第三章 授權——《跟我學Shiro》

原創 RayChiu757374816 2020-02-22 19:35

授權,也叫訪問控制,即在應用中控制誰能訪問哪些資源(如訪問頁面/編輯數據/頁面操作等)。在授權中需瞭解的幾個關鍵對象:主體(Subject)、資源(Resource)、權限(Permission)、角色(Role)。

主體

主體,即訪問應用的用戶,在Shiro中使用Subject代表該用戶。用戶只有授權後才允許訪問相應的資源。

資源

在應用中用戶可以訪問的任何東西,比如訪問JSP頁面、查看/編輯某些數據、訪問某個業務方法、打印文本等等都是資源。用戶只要授權後才能訪問。

權限

安全策略中的原子授權單位,通過權限我們可以表示在應用中用戶有沒有操作某個資源的權力。即權限表示在應用中用戶能不能訪問某個資源,如:

訪問用戶列表頁面

查看/新增/修改/刪除用戶數據(即很多時候都是CRUD(增查改刪)式權限控制)

打印文檔等等。。。

 

如上可以看出,權限代表了用戶有沒有操作某個資源的權利,即反映在某個資源上的操作允不允許,不反映誰去執行這個操作。所以後續還需要把權限賦予給用戶,即定義哪個用戶允許在某個資源上做什麼操作(權限),Shiro不會去做這件事情,而是由實現人員提供。

 

Shiro支持粗粒度權限(如用戶模塊的所有權限)和細粒度權限(操作某個用戶的權限,即實例級別的),後續部分介紹。

角色

角色代表了操作集合,可以理解爲權限的集合,一般情況下我們會賦予用戶角色而不是權限,即這樣用戶可以擁有一組權限,賦予權限時比較方便。典型的如:項目經理、技術總監、CTO、開發工程師等都是角色,不同的角色擁有一組不同的權限。

隱式角色:即直接通過角色來驗證用戶有沒有操作權限,如在應用中CTO、技術總監、開發工程師可以使用打印機,假設某天不允許開發工程師使用打印機,此時需要從應用中刪除相應代碼;再如在應用中CTO、技術總監可以查看用戶、查看權限;突然有一天不允許技術總監查看用戶、查看權限了,需要在相關代碼中把技術總監角色從判斷邏輯中刪除掉;即粒度是以角色爲單位進行訪問控制的,粒度較粗;如果進行修改可能造成多處代碼修改。

顯示角色:在程序中通過權限控制誰能訪問某個資源,角色聚合一組權限集合;這樣假設哪個角色不能訪問某個資源,只需要從角色代表的權限集合中移除即可;無須修改多處代碼;即粒度是以資源/實例爲單位的;粒度較細。

 

 

請google搜索“RBAC”和“RBAC新解”分別瞭解“基於角色的訪問控制”“基於資源的訪問控制(Resource-Based Access Control)”。

 

3.1 授權方式

Shiro支持三種方式的授權:

 

編程式:通過寫if/else授權代碼塊完成: 

Java代碼  收藏代碼
  1. Subject subject = SecurityUtils.getSubject();  
  2. if(subject.hasRole(“admin”)) {  
  3.     //有權限  
  4. else {  
  5.     //無權限  
  6. }   

 

註解式:通過在執行的Java方法上放置相應的註解完成: 

Java代碼  收藏代碼
  1. @RequiresRoles("admin")  
  2. public void hello() {  
  3.     //有權限  
  4. }   

沒有權限將拋出相應的異常;

 

JSP/GSP標籤:在JSP/GSP頁面通過相應的標籤完成: 

Java代碼  收藏代碼
  1. <shiro:hasRole name="admin">  
  2. <!— 有權限 —>  
  3. </shiro:hasRole>   

後續部分將詳細介紹如何使用。   

 

3.2 授權

基於角色的訪問控制(隱式角色)

 

1、在ini配置文件配置用戶擁有的角色(shiro-role.ini) 

