【Shiro权限管理】15.Shiro授权流程分析

注：该系列所有测试均在之前创建的Shiro3的Web工程的基础上。
上一篇讲解了Shiro授权的相关基础知识，并实验了“roles”拦截器的效果。可惜的是没有给用户
进行授权工作，所以没有验证拥有角色后的权限校验工作。下面就来讲解一下Shiro的授权流程。

之前我们使用过认证的Realm，他是进行登录认证时提供认证数据的关键类，其继承了
AuthenticatingRealm父类，并实现了doGetAuthenticationInfo抽象方法提供认证数据。
那么我们的授权数据获取，继承AuthenticatingRealm是不够的，需要继承AuthenticatingRealm
的子类AuthorizingRealm，并实现其抽象方法doGetAuthorizationInfo。

因为AuthorizingRealm授权Realm是AuthenticatingRealm认证Realm的子类，所以AuthorizingRealm
既可以提供授权数据也可以提供认证数据，所以要实现认证与授权，只需要继承AuthorizingRealm
类即可。

这里写一个Test类，继承AuthorizingRealm：

package com.test.shiro.realms;import org.apache.shiro.authc.AuthenticationException;import org.apache.shiro.authc.AuthenticationInfo;import org.apache.shiro.authc.AuthenticationToken;import org.apache.shiro.authz.AuthorizationInfo;import org.apache.shiro.realm.AuthorizingRealm;import org.apache.shiro.subject.PrincipalCollection;public class TestRealm extends AuthorizingRealm{//用于授权的方法@Overrideprotected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {// TODO Auto-generated method stubreturn null;}//用于认证的方法@Overrideprotected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {// TODO Auto-generated method stubreturn null;}}

可以看到，继承了AuthorizingRealm中之后，就要实现其两个方法：
doGetAuthenticationInfo、doGetAuthorizationInfo
上面两个方法分别用于为校验提供认证信息和授权信息。
因为Subject的login方法会调用Realm的doGetAuthenticationInfo获取认证信息进行密码比对，
而Subject的hasRole、hasPermission等方法会调用Realm的doGetAuthorizationInfo获取授权信息
进行权限判定。

这里需要注意的一点，当我们配置了多个Realm授权时，如何判定是授权通过呢？
我们通过Subject的hasRole源码可看到：

上面可以看到执行了securityManager的hasRole方法，而securityManager根据不同情况会继承
不同的类：

而其中的ModularRealmAuthorizer就是当有多个Realm时，securityManager继承的类。
此时securityManager的hasRole的实现为ModularRealmAuthorizer父类的实现：

可以从上面的方法中得知，当配置有多个Realm时，只要一个Realm有该权限，那么就直接通过。

下面我们来实现授权Realm：
之前在Shiro3工程中有一个认证Realm为ShiroRealm，其继承了AuthenticatingRealm父类
并实现了doGetAuthenticationInfo为系统的登录认证提供认证信息：

package com.test.shiro.realms;import java.util.HashMap;import java.util.HashSet;import java.util.Iterator;import java.util.Map;import java.util.Set;import org.apache.shiro.authc.AuthenticationException;import org.apache.shiro.authc.AuthenticationInfo;import org.apache.shiro.authc.AuthenticationToken;import org.apache.shiro.authc.LockedAccountException;import org.apache.shiro.authc.SimpleAuthenticationInfo;import org.apache.shiro.authc.UnknownAccountException;import org.apache.shiro.authc.UsernamePasswordToken;import org.apache.shiro.crypto.hash.SimpleHash;import org.apache.shiro.realm.AuthenticatingRealm;import org.apache.shiro.util.ByteSource;import com.test.shiro.po.User;public class ShiroRealm extends AuthenticatingRealm{private static Map<String,User> userMap = new HashMap<String,User>();static{//使用Map模拟数据库获取User表信息        userMap.put("administrator", new User("administrator","5703a57069fce1f17882d283132229e0",false));//密码明文：aaa123userMap.put("jack", new User("jack","43e66616f8730a08e4bf1663301327b1",false));//密码明文：aaa123userMap.put("tom", new User("tom","3abee8ced79e15b9b7ddd43b95f02f95",false));//密码明文：bbb321userMap.put("jean", new User("jean","1a287acb0d87baded1e79f4b4c0d4f3e",true));//密码明文：ccc213}@Overrideprotected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {System.out.println("[ShiroRealm]");//1.把AuthenticationToken转换为UsernamePasswordTokenUsernamePasswordToken userToken = (UsernamePasswordToken) token;//2.从UsernamePasswordToken中获取usernameString username = userToken.getUsername();//3.调用数据库的方法，从数据库中查询Username对应的用户记录System.out.println("从数据看中获取UserName为"+username+"所对应的信息。");//Map模拟数据库取数据User u = userMap.get(username);//4.若用户不行存在，可以抛出UnknownAccountExceptionif(u==null){throw new UnknownAccountException("用户不存在");}//5.若用户被锁定，可以抛出LockedAccountExceptionif(u.isLocked()){throw new LockedAccountException("用户被锁定");}//7.根据用户的情况，来构建AuthenticationInfo对象,通常使用的实现类为SimpleAuthenticationInfo//以下信息是从数据库中获取的//1)principal：认证的实体信息，可以是username，也可以是数据库表对应的用户的实体对象Object principal = u.getUsername();//2)credentials：密码Object credentials = u.getPassword();//3)realmName：当前realm对象的name，调用父类的getName()方法即可String realmName = getName();//4)credentialsSalt盐值ByteSource credentialsSalt = ByteSource.Util.bytes(principal);//使用账号作为盐值SimpleAuthenticationInfo info = null; //new SimpleAuthenticationInfo(principal,credentials,realmName);info = new SimpleAuthenticationInfo(principal, credentials, credentialsSalt, realmName);return info;}public static void main(String[] args) {User u = null;Iterator<String> it = userMap.keySet().iterator();while(it.hasNext()){u = userMap.get(it.next());String hashAlgorithmName = "MD5";//加密方式Object crdentials = u.getPassword();//密码原值ByteSource salt = ByteSource.Util.bytes(u.getUsername());//以账号作为盐值int hashIterations = 1024;//加密1024次Object result = new SimpleHash(hashAlgorithmName,crdentials,salt,hashIterations);System.out.println(u.getUsername()+":"+result);}}}

