:* 可以匹配 user:xx, user:xx:xxx】
【*:query 只可以匹配 xx:query,不能匹配 xx:xx:query. 除非 *:*:query】
2)【user:update,user:insert】 可以简写为 【"user:update,insert"】
[roles]
manager1=user:query,user:update,user:insert
manager2="user:query,update,insert" #注意要加引号
#如上manager1和manager2权限等价
#subject.isPermittedAll("user:update","user:insert","user:query")
实例级权限标识:【资源 :操作 :实例】,粒度细化到具体某个资源实例
1> user:update:1 , user:delete:1
# 对用户1可以update,对用户1可以delete
2> "user:update,delete:1" #和上面等价
# subject.isPermittedAll("user:update,delete:1","user:update:1","user:delete:1")
3> user:*:1 , user:update:* , user:*:*
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