Java代碼  收藏代碼
  1. [users]  
  2. zhang=123,role1,role2  
  3. wang=123,role1   

規則即:“用戶名=密碼,角色1,角色2”,如果需要在應用中判斷用戶是否有相應角色,就需要在相應的Realm中返回角色信息,也就是說Shiro不負責維護用戶-角色信息,需要應用提供,Shiro只是提供相應的接口方便驗證,後續會介紹如何動態的獲取用戶角色。

 

2、測試用例(com.github.zhangkaitao.shiro.chapter3.RoleTest) 

Java代碼  收藏代碼
  1. @Test  
  2. public void testHasRole() {  
  3.     login("classpath:shiro-role.ini""zhang""123");  
  4.     //判斷擁有角色:role1  
  5.     Assert.assertTrue(subject().hasRole("role1"));  
  6.     //判斷擁有角色:role1 and role2  
  7.     Assert.assertTrue(subject().hasAllRoles(Arrays.asList("role1""role2")));  
  8.     //判斷擁有角色:role1 and role2 and !role3  
  9.     boolean[] result = subject().hasRoles(Arrays.asList("role1""role2""role3"));  
  10.     Assert.assertEquals(true, result[0]);  
  11.     Assert.assertEquals(true, result[1]);  
  12.     Assert.assertEquals(false, result[2]);  
  13. }   

Shiro提供了hasRole/hasRole用於判斷用戶是否擁有某個角色/某些權限;但是沒有提供如hashAnyRole用於判斷是否有某些權限中的某一個。 

 

Java代碼  收藏代碼
  1. @Test(expected = UnauthorizedException.class)  
  2. public void testCheckRole() {  
  3.     login("classpath:shiro-role.ini""zhang""123");  
  4.     //斷言擁有角色:role1  
  5.     subject().checkRole("role1");  
  6.     //斷言擁有角色:role1 and role3 失敗拋出異常  
  7.     subject().checkRoles("role1""role3");  
  8. }   

Shiro提供的checkRole/checkRoles和hasRole/hasAllRoles不同的地方是它在判斷爲假的情況下會拋出UnauthorizedException異常。

 

到此基於角色的訪問控制(即隱式角色)就完成了,這種方式的缺點就是如果很多地方進行了角色判斷,但是有一天不需要了那麼就需要修改相應代碼把所有相關的地方進行刪除;這就是粗粒度造成的問題。

 

基於資源的訪問控制(顯示角色)

1、在ini配置文件配置用戶擁有的角色及角色-權限關係(shiro-permission.ini) 

Java代碼  收藏代碼
  1. [users]  
  2. zhang=123,role1,role2  
  3. wang=123,role1  
  4. [roles]  
  5. role1=user:create,user:update  
  6. role2=user:create,user:delete   

規則:“用戶名=密碼,角色1,角色2”“角色=權限1,權限2”,即首先根據用戶名找到角色,然後根據角色再找到權限;即角色是權限集合;Shiro同樣不進行權限的維護,需要我們通過Realm返回相應的權限信息。只需要維護“用戶——角色”之間的關係即可。

 

2、測試用例(com.github.zhangkaitao.shiro.chapter3.PermissionTest)     

Java代碼  收藏代碼
  1. @Test  
  2. public void testIsPermitted() {  
  3.     login("classpath:shiro-permission.ini""zhang""123");  
  4.     //判斷擁有權限:user:create  
  5.     Assert.assertTrue(subject().isPermitted("user:create"));  
  6.     //判斷擁有權限:user:update and user:delete  
  7.     Assert.assertTrue(subject().isPermittedAll("user:update""user:delete"));  
  8.     //判斷沒有權限:user:view  
  9.     Assert.assertFalse(subject().isPermitted("user:view"));  
  10. }   

Shiro提供了isPermitted和isPermittedAll用於判斷用戶是否擁有某個權限或所有權限,也沒有提供如isPermittedAny用於判斷擁有某一個權限的接口。

 

