shiro 入门
参考:
ssm 框架下使用 shiro 实现登录验证,动态 URL 权限配置
功能:
- 前后端分离,ajax 前后端通信,jsp页面直接转发 controller 层转发
- 后台管理页面需要登录访问;普通用户只拥有部分功能权限,例如只有商品权限,操作其他模块时提示没有权限
- 超级管理员可以 crud 权限,角色,用户,商品
界面:
- 登录 , 顶部菜单栏 用户名 + 登出
- 左侧菜单:商品列表 ,权限列表,角色列表,用户列表,并且能够crud
- 右侧 iframe 展示内容;点击左侧菜单,内容页刷新数据;
数据表: tb_permission, tb_role,tb_role_perm, tb_user,tb_shiro_filter, tb_product
后端开发:
ssm初始化 --> UserController --> shiro配置 --> ItemController
spring + spring mvc + mybatis + mybatis-generator + jackson + shiro
shiro 配置流程:pom.xml --> web.xml fileter --> spring-mvc.xml --> ShiroFactoryBean --> Realm --> PermissionFilter --> UserController login logout
代码流程:
-
controller --> servcie --> serviceImpl --> (pojo, mapper) ------> 简单 login.jsp 页面登录验证,其他接口请求返回json数据
-
shiro 接入登录测试 --> shiro 普通用户访问权限测试:ItemController.method (能访问), UserController.method(提示没有权限)(模拟ajax请求)--> 超级用户访问权限测试
前端开发:
感受 shiro 核心功能-->登录 + 鉴权,直接发送 get 请求就行,前端框架只是展示的更具体;页面开发基本上是复制 bootstrap 上的案例,先完成大致 html 页面然后拷贝到 jsp中调整。
前端框架:bootstrap,iframe 内容页,ajax 请求
- login.jsp
- index.jsp bootstrap 后台管理案例基础 ---->
$('#myiframe').attr('src',href);
,iframe 高度需要手动计算 - item-list.jsp 包含了crud操作,其他页面类似;新增、更新操作使用 模态框 弹出新的 layer 实现(方便拿到主键id)
权限验证流程:
filterChain(判断请求是否需要权限认证) --> AuthricationFilter.isAccessAllowed (判断用户是否登录)--> Realm.getAuthrizationInfo (获取登录用户的权限) --> AuthricationFilter.isAccessAllowed (判断用户是否有权限访问)--> 跳转目标页面或权限缺失提醒页面