Apache Shiro 是一個強大且靈活的開源安全框架，它可以幫助你實現細粒度的權限控制。以下是一些關鍵步驟和概念，幫助你利用 Shiro 框架實現細粒度權限控制：

1. 理解 Shiro 的基本概念

• Subject: 代表當前用戶，可以是任何人。
• SecurityManager: 管理所有 Subject 的安全操作。
• Realm: 數據源，用于獲取用戶的身份和權限信息。
• Permission: 表示一個權限。
• Role: 表示一組權限。

2. 配置 Shiro

首先，你需要在你的項目中配置 Shiro。這通常包括設置 SecurityManager 和 Realm。

// 創建 SecurityManager
DefaultSecurityManager securityManager = new DefaultSecurityManager();

// 設置自定義 Realm
securityManager.setRealm(new MyCustomRealm());

// 將 SecurityManager 設置到當前運行環境中
SecurityUtils.setSecurityManager(securityManager);

3. 自定義 Realm

自定義 Realm 是獲取用戶身份和權限信息的地方。你可以從數據庫或其他數據源中讀取這些信息。

public class MyCustomRealm extends AuthorizingRealm {
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        // 獲取用戶身份信息
        String username = (String) principals.getPrimaryPrincipal();

        // 查詢用戶的角色和權限
        SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
        List<String> roles = getRolesForUser(username);
        List<String> permissions = getPermissionsForUser(username);

        // 添加角色和權限到授權信息中
        authorizationInfo.setRoles(roles);
        authorizationInfo.setStringPermissions(permissions);

        return authorizationInfo;
    }

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        // 獲取用戶名和密碼進行認證
        String username = (String) token.getPrincipal();
        String password = new String((char[]) token.getCredentials());

        // 查詢用戶信息
        User user = getUserByUsername(username);

        if (user == null || !user.getPassword().equals(password)) {
            throw new UnknownAccountException("用戶不存在或密碼錯誤");
        }

        return new SimpleAuthenticationInfo(user.getUsername(), user.getPassword(), getName());
    }

    private List<String> getRolesForUser(String username) {
        // 從數據庫或其他數據源中獲取用戶的角色
        return roleDao.getRolesByUsername(username);
    }

    private List<String> getPermissionsForUser(String username) {
        // 從數據庫或其他數據源中獲取用戶的權限
        return permissionDao.getPermissionsByUsername(username);
    }
}

4. 實現細粒度權限控制

Shiro 提供了基于注解的權限控制。你可以使用 @RequiresPermissions 和 @RequiresRoles 注解來實現細粒度的權限控制。

public class MyService {
    @RequiresPermissions("user:create")
    public void createUser(User user) {
        // 創建用戶的邏輯
    }

    @RequiresRoles({"admin", "manager"})
    public void deleteUser(String username) {
        // 刪除用戶的邏輯
    }
}

5. 使用 Shiro 的標簽庫

Shiro 還提供了一個標簽庫，可以方便地在 JSP 頁面中使用權限控制。

<shiro:authorize property="hasPermission('user:create')">
    <a href="createUser.jsp">創建用戶</a>
</shiro:authorize>

<shiro:authorize property="hasRole('admin')">
    <a href="manageUsers.jsp">管理用戶</a>
</shiro:authorize>

6. 集成 Shiro 到 Web 應用

如果你使用的是 Spring Boot，可以很容易地集成 Shiro。你只需要添加相關的依賴，并配置 Shiro。

dependencies:
  - shiro-spring-boot-starter

然后在你的 Spring Boot 應用中配置 Shiro：

@SpringBootApplication
public class MyApplication {
    public static void main(String[] args) {
        SpringApplication.run(MyApplication.class, args);
    }

    @Bean
    public DefaultSecurityManager securityManager(MyCustomRealm realm) {
        DefaultSecurityManager securityManager = new DefaultSecurityManager();
        securityManager.setRealm(realm);
        return securityManager;
    }
}

通過以上步驟，你可以利用 Shiro 框架實現細粒度的權限控制。Shiro 提供了強大的功能和靈活的配置，可以滿足各種復雜的安全需求。