Java代碼  收藏代碼
  1. @Test(expected = UnauthorizedException.class)  
  2. public void testCheckPermission () {  
  3.     login("classpath:shiro-permission.ini""zhang""123");  
  4.     //斷言擁有權限:user:create  
  5.     subject().checkPermission("user:create");  
  6.     //斷言擁有權限:user:delete and user:update  
  7.     subject().checkPermissions("user:delete""user:update");  
  8.     //斷言擁有權限:user:view 失敗拋出異常  
  9.     subject().checkPermissions("user:view");  
  10. }   

但是失敗的情況下會拋出UnauthorizedException異常。

 

到此基於資源的訪問控制(顯示角色)就完成了,也可以叫基於權限的訪問控制,這種方式的一般規則是“資源標識符:操作”,即是資源級別的粒度;這種方式的好處就是如果要修改基本都是一個資源級別的修改,不會對其他模塊代碼產生影響,粒度小。但是實現起來可能稍微複雜點,需要維護“用戶——角色,角色——權限(資源:操作)”之間的關係。  

 

3.3 Permission

字符串通配符權限

規則:“資源標識符:操作:對象實例ID”  即對哪個資源的哪個實例可以進行什麼操作。其默認支持通配符權限字符串,“:”表示資源/操作/實例的分割;“,”表示操作的分割;“*”表示任意資源/操作/實例。

  

1、單個資源單個權限 

Java代碼  收藏代碼
  1. subject().checkPermissions("system:user:update");  

用戶擁有資源“system:user”的“update”權限。

 

2、單個資源多個權限

ini配置文件 

Java代碼  收藏代碼
  1. role41=system:user:update,system:user:delete  

然後通過如下代碼判斷

Java代碼  收藏代碼
  1. subject().checkPermissions("system:user:update""system:user:delete");  

用戶擁有資源“system:user”的“update”和“delete”權限。如上可以簡寫成:

 

ini配置(表示角色4擁有system:user資源的update和delete權限)   

Java代碼  收藏代碼
  1. role42="system:user:update,delete"    

 接着可以通過如下代碼判斷 

Java代碼  收藏代碼
  1. subject().checkPermissions("system:user:update,delete");  

通過“system:user:update,delete”驗證"system:user:update, system:user:delete"是沒問題的,但是反過來是規則不成立。

 

3、單個資源全部權限

ini配置 

Java代碼  收藏代碼
  1. role51="system:user:create,update,delete,view"  

然後通過如下代碼判斷 

Java代碼  收藏代碼
  1. subject().checkPermissions("system:user:create,delete,update:view");  

用戶擁有資源“system:user”的“create”、“update”、“delete”和“view”所有權限。如上可以簡寫成:

 

ini配置文件(表示角色5擁有system:user的所有權限)

Java代碼  收藏代碼
  1. role52=system:user:*  

也可以簡寫爲(推薦上邊的寫法):

Java代碼  收藏代碼
  1. role53=system:user  

然後通過如下代碼判斷

Java代碼  收藏代碼
  1. subject().checkPermissions("system:user:*");  
  2. subject().checkPermissions("system:user");   

通過“system:user:*”驗證“system:user:create,delete,update:view”可以,但是反過來是不成立的。

 

4、所有資源全部權限

ini配置 

Java代碼  收藏代碼
  1. role61=*:view  

然後通過如下代碼判斷

Java代碼  收藏代碼
  1. subject().checkPermissions("user:view");  

用戶擁有所有資源的“view”所有權限。假設判斷的權限是“"system:user:view”,那麼需要“role5=*:*:view”這樣寫才行。

 

5、實例級別的權限

5.1、單個實例單個權限

ini配置

Java代碼  收藏代碼
  1. role71=user:view:1  

對資源user的1實例擁有view權限。

然後通過如下代碼判斷 

Java代碼  收藏代碼
  1. subject().checkPermissions("user:view:1");  

 

5.2、單個實例多個權限

ini配置           

Java代碼  收藏代碼
  1. role72="user:update,delete:1"  

