如，判斷一個(gè)用戶有查看頁面的權(quán)限，編輯數(shù)據(jù)的權(quán)限，擁有某一按鈕的權(quán)限，以及是否擁有打印的權(quán)限等等。

一、授權(quán)的三要素

授權(quán)有著三個(gè)核心元素：權(quán)限、角色和用戶。

權(quán)限

權(quán)限是Apache Shiro安全機(jī)制最核心的元素。它在應(yīng)用程序中明確聲明了被允許的行為和表現(xiàn)。一個(gè)格式良好好的權(quán)限聲明可以清晰表達(dá)出用戶對該資源擁有的權(quán)限。
大多數(shù)的資源會(huì)支持典型的CRUD操作（create,read,update,delete）,但是任何操作建立在特定的資源上才是有意義的。因此，權(quán)限聲明的根本思想就是建立在資源以及操作上。

而我們通過權(quán)限聲明僅僅能了解這個(gè)權(quán)限可以在應(yīng)用程序中做些什么，而不能確定誰擁有此權(quán)限。
于是，我們就需要在應(yīng)用程序中對用戶和權(quán)限建立關(guān)聯(lián)。
通常的做法就是將權(quán)限分配給某個(gè)角色，然后將這個(gè)角色關(guān)聯(lián)一個(gè)或多個(gè)用戶。

權(quán)限聲明及粒度

Shiro權(quán)限聲明通常是使用以冒號(hào)分隔的表達(dá)式。就像前文所講，一個(gè)權(quán)限表達(dá)式可以清晰的指定資源類型，允許的操作，可訪問的數(shù)據(jù)。同時(shí)，Shiro權(quán)限表達(dá)式支持簡單的通配符，可以更加靈活的進(jìn)行權(quán)限設(shè)置。
下面以實(shí)例來說明權(quán)限表達(dá)式。
可查詢用戶數(shù)據(jù)
User:view
可查詢或編輯用戶數(shù)據(jù)
User:view,edit
可對用戶數(shù)據(jù)進(jìn)行所有操作
User:* 或 user
可編輯id為123的用戶數(shù)據(jù)
User:edit:123

角色

Shiro支持兩種角色模式：
1、傳統(tǒng)角色：一個(gè)角色代表著一系列的操作，當(dāng)需要對某一操作進(jìn)行授權(quán)驗(yàn)證時(shí)，只需判斷是否是該角色即可。這種角色權(quán)限相對簡單、模糊，不利于擴(kuò)展。
2、權(quán)限角色：一個(gè)角色擁有一個(gè)權(quán)限的集合。授權(quán)驗(yàn)證時(shí)，需要判斷當(dāng)前角色是否擁有該權(quán)限。這種角色權(quán)限可以對該角色進(jìn)行詳細(xì)的權(quán)限描述，適合更復(fù)雜的權(quán)限設(shè)計(jì)。
下面將詳細(xì)描述對兩種角色模式的授權(quán)實(shí)現(xiàn)。

二、授權(quán)實(shí)現(xiàn)

Shiro支持三種方式實(shí)現(xiàn)授權(quán)過程：
編碼實(shí)現(xiàn)
注解實(shí)現(xiàn)
JSP Taglig實(shí)現(xiàn)
1、基于編碼的授權(quán)實(shí)現(xiàn)

1.1基于傳統(tǒng)角色授權(quán)實(shí)現(xiàn)
當(dāng)需要驗(yàn)證用戶是否擁有某個(gè)角色時(shí)，可以調(diào)用Subject 實(shí)例的hasRole*方法驗(yàn)證。

Shiro還支持以斷言的方式進(jìn)行授權(quán)驗(yàn)證。斷言成功，不返回任何值，程序繼續(xù)執(zhí)行；斷言失敗時(shí)，將拋出異常信息。使用斷言，可以使我們的代碼更加簡潔。

斷言的相關(guān)方法： 

相比傳統(tǒng)角色模式，基于權(quán)限的角色模式耦合性要更低些，它不會(huì)因角色的改變而對源代碼進(jìn)行修改，因此，基于權(quán)限的角色模式是更好的訪問控制方式。
它的代碼實(shí)現(xiàn)有以下幾種實(shí)現(xiàn)方式：

1、基于權(quán)限對象的實(shí)現(xiàn)

創(chuàng)建org.apache.shiro.authz.Permission的實(shí)例，將該實(shí)例對象作為參數(shù)傳遞給Subject.isPermitted（）進(jìn)行驗(yàn)證。

