ApacheShiro使用手册(三)Shiro授权

相关的注解：
@RequiresAuthentication
可以用户类/属性/方法，用于表明当前用户需是经过认证的用户。

复制代码代码如下:
@RequiresAuthentication
publicvoidupdateAccount(AccountuserAccount){
   //thismethodwillonlybeinvokedbya
   //Subjectthatisguaranteedauthenticated
   ...
}

@RequiresGuest
表明该用户需为”guest”用户

@RequiresPermissions
当前用户需拥有制定权限

复制代码代码如下:
@RequiresPermissions("account:create")
publicvoidcreateAccount(Accountaccount){
   //thismethodwillonlybeinvokedbyaSubject
   //thatispermittedtocreateanaccount
   ...
}

@RequiresRoles
当前用户需拥有制定角色

@RequiresUser
当前用户需为已认证用户或已记住用户

3、基于JSP TAG的授权实现
Shiro提供了一套JSP标签库来实现页面级的授权控制。
在使用Shiro标签库前，首先需要在JSP引入shiro标签：

复制代码代码如下:
<%@taglibprefix="shiro"uri="http://shiro.apache.org/tags"%>

下面一一介绍Shiro的标签：
guest标签
验证当前用户是否为“访客”，即未认证（包含未记住）的用户

复制代码代码如下:
<shiro:guest>
   Hithere! Please<ahref="login.jsp">Login</a>or<ahref="signup.jsp">Signup</a>today!
</shiro:guest>

user标签
认证通过或已记住的用户

复制代码代码如下:
<shiro:user>
   WelcomebackJohn! NotJohn?Click<ahref="login.jsp">here<a>tologin.
</shiro:user>

authenticated标签
已认证通过的用户。不包含已记住的用户，这是与user标签的区别所在。

复制代码代码如下:
<shiro:authenticated>
   <ahref="updateAccount.jsp">Updateyourcontactinformation</a>.
</shiro:authenticated>

notAuthenticated标签
未认证通过用户，与authenticated标签相对应。与guest标签的区别是，该标签包含已记住用户。

复制代码代码如下:
<shiro:notAuthenticated>
   Please<ahref="login.jsp">login</a>inordertoupdateyourcreditcardinformation.
</shiro:notAuthenticated>

principal标签
输出当前用户信息，通常为登录帐号信息

复制代码代码如下:
Hello,<shiro:principal/>,howareyoutoday?

hasRole标签
验证当前用户是否属于该角色

复制代码代码如下:
<shiro:hasRolename="administrator">
   <ahref="admin.jsp">Administerthesystem</a>
</shiro:hasRole>

lacksRole标签
与hasRole标签逻辑相反，当用户不属于该角色时验证通过

复制代码代码如下:
<shiro:lacksRolename="administrator">
   Sorry,youarenotallowedtoadministerthesystem.
</shiro:lacksRole>

hasAnyRole标签
验证当前用户是否属于以下任意一个角色。

复制代码代码如下:
<shiro:hasAnyRolesname="developer,projectmanager,administrator">
   Youareeitheradeveloper,projectmanager,oradministrator.
</shiro:lacksRole>

hasPermission标签
验证当前用户是否拥有制定权限

复制代码代码如下:
<shiro:hasPermissionname="user:create">
   <ahref="createUser.jsp">CreateanewUser</a>
</shiro:hasPermission>

lacksPermission标签
与hasPermission标签逻辑相反，当前用户没有制定权限时，验证通过

复制代码代码如下:
<shiro:hasPermissionname="user:create">
   <ahref="createUser.jsp">CreateanewUser</a>
</shiro:hasPermission>

三、Shiro授权的内部处理机制

1、在应用程序中调用授权验证方法(Subject的isPermitted*或hasRole*等)
2、Sbuject的实例通常是DelegatingSubject类（或子类）的实例对象，在认证开始时，会委托应用程序设置的securityManager实例调用相应的isPermitted*或hasRole*方法。
3、接下来SecurityManager会委托内置的Authorizer的实例（默认是ModularRealmAuthorizer类的实例，类似认证实例，它同样支持一个或多个Realm实例认证）调用相应的授权方法。
4、每一个Realm将检查是否实现了相同的Authorizer接口。然后，将调用Reaml自己的相应的授权验证方法。

当使用多个Realm时，不同于认证策略处理方式，授权处理过程中：
1、当调用Realm出现异常时，将立即抛出异常，结束授权验证。
2、只要有一个Realm验证成功，那么将认为授权成功，立即返回，结束认证。 

本文地址： ApacheShiro使用手册(三)Shiro授权

相关文章

• 授权、鉴权与准入控制
• Shiro框架01之什么是shiro+shiro的架构+权限认证
• Shiro框架03授权--登录授权以及是否放行
• shiro中的验证用户身份认证以及授权
• MetaDaily｜FIFA世界杯官方授权Web3游戏，特斯拉扩大Optimus Bot人才招聘
• shiro中的授权
• 美国EPA认证是什么意思，EPA注册中e-PMN注册和软件定义问题解析授权官员
• 使用 Spring Security 进行基本的 HTTP 认证和授权（一）
• Oracle: 为所有表授予权限（oracle所有表授权）
• 查询Oracle中授权表的方法（oracle授权查询表）
• 基于Shiro与Redis的集成认证授权实现（Shiro集成Redis）
• 控制 Linux下目录权限控制管理（linux目录授权）
• 如何为MYSQL授权不同用户访问数据库（mysql授权访问数据库）
• MySQL授权权限设置指南（mysql授权权限）
• 掌握MySQL正版授权，把握企业数据未来（mysql 正版）
• Shiro的信息存放在Redis中（shiro存入redis）
• 利用Shiro和Redis提升系统安全性（shiro-redis）