對資源user的1實例擁有update、delete權限。

然後通過如下代碼判斷

Java代碼  收藏代碼
  1. subject().checkPermissions("user:delete,update:1");  
  2. subject().checkPermissions("user:update:1""user:delete:1");   

  

5.3、單個實例所有權限

ini配置  

Java代碼  收藏代碼
  1. role73=user:*:1  

對資源user的1實例擁有所有權限。

然後通過如下代碼判斷 

Java代碼  收藏代碼
  1. subject().checkPermissions("user:update:1""user:delete:1""user:view:1");  

   

5.4、所有實例單個權限

ini配置 

Java代碼  收藏代碼
  1. role74=user:auth:*  

對資源user的1實例擁有所有權限。

然後通過如下代碼判斷 

Java代碼  收藏代碼
  1. subject().checkPermissions("user:auth:1""user:auth:2");  

  

5.5、所有實例所有權限

ini配置 

Java代碼  收藏代碼
  1. role75=user:*:*  

對資源user的1實例擁有所有權限。

然後通過如下代碼判斷     

Java代碼  收藏代碼
  1. subject().checkPermissions("user:view:1""user:auth:2");  

  

6、Shiro對權限字符串缺失部分的處理

如“user:view”等價於“user:view:*”;而“organization”等價於“organization:*”或者“organization:*:*”。可以這麼理解,這種方式實現了前綴匹配。

另外如“user:*”可以匹配如“user:delete”、“user:delete”可以匹配如“user:delete:1”、“user:*:1”可以匹配如“user:view:1”、“user”可以匹配“user:view”或“user:view:1”等。即*可以匹配所有,不加*可以進行前綴匹配;但是如“*:view”不能匹配“system:user:view”,需要使用“*:*:view”,即後綴匹配必須指定前綴(多個冒號就需要多個*來匹配)。

 

7、WildcardPermission

如下兩種方式是等價的:  

Java代碼  收藏代碼
  1. subject().checkPermission("menu:view:1");  
  2. subject().checkPermission(new WildcardPermission("menu:view:1"));   

因此沒什麼必要的話使用字符串更方便。

 

8、性能問題

通配符匹配方式比字符串相等匹配來說是更復雜的,因此需要花費更長時間,但是一般系統的權限不會太多,且可以配合緩存來提供其性能,如果這樣性能還達不到要求我們可以實現位操作算法實現性能更好的權限匹配。另外實例級別的權限驗證如果數據量太大也不建議使用,可能造成查詢權限及匹配變慢。可以考慮比如在sql查詢時加上權限字符串之類的方式在查詢時就完成了權限匹配。 

 

3.4 授權流程


流程如下:

1、首先調用Subject.isPermitted*/hasRole*接口,其會委託給SecurityManager,而SecurityManager接着會委託給Authorizer;

2、Authorizer是真正的授權者,如果我們調用如isPermitted(“user:view”),其首先會通過PermissionResolver把字符串轉換成相應的Permission實例;

3、在進行授權之前,其會調用相應的Realm獲取Subject相應的角色/權限用於匹配傳入的角色/權限;

4、Authorizer會判斷Realm的角色/權限是否和傳入的匹配,如果有多個Realm,會委託給ModularRealmAuthorizer進行循環判斷,如果匹配如isPermitted*/hasRole*會返回true,否則返回false表示授權失敗。

 

ModularRealmAuthorizer進行多Realm匹配流程:

1、首先檢查相應的Realm是否實現了實現了Authorizer;

2、如果實現了Authorizer,那麼接着調用其相應的isPermitted*/hasRole*接口進行匹配;

3、如果有一個Realm匹配那麼將返回true,否則返回false。

 

如果Realm進行授權的話,應該繼承AuthorizingRealm,其流程是:

1.1、如果調用hasRole*,則直接獲取AuthorizationInfo.getRoles()與傳入的角色比較即可;

1.2、首先如果調用如isPermitted(“user:view”),首先通過PermissionResolver將權限字符串轉換成相應的Permission實例,默認使用WildcardPermissionResolver,即轉換爲通配符的WildcardPermission;

