复习

什么是权限管理?
权限管理是系统的安全范涛, 要求必须是合法用户才能访问系统(用户认证), 且必须具有该资源的访问权限才可以访问资源(授权).
认证: 对用户身份校验,要求必须是合法用户才能访问系统.
授权: 访问控制, 必须具有该资源的访问权限才能访问该资源.

权限模型: 标准权限数据模型包括:用户,角色,权限(包括资源和权限),用户角色关系,角色权限关系.
权限分配: 用过 UI 界面方便给用户分配权限, 对上边权限模型进行增删改查操作.
权限控制:
    基于角色的权限控制: 根据角色判断是否有操作权限, 因为角色可能要随时发生变化, 所以当角色发生变化时, 我们需要修改系统代码. 这也就意味着系统可维护性不强.
    基于组员的权限控制: 根据资源判断是否有操作权限, 因为当我们开发完系统后, 一些 URL 是很少发生变化的, 也就是说不管角色怎么变化,这些 URL 是不变的,所以系统的可维护性强.

权限管理的解决方案:
    对于粗颗粒权限管理,建议在系统的架构层面解决.
比如当我们用户认证后,获取用户的菜单, 不同的用户有不同的菜单.也就是说对资源进行权限管理.
    对细颗粒权限管理,建议在系统业务层进行处理.
比如当我们要修改或删除某条信息的时候, 不判断是否有权限.

基于 URL 的权限管理(掌握):
    使用 web 应用中filter 来实现, 用户请求 url, 通过 filter 拦截,判断用户身份是否合法(用户认证), 再判断请求地址是否是用户权限范围内的 url(授权).

Shiro 授权流程

Shiro 授权流程

授权方式

Shiro 支持三种授权的权限:
编程式: 通过编写 if/else 权限代码块完成

Subject subject = SecurityUtils.getSubject();
if(subject.hasRole("admin")){
  //有权限
} else {
  //无权限
}

注解式: 通过在执行的 Java 方法上放置相应的注解完成

@RequiresRoles("admin")
public void hello(){
  //有权限
}

jsp/GSP 标签:在 jsp/gsp 页面通过相应的标签完成

<shiro:hasRole name="admin">
<!-- 有权限 -->
</shiro:hasRole>

授权入门程序

** 创建 shiro-permission.ini 文件**

#用户
[users]
#用户 zhang 密码是123,此用户具有role1和role2两个角色
zhangsan=123,role1,role2
wang=123,role2

#角色
[roles]
# 角色role1对资源 user 用于 create 和 update 权限.
role1=user:create,user:update
role2=user:create,user:delete
role3=user:create

权限标识符规则: 资源:操作:实例
例如user:create:01表示对用户资源的01实例进行 create 操作.
例如user:create表示对用户资源进行 create 操作.相当于``user:create:*```

具体实现

    // 角色授权、资源授权测试
    @Test
    public void testAuthorization() {

        // 创建SecurityManager工厂
        Factory<SecurityManager> factory = new IniSecurityManagerFactory(
                "classpath:shiro-permission.ini");

        // 创建SecurityManager
        SecurityManager securityManager = factory.getInstance();

        // 将SecurityManager设置到系统运行环境，和spring后将SecurityManager配置spring容器中，一般单例管理
        SecurityUtils.setSecurityManager(securityManager);

        // 创建subject
        Subject subject = SecurityUtils.getSubject();

        // 创建token令牌
        UsernamePasswordToken token = new UsernamePasswordToken("zhangsan",
                "123");

        // 执行认证
        try {
            subject.login(token);
        } catch (AuthenticationException e) {
            // TODO Auto-generated catch block
            e.printStackTrace();
        }

        System.out.println("认证状态：" + subject.isAuthenticated());
        // 认证通过后执行授权

        // 基于角色的授权
        // hasRole传入角色标识
        boolean ishasRole = subject.hasRole("role1");
        System.out.println("单个角色判断" + ishasRole);
        // hasAllRoles是否拥有多个角色
        boolean hasAllRoles = subject.hasAllRoles(Arrays.asList("role1",
                "role2", "role3"));
        System.out.println("多个角色判断" + hasAllRoles);

        // 使用check方法进行授权，如果授权不通过会抛出异常
        // subject.checkRole("role13");

        // 基于资源的授权
        // isPermitted传入权限标识符
        boolean isPermitted = subject.isPermitted("user:create:1");
        System.out.println("单个权限判断" + isPermitted);

        boolean isPermittedAll = subject.isPermittedAll("user:create:1",
                "user:delete");
        System.out.println("多个权限判断" + isPermittedAll);

        // 使用check方法进行授权，如果授权不通过会抛出异常
        // subject.checkPermission("items:create:1");

    }