shiro 学习之权限管理

说到权限管理,肯定是跟拦截器有关,拦截所有的权限嘛.shiro 在 web.xml 中就指定了拦截器名称 shiroFilter, 在我们的 shiro.xml 中也必须配置一个相同名字的拦截器的 bean. 这样才能成功初始化shiro 嘛.

---

项目地址：https://github.com/thecattle/spring-mvc-shiro

---

ShiroFilterFactoryBean

先看看 shiro拦截器的 bean:
可以看到只注入了一个安全管理器

image.png

看一下ShiroFilterFactoryBean都能注入哪些参数:

image.png

• securityManager:安全管理器
• filters:拦截器map,传入的参数是 Filter 嘛,应该是可以传入自定义的拦截器
• filterChainDefinitionMap: 拦截器链,拦截的请求地址
• loginUrl:自动跳转的登录地址
• successUrl:登录成功跳转的地址
• unauthorizedUrl:没有权限访问跳转的地址
• instance:这个不知道干嘛的

配置文件

好了,既然知道这些参数,那就根据 setter 方法中的名字传入对应的参数吧.
我们设置成这样:

    
        
        
        
        
        
        
        
        
        
            
                /user/login** = anon
                /admin/** = authc,roles[admin],perms[admin:info]
                /super/** = authc,roles[super],perms[super:info]
            
        
    

/user/getStatusInfo和/user/unAuthorized

image.png

image.png

引用网上:
anon：它对应的过滤器里面是空的，什么都没做，另外.do和.jsp后面的*表示参数，比方说[login.jsp?main]这种
authc：该过滤器下的页面必须验证后才能访问，它是内置的org.apache.shiro.web.filter.authc.FormAuthenticationFilter
注意：对于相似的资源，需要将anon的设置放在authc前面，anon才会生效，因为Shiro是从上往下匹配URL的，匹配成功便不再匹配了

因为有多个 realm, 所以要指定判断权限的 realm 是哪一个,如果指定其ARealm 为权限判断 realm,则只去 ARealm判断,如果指定多个,则会去遍历,成功返回,所有不成功就返回失败.
本次指定一个,为 MyRealm

image.png

为了验证权限,在建两个 controller, 一个是 AdminController,一个是SuperController,如下:

SuperController:

image.png

AdminController:

image.png

因为还需要特定的角色还权限,角色(super)的权限(list),角色(admin)的权限(list). 所以也要修改下用户信息,如下:

image.png

image.png

doGetAuthorizationInfo方法

在 realm 中实现权限匹配方法doGetAuthorizationInfo():
本项目有两个自定义的 realm, 权限判断我们就在 MyRealm 中判断就好,前面配置文件已经指定判断权限的 realm.

image.png

测试

好了 现在差不多了,测试下

未登录状态下:

• 访问:http://localhost:8088/admin/getInfo , 结果打出了我抓的异常,显示认证失败,并且跳转到了配置文件中设置的loginUrl地址.
  错误信息:是因为我设置的 loginUrl 没有登录参数,默认为空,所以在 MyRealm 和 OtherRealm 全部认证失败,故返回的登录接口中抓到的异常.
  
  

  image.png

登录 admin 用户:

• 因为登录接口中写死了直接返回的 map, 所以不会跳转到 shiro 配置文件中配置的successUrl地址

  
  
  

  image.png

• 访问:http://localhost:8088/admin/getInfo , 正常访问
  
  

  image.png

• 访问:http://localhost:8088/super/getInfo,因为角色不是 super, 也没有 super 的 info 权限,所以自动跳转到配置文件中设置的unauthorizedUrl地址,返回 没权限访问.
  
  

  image.png

好了,测试成功.

---

当然我还有话说,这样配置权限对简单的权限判断还能用,对现在越来越复杂的权限管理来说真的相当幼稚,总不能把角色权限写死在配置文件中,所以下一篇文章要写动态加载权限