Shiro之授权

<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">  

        <!-- Shiro的核心安全接口,这个属性是必须的 -->  

        <property name="securityManager" ref="securityManager"></property>  

        <!-- 未认证,要跳转的url,非必须的属性,默认会自动寻找Web工程根目录下的"/login.jsp"页面 -->  

        <property name="loginUrl" value="/loginPage"></property>   

        <!-- 未授权,要跳转的url -->  

        <property name="unauthorizedUrl" value="/unauthorizedPage"></property>  

        <property name="filterChainDefinitions">

        <!-- anon:可以匿名访问  authc:必须认证登录后才能访问 -->  

            <value>  

                /loginPage=anon

                /doLogin=anon

                /doLogout=anon

                /page1 = roles[role1]

                /page2 = roles[role2]  

                /*=authc  

            </value>  

        </property>  

</bean>

 

/page1 = roles[role1]

/page2 = roles[role2]  

表示拥有role1角色可以访问/page1,拥有role2角色可以访问/page2

 

实现授权需要新建Realm继承AuthorizingRealm实现doGetAuthorizationInfo方法

@Override

protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {

//从 PrincipalCollection 中来获取登录用户的信息

Object principal = principals.getPrimaryPrincipal();

String username=principal;

//利用登录的用户的信息来用户当前用户的角色或权限(查询数据库省略),以下代码纯属测试

Set<String> roles = new HashSet<>();

roles.add("role1");

if("admin".equals(username)){

roles.add("role2");

}



//创建 SimpleAuthorizationInfo, 并设置其roles属性.

SimpleAuthorizationInfo info = new SimpleAuthorizationInfo(roles);



//返回 SimpleAuthorizationInfo 对象. 

return info;

}

Shiro 支持三种方式的授权:

– 编程式:通过写if/else 授权代码块完成

if(subject.hasRole("role1")){

   //有权限

}

else{

   //无权限

}

– 注解式:通过在执行的Java方法上放置相应的注解完成,没有权限将抛出相应的异常

@RequiresRoles("role1")

public void hello(){

 

}

– JSP/GSP 标签:在JSP/GSP 页面通过相应的标签完成

<shiro:hasRole name="role1">

</shiro:hasRole>

 

Shiro的JSTL标签

 

导入标签库

<%@taglib uri="http://shiro.apache.org/tags" prefix="shiro" %>

 

guest 标签:用户没有身份验证时显示相应信息,即游客访问信息

<shiro:guest>  

欢迎游客访问,<a href="${pageContext.request.contextPath}/login.jsp">登录</a>  

</shiro:guest> 

 

user 标签:用户已经经过认证/记住我登录后显示相应的信息

<shiro:user>  

欢迎[<shiro:principal/>]登录,<a href="${pageContext.request.contextPath}/logout">退出</a>  

</shiro:user>  

 

authenticated 标签:用户已经身份验证通过,即Subject.login登录成功,不是记住我登录的

<shiro:authenticated>  

    用户[<shiro:principal/>]已身份验证通过  

</shiro:authenticated>

 

notAuthenticated 标签:用户未进行身份验证,即没有调用Subject.login进行登录,包括记住我自动登录的也属于

未进行身份验证

<shiro:notAuthenticated>

    未身份验证(包括记住我)

</shiro:notAuthenticated> 

 

pincipal 标签:显示用户身份信息,默认调用

Subject.getPrincipal() 获取,即 Primary Principal

<shiro: principal/>

<shiro:principal property="username"/>相当于((User)Subject.getPrincipals()).getUsername()

 

hasRole 标签:如果当前 Subject 有角色将显示 body 体内容

<shiro:hasRole name="role1">  

    用户[<shiro:principal/>]拥有角色role1<br/>  

</shiro:hasRole>   

 

hasAnyRoles 标签:如果当前Subject有任意一个角色(或的关系)将显示body体内容

<shiro:hasAnyRoles name="admin,user">  

    用户[<shiro:principal/>]拥有角色admin或user<br/>  

</shiro:hasAnyRoles

 

lacksRole:如果当前 Subject 没有角色将显示 body 体内容

<shiro:lacksRole name="abc">  

    用户[<shiro:principal/>]没有角色abc<br/>  

</shiro:lacksRole>   

 

hasPermission:如果当前 Subject 有权限将显示 body 体内容

<shiro:hasPermission name="user:create">  

    用户[<shiro:principal/>]拥有权限user:create<br/>  

</shiro:hasPermission>   

 

lacksPermission:如果当前Subject没有权限将显示body体内容

<shiro:lacksPermission name="org:create">  

    用户[<shiro:principal/>]没有权限org:create<br/>  

</shiro:lacksPermission>  

 

Shiro注解

• @RequiresAuthentication:表示当前Subject已经通过login进行了身份验证;即Subject.isAuthenticated()返回 true

• @RequiresUser:表示当前 Subject 已经身份验证或者通过记住我登录的。

• @RequiresGuest:表示当前Subject没有身份验证或通过记住我登录过,即是游客身份。

• @RequiresRoles(value={“admin”, “user”}, logical=Logical.AND):表示当前 Subject 需要角色admin 和user

• @RequiresPermissions (value={“user:a”, “user:b”},logical= Logical.OR):表示当前 Subject 需要权限 user:a 或user:b。

 

上一篇:Ansible roles


下一篇:Vue 新手学习笔记:vue-element-admin 之登陆及目录权限控制