SpringBoot之Shiro注解使用

在shiro中可以配置资源权限,当需要在方法级别添加更细粒度的权限控制时,可以使用注解,但默认是不启用的。

一般是在shiroConfig初始配置文件中配置权限,如下:

Map chains = Maps.newLinkedHashMap();
        //for swagger
        chains.put("/swagger-ui.html", "anon");
        chains.put("/static/**", "anon");
        chains.put("/swagger/**","anon");
        chains.put("/webjars/**", "anon");
        chains.put("/swagger-resources/**","anon");
        chains.put("/v2/**","anon");

        chains.put("/course/**", "authc,perms[admin:view]");
        chains.put("/user/**", "authc");
        chains.put("/logout", "logout");

        chains.put("/login/**", "anon");
        chains.put("/css/**", "anon");
        chains.put("/fonts/**", "anon");
        chains.put("/layer/**", "anon");

在Springboot环境中继承Shiro时,使用注解@RequiresPermissions时无效

@RequestMapping("add")
@RequiresPermissions("user:add")
public String add() {
     return "user_add";
}

在shiroConfig配置类中增加如下代码

/**
     * 开启Shiro注解(如@RequiresRoles,@RequiresPermissions),
     * 需借助SpringAOP扫描使用Shiro注解的类,并在必要时进行安全逻辑验证
     * 配置以下两个bean(DefaultAdvisorAutoProxyCreator和AuthorizationAttributeSourceAdvisor)
     */
    @Bean
    public DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator(){
        DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator = new DefaultAdvisorAutoProxyCreator();
        advisorAutoProxyCreator.setProxyTargetClass(true);
        return advisorAutoProxyCreator;
    }

    /**
     * 开启aop注解支持
     */
    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager) {
        AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();
        authorizationAttributeSourceAdvisor.setSecurityManager(securityManager);
        return authorizationAttributeSourceAdvisor;
    }

若是不想在过滤链中配置权限,也可以通过注解方式,更加灵活方便。

Shiro的其他权限过滤器及其用法

  • anon :org.apache.shiro.web.filter.authc.AnonymousFilter

/statics/**=anon :以statics开头的请求可以随便访问,没有权限

  • authc:org.apache.shiro.web.filter.authc.FormAuthenticationFilter

/**=authc :表示所有的请求都需要进行验证权限且权限通过才能放行

  • authcBasic:org.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilter

/admins/user/*=authcBasic :表示没有通过httpbasic认证的
perms:org.apache.shiro.web.filter.authz.PermissionsAuthorizationFilter
/admins/user/
=perms[user:add:] :上面已经解释过了,表示访问./admins/user/..
的请求必须是由use:add:
权限的才可以访问,否则重定向登录页面(这里的登录页面默认是web下的login.html,正常我们通过设置shiro中的filterChainDefinitions属性设置页面)

  • port : org.apache.shiro.web.filter.authz.PortFilter

/admins/user/**=port[8081] :
当访问的请求端口不是8001时,则shiro会重定向到schemal://serverName:8081?queryString请求。这个请求中schemal是http或者https,serverName是我们原请求中的域名,8081就是我们port里设置端口号,queryString是我们原请求中携带的参数。

  • rest :org.apache.shiro.web.filter.authz.HttpMethodPermissionFilter

/admins/user/**=rest[user] :
rest表示请求方法。相当于perms[user:method],这里method值得是post,get , delete.

  • roles :org.apache.shiro.web.filter.authz.RolesAuthorizationFilter

/admins/user/=roles[admin] :
这个和perms使用时一样的,只不过在后台我们是通过
setRoles**方法给用户设置角色的。

  • ssl : org.apache.shiro.web.filter.authz.SslFilter

/admins/user/**=ssl : 表示该请求是安全请求,协议是https

  • user : org.apache.shiro.web.filter.authc.UserFilter

/admins/user/**=user 表示必须存在用户,在登录操作是不进行检查的,因为登录的时候根本就不存在用户

  • logout : org.apache.shiro.web.filter.authc.LogoutFilter

/admins/user/**=logout : 表示该请求是退出操作

你可能感兴趣的:(SpringBoot之Shiro注解使用)