Shiro标签

• Shiro提供了JSTL 标签用于在JSP 页面进行权限控制，如根据登录用户显示相应的页面按钮。
• guest 标签：用户没有身份验证时显示相应信息，即游客访问信息：

　　

• user 标签：用户已经经过认证/记住我登录后显示相应的信息。

　　

• authenticated 标签：用户已经身份验证通过，即Subject.login登录成功，不是记住我登录的

　　

• notAuthenticated标签：用户未进行身份验证，即没有调用Subject.login进行登录，包括记住我自动登录的也属于未进行身份验证。

　　

• pincipal标签：显示用户身份信息，默认调用Subject.getPrincipal() 获取，即Primary Principal。

 　　

• hasRole标签：如果当前Subject 有角色将显示body 体内容：

　　

• hasAnyRoles标签：如果当前Subject有任意一个角色（或的关系）将显示body体内容。

　　

• lacksRole：如果当前Subject 没有角色将显示body 体内容

　　

• hasPermission：如果当前Subject 有权限将显示body 体内容

　　

• lacksPermission：如果当前Subject没有权限将显示body体内容。

　　

权限注解

• @RequiresAuthentication：表示当前Subject已经通过login 进行了身份验证；即Subject. isAuthenticated() 返回true
• @RequiresUser：表示当前Subject 已经身份验证或者通过记住我登录的。
• @RequiresGuest：表示当前Subject没有身份验证或通过记住我登录过，即是游客身份。
• @RequiresRoles(value={“admin”, “user”}, logical= Logical.AND)：表示当前Subject 需要角色admin 和user
• @RequiresPermissions(value={“user:a”, “user:b”}, logical= Logical.OR)：表示当前Subject 需要权限user:a或user:b。

自定义拦截器

• 通过自定义拦截器可以扩展功能，例如：动态url-角色/权限访问控制的实现、根据Subject 身份信息获取用户信息绑定到Request（即设置通用数据）、验证码验证、在线用户信息的保存等