一、前言
接Shiro快速入门之二,上篇侧重于介绍认证,这篇介绍一下Shiro的授权,先初始化5张表的数据。
注:创建三条权限记录,一个admin角色分配查询和添加用户权限,一个账户qingcai18036授予管理员角色。
二、代码
1、MyShiroRealm.java
注:MyShiroRealm增加授权接口,实现授权方法,进入该方法时肯定是通过了认证,先从参数中获取用户对象(这里对应认证接口SimpleAuthenticationInfo设置principal参数值),然后遍历用户对象中所有角色以及所权限,将该用户的所有角色和权限设置到SimpleAuthorizationInfo对象中。
2、ShiroConfig.java
注:增加AuthorizationAttributeSourceAdvisor构建,开启shiro Aop支持,即在Controller的方法中可以用类似注释@RequiresPermissions("user:add")来配置每个接口的访问权限。
3、UserController.java
注:在需要授权的接口加上RequiresPermissions("权限key")来设置,这里我用qingcai18036登录后(初始化数据中qingcai18036账号配置了角色admin,admin角色配置了权限user:view和user:add),然后访问http://localhost:8080/userAdd、或http://localhost:8080/userList?name=qingcai18036可以正访问,而访问http://localhost:8080/userDel后台会抛出org.apache.shiro.authz.AuthorizationException运行时异常。但返回数据显示的是500错误,你可以配置跳转到403页面,在ShiroConfig.java加上如下下配置
三、权限注解
shiro权限有5个注解,如果一个类或方法上有多个注解,按下列次序进行处理,如果通过的会继续检查后面,否则返回。
-
RequiresRoles:可作用于Controller或方法上,多个角色是And关系,必须同时具备。
-
RequiresPermissions:与RequiresRoles类似,用得比较多。
-
RequiresAuthentication:当前Subject必须在当前session中已经过认证。
-
RequiresUser:当前Subject必须是应用的用户,才能访问或调用被该注解标注的类
-
RequiresGuest:不需要经过认证或者在原先的session中存在记录。
四、权限注解源代码剖析
ShiroConfig.配置AuthorizationAttributeSourceAdvisor会调用
AopAllianceAnnotationsAuthorizingMethodInterceptor注册拦截器
然后调用具体方法,如果注解上有@RequiresPermissions("user:add"),会调用PermissionAnnotationHandler类的通过suject对象检测是否有注解上的值
