第1章 引言

1.1 编写目的

详细说说操作权限并且在sshpermissions中是如何处理及使用操作权限的。

1.2 关于操作

这里所说的操作权限是指在我们工作中，比如张三“添加”了一条员工的记录，李四“修改”了哪条信息，管理中对某个角色进行了“授权”。就是我们在系统中所看到的所有的操作。

1.3 Shiro中如何处理

Shiro 将权限定义为一个规定了明确行为或活动的声明。这是一个在应用程序中的原始功能语句，仅此而已。权限是在安全策略中最低级别的构造，且它们明确地定义了应用程序只能做“什么”。

它们从不描述“谁”能够执行这些动作。

一些权限的例子：

l  打开文件

l  浏览’/user/list’页面

l  打印文档

l  删除’jsmith’用户

规定“谁”（用户）允许做“什么”（权限）在某种程度上是分配用权限的一种习惯做法。这始终是通过应用程序数据模型来完成的，并且在不同应用程序之间差异很大。

例如，权限可以组合到一个角色中，且该角色能够关联一个或多个用户对象。或者某些应用程序能够拥有一组用户，且这个组可以被分配一个角色，通过传递的关联，意味着所有在该组的用户隐式地获得了该角色的权限。

如何授予用户权限可以有很多变化——应用程序基于应用需求来决定如何使其模型化。

Wildcard Permissions

上述的权限例子，“打开文件”、“浏览’/user/list’页面”等都是有效的权限语句。然而，将这些解释为自然语言字符串，并判断用户是否被允许执行该行为在计算上是非常困难的。

因此，为了使用易于处理且仍然可读的权限语句，Shiro 提供了强大而直观的语法，我们称之为WildcardPermission。

Simple Usage

假设你想要保护到贵公司打印机的访问，使得某些人能够打印到特定的打印机，而其他人可以查询当前有哪些工作在队列中。

一个极其简单的方法是授予用户”queryPrinter”权限。然后你可以检查用户是否具有queryPrinter 权限通过调用：

subject.isPermitted(“queryPrinter”)

这（很大程度）相当于

subject.isPermitted( new WildcardPermission(“queryPrinter”))

但远不只这些。

简单的权限字符串可能在简单的应用程序中工作的很好，但它需要你拥有像”printPrinter”，”queryPrinter”，”managePrinter”等权限。你还可以通过使用通配符授予用户”*”权限（赋予此权限构造它的名字），这意味着他们在整个应用程序中拥有了所有的权限。

但使用这种方法不能说用户拥有“所有打印机权限”。由于这个原因，Wildcard Permissions（通配符权限）支持多层次的权限管理。

Multiple Parts

通配符权限支持多层次或部件（parts）的概念。例如，你可以通过授予用户权限来调整之前那个简单的例子。

printer:query

在这个例子中的冒号是一个特殊字符，它用来分隔权限字符串的下一部件。

在该例中，第一部分是权限被操作的领域（打印机），第二部分是被执行的操作（查询）。上面其他的例子将被改为：

printer:print

printer:manage

对于能够使用的部件是没有数量限制的，因此它取决于你的想象，依据你可能在你的应用程序中使用的方法。

Multiple Vaules

每个部件能够保护多个值。因此，除了授予用户”printer:print”和”printer:query”权限外，你可以简单地授予他们一个：

printer:print, query

它能够赋予用户print 和query 打印机的能力。由于他们被授予了这两个操作，你可以通过调用下面的语句来判断用

户是否有能力查询打印机：

subject.isPermitted(“print:query”)

该语句将会返回true。

All Values

如果你想在一个特定的部件给某一用户授予所有的值呢？这将是比手动列出每个值更为方便的事情。同样，基于通

配符的话，我也可以做到这一点。若打印机域有3 个可能的操作（query，print 和manage），可以像下面这样：

printer:query, print, manage

简单点变成这样：

printer:*

然后，任何对”printer:XXX”的权限检查都将返回true。以这种方式使用的通配符比明确地列出操作具有更好的尺度，如果你不久为应用程序增加了一个新的操作，你不需要更新使用通配符那部分的权限。

最后，在一个通配符权限字符串中的任何部分使用通配符token 也是可以的。例如，如果你想对某个用户在所有领域（不仅仅是打印机）授予”view”权限，你可以这样做：

*:view

这样任何对”foo:view”的权限检查都将返回true。

第2章 如何处理

2.1 编写标签

为什么使用自定义标签？

在页面上不可能引用非常多的shiro标签，这样的页面会显得很乱，而且非常不容易记，对于开发人中来说无谓的复制粘贴都是很没有必要的。

标签位置？

到WEB-INF目录下找tgEasyuiTag.tld。

如何使用？

在jsp页面上引入

<%@ taglib uri=”http://com.tgyt.com.cn/tag/easyui” prefix=”tgEasyui” %>

比如新增操作：

<tgEasyui:easyuiButton iconCls=”icon-add” method=”newItem()” permission=”action:add”  operationName=”新增”/>

这个是对easyui的封装，如果使用其它的ajax框架可以针对自己的进行二次封装。

action:add是什么？

这个是在资源管理和操作管理中分别设置的别名。

2.2 处理程序

if(!"".equals(this.permission)){
            Subject subject = SecurityUtils.getSubject();
            if(subject.isPermitted(this.permission)){
                try {
                    if(EASYUIBUTTON.equals(type)){
                        pageContext.getOut().println(createEasyuiButton());
                    }else if(IMAGEBUTTON.equals(type)){
                        pageContext.getOut().print(createImageButton());
                    }
                } catch (IOException e) {
                    e.printStackTrace();
                }
            }
        }

第3章 实例

3.1 场景描述

管理人员可以处理全部的操作及资源，而录入人员只能处理新增和修改的操作，其它的工作录入人员都不能处理。

添加录入人员角色：

录入人员，主要负责录入和修改，不具备其它权限

在管理组下边新增录入人员角色：

将组和角色绑定：

点击角色管理，给角色分配资源和操作：

给录入人员分配对人员的操作管理

分配完资源之后分配操作：

保存结果。

在人员管理里加入用户testluru，并且选择录入人员组。

登录之后可以看到只有人员管理资源，资源下只有新增和修改的操作。

同理可以根据自己的系统配置相应的资源及操作管理。