2、通過AuthorizationInfo.getObjectPermissions()得到Permission實例集合;通過AuthorizationInfo. getStringPermissions()得到字符串集合並通過PermissionResolver解析爲Permission實例;然後獲取用戶的角色,並通過RolePermissionResolver解析角色對應的權限集合(默認沒有實現,可以自己提供);

3、接着調用Permission. implies(Permission p)逐個與傳入的權限比較,如果有匹配的則返回true,否則false。 

 

3.5 Authorizer、PermissionResolver及RolePermissionResolver

Authorizer的職責是進行授權(訪問控制),是Shiro API中授權核心的入口點,其提供了相應的角色/權限判斷接口,具體請參考其Javadoc。SecurityManager繼承了Authorizer接口,且提供了ModularRealmAuthorizer用於多Realm時的授權匹配。PermissionResolver用於解析權限字符串到Permission實例,而RolePermissionResolver用於根據角色解析相應的權限集合。

 

我們可以通過如下ini配置更改Authorizer實現: 

Java代碼  收藏代碼
  1. authorizer=org.apache.shiro.authz.ModularRealmAuthorizer  
  2. securityManager.authorizer=$authorizer   

對於ModularRealmAuthorizer,相應的AuthorizingSecurityManager會在初始化完成後自動將相應的realm設置進去,我們也可以通過調用其setRealms()方法進行設置。對於實現自己的authorizer可以參考ModularRealmAuthorizer實現即可,在此就不提供示例了。

 

設置ModularRealmAuthorizer的permissionResolver,其會自動設置到相應的Realm上(其實現了PermissionResolverAware接口),如:

Java代碼  收藏代碼
  1. permissionResolver=org.apache.shiro.authz.permission.WildcardPermissionResolver  
  2. authorizer.permissionResolver=$permissionResolver   

 

設置ModularRealmAuthorizer的rolePermissionResolver,其會自動設置到相應的Realm上(其實現了RolePermissionResolverAware接口),如:

Java代碼  收藏代碼
  1. rolePermissionResolver=com.github.zhangkaitao.shiro.chapter3.permission.MyRolePermissionResolver  
  2. authorizer.rolePermissionResolver=$rolePermissionResolver   

 

示例

1、ini配置(shiro-authorizer.ini)    

Java代碼  收藏代碼
  1. [main]  
  2. #自定義authorizer  
  3. authorizer=org.apache.shiro.authz.ModularRealmAuthorizer  
  4. #自定義permissionResolver  
  5. #permissionResolver=org.apache.shiro.authz.permission.WildcardPermissionResolver  
  6. permissionResolver=com.github.zhangkaitao.shiro.chapter3.permission.BitAndWildPermissionResolver  
  7. authorizer.permissionResolver=$permissionResolver  
  8. #自定義rolePermissionResolver  
  9. rolePermissionResolver=com.github.zhangkaitao.shiro.chapter3.permission.MyRolePermissionResolver  
  10. authorizer.rolePermissionResolver=$rolePermissionResolver  
  11.   
  12. securityManager.authorizer=$authorizer  
Java代碼  收藏代碼
  1. #自定義realm 一定要放在securityManager.authorizer賦值之後(因爲調用setRealms會將realms設置給authorizer,並給各個Realm設置permissionResolver和rolePermissionResolver)  
  2. realm=com.github.zhangkaitao.shiro.chapter3.realm.MyRealm  
  3. securityManager.realms=$realm   

設置securityManager 的realms一定要放到最後,因爲在調用SecurityManager.setRealms時會將realms設置給authorizer,併爲各個Realm設置permissionResolver和rolePermissionResolver。另外,不能使用IniSecurityManagerFactory創建的IniRealm,因爲其初始化順序的問題可能造成後續的初始化Permission造成影響。

 

2、定義BitAndWildPermissionResolver及BitPermission

BitPermission用於實現位移方式的權限,如規則是:

