前言
集成 Spring 後我們通過過濾器鏈來配置每個 URL 需要的權限,但當配置多了以後就會不方便,而且只支持 URL 級別的配置。
好在 Shiro 提供了相應的註解用於權限控制,此處使用了 Spring MVC 來測試Shiro註解,當然 Shiro 註解不僅僅可以在 web 環境使用,在獨立的JavaSE 中也是可以用的,此處只是以 web 爲例了。
開啓註解配置
首先我們需要在 Spring Web 的配置文件 spring-web.xml
中加入以下內容來開啓 Shiro 的註解支持 :
<aop:config proxy-target-class="true"/> <bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor"> <property name="securityManager" ref="securityManager"/> </bean>
簡單演示
接着我們就可以使用註解來配置權限:
@RestController public class AuthorizationController { @RequestMapping("/role1") @RequiresRoles("user") public String role1() { return "success"; } @RequestMapping("/role2") @RequiresRoles("admin") public String role2() { return "success2"; } }
訪問 role1
方法需要當前用戶有 user
角色,role2
方法需要 admin
角色。
當驗證失敗時,會拋出 UnauthorizedException
,我們可以使用 Spring 的 ExceptionHandler 來進行異常處理:
@ExceptionHandler(UnauthorizedException.class) public String processUnauthorizedException(UnauthorizedException e) { return e.getMessage(); }
更多註解
當然不止有 @RequiresRoles
用來驗證角色,Shiro 還提供了以下註解:
@RequiresAuthentication
驗證用戶是否登陸,等同於方法 subject.isAuthenticated() 。
@RequiresUser
驗證用戶是否被 記憶,即登陸成功或 RememberMe
狀態。等同於方法 : subject.isAuthenticated()
與 subject.isRemembered()
。
@RequiresGuest
僅未登錄狀態可訪問,與 @RequiresUser
完全相反。
@RequiresPermissions
驗證是否具備權限,可通過參數 logical
來配置驗證策略:
// 擁有 admin 或 user 角色即可 @RequiresPermissions(logical = Logical.OR,value = {"admin", "user"}) // 需同時具備 admin 與 user 角色 @RequiresPermissions(logical = Logical.AND,value = {"admin", "user"})
RequiresRoles 同樣可以配置驗證策略。
小結
我們可以通過註解配置來更方便的實現權限配置,且這些方法不僅可以配置在 Controller 層,還可以在 Service 層,DAO 層等,只不過需要通過 IOC 容器來獲取對象才能使用。
本章代碼地址 : https://github.com/zhaojun1998/Premission-Study/tree/master/Permission-Shiro-10/