shiro 角色与权限的解读

1、为什么 shiro 有了《角色》后，还要设置《角色权限》呢？（问题）

思考：设置好角色了，那么就代表什么操作都可以执行了吗？
理解：如果上边回答是的话，那么只是《角色》层次的控制。
举例：如果你是个老师，那么你就可以教学生数学课，但是现实呢，是个老师就能教数学课吗？体育老师、美术老师...路过；所以：角色权限就是用来指定这个角色可以做哪些操作。换句话说角色就是某些权限的集合。比如学校里面校长，老师，学生，等角色，但是他们都有不同的职业，这就是权限。如果只有角色没有权限，那角色就没有意义了。

值的一提的是，《角色》 跟 《角色权限》 都是用来控制用户访问权限的，如果项目中只是需要用到 《角色》来限制用户访问，

那么，角色权限就没什么用了，所以，《角色权限》更像是《角色》更加细化后的操作，比如上边学校老师、校长、学生那个例子；

2、代码小例子

 　　/*** 权限认证*/  @Override  protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {  //1、获取登录时输入的用户名  String loginName=(String) principalCollection.fromRealm(getName()).iterator().next();  //2、到数据库查是否有此对象  User user=userService.findByName(loginName);  if(user!=null){  //2.1、权限信息对象info,用来存放查出的用户的所有的角色（role）及权限（permission）  SimpleAuthorizationInfo info=new SimpleAuthorizationInfo();  //2.2、用户的角色集合  
            info.addRoles(user.getRolesName());  //2.3、用户的角色对应的所有权限，如果只使用角色定义访问权限，下面的四行可以不要  List<Role> roleList=user.getRoleList();  for (Role role : roleList) {  info.addStringPermissions(role.getPermissionsName());  }  return info;  }  return null;  }  

 上边代码截取的自定义 AuthorizingRealm 中 doGetAuthenticationInfo 方法；

 

    结合上方代码，举两个例子。

 

    一、角色控制

 

           场景：只允许（admin）登录角色显示

    jsp 代码<shiro:hasRole name="manager">manager角色登录显示此内容</shiro:hasRole>  <shiro:hasRole name="admin">admin角色登录显示此内容</shiro:hasRole>

代码：上边 2.2 步骤，用户角色设置中，如果给该用户 “admin”权限，那么在 jsp 中就能显示出第一条来。

 　　info.addRoles("admin");  

二、权限控制

 

            场景：只允许拥有 （add）权限的用户显示

 　　jsp 代码<shiro:hasPermission name="add">add权限用户显示此内容</shiro:hasPermission>  <shiro:hasPermission name="edit">edit权限用户显示此内容</shiro:hasPermission>  

代码：上边 2.3 步骤，用户角色权限设置中，如果给该用户角色设置 “add”权限，那么在 jsp 中就能显示出第一条来。

    info.addStringPermissions("add"); 

3、补充

　　关于 shiro 《角色》与《权限》相信你大概有一点概念了，下一篇会总结一下关于 shiro 常用注解，以及注解使用场景。

博客地址：http://www.cnblogs.com/niceyoo