Spring与Shiro整合 静态注解授权
Spring与Shiro整合 静态注解授权
作者 : Stanley 罗昊
【转载请注明出处和署名,谢谢!】
使用Shiro的种类
首先,Shiro的授权方式共有三种;
1.编程式授权(不推荐)
2.注解式授权(普遍使用【力荐】)
注:第一个始于基于角色控制权限,就是你这个用户拥有那些权限;
第二个基于权限控制,判断你这个角色是否拥有这项权限,如果有给放行,如果没有被拦截;这个一般是判断数据库User表中会有一个权限列;
3.Jsp式授权(一般前端UI有对应解决方案)
注:jsp标签方式只是表面上不将此功能显示,但是如果有恶意用户绕过,直接输入ip地址+接口名称即可访问,所以必须配合后端一起使用;
了解授权(注解方式)
首先,我们在jsp页面上编写几个a标签:
我们看到了分别有增、改、删,这也就对应我们后台控制器(Conteoller)中mapping内的Url拦截地址:
我们现在开始将以上操作纳入Shiro管理;这一步,仅仅就是让这些Url纳入并被Shiro管理在Conteoller中声明;,
将Url交给Shiro管理
纳入很简单,只需要在这个接口上加上注解即可:
注:第一个始于基于角色控制权限,就是你这个用户拥有那些权限;
第二个基于权限控制,判断你这个角色是否拥有这项权限,如果有给放行,如果没有被拦截;这个一般是判断数据库User表中会有一个权限列【推荐】;
所以我们会用第二种,直接在用户请求这个接口之前,判断这个注解中的表达式,如果你有save那你就进来,如果没有,你就被拦截;
具体写法:
解析:其中,employee可以写成Controller的前缀名称:
Spring-Shiro.xml文件中配置
编写完注解后,我们依然需要将配置文件中加入一段代码:
1.开启Aop对类代理
我们可以看察觉到,我们的注解是不是都贴在Controller类内的方法上,在这个方法中,我们不需要注入或引入任何接口,原因就是我们需要在xml文件中配置,也可以这样理解,我们把需要引入的Jar包以及继承的接口都放入xml文件中;
2.开启Shiro注解支持
我们这个注解,我们贴上去并让它起到作用(权限控制)的话,就需要再此配置,详细说就是,第三方程序的依赖,Spirng本身没有,所以我们需要依赖第三方程序从而实现权限的控制;
注意:其中,上面的securityManager就是配置安全管理器的SecurityManager(同在Spring-Shiro.xml文件中):
配置上后,当用户登陆时,就会在登陆的前置下,进入到授权环节中,这就是运用了AOP的思想;
用户授权
这个时候我们的UserRealm授权块中是没有分配任何权限的,也就是登入进来的这个用户,是没有任何权限的,所以程序运行后,当用户点击进入该页面时,时,是无法进入报错(500);
当然,我们总不能出现权限不足的情况,就抛给用户报错信息,那自然是不对的,所以我们需要在Shiro.xml文件中再配置一句话,来表示,如果你权限不足,我会给你跳转到指定页面中去;
这段话的意思时,当你因为权限而抛异常时,请允许我跳转至nopermission.jsp这个页面中去;
分配权限(静态)
其实,在讲静态之前,以下这个步骤,依然可以从数据库中获取,需要从数据库中User表中多出一个列,这个列就是权限列表;
1.获取当前用户,就是获取当前登陆进来的这个用户
获取当前用户,其实就是你认证模块中,你放入的User对象:
首先,先获取当前用户,获取后,再从这个用户中获取他的权限,这个权限可以是数据库中你定义好的权限列表: