http://blog.csdn.net/rikey111/article/details/51336001 前文有简单地介绍了Shiro的搭建,以及Shiro用户的注册和鉴权(Authentication)。
本篇文章将从分布式Session、权限filter、Aop实现的注解式权限控制几方面进行一个简单地介绍,也算是对昨晚通宵囫囵吞枣看源码的一个总结。
1、先说Shiro的session
Shiro自己已经实现了一个ServletContainerSessionManager,这个manager将request的session包装为Shiro的session,供Session框架调用。所以,如果想实现分布式Session的话,只需要在web层面,用一个sessionfilter,将所有请求的session替换为使用集中缓存就可以了。
2、 权限filter
注意在配置文件中的ShiroFilter中有<property name="filterChainDefinitions">
<value>
/login*=anon
/dologin*=anon
/register.htm=anon
/doregister=anon
/logout*=anon
/css/**=anon
/js/**=anon
/user/**=user
/resources*=authc
/forbbiden.html=anon
/**=authc
</value>
这样一个属性,注意等号后面的 annon、authz等,这些都是shiro内部自定义的权限级别。在org.apache.shiro.web.filter.mgt.DefaultFilter中定义。在ShiroFilter中会生成一个权限的filter链,根据URL匹配对应的权限filter,对相应的权限进行过滤(通过SubjetUtils.getSubject()获取用户信息进行权限判断)。
3、Aop实现的注解式权限控制
@RequiresRoles @RequestUser 等等权限注解,都是通过Spring的AOP实现的。还记得上一篇文章中有提到,在配置Shiro的时候,需要配置一个
<bean id="advisorAutoProxyCreator" class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator"/>
<bean id="attributeSourceAdvisor" class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
<property name="securityManager" ref="securityManager"/>
</bean>
ProxyCreator。 当时还不清楚这两个东西是干嘛的,这次算是把它搞清楚了,也借这个机会理清了Spring 的Aop基本机制。
DefaultAdvisorAutoProxyCreator - 这是一个Aop的配置管理器,aop proxy的注入就是靠它实现的。简单说一下它实现的原理。之所以它能做到注入bean,是因为这个类实现了Spring 的InstantiationAwareBeanPostProcessor接口,这个接口的工作时机是Spring完成了beanDefinition的配置,准备初始化bean的时候。 这个类的public Object postProcessBeforeInstantiation(Class<?> beanClass, String beanName) throws BeansException 方法完成了Proxy的注入。
先检查是否有注解。再生成aop proxy。 将默认的几个注解handler放入 MethodInterceptor 接口的实现类中,供实际调用。
http://blog.csdn.net/udbnny/article/details/5870076 这位兄台对Spring AOP的四种实现写的非常清晰,对我理解AOP帮助非常大,在此表示感谢。