shiro 授权

授权的三要素： 用户，角色，权限

把权限 赋给角色， 把角色和一个多个用户相关联

授权： 匹配过程

Shiro判断用户是否有权限的 三种方式

1. 编写代码—— 在java代码中 使用ifelse块 执行授权检查

基于角色：使用Subject的hasRole方法

    Subject currentUser = SecurityUtils.getSubject();
    //登录过程省略
    List<String> roles = new ArrayList<String>();
    roles.add("role1");
    roles.add("role2");
    roles.add("role3");

    // 1.检查currentUser是否被分配了角色role1
    boolean result1 = currentUser .hasRole("role1");

    // 2.检查currentUser是否被分配了所有角色
    boolean result2 = currentUser .hasAllRoles(roles);

    // 3.检查currentUser是否被分配了所有角色，返回一个与方法参数中目录一致的hasRole结果集
    boolean[] results = currentUser .hasRoles(roles);

基于角色：断言支持，与使用hasRole的if else一样

    //1.如果currentUser被分配了role1,才会继续执行    
    currentUser.checkRole("role");

基于权限：Subject的isPermitted方法

    boolean flag = currentUser.isPermitted("p1:create");

基于权限：断言支持：Subject的isPermitted方法

    currentUser.checkPermission("p1:create");

2 JDK 的注解—— 添加授权注解给java方法

基于注解的做法，需要AOP框架支持。所以需要和Spring集成。>

shiro提供的注解

3 JSP/GSP 标签库 —— 控制基于角色和权限的jsp页面输出