相關(guān)方法如下： 

相比笨重的基于對象的實(shí)現(xiàn)方式，基于字符串的實(shí)現(xiàn)便顯得更加簡潔。

使用冒號(hào)分隔的權(quán)限表達(dá)式是org.apache.shiro.authz.permission.WildcardPermission 默認(rèn)支持的實(shí)現(xiàn)方式。
這里分別代表了 資源類型：操作：資源ID

類似基于對象的實(shí)現(xiàn)相關(guān)方法，基于字符串的實(shí)現(xiàn)相關(guān)方法：
isPermitted(String perm)、isPermitted(String... perms)、isPermittedAll(String... perms)

基于權(quán)限對象的斷言實(shí)現(xiàn)

基于字符串的斷言實(shí)現(xiàn)

斷言實(shí)現(xiàn)的相關(guān)方法 

相關(guān)的注解：
@ RequiresAuthentication
可以用戶類/屬性/方法，用于表明當(dāng)前用戶需是經(jīng)過認(rèn)證的用戶。

@ RequiresGuest
表明該用戶需為”guest”用戶

@ RequiresPermissions
當(dāng)前用戶需擁有制定權(quán)限

@RequiresRoles
當(dāng)前用戶需擁有制定角色

@ RequiresUser
當(dāng)前用戶需為已認(rèn)證用戶或已記住用戶

3、基于JSP  TAG的授權(quán)實(shí)現(xiàn)
Shiro提供了一套JSP標(biāo)簽庫來實(shí)現(xiàn)頁面級的授權(quán)控制。
在使用Shiro標(biāo)簽庫前，首先需要在JSP引入shiro標(biāo)簽：

下面一一介紹Shiro的標(biāo)簽：
guest標(biāo)簽
驗(yàn)證當(dāng)前用戶是否為“訪客”，即未認(rèn)證（包含未記?。┑挠脩?

user標(biāo)簽
認(rèn)證通過或已記住的用戶

authenticated標(biāo)簽
已認(rèn)證通過的用戶。不包含已記住的用戶，這是與user標(biāo)簽的區(qū)別所在。

notAuthenticated標(biāo)簽
未認(rèn)證通過用戶，與authenticated標(biāo)簽相對應(yīng)。與guest標(biāo)簽的區(qū)別是，該標(biāo)簽包含已記住用戶。

principal 標(biāo)簽
輸出當(dāng)前用戶信息，通常為登錄帳號(hào)信息

hasRole標(biāo)簽
驗(yàn)證當(dāng)前用戶是否屬于該角色

lacksRole標(biāo)簽
與hasRole標(biāo)簽邏輯相反，當(dāng)用戶不屬于該角色時(shí)驗(yàn)證通過

hasAnyRole標(biāo)簽
驗(yàn)證當(dāng)前用戶是否屬于以下任意一個(gè)角色。

hasPermission標(biāo)簽
驗(yàn)證當(dāng)前用戶是否擁有制定權(quán)限

lacksPermission標(biāo)簽
與hasPermission標(biāo)簽邏輯相反，當(dāng)前用戶沒有制定權(quán)限時(shí)，驗(yàn)證通過

三、Shiro授權(quán)的內(nèi)部處理機(jī)制

1、在應(yīng)用程序中調(diào)用授權(quán)驗(yàn)證方法(Subject的isPermitted*或hasRole*等)
2、Sbuject的實(shí)例通常是DelegatingSubject類（或子類）的實(shí)例對象，在認(rèn)證開始時(shí)，會(huì)委托應(yīng)用程序設(shè)置的securityManager實(shí)例調(diào)用相應(yīng)的isPermitted*或hasRole*方法。
3、接下來SecurityManager會(huì)委托內(nèi)置的Authorizer的實(shí)例（默認(rèn)是ModularRealmAuthorizer 類的實(shí)例，類似認(rèn)證實(shí)例，它同樣支持一個(gè)或多個(gè)Realm實(shí)例認(rèn)證）調(diào)用相應(yīng)的授權(quán)方法。
4、每一個(gè)Realm將檢查是否實(shí)現(xiàn)了相同的 Authorizer 接口。然后，將調(diào)用Reaml自己的相應(yīng)的授權(quán)驗(yàn)證方法。

當(dāng)使用多個(gè)Realm時(shí)，不同于認(rèn)證策略處理方式，授權(quán)處理過程中：
1、當(dāng)調(diào)用Realm出現(xiàn)異常時(shí)，將立即拋出異常，結(jié)束授權(quán)驗(yàn)證。
2、只要有一個(gè)Realm驗(yàn)證成功，那么將認(rèn)為授權(quán)成功，立即返回，結(jié)束認(rèn)證。 

最新評論