一、目標
權限配置在數據庫中,通過註解Shiro的註解實現服務的權限驗證
二、前言
在前面的一篇博文中《Shiro權限控制(二):自定義Filter》,我們的權限驗證是配置在shiro配置文件中的,即在spring-shiro-web.xml中的ShiroFilterFactoryBean的filterChainDefinitions屬性中,如下
<!-- Shiro的web過濾器 -->
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
<property name="securityManager" ref="securityManager"></property>
<property name="filters">
<map>
<entry key="authc" value-ref="loginCheckPermissionFilter"></entry>
<entry key="perms" value-ref="permissionsAuthorizationFilter"></entry>
</map>
</property>
<property name="filterChainDefinitions">
<value>
/user/queryUserInfo = authc
/user/deleteUser/** = perms[USER:DELETE]
</value>
</property>
</bean>
如何通過註解的方式,實現權限的驗證呢?請看下面的介紹
三、啓用註解
1、必須在Spring MVC的配置文件中,增加以下配置,啓用Shiro的權限註解功能
<bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator"
depends-on="lifecycleBeanPostProcessor" />
<bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
<property name="securityManager" ref="securityManager" />
</bean>
說明:我的Spring MVC的文件是spring-servlet.xml,該文件必須在web.xml文件中引入
<servlet>
<servlet-name>springmvc</servlet-name>
<servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class>
<init-param>
<param-name>contextConfigLocation</param-name>
<param-value>classpath:config/spring-servlet.xml</param-value>
</init-param>
</servlet>
<servlet-mapping>
<servlet-name>springmvc</servlet-name>
<url-pattern>/*</url-pattern>
</servlet-mapping>
2、在spring-shiro-web.xml文件中增加以下配置
<bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"></bean>
通過上面的配置,Shiro的權限註解已經生效,下面來驗證一下
三、驗證
1.創建權限表
分別增加角色表sys_role_t,角色權限表sys_role_perm_t,用戶角色權限關係表user_role_perm_t
在角色表sys_role_t中初始化三個角色,分別爲系統管理員,普通用戶,區域管理員
在角色權限表sys_role_perm_t中初始化普通用戶,區域管理員具有增、刪、改、查權限
在用戶角色權限關係表user_role_perm_t中配置user_id=1的用戶,有普通用戶角色的查詢、編輯、新增權限;有區域管理員角色的刪除權限
2.自定義UserShiroRealm
自定義UserShiroRealm,繼承AuthorizingRealm,重寫doGetAuthorizationInfo方法,在方法中查詢用戶的所有權限,並交給Shiro進行權限驗證
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
String userName = (String)principals.getPrimaryPrincipal();
if(userName == null) {
throw new BugException("未登錄");
}
SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
Set<String> roles = new HashSet<String>();
Set<String> stringPermissions = new HashSet<String>();
List<UserPermissionVO> list = userService.queryUserPermission(userName);
for (UserPermissionVO userPermissionVO : list) {
roles.add(userPermissionVO.getRoleCode());
stringPermissions.add(userPermissionVO.getPermCodes());
}
//roles.add("USER");
//stringPermissions.add("USER:DELETE");//角色:刪除權限
info.setRoles(roles);
info.setStringPermissions(stringPermissions);
return info;
}
3.編寫服務
服務名稱:增加用戶
權限要求:普通用戶角色的新增權限 或 區域管理員的新增權限纔可訪問
@ResponseBody
@RequiresPermissions(value = { "CUSTOMER_USER:ADD","AREA_MANAGER:ADD" },logical=Logical.OR)
@RequestMapping(value="/addUser",method = RequestMethod.GET)
public ResponseVO<String> addUser() {
ResponseVO<String> response = new ResponseVO<String>();
try {
response.setMessage("add user success");
} catch (Exception e) {
logger.error("add user error:",e);
response.setStatus(ResponseVO.failCode);
}
return response;
}
logical=Logical.OR 表示或,滿足其中一個權限即可訪問
logical=Logical.AND 表示與,滿足所有權限纔可訪問
未登錄,直接訪問http://localhost:8080/bug.web/user/addUser,報如下錯誤,提示沒有登錄
登錄成功後,再次訪問http://localhost:8080/bug.web/user/addUser,請求成功,如果從數據庫中刪除用戶的 CUSTOMER_USER:ADD權限和AREA_MANAGER:DELETE權限,再次請求時報如下錯誤,提示沒有訪問權限
上面的異常如何處理請看另一篇博文《Shiro權限控制之註解驗證異常處理(四)》
上面只是用到了@RequiresPermissions註解,其他註解如下
四、其他註解說明
@RequiresAuthentication
驗證用戶是否登錄,等同於方法subject.isAuthenticated() 結果爲true時。
@RequiresUser
驗證用戶是否被記憶,user有兩種含義:
一種是成功登錄的(subject.isAuthenticated() 結果爲true);
另外一種是被記憶的(subject.isRemembered()結果爲true)。
@RequiresGuest
驗證是否是一個guest的請求,與@RequiresUser完全相反。
換言之,RequiresUser == !RequiresGuest。
此時subject.getPrincipal() 結果爲null.
@RequiresRoles
例如:@RequiresRoles(“aRoleName”);
void someMethod();
如果subject中有aRoleName角色纔可以訪問方法someMethod。如果沒有這個權限則會拋出異常AuthorizationException。
@RequiresPermissions
例如: @RequiresPermissions({“file:read”, “write:aFile.txt”} )
void someMethod();
要求subject中必須同時含有file:read和write:aFile.txt的權限才能執行方法someMethod()。否則拋出異常AuthorizationException。