之前说了权限认证,其实也就是登录验证身份
这次来说说shiro的授权
shiro可以针对角色授权,或者访问资源授权
两者都行,但是在如今的复杂系统中,当然使用后者,如果你是小系统或者私活的话,前者即可,甚至可以不用,我懂的
好吧,上代码:
首先新建一个ini,登陆信息以及权限配置好
#用户
[users]
#eric 用户nathan的密码是123456,拥有boss以及hr两个权限
eric=,boss,hr
merry=,hr #权限
[roles]
#角色对用资源user来说拥有create以及update权限
boss=user:create,user:update
#角色对用资源user来说拥有create以及delete权限
hr=user:create,user:delete
#角色对用资源user来说拥有create权限
tl=user:create
以下代码先登陆,后授权,分为角色以及资源
@Test
public void testAuthorization() { // 创建SecurityManager工厂
Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro/shiro-permission.ini");
// 创建SecurityManager
SecurityManager securityManager = factory.getInstance();
// 将SecurityManager设置到系统运行环境,和spring后将SecurityManager配置spring容器中,一般单例管理
SecurityUtils.setSecurityManager(securityManager);
// 创建subject
Subject subject = SecurityUtils.getSubject();
// 创建token令牌
UsernamePasswordToken token = new UsernamePasswordToken("eric", "123456");
// 执行认证
try {
subject.login(token);
} catch (AuthenticationException e) {
e.printStackTrace();
}
System.out.println("认证状态:" + subject.isAuthenticated());
// 认证通过后执行授权 // 基于角色的授权
// hasRole传入角色标识
boolean ishasRole = subject.hasRole("hr");
System.out.println("单个角色判断" + ishasRole);
// hasAllRoles是否拥有多个角色
boolean hasAllRoles = subject.hasAllRoles(Arrays.asList("boss", "hr", "tl"));
System.out.println("多个角色判断" + hasAllRoles); // 使用check方法进行授权,如果授权不通过会抛出异常
// subject.checkRole("employee"); // 基于资源的授权
// isPermitted传入权限标识符
boolean isPermitted = subject.isPermitted("user:create:1");
System.out.println("单个权限判断" + isPermitted); boolean isPermittedAll = subject.isPermittedAll("user:create:1",
"user:delete");
System.out.println("多个权限判断" + isPermittedAll); // 使用check方法进行授权,如果授权不通过会抛出异常
subject.checkPermission("items:create:1"); }
这些都是简单的配置
过后会讲讲如何配合springmvc spring 以及mybatis进行动态认证授权