【Shiro】四、Apache Shiro授权-白红宇

【Shiro】四、Apache Shiro授权

阅读量：5061 次

发布时间：2019-06-12

本文共 4157 字，大约阅读时间需要 13 分钟。

1、授权实现方式

1.1、什么是授权

授权包含4个元素（一个比较流行通用的权限模型）

Resources：资源

　　各种需要访问控制的资源

Permissions：权限

　　安全策略控制原子元素

　　基于资源和动作

　　控制力度

Roles：角色

　　行为的集合

User：用户主体

　　Subject，关联Role或Permission

简单来说，可以这样理解：我们登录进系统，我们就是一个【用户】；【用户】可以是一个或多个【角色】，一个【角色】可以有多种【权限】，这些【权限】代表了我们可以访问哪些【资源】。当然【用户】也可以直接跳过【角色】，直接给【用户】分配【权限】，表明这个【用户】可以访问的【资源】。

1.2、授权方式

a、编程模型

　　基于Role

　　　　Role校验

　　　　　　API：

　　　　　　　　hasRole(String roleName)

　　　　　　　　hasRoles(List<String> roleNames)

　　　　　　　　hasAllRoles(Collection<String> roleNames)

Subject currentUser = SecurityUtils.getSubject();if(currentUser.hasRole("admin")){    ...} else{    ...}

　　　　Role断言（Assertion）

　　　　　　失败会抛出异常AuthorizationException

　　　　　　API

　　　　　　　　checkRole(String roleName)

　　　　　　　　checkRoles(Collection<String> roleNames)

　　　　　　　　checkRoles(String... roleNames)

Subject currentUser = SecurityUtils.getSubject();currentUser.checkRole("bankTeller");openBankAccount();

　　基于Permission

　　　　Permission校验

　　　　　　基于对象的Permission校验

　　　　　　　　应用场景：显式控制、类型安全

　　　　　　　　API

　　　　　　　　　　isPermiited(Permission p)

　　　　　　　　　　isPermiited(List<Permission> perms)

　　　　　　　　　　isPermiitedAll(Collection<Permission> perms)

Permission printPermission = new PrinterPermission("hp","print");Subject currentUser = SecurityUtils.getSubject();if(currentUser.isPermitted(printPermission)){    ...} else {    ...}

　　　　　　基于String的Permission校验

　　　　　　　　应用场景：轻量级、简单

　　　　　　　　API

　　　　　　　　　　isPermiited(String perm)

　　　　　　　　　　isPermiited(String... perms)

　　　　　　　　　　isPermiitedAll(String... perms)

Subject currentUser = SecurityUtils.getSubject();if(currentUser.isPermitted("printer:print:hp")){    ...} else {    ...}

　　　　Permission断言（Assertion）

　　　　　　失败会抛出异常AuthorizationException

　　　　　　API

　　　　　　　　checkPermission(Permission p))

　　　　　　　　checkPermission(String perm)

　　　　　　　　checkPermissions(Collection<Permission> perms)

　　　　　　　　checkPermissions(String... perms)

Subject currentUser = SecurityUtils.getSubject();Permission p = new AccountPermission("open");current.checkPermission(p);openBankAccount();

b、JDK注解

@RequiresAuthentication

用于判断是否已认证，未认证访问该资源会抛异常，下面代码效果相同

@RequiresAuthenticationpublic void updateAccount(Account userAccount){    ...}public void updateAccount(Account userAccount){    if(!SecurityUtils.getSubject().isAuthenticated()){        throw new AuthorizationException(...);    }}

@RequiresGuest

用于判断是否为游客，如果非游客会抛异常，下面代码效果相同

@RequiresGuestpublic void signUp(User newUser){    ...}public void signUp(User newUser){    Subject currentUser = SecurityUtils.getSubject();    PrincipalCollection principals = currentUser.getPrincipals();    if(principals != null && !principals.isEmpty()){        throw new AuthorizationException(...);    }}

@RequiresPermissions

用于判断有该权限才能访问，下面代码效果相同

@ReruiresPermissions("account:create")public void creatAccount(Account account){    ...}public void creatAccount(Account account){    Subject currentUser = SecurityUtils.getSubject();    if(!subject.isPermitted("account:create")){        throw new AuthorizationException(...);    }}

@RequiresRoles

用于判断有该角色才能访问，下面代码效果相同

@RequiresRoles("admin")public void deleteUser(User user){    ...}public void deleteUser(User user){    Subject currentUser = SecurityUtils.getSubject();    if(!subject.hasRole("admin")){        throw new AuthorizationException(...);    }}

@RequiresUser

用于判断非游客才能访问，下面代码效果相同

@RequiresUserpublic void updateAccount(Account account){    ...}public void updateAccount(Account account){    Subject currentUser = SecurityUtils.getSubject();    PrincipalCollection principals = currentUser.getPrincipals();    if(principals == null || principals.isEmpty()){        throw new AuthorizationException(...);    }}