安全框架 - Shiro与springMVC整合的注解以及JSP标签

  1. 云栖社区>
  2. 博客列表>
  3. 正文

安全框架 - Shiro与springMVC整合的注解以及JSP标签

风间影月 2016-09-27 22:49:00 浏览317 评论0

摘要: Shiro想必大家都知道了,之前的文章我也有提过,是目前使用率要比spring security都要多的一个权限框架,本身spring自己都在用shiro,之前的文章有兴趣可以去扒一下 最近正好用到shiro,简单聊聊几个小tips吧 /images/**...

Shiro想必大家都知道了,之前的文章我也有提过,是目前使用率要比spring security都要多的一个权限框架,本身spring自己都在用shiro,之前的文章有兴趣可以去扒一下

最近正好用到shiro,简单聊聊几个小tips吧

<!-- 对静态资源设置匿名访问,即可以未登录状态下访问 -->
                /images/** = anon
                /js/** = anon
                /styles/** = anon
                /css/** = anon
                
                /page/getOrders.action = perms[order:query]
                /page/editOrderItemCounts.action = perms[order:edit]

在对资源访问的时候需要对url进行权限配置,在spring-shiro.xml中需要配置大量的上述代码,这样做可以,但是十分的冗余,而且也不利于后期维护,就像当初的hibernate一样,有很多的hbm文件,所以后来很多人都是用了注解形式,当然了,shiro也支持注解,这样的话会非常方便,程序员再开发代码的时候就可以完善相应的权限

在springmvc.xml中进行配置

<!-- 开启aop,对类代理 -->
    <aop:config proxy-target-class="true"></aop:config>
    <!-- 开启shiro注解支持 -->
    <bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
        <property name="securityManager" ref="securityManager" />
    </bean>

这样就可以在代码中使用注解了,需要注意的是,注解可以再controller, service 以及dao层使用,但是建议再controller中拦截,因为入口只有一个,而其他两层的方法是可以公用的

@RequiresPermissions("order:query")

另外jsp上可以这样使用:

<shiro:hasPermission name="order:edit">
<a href="<%=request.getContextPath() %>/page/editOrderItemCounts">修改商品</a>
</shiro:hasPermission>

<br/><br/>

<shiro:hasPermission name="order:query">当前用户有查询订单权限</shiro:hasPermission>
<shiro:lacksPermission name="order:add">当前用户没有下单权限</shiro:lacksPermission>

OK,这样整个权限的控制就没有问题了,直接控制到资源,而不是角色。

<shiro:authenticated>    登录之后
<shiro:notAuthenticated>    不在登录状态时
<shiro:guest>    用户在没有RememberMe时
<shiro:user>    用户在RememberMe时
<shiro:hasAnyRoles name="abc,123" >    在有abc或者123角色时
<shiro:hasRole name="abc">    拥有角色abc
<shiro:lacksRole name="abc">    没有角色abc
<shiro:hasPermission name="abc">    拥有权限资源abc
<shiro:lacksPermission name="abc">    没有abc权限资源
<shiro:principal>    显示用户身份名称
<shiro:principal property="username"/>     显示用户身份中的属性值

 

最后再附上一张最基本的5张数据库权限表

用云栖社区APP,舒服~

【云栖快讯】青年们,一起向代码致敬,来寻找第83行吧,云栖社区邀请大神彭蕾、多隆、毕玄、福贝、点评Review你的代码,参与互动者将选取50位精彩回复赠送“向代码致敬”定制T恤1件,最终成为“多隆奖”的小伙伴还将获得由阿里巴巴提供的“多隆奖”荣誉证书和奖杯。  详情请点击

网友评论

风间影月
文章179篇 | 关注7
关注
凝聚阿里巴巴多年来在无线业务安全防御的成功经验和技术成果,并面向开发者和企业提供安全扫描、应... 查看详情
由轻量级Agent和云端组成,集云盾威胁情报于一体,通过Agent和云端大数据的联动,为您提... 查看详情
基于阿里聚安全的核心技术,为移动应用(APP)提供全生命周期的安全服务,其能够准确发现应用的... 查看详情
为您提供简单高效、处理能力可弹性伸缩的计算服务,帮助您快速构建更稳定、安全的应用,提升运维效... 查看详情
520表白

520表白