目录
Shiro权限控制注解
Controller中角色权限访问控制(注解★)
在其他的Controller中,使用注解来做权限控制访问
@RequiresPermissions("system:user:view")
@RequestMapping(value = {"list", ""})
public String list() {
return "/admin/index";
}
// 只用同时具有user:view和user:create权限才能访问
@RequiresPermissions(value = { "system:user:view", "system:user:create" }, logical = Logical.AND)
@RequestMapping(value = "/admin/index")
public String adminIndex() {
return "admin/index";
}
同时存在处理顺序
Shiro的认证注解处理是有内定的处理顺序的,如果有个多个注解的话,前面的通过了会继续检查后面的,若不通过则直接返回,处理顺序依次为(与实际声明顺序无关):
(1)@RequiresRoles
(2)@RequiresPermissions
(3)@RequiresAuthentication
(4)@RequiresUser
(5)@RequiresGuest
(1)RequiresRoles:拥有指定角色
要求当前执行Subject的角色具有所有指定角色。如果没有角色,则该方法将不会执行,并且抛出AuthorizationException异常
@RequiresRoles(value = { "admin", "user" }, logical = Logical.AND)
Logical.AND | 必须拥有所有角色才能被执行(默认) |
---|---|
Logical.OR | 只需要拥有value中的一个角色 |
(2)RequiresPermissions:拥有指定权限
要求当前执行者的Subject隐含特定权限才能执行带注释的方法。如果执行者的关联者Subject确定执行者没有隐含指定的权限,则该方法将不会执行,并抛出AuthorizationException异常
@RequiresPermissions(value = { "user:view", "user:create" }, logical = Logical.AND)
Logical.AND | 必须拥有所有权限才能被执行(默认) |
---|---|
Logical.OR | 只需要拥有value中的一个权限 |
(3)RequiresAuthentication:已认证
使用该注解标注的类、方法在访问或调用时,当前Subject必须在当前Session中已经过身份验证
此注释基本上可以确保subject.isAuthenticated() === true,比@RequiresUser更具限制性
(4)RequiresUser:用户
当前Subject必须是应用的用户,才能访问或调用被该注解标注的类、方法
(5)RequiresGuest:gust身份不需认证
使用该注解标注的类、方法在访问或调用时,当前Subject可以是“gust”身份,不需要经过认证或者在原先的Session中存在记录