我们修改之前Shiro3工程中的ShiroRealm，将其原来继承的AuthenticatingRealm父类更换为
AuthorizingRealm类，并实现其doGetAuthorizationInfo方法用于提供授权信息：

//给Shiro的授权验证提供授权信息@Overrideprotected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {//1.从principals中获取登录用户的信息Object principal = principals.getPrimaryPrincipal();//2.利用登录用户的信息获取当前用户的角色（有数据库的话，从数据库中查询）Set<String> roles = new HashSet<String>();//放置用户角色的set集合(不重复)roles.add("user");//放置所有用户都有的普通用户角色if("administrator".equals(principal)){roles.add("admin");//当账号为administrator时，添加admin角色}//3.创建SimpleAuthorizationInfo，并设置其roles属性SimpleAuthorizationInfo info = new SimpleAuthorizationInfo(roles);//4.返回SimpleAuthorizationInfo对象return info;}

由于这里我们没有数据库，仅仅用数据模拟角色添加，设置当登录账号为“adminstrator”时，为其
添加admin角色。

记得上一篇我们在shiroFilter中配置了User.jsp与admin.jsp的访问权限：

<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">    <property name="securityManager" ref="securityManager"/>    <property name="loginUrl" value="/login.jsp"/>    <property name="successUrl" value="/list.jsp"/>    <property name="unauthorizedUrl" value="/index.jsp"/>    <!--      配置哪些页面需要受保护.     以及访问这些页面需要的权限.     1). anon 可以被匿名访问    2). authc 必须认证(即登录)后才可能访问的页面.     3). logout 登出    4). roles 角色过滤器    -->    <property name="filterChainDefinitions">        <value>            /login.jsp = anon            /userAuth/login = anon            /userAuth/logout = logout                       /User.jsp = roles[user]            /admin.jsp = roles[admin]                       # everything else requires authentication:            /** = authc        </value>    </property></bean>

然后主页list.jsp：

<%@ page language="java" import="java.util.*" pageEncoding="UTF-8"%><!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"><html>  <head>    <title>首页</title>  </head>  <body>     登录成功！欢迎访问首页O(∩_∩)O   <a href="userAuth/logout">登出</a>   <br/><br/>   <a href="admin.jsp">Admin Page</a>   <br/><br/>   <a href="User.jsp">User Page</a>  </body></html>

User.jsp:

<%@ page language="java" import="java.util.*" pageEncoding="ISO-8859-1"%><!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"><html>  <head>    <title>user page</title>  </head>    <body>    This is User page. <br>  </body></html>

admin.jsp:

<%@ page language="java" import="java.util.*" pageEncoding="ISO-8859-1"%><!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"><html>  <head>    <title>admin page</title>  </head>    <body>    This is Admin page. <br>  </body></html>

无权限时unauthorizedUrl指向的index.jsp页面：

<%@ page language="java" import="java.util.*" pageEncoding="utf-8"%><!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"><html>  <head>    <title>提示</title>  </head>  <body>    抱歉，没有权限访问该资源！<br>  </body></html>

下面使用jack普通用户登录：

然后点击User Page，发现可以进入：


然后点击Admin Page，发现没有权限：


接下来换administrator账号登录，然后点击User Page，发现可以进入：

再去点击Admin Page，发现也可以进入：

至此，我们实现了Shiro的一个完整的授权流程。

转载请注明出处：http://blog.csdn.net/acmman/article/details/78695303