如有错误欢迎指正
在此之前可以先看一下另一篇文章Shiro是什么东西_m0_59834108的博客-CSDN博客
shiro:haspermission是从外部引入的一个标签,执行标签时,标签会根据name属性来判断当前用户是否拥有指定的权限。如果有,就执行shiro标签内的代码,如果没有,就跳过不执行。
当展示一个jsp页面时,页面中如果遇到<shiro:hasPermission name="sys:user:edit">,shiro调用realm获取数据库中的权限信息,看sys:user:edit是否在权限数据中存在,如果不存在就拒绝访问,如果存在就授权通过。 (有个问题我不清楚,只要权限数据中存在sys:user:edit,shiro就可以运行吗,sys:user:edit在创建之处没有对应的东西吗,如果有,需要判断吗,如何判断)
现在来写段代码试一下,在jsp页面加上一个shiro标签,里面放一个加载数据的标签
controller中,我在返回数据的方法上加一个
@RequiresPermissions(value={"liuyanban","liuyan"},logical= Logical.OR)
注意,我并没有把权限写进数据库,所以运行的时候shiro标签应该找不到权限,运行不了, 运行代码,结果失败了,这个a标签还是出来了
我快崩溃了,但是我没有放弃,在不经意的一个回眸,我发现这个jsp页面没有引入shrio标签,所以我找到本地的shrio标签,引入
再次运行,成功
现在我们随便向某个东西写入权限数据,比如向这个留言板这个页面加权限
数据库里面就有数据了
再去运行试一下,还是没出来,失败
所以到底咋回事,我吐了
又查了很多资料,了解了一下shiro的执行流程,shiro权限认证及授权的执行流程分析及图解(一)_程序猿邱先森的博客-CSDN博客_shiro认证流程
运行shiro的时候,就是看name是否存在数据库的权限数据中,如果有,就执行,如果没有,就不执行。但是我确实往权限数据中加了数据,怎么还是不行
后来又上网查了很多资料,终于找到一篇有点用的Apache Shiro 角色和权限_zhouzhiwengang的专栏-CSDN博客,从这篇文章我好像知道,权限标识的名字好像不是乱取的。既然只要用shiro标签的时候写的name存在于权限数据中就能执行,
于是我有了个大胆的想法,我在jsp页面用shiro的时候,随便从权限数据中拿一个出来用,我发现别的地方用过一个name="sys:menu:add",我就也用一下试试
然后就,成功了
我自己加的权限名称还是不能用啊。看网上说有一种原因是缓存没有刷新,我不会刷新缓存啊、。,。,。
参考
shiro权限认证及授权的执行流程分析及图解(一)_程序猿邱先森的博客-CSDN博客_shiro认证流程
shiro:hasPermission 标签 :验证当前用户是否拥有指定权限 - hoge - 博客园 (cnblogs.com)
如有错误欢迎指正