原文地址:https://blog.csdn.net/oppoppoppo/article/details/55215731
原先的时候可以使用url的shiro配置方式进行拦截,但是发现url地址过多会配置繁琐,解决的方式就是使用aop注解式和jsp标签进行开发
原来的方式
-
<!-- Shiro权限过滤过滤器定义 --> -
<bean name="shiroFilterChainDefinitions" class="java.lang.String"> -
<!-- 每个标签都是对应一个过滤器 比如anno对应的就是AnonymousFilter --> -
<constructor-arg> -
<value> -
${adminPath}/sysindex.html = anon -
/static/** = anon -
<!-- 对应某个链接需要某个权限 取消这种url使用AOP注解 -
${adminPath}/queryArea.do = perms[items:query] -
--> -
${adminPath}/login = authc -
<!-- 请求这个地址直接退出并清除session --> -
${adminPath}/logout = logout -
${adminPath}/** = user -
</value> -
</constructor-arg> -
</bean>
变成注解式
-
@RequiresPermissions("sys:menu:save") -
@RequestMapping(value = "save") -
public void save(Menu menu, Model model, HttpServletRequest request, HttpServletResponse response) throws UnsupportedEncodingException {
那么这个Permission是怎么进行设置的呢
答案在授权方法中
-
@Override -
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { -
//返回什么值是必须要和doGetAuthenticationInfo的第一个参数有关的 -
Principal principal = (Principal) getAvailablePrincipal(principals); -
// 获取当前已登录的用户 -
/* if (!PublicConstant.TRUE.equals(Global.getConfig("user.multiAccountLogin"))){ -
Collection<Session> sessions = cachingShiroSessionDao.getActiveSessions(true, principal, SysUtils.getSession()); -
if (sessions.size() > 0){ -
// 如果是登录进来的,则踢出已在线用户 -
if (SysUtils.getSubject().isAuthenticated()){ -
for (Session session : sessions){ -
cachingShiroSessionDao.delete(session); -
} -
} -
// 记住我进来的,并且当前用户已登录,则退出当前用户提示信息。 -
else{ -
SysUtils.getSubject().logout(); -
throw new AuthenticationException("msg:账号已在其它地方登录,请重新登录。"); -
} -
} -
}*/ -
try{ -
User user = userService.get(new User(principal.getLoginName())); -
if (user != null) { -
SimpleAuthorizationInfo info = new SimpleAuthorizationInfo(); -
//加入权限即可以在jsp和java类中调用 -
// List<Menu> list = SysUtils.getRoleMenu(); -
// for (Menu menu : list){ -
// if (StringUtils.isNotBlank(menu.getPermission())){ -
// // 添加基于Permission的权限信息 -
// for (String permission : StringUtils.split(menu.getPermission(),",")){ -
// info.addStringPermission(permission); -
// } -
// } -
// } -
// 添加用户权限 -
info.addStringPermission("user"); -
// 更新登录IP和时间 -
// iUserApi.updateUserLoginInfo(user); -
// 记录登录日志 -
// LogUtils.saveLog(Servlets.getRequest(), "系统登录"); -
return info; -
} -
}catch(Exception e){ -
logger.error("DEMO 报错-位置:[SystemAuthorizingRealm->doGetAuthorizationInfo]",e); -
} -
return null; -
}
info.addStringPermission(permission);这样就完成了对应
spring开启aop 两种配置方式
-
<!-- AOP式方法级权限检查 --> -
<bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator" depends-on="lifecycleBeanPostProcessor"> -
<property name="proxyTargetClass" value="true" /> -
</bean> -
<bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor"> -
<property name="securityManager" ref="securityManager"/> -
</bean>
-
<!-- 开启aop,对类代理 --> -
<aop:config proxy-target-class="true"></aop:config> -
<!-- 开启shiro注解支持 --> -
<bean -
class=" -
org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor"> -
<property name="securityManager" ref="securityManager" /> -
</bean>
用一种即可
jsp标签
Jsp页面添加:
<%@ tagliburi="http://shiro.apache.org/tags" prefix="shiro" %>或者自定义shiro标签
| 标签名称 | 标签条件(均是显示标签内容) |
| <shiro:authenticated> | 登录之后 |
| <shiro:notAuthenticated> | 不在登录状态时 |
| <shiro:guest> | 用户在没有RememberMe时 |
| <shiro:user> | 用户在RememberMe时 |
| <shiro:hasAnyRoles name="abc,123" > | 在有abc或者123角色时 |
| <shiro:hasRole name="abc"> | 拥有角色abc |
| <shiro:lacksRole name="abc"> | 没有角色abc |
| <shiro:hasPermission name="abc"> | 拥有权限资源abc |
| <shiro:lacksPermission name="abc"> | 没有abc权限资源 |
| <shiro:principal> | 显示用户身份名称 |
<shiro:principal property="username"/> 显示用户身份中的属性值
注意:无论是jsp还是aop都会每次都调用realm进行访问数据库获取权限信息
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
