Shiro 基于注解和标签实现的授权认证过程

/ 技术 / 无站内评论 / 603浏览

将 Shiro 作为应用的权限基础 三:基于注解实现的授权认证过程 http://blog.csdn.net/tch918/article/details/13849325 Apache Shiro 注解方式授权 http://blog.csdn.net/peterwanghao/article/details/8165014

基于注解 http://jinnianshilongnian.iteye.com/blog/2029717

@RequiresPermissions 
授权处理过程 
认证通过后接受 Shiro 授权检查,授权验证时,需要判断当前角色是否拥有该权限。 
只有授权通过,才可以访问受保护 URL 对应的资源,否则跳转到“未经授权页面”。 
如果我们自定义Realm实现,比如我后面的例子中,自定义了ShiroDbRealm类,当访问被@RequiresPermissions注解的方法时,会先执行ShiroDbRealm.doGetAuthorizationInfo()进行授权。 
@RequiresPermissions (value={“user:a”, “user:b”}, logical= Logical.OR)  

@RequiresAuthentication 
可以用户类/属性/方法,用于表明当前用户需是经过认证的用户。   要求当前Subject 已经在当前的session 中被验证通过才能被访问或调用 



@RequiresGuest 
要求当前的Subject 是一个"guest",也就是说,他们必须是在之前的session 中没有被验证或被记住才能被访问或调用 


@RequiresRoles("administrator") 
要求当前的Subject 拥有所有指定的角色。如果他们没有,则该方法将不会被执行,而且AuthorizationException 异常将会被抛出。 



@RequiresUser 
RequiresUser 注解需要当前的Subject 是一个应用程序用户才能被注解的类/实例/方法访问或调用。一个“应用程序用户”被定义为一个拥有已知身份,或在当前session 中由于通过验证被确认,或者在之前session 中的'RememberMe'服务被记住。

基于JSP TAG的授权实现 http://jinnianshilongnian.iteye.com/blog/2026398 Shiro提供了一套JSP标签库来实现页面级的授权控制。 在使用Shiro标签库前,首先需要在JSP引入shiro标签:

<%@ taglib prefix="shiro" uri="http://shiro.apache.org/tags" %>    

hasRole标签 
验证当前用户是否属于该角色 

<shiro:hasRole name="administrator">      
    <a href="admin.jsp">Administer the system</a>      
</shiro:hasRole>     

hasPermission标签 
验证当前用户是否拥有制定权限  

<shiro:hasPermission name="user:create">      
    <a href="createUser.jsp">Create a new User</a>      
</shiro:hasPermission>
召唤蕾姆
琼ICP备18000156号

鄂公网安备 42011502000211号