先写个例子看一下:
1、在realm中进行授权
1.1在上一篇文章也介绍到了权限的配置,在spring的配置文件中,用来检测权限的。
1.2用户请求的这个方法必须要有"quanxian"这个授权,才可以访问。
这里给予当前登陆用户"quanxian",这个访问权限。加上之后可以测试一下。
2、使用shiro的方法注解方式权限控制:
第一步:在spring配置文件中开启shiro注解支持
<!-- 开启shiro框架注解支持 -->
<bean id="defaultAdvisorAutoProxyCreator"
class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator">
<!-- 必须使用cglib方式为Action对象创建代理对象 -->
<property name="proxyTargetClass" value="true"/>
</bean>
<!-- 配置shiro框架提供的切面类,用于创建代理对象 -->
<bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor"/>
第二步:在Action的方法上使用shiro注解
第三步:在struts.xml中配置全局异常捕获,当shiro框架抛出权限不足异常时,跳转到权限不足提示页面
你需要创建一个unauthorized.jsp权限不足页面。
页面显示处理:使用shiro提供的页面标签方式权限控制
第一步:在jsp页面中引入shiro的标签库
<%@ taglib prefix="shiro" uri="http://shiro.apache.org/tags" %>
第二步:使用shiro的标签控制页面元素展示,shiro强大之处就连js代码都可以控制。
这里是easyui的工具的删除按钮,使用shiro标签包裹,需要用户该改权限才可以看到该按钮。
还有第三种方式,代码级别的权限控制,并不推荐使用。不做介绍。
总结shiro框架提供的权限控制方式:
URL拦截权限控制(基于过滤器实现)
方法注解权限控制(基于代理技术实现)
页面标签权限控制(标签技术实现)
代码级别权限控制(基于代理技术实现)
重点:
下面我们可以来看一下大多项目中权限表的关系设计等,来更好的完成权限控制。
大多数会有5张表,或者7张表,我们先看一下5张表的设计,
分为:权限表,角色表(角色就是权限的集合,引入角色表,是为了方便授权),用户表,角色权限关系表,用户角色关系表。实体类有前三个。
核心就是权限表,看一下实体
我们看一下页面传递过来的数据
说明:
是否生成菜单:是指是否是菜单,结构是树形结构,这里页面菜单都是动态加载的需要从数据库去查询。
优先级:是保证菜单的顺序,以免造成每次访问菜单顺序不一致。
看下sql语句:(select * from auth_function where generatemenu='1' order by zindex asc;) 这样就很容易理解。
父功能点:需要查询数据库加载看下页面