在shiro中可以配置资源权限,当需要在方法级别添加更细粒度的权限控制时,可以使用注解,但默认是不启用的。
一般是在shiroConfig初始配置文件中配置权限,如下:
Map<String, String> chains = Maps.newLinkedHashMap();
//for swagger
chains.put("/swagger-ui.html", "anon");
chains.put("/static/**", "anon");
chains.put("/swagger/**","anon");
chains.put("/webjars/**", "anon");
chains.put("/swagger-resources/**","anon");
chains.put("/v2/**","anon");
chains.put("/course/**", "authc,perms[admin:view]");
chains.put("/user/**", "authc");
chains.put("/logout", "logout");
chains.put("/login/**", "anon");
chains.put("/css/**", "anon");
chains.put("/fonