Spring与Shiro整合 静态注解授权

Spring与Shiro整合 静态注解授权

作者 : Stanley 罗昊

【转载请注明出处和署名,谢谢!】

使用Shiro的种类

首先,Shiro的授权方式共有三种;

1.编程式授权(不推荐)

2.注解式授权(普遍使用【力荐】)

注:第一个始于基于角色控制权限,就是你这个用户拥有那些权限;

       第二个基于权限控制,判断你这个角色是否拥有这项权限,如果有给放行,如果没有被拦截;这个一般是判断数据库User表中会有一个权限列;

3.Jsp式授权(一般前端UI有对应解决方案)

注:jsp标签方式只是表面上不将此功能显示,但是如果有恶意用户绕过,直接输入ip地址+接口名称即可访问,所以必须配合后端一起使用;

了解授权(注解方式)

首先,我们在jsp页面上编写几个a标签:

 

 

 我们看到了分别有增、改、删,这也就对应我们后台控制器(Conteoller)中mapping内的Url拦截地址:

 

 

 我们现在开始将以上操作纳入Shiro管理;这一步,仅仅就是让这些Url纳入并被Shiro管理在Conteoller中声明;,

将Url交给Shiro管理

纳入很简单,只需要在这个接口上加上注解即可:

注:第一个始于基于角色控制权限,就是你这个用户拥有那些权限;

       第二个基于权限控制,判断你这个角色是否拥有这项权限,如果有给放行,如果没有被拦截;这个一般是判断数据库User表中会有一个权限列【推荐】;

所以我们会用第二种,直接在用户请求这个接口之前,判断这个注解中的表达式,如果你有save那你就进来,如果没有,你就被拦截;

具体写法:

 

 解析:其中,employee可以写成Controller的前缀名称:

Spring-Shiro.xml文件中配置

编写完注解后,我们依然需要将配置文件中加入一段代码:

 

 1.开启Aop对类代理

我们可以看察觉到,我们的注解是不是都贴在Controller类内的方法上,在这个方法中,我们不需要注入或引入任何接口,原因就是我们需要在xml文件中配置,也可以这样理解,我们把需要引入的Jar包以及继承的接口都放入xml文件中;

2.开启Shiro注解支持

我们这个注解,我们贴上去并让它起到作用(权限控制)的话,就需要再此配置,详细说就是,第三方程序的依赖,Spirng本身没有,所以我们需要依赖第三方程序从而实现权限的控制;

注意:其中,上面的securityManager就是配置安全管理器的SecurityManager(同在Spring-Shiro.xml文件中):

 配置上后,当用户登陆时,就会在登陆的前置下,进入到授权环节中,这就是运用了AOP的思想;

用户授权

这个时候我们的UserRealm授权块中是没有分配任何权限的,也就是登入进来的这个用户,是没有任何权限的,所以程序运行后,当用户点击进入该页面时,时,是无法进入报错(500);

当然,我们总不能出现权限不足的情况,就抛给用户报错信息,那自然是不对的,所以我们需要在Shiro.xml文件中再配置一句话,来表示,如果你权限不足,我会给你跳转到指定页面中去;

 

 这段话的意思时,当你因为权限而抛异常时,请允许我跳转至nopermission.jsp这个页面中去;

分配权限(静态)

其实,在讲静态之前,以下这个步骤,依然可以从数据库中获取,需要从数据库中User表中多出一个列,这个列就是权限列表;

1.获取当前用户,就是获取当前登陆进来的这个用户

获取当前用户,其实就是你认证模块中,你放入的User对象:

 

 首先,先获取当前用户,获取后,再从这个用户中获取他的权限,这个权限可以是数据库中你定义好的权限列表:

 

 

 

 

posted @ 2019-12-07 18:37  StanleyBlogs  阅读(374)  评论(0编辑  收藏  举报