如何利用shiro框架做细粒度权限控制

Apache Shiro 是一个强大且灵活的开源安全框架，它可以帮助你实现细粒度的权限控制。以下是一些关键步骤和概念，帮助你利用 Shiro 框架实现细粒度权限控制：

1. 理解 Shiro 的基本概念

Subject: 代表当前用户，可以是任何人。
SecurityManager: 管理所有 Subject 的安全操作。
Realm: 数据源，用于获取用户的身份和权限信息。
Permission: 表示一个权限。
Role: 表示一组权限。

2. 配置 Shiro

首先，你需要在你的项目中配置 Shiro。这通常包括设置 SecurityManager 和 Realm。

// 创建 SecurityManager
DefaultSecurityManager securityManager = new DefaultSecurityManager();

// 设置自定义 Realm
securityManager.setRealm(new MyCustomRealm());

// 将 SecurityManager 设置到当前运行环境中
SecurityUtils.setSecurityManager(securityManager);

3. 自定义 Realm

自定义 Realm 是获取用户身份和权限信息的地方。你可以从数据库或其他数据源中读取这些信息。

public class MyCustomRealm extends AuthorizingRealm {
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        // 获取用户身份信息
        String username = (String) principals.getPrimaryPrincipal();

        // 查询用户的角色和权限
        SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
        List<String> roles = getRolesForUser(username);
        List<String> permissions = getPermissionsForUser(username);

        // 添加角色和权限到授权信息中
        authorizationInfo.setRoles(roles);
        authorizationInfo.setStringPermissions(permissions);

        return authorizationInfo;
    }

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        // 获取用户名和密码进行认证
        String username = (String) token.getPrincipal();
        String password = new String((char[]) token.getCredentials());

        // 查询用户信息
        User user = getUserByUsername(username);

        if (user == null || !user.getPassword().equals(password)) {
            throw new UnknownAccountException("用户不存在或密码错误");
        }

        return new SimpleAuthenticationInfo(user.getUsername(), user.getPassword(), getName());
    }

    private List<String> getRolesForUser(String username) {
        // 从数据库或其他数据源中获取用户的角色
        return roleDao.getRolesByUsername(username);
    }

    private List<String> getPermissionsForUser(String username) {
        // 从数据库或其他数据源中获取用户的权限
        return permissionDao.getPermissionsByUsername(username);
    }
}

4. 实现细粒度权限控制

Shiro 提供了基于注解的权限控制。你可以使用 @RequiresPermissions 和 @RequiresRoles 注解来实现细粒度的权限控制。

public class MyService {
    @RequiresPermissions("user:create")
    public void createUser(User user) {
        // 创建用户的逻辑
    }

    @RequiresRoles({"admin", "manager"})
    public void deleteUser(String username) {
        // 删除用户的逻辑
    }
}

5. 使用 Shiro 的标签库

Shiro 还提供了一个标签库，可以方便地在 JSP 页面中使用权限控制。

<shiro:authorize property="hasPermission('user:create')">
    <a href="createUser.jsp">创建用户</a>
</shiro:authorize>

<shiro:authorize property="hasRole('admin')">
    <a href="manageUsers.jsp">管理用户</a>
</shiro:authorize>

6. 集成 Shiro 到 Web 应用

如果你使用的是 Spring Boot，可以很容易地集成 Shiro。你只需要添加相关的依赖，并配置 Shiro。

dependencies:
  - shiro-spring-boot-starter

然后在你的 Spring Boot 应用中配置 Shiro：

@SpringBootApplication
public class MyApplication {
    public static void main(String[] args) {
        SpringApplication.run(MyApplication.class, args);
    }

    @Bean
    public DefaultSecurityManager securityManager(MyCustomRealm realm) {
        DefaultSecurityManager securityManager = new DefaultSecurityManager();
        securityManager.setRealm(realm);
        return securityManager;
    }
}

通过以上步骤，你可以利用 Shiro 框架实现细粒度的权限控制。Shiro 提供了强大的功能和灵活的配置，可以满足各种复杂的安全需求。