shiro权限定义的三种方法

1.在配置文件中定义

 

    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <property name="securityManager" ref="securityManager"/>
        <property name="loginUrl" value="/index.jsp" /> <!-- 没有认证返回地址 -->
        <property name="unauthorizedUrl" value="/index2.jsp" /> <!-- 没有授权返回地址 -->
        <property name="filterChainDefinitions">
            <value>            <!-- **代表任意子目录 -->
            /login/** = anon
            /user/** = authc,roles[admin]
            /test/** = authc,perms[测试用的lkkk]
            </value>
        </property>
    </bean>

 

 

2.在数据库中定义

     <bean id="chainDefinitionSectionMetaSource" class="com.fyh.www.shiro.ChainDefinitionSectionMetaSource">
        <property name="filterChainDefinitions"> <!-- 定义默认的url权限 -->
            <value>
             /login/** = anon
            </value>
        </property>
    </bean> 



    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <property name="securityManager" ref="securityManager"/>
        <property name="loginUrl" value="/index.jsp" /> <!-- 没有认证返回地址 -->
        <property name="unauthorizedUrl" value="/index2.jsp" /> <!-- 没有授权返回地址 -->
        <property name="filterChainDefinitionMap" ref="chainDefinitionSectionMetaSource"/>
    </bean>

 

 Resource.java(数据库对应的pojo)

public class Resource implements Serializable {
    /**
     * id
     */
    private Integer id;

    /**
     * url
     */
    private String value;

    /**
     * 所需权限
     */
    private String permission;

//-----------------------getter/setter方法---------------------------//

 

 

 

ChainDefinitionSectionMetaSource.java(加载pojo)

}

public class ChainDefinitionSectionMetaSource implements FactoryBean<Ini.Section> {
    
    @Autowired
    private ResourceDao resourceDao;
    
    private String filterChainDefinitions;
    
    
    
    /**
    * 默认premission 字符串格式模板
    */
    public static final String PREMISSION_STRING="perms[\"{0}\"]";

    @Override
    public Section getObject() throws Exception {
        //获取所有Resource
        List<Resource> list = resourceDao.getAll();
        Ini ini = new Ini();
        //加载默认的url
        ini.load(filterChainDefinitions);
        Ini.Section section = ini.getSection(Ini.DEFAULT_SECTION_NAME);
        //循环Resource 的url,逐个添加到section 中。section 就是filterChainDefinitionMap,
        //里面的键就是链接URL,值就是存在什么条件才能访问该链接
        for (Iterator<Resource> it = list.iterator(); it.hasNext();) {
        Resource resource = it.next();
        //如果不为空值添加到section 中
        if(StringUtils.isNotEmpty(resource.getValue()) &&
        StringUtils.isNotEmpty(resource.getPermission())) {
        section.put(resource.getValue(),MessageFormat.format(PREMISSION_STRING,resource.getPermission()));
        }
        }
        return section;
    }

    
    /**
     * 通过filterChainDefinitions 对默认的url 过滤定义 *
     * 
     * @param filterChainDefinitions 默认的url 过滤定义
     *           
     */
    public void setFilterChainDefinitions(String filterChainDefinitions) {
        this.filterChainDefinitions = filterChainDefinitions;
    }

    @Override
    public Class<?> getObjectType() {
        // TODO Auto-generated method stub
        return null;
    }

    @Override
    public boolean isSingleton() {
        // TODO Auto-generated method stub
        return false;
    }

}

 

dao接口

@Repository
public interface ResourceDao {

    public List<Resource> getAll();
}

 

<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE mapper PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN" "http://mybatis.org/dtd/mybatis-3-mapper.dtd" >
<mapper namespace="com.fyh.www.dao.shiro.ResourceDao" >
  <resultMap id="BaseResultMap" type="com.fyh.www.pojo.shiro.Resource" >
    <id column="id" property="id" jdbcType="INTEGER" />
    <result column="value" property="value" jdbcType="VARCHAR" />
    <result column="permission" property="permission" jdbcType="VARCHAR" />
  </resultMap>

  <select id="getAll" resultMap="BaseResultMap"  >
    select 
    id,value,permission
    from TB_RESOURCE
  </select>
 
</mapper>

 

 

数据库结构

3.在注解上定义

 开启注解(添加如下配置文件)

 <bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator"
          depends-on="lifecycleBeanPostProcessor">
    </bean>
    <bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
        <property name="securityManager" ref="securityManager"/>
    </bean>

 

 

@Controller
@RequestMapping(value = "/test")
public class TestController {
    
    
    
    @RequestMapping(value = "/test.action")
    public String test(Model model)  {        
        return SysContant.FRONT_PAGE+"NewFile1";
    }
    
    @RequestMapping("/test2")
    @RequiresPermissions("account:create")
    public String testAnnotation(){
        
        return SysContant.FRONT_PAGE+"NewFile1";
    }
    

}

 

 

可是为什么不生效呢,今天我就来说说这事儿。

 我们知道Shiro的注解授权是利有Spring的AOP实现的。在程序启动时会自动扫描作了注解的Class,当发现注解时,就自动注入授权代码实现。也就是说,要注入授权控制代码,第一处必须要让框架要可以扫描找被注解的Class 。

applicationContext.xml一般配置注解扫描将@controller注解拉入黑名单

<context:component-scan base-package="com.fyh.www" >
        <context:exclude-filter type="annotation" expression="org.springframework.stereotype.Controller"/>
    </context:component-scan>

 

apringmvc.xml中配置注解扫描一般只扫描@controller注解

<context:component-scan base-package="com.fyh.www.controller" use-default-filters="false">
        <context:include-filter type="annotation" expression="org.springframework.stereotype.Controller"/>
    </context:component-scan>

 

 

而我们的Srping项目在ApplicationContext.xml中一般是不扫描Controller的,所以也就无法让写在Controller中的注解授权生效了。因此正确的作法是将这配置放到springmvc的配置文件中.这样Controller就可以通过注解授权了。

不过问题来了,通过上面的配置Controller是可以通过注解授权了,但是Services中依然不能通过注解授权。虽然说,如果我们在Controller控制了授权,那么对于内部调用的Service层就可以不再作授权,

但也有例外的情况,比如Service除了给内部Controller层调用,还要供远程SOAP调用,那么就需要对Service进行授权控制了。同时要控制Controller和Service,那么采用相同的方式,我们可以在ApplicationContext.xml中配置类同的配置,以达到相同的效果。

 

 applicationContext.xml中的配置为:

   <bean id="serviceAdvisorAutoProxyCreator" class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator"/>
<bean id="serviceAuthorizationAttributeSourceAdvisor" class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor"> <property name="securityManager" ref="securityManager"/> </bean>

 

 apringmvc.xml中的配置为:

   <bean id="controllerAdvisorAutoProxyCreator" class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator"
          depends-on="lifecycleBeanPostProcessor"/>
<bean id="controllerAuthorizationAttributeSourceAdvisor" class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor"> <property name="securityManager" ref="securityManager"/> </bean>

 

此时,我们在同一个项目中配置了两个,DefaultAdvisorAutoProxyCreator 和AuthorizationAttributeSourceAdvisor.需要给它们指定不同的ID。

posted @ 2016-10-24 17:24  woms  阅读(14017)  评论(0编辑  收藏  举报