<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean"> <!-- Shiro的核心安全接口,这个属性是必须的 --> <property name="securityManager" ref="securityManager"></property> <!-- 未认证,要跳转的url,非必须的属性,默认会自动寻找Web工程根目录下的"/login.jsp"页面 --> <property name="loginUrl" value="/loginPage"></property> <!-- 未授权,要跳转的url --> <property name="unauthorizedUrl" value="/unauthorizedPage"></property> <property name="filterChainDefinitions"> <!-- anon:可以匿名访问 authc:必须认证登录后才能访问 --> <value> /loginPage=anon /doLogin=anon /doLogout=anon /page1 = roles[role1] /page2 = roles[role2] /*=authc </value> </property> </bean>
/page1 = roles[role1]
/page2 = roles[role2]
表示拥有role1角色可以访问/page1,拥有role2角色可以访问/page2
实现授权需要新建Realm继承AuthorizingRealm实现doGetAuthorizationInfo方法
@Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { //从 PrincipalCollection 中来获取登录用户的信息 Object principal = principals.getPrimaryPrincipal(); String username=principal; //利用登录的用户的信息来用户当前用户的角色或权限(查询数据库省略),以下代码纯属测试 Set<String> roles = new HashSet<>(); roles.add("role1"); if("admin".equals(username)){ roles.add("role2"); } //创建 SimpleAuthorizationInfo, 并设置其roles属性. SimpleAuthorizationInfo info = new SimpleAuthorizationInfo(roles); //返回 SimpleAuthorizationInfo 对象. return info; }
Shiro 支持三种方式的授权:
– 编程式:通过写if/else 授权代码块完成
if(subject.hasRole("role1")){
//有权限
}
else{
//无权限
}
– 注解式:通过在执行的Java方法上放置相应的注解完成,没有权限将抛出相应的异常
@RequiresRoles("role1")
public void hello(){
}
– JSP/GSP 标签:在JSP/GSP 页面通过相应的标签完成
<shiro:hasRole name="role1">
</shiro:hasRole>
Shiro的JSTL标签
导入标签库
<%@taglib uri="http://shiro.apache.org/tags" prefix="shiro" %>
guest 标签:用户没有身份验证时显示相应信息,即游客访问信息
<shiro:guest>
欢迎游客访问,<a href="${pageContext.request.contextPath}/login.jsp">登录</a>
</shiro:guest>
user 标签:用户已经经过认证/记住我登录后显示相应的信息
<shiro:user>
欢迎[<shiro:principal/>]登录,<a href="${pageContext.request.contextPath}/logout">退出</a>
</shiro:user>
authenticated 标签:用户已经身份验证通过,即Subject.login登录成功,不是记住我登录的
<shiro:authenticated>
用户[<shiro:principal/>]已身份验证通过
</shiro:authenticated>
notAuthenticated 标签:用户未进行身份验证,即没有调用Subject.login进行登录,包括记住我自动登录的也属于
未进行身份验证
<shiro:notAuthenticated>
未身份验证(包括记住我)
</shiro:notAuthenticated>
pincipal 标签:显示用户身份信息,默认调用
Subject.getPrincipal() 获取,即 Primary Principal
<shiro: principal/>
<shiro:principal property="username"/>相当于((User)Subject.getPrincipals()).getUsername()
hasRole 标签:如果当前 Subject 有角色将显示 body 体内容
<shiro:hasRole name="role1">
用户[<shiro:principal/>]拥有角色role1<br/>
</shiro:hasRole>
hasAnyRoles 标签:如果当前Subject有任意一个角色(或的关系)将显示body体内容
<shiro:hasAnyRoles name="admin,user">
用户[<shiro:principal/>]拥有角色admin或user<br/>
</shiro:hasAnyRoles
lacksRole:如果当前 Subject 没有角色将显示 body 体内容
<shiro:lacksRole name="abc">
用户[<shiro:principal/>]没有角色abc<br/>
</shiro:lacksRole>
hasPermission:如果当前 Subject 有权限将显示 body 体内容
<shiro:hasPermission name="user:create">
用户[<shiro:principal/>]拥有权限user:create<br/>
</shiro:hasPermission>
lacksPermission:如果当前Subject没有权限将显示body体内容
<shiro:lacksPermission name="org:create">
用户[<shiro:principal/>]没有权限org:create<br/>
</shiro:lacksPermission>
Shiro注解
• @RequiresAuthentication:表示当前Subject已经通过login进行了身份验证;即Subject.isAuthenticated()返回 true
• @RequiresUser:表示当前 Subject 已经身份验证或者通过记住我登录的。
• @RequiresGuest:表示当前Subject没有身份验证或通过记住我登录过,即是游客身份。
• @RequiresRoles(value={“admin”, “user”}, logical=Logical.AND):表示当前 Subject 需要角色admin 和user
• @RequiresPermissions (value={“user:a”, “user:b”},logical= Logical.OR):表示当前 Subject 需要权限 user:a 或user:b。