權限字符串格式:+資源字符串+權限位+實例ID;以+開頭中間通過+分割;權限:0 表示所有權限;1 新增(二進制:0001)、2 修改(二進制:0010)、4 刪除(二進制:0100)、8 查看(二進制:1000);如 +user+10 表示對資源user擁有修改/查看權限。

Java代碼  收藏代碼
  1. public class BitPermission implements Permission {  
  2.     private String resourceIdentify;  
  3.     private int permissionBit;  
  4.     private String instanceId;  
  5.     public BitPermission(String permissionString) {  
  6.         String[] array = permissionString.split("\\+");  
  7.         if(array.length > 1) {  
  8.             resourceIdentify = array[1];  
  9.         }  
  10.         if(StringUtils.isEmpty(resourceIdentify)) {  
  11.             resourceIdentify = "*";  
  12.         }  
  13.         if(array.length > 2) {  
  14.             permissionBit = Integer.valueOf(array[2]);  
  15.         }  
  16.         if(array.length > 3) {  
  17.             instanceId = array[3];  
  18.         }  
  19.         if(StringUtils.isEmpty(instanceId)) {  
  20.             instanceId = "*";  
  21.         }  
  22.     }  
  23.   
  24.     @Override  
  25.     public boolean implies(Permission p) {  
  26.         if(!(p instanceof BitPermission)) {  
  27.             return false;  
  28.         }  
  29.         BitPermission other = (BitPermission) p;  
  30.         if(!("*".equals(this.resourceIdentify) || this.resourceIdentify.equals(other.resourceIdentify))) {  
  31.             return false;  
  32.         }  
  33.         if(!(this.permissionBit ==0 || (this.permissionBit & other.permissionBit) != 0)) {  
  34.             return false;  
  35.         }  
  36.         if(!("*".equals(this.instanceId) || this.instanceId.equals(other.instanceId))) {  
  37.             return false;  
  38.         }  
  39.         return true;  
  40.     }  
  41. }   

Permission接口提供了boolean implies(Permission p)方法用於判斷權限匹配的;

Java代碼  收藏代碼
  1. public class BitAndWildPermissionResolver implements PermissionResolver {  
  2.     @Override  
  3.     public Permission resolvePermission(String permissionString) {  
  4.         if(permissionString.startsWith("+")) {  
  5.             return new BitPermission(permissionString);  
  6.         }  
  7.         return new WildcardPermission(permissionString);  
  8.     }  
  9. }   

BitAndWildPermissionResolver實現了PermissionResolver接口,並根據權限字符串是否以“+”開頭來解析權限字符串爲BitPermission或WildcardPermission。

 

3、定義MyRolePermissionResolver

RolePermissionResolver用於根據角色字符串來解析得到權限集合。

Java代碼  收藏代碼
  1. public class MyRolePermissionResolver implements RolePermissionResolver {  
  2.     @Override  
  3.     public Collection<Permission> resolvePermissionsInRole(String roleString) {  
  4.         if("role1".equals(roleString)) {  
  5.             return Arrays.asList((Permission)new WildcardPermission("menu:*"));  
  6.         }  
  7.         return null;  
  8.     }  
  9. }   

此處的實現很簡單,如果用戶擁有role1,那麼就返回一個“menu:*”的權限。

 

4、自定義Realm

Java代碼  收藏代碼
  1. public class MyRealm extends AuthorizingRealm {  
  2.     @Override  
  3.     protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {  
  4.         SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();  
  5.         authorizationInfo.addRole("role1");  
  6.         authorizationInfo.addRole("role2");  
  7.         authorizationInfo.addObjectPermission(new BitPermission("+user1+10"));  
  8.         authorizationInfo.addObjectPermission(new WildcardPermission("user1:*"));  
  9.         authorizationInfo.addStringPermission("+user2+10");  
  10.         authorizationInfo.addStringPermission("user2:*");  
  11.         return authorizationInfo;  
  12.     }  
  13.     @Override  
  14.     protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {  
  15.         //和com.github.zhangkaitao.shiro.chapter2.realm.MyRealm1. getAuthenticationInfo代碼一樣,省略  
  16. }  
  17. }   

