Shiro 的user过滤器

项目里用到了Shiro这个权限框架,感觉呢,挺方便的。

看了一天多两天的样子。然后运行了一些例子,比较容易,后来看到一个过滤器,配置如下

[main]
#默认是/login.jsp
authc.loginUrl=/login
roles.unauthorizedUrl=/unauthorized
perms.unauthorizedUrl=/unauthorized

logout.redirectUrl=/login

[users]
zhang=123,admin
wang=123

[roles]
admin=user:*,menu:*

[urls]
#anon 不要登录就可以访问

/logout2=logout
/login=anon
/logout=anon
/unauthorized=anon
/static/**=anon 

#需要登录才能访问
#需要登录,并且有admin角色才能访问
/role=authc,roles[admin]
/permission=authc,perms["user:create"]
/authenticated=user
#userFilter首先是判断是不是登录页面,如果是的话,就是allowd,如果不是,如果之前登录过,并且isRememberMe=true。则可访问,但authc的不能
#
这个里面有个user过滤器的不太懂,但是你懂了,就感觉很容易了

user代表的是UserFilter

 if (isLoginRequest(request, response)) {
            return true;
        } else {
            Subject subject = getSubject(request, response);
            // If principal is not null, then the user is known and should be allowed access.
            return subject.getPrincipal() != null;
        }
这是isAccessAllowed方法的源码。大致意思是,首先如果是访问的登录页面,则允许用户访问,如果不是,则从获得当前用户,看用户是否rememberMe了,rememberMe并且在有效期内登录过,则会允许访问其路径,但不会允许访问authc的路径。user是介于,anon和authc直之间的。换句话来说:而“/authenticated= user”表示访问该地址的用户是身份验证通过或RememberMe 登录的都可以。或者说,某个页面需要登录才能看,但这个页面信息又不太重要,就可已使用这个

rememberMe的原理,是将登录的用户名,以某种加密的方式,存入cookie中,名字就叫rememberMe,下次登录就会从cookie里面找,如果有,pricipal就不会为空。另外得注意,调用subject.logout()的会将这个cookie清除


你可能感兴趣的:(java)