5.Shiro_权限URL配置细节

在application.xml中，id为ShiroFilter的bean中，进行filterChainDefinitions配置，对URL进行配置

URL配置细节

• [urls]部分的配置，其格式是：' url=拦截器[参数]，拦截器[参数]  '
• 如果当前请求的url匹配[urls]部分的某个url模式，将会执行其配置的拦截器
• anon(anonymous)拦截器表示匿名访问(即不需要登录即可访问)
• authc(authentication)拦截器表示需要身份认证通过后才可访问

URL匹配模式

•  url 模式使用 Ant 风格模式
  
•  Ant 路径通配符支持 ?、*、**，注意通配符匹配不包括目录分隔符“/”：
                  – ?：匹配一个字符，如 /admin? 将匹配 /admin1，但不匹配 /admin 或 /admin/；
                  – *：匹配零个或多个字符串，如 /admin 将匹配 /admin、/admin123，但不匹配 /admin/1；
                  – **：匹配路径中的零个或多个路径，如 /admin/** 将匹配 /admin/a 或 /admin/a/b

URL 匹配顺序

•  URL  权限采取第一次匹配优先的 方式，即从头开始使用第一个匹配的 url 模式对应的拦截器链。
• 如：

– /bb/**=filter1
– /bb/aa=filter2
– /**=filter3
– 如果请求的url是“/bb/aa”，因为按照声明顺序进行匹配，那么将使用 filter1 进行拦截。

application.xml

<!-- 6. 配置 ShiroFilter. 6.1 id 必须和 web.xml 文件中配置的 DelegatingFilterProxy 

的 <filter-name> 一致. 若不一致, 则会抛出: NoSuchBeanDefinitionException. 因为 Shiro 会来 
IOC 容器中查找和 <filter-name> 名字对应的 filter bean. -->
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
<property name="securityManager" ref="securityManager" />
<property name="loginUrl" value="/login.jsp" />
<property name="successUrl" value="/list.jsp" />
<property name="unauthorizedUrl" value="/unauthorized.jsp" />

<!-- 配置哪些页面需要受保护. 以及访问这些页面需要的权限. 

                       1). anon 可以被匿名访问 

                       2). authc 必须认证(即登录)后才可能访问的页面. 

       3). logout 登出. 

                       4). roles 角色过滤器 -->

<property name="filterChainDefinitions"> 

                          <value> 

                                  /login.jsp = anon 

          /shiro/login = anon 

                                  /shiro/logout = logout 

                           #everything else requires authentication:

                                  /** = authc 

                         </value> 

</property> 
</bean>