此時我們繼承AuthorizingRealm而不是實現Realm接口;推薦使用AuthorizingRealm,因爲:

AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token):表示獲取身份驗證信息;

AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals):表示根據用戶身份獲取授權信息。

這種方式的好處是當只需要身份驗證時只需要獲取身份驗證信息而不需要獲取授權信息。對於AuthenticationInfo和AuthorizationInfo請參考其Javadoc獲取相關接口信息。

 

另外我們可以使用JdbcRealm,需要做的操作如下:

1、執行sql/ shiro-init-data.sql 插入相關的權限數據;

2、使用shiro-jdbc-authorizer.ini配置文件,需要設置jdbcRealm.permissionsLookupEnabled

爲true來開啓權限查詢。

 

此次還要注意就是不能把我們自定義的如“+user1+10”配置到INI配置文件,即使有IniRealm完成,因爲IniRealm在new完成後就會解析這些權限字符串,默認使用了WildcardPermissionResolver完成,即此處是一個設計權限,如果採用生命週期(如使用初始化方法)的方式進行加載就可以解決我們自定義permissionResolver的問題。

 

5、測試用例

Java代碼  收藏代碼
  1. public class AuthorizerTest extends BaseTest {  
  2.   
  3.     @Test  
  4.     public void testIsPermitted() {  
  5.         login("classpath:shiro-authorizer.ini""zhang""123");  
  6.         //判斷擁有權限:user:create  
  7.         Assert.assertTrue(subject().isPermitted("user1:update"));  
  8.         Assert.assertTrue(subject().isPermitted("user2:update"));  
  9.         //通過二進制位的方式表示權限  
  10.         Assert.assertTrue(subject().isPermitted("+user1+2"));//新增權限  
  11.         Assert.assertTrue(subject().isPermitted("+user1+8"));//查看權限  
  12.         Assert.assertTrue(subject().isPermitted("+user2+10"));//新增及查看  
  13.   
  14.         Assert.assertFalse(subject().isPermitted("+user1+4"));//沒有刪除權限  
  15.   
  16.         Assert.assertTrue(subject().isPermitted("menu:view"));//通過MyRolePermissionResolver解析得到的權限  
  17.     }  
  18. }   

通過如上步驟可以實現自定義權限驗證了。另外因爲不支持hasAnyRole/isPermittedAny這種方式的授權,可以參考我的一篇《簡單shiro擴展實現NOT、AND、OR權限驗證 》進行簡單的擴展完成這個需求,在這篇文章中通過重寫AuthorizingRealm裏的驗證邏輯實現的。       

 

示例源代碼:https://github.com/zhangkaitao/shiro-example;可加羣134755960探討Spring/Shiro技術。

RayChiu757374816
發佈了5 篇原創文章 · 獲贊 5 · 訪問量 3萬+
私信 關注
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

faiss簡單測試方法

先把倉庫克隆到本地,我這邊還需要改cmake環境,在project上面加 set(CMAKE_CUDA_COMPILER /usr/local/cuda-11.8/bin/nvcc) 構建 mkdir build cmake -B bui

Echo寶貝兒 2024-04-28 14:29:59

WPF & Prism

WPF編程-Prism 世有伯樂,然後有千里馬。千里馬常有,而伯樂不常有。 一、背景 Winform和WPF 1. WinForms和WPF 技術架構: WinForms是基於傳統的窗體和控件的技術,使用的是類

君莫笑-93 2024-04-28 14:25:08

一個庫幫你輕鬆的創建漂亮的.NET控制檯應用程序

前言 做過.NET控制檯應用程序的同學應該都知道原生的.NET控制檯應用程序輸出的內容都比較的單調,假如要編寫漂亮且美觀的控制檯輸出內容或者樣式可能需要花費不少的時間去編寫代碼和調試。今天大姚給大家分享一個.NET開源且免費的類庫幫你輕鬆的

追逐時光 2024-04-28 14:22:48

35K*14 薪,入職了!這公司只要不裁員,我能一直呆下去!

大家好,我是R哥。 說說最近的面試輔導,有個學員進了某個知名互聯網公司,拿到了 35K*14 薪的好成績,有不少粉絲留言問我,現在行情這麼差,他是怎麼做到的? 這篇拿他這個案例完整回顧一下吧,我管他叫小Y吧。 背景溝通 說下小Y的基本情況吧

Java技術棧 2024-04-28 14:22:17

電腦刷新率的選擇

選120hz的比60hz更護眼.

張博的博客 2024-04-28 14:20:47

Python 潮流週刊#48:Python 3.14 的發佈計劃

本週刊由 Python貓 出品,精心篩選國內外的 250+ 信息源,爲你挑選最值得分享的文章、教程、開源項目、軟件工具、播客和視頻、熱門話題等內容。願景:幫助所有讀者精進 Python 技術,並增長職業和副業的收入。 本期分享了 12 篇文

豌豆花下貓 2024-04-28 14:20:07

gpu機器沒有開啓ipv6

    參考: https://blog.csdn.net/asdfaa/article/details/137884414   檢查系統是否支持 IPv6,查看被禁用了 在啓用 IPv6 之前,首先要確保您的系統支持 IPv6。要檢查內核

馬昌偉 2024-04-28 14:14:47

pl0詞法分析器

pl/0詞法分析器 下面是這個分析器的功能: 1、 待分析的簡單語言的詞法 (1) 關鍵字: begin if then while do end 所有關鍵字都是小寫。 (2) 運算符和界符: := + – * / < <= <> > >=

孤獨的貓 2024-04-28 14:14:06

VS2008 LIB的升級改造

今天用VS2019編譯一個在VS2008下Coding的工程的時候,VS給出了一堆鏈接錯誤信息,如下圖所示的一些錯誤:   Error 47 error LNK2019: unresolved external symbol "public

孤獨的貓 2024-04-28 14:14:06

Windows平臺NASM彙編與C混合調用

Windows平臺NASM彙編與C混合調用 tonyblackwhite 之前介紹了Windows平臺下,用微軟宏彙編MASM與C混合調用的方法。MASM是微軟獨有的,Linux沒法用,我喜歡學一個能夠應用於兩種平臺的,所以還是更鐘情於開源

孤獨的貓 2024-04-28 14:14:06

程序員想通過產品掙錢,首先你產品的目標客戶得不差錢 (在線客服系統外傳1)

在線客服系統我利用業餘時間斷斷續續做了好幾年,從一開始的追求完美,到後來的集中精力解決核心問題,從一開始的在每一個用戶身上投入大量時間,到後來學會分辨什麼是有價值客戶,學到很多,成長很多。 有許多工程技術上很好,很優秀的產品,甚至一定程度上

heng.chao 2024-04-28 14:14:06

springboot~redis的hash結構爲key設置過期策略

redis配置文件開啓鍵過期 # The "notify-keyspace-events" takes as argument a string that is composed # of zero or multiple charac

張佔嶺 2024-04-28 14:13:26

如何開發一個符合人性的機器人通知功能

國內的IT企業逐漸的都有各種IM機器人,這些IM機器人會不斷的吐數據,但是這些吐數據最後都成了像垃圾消息或者周扒皮一樣的催命通知,完全沒有人性。我非常痛恨這種把IM裏不斷被催的方式,這種方式雖然能起作用,但是人在這種環境下工作真的就成了工具

ffl 2024-04-28 14:09:16

【轉】[WPF] 複製文本到剪貼板

來自:阿里的 通義靈碼 以下是幾種常見的複製數據類型到剪切板的方法: 複製文本到剪切板 using System.Windows.Forms; // 對於Windows Forms應用 // 或者 using System.Windows

z5337 2024-04-28 14:05:45

Python: Regular expressions

    @staticmethod def strSplit(textSource: str, patterns: str)->list: """ 分割字符串 :param

®Geovin Du Dream Park™ 2024-04-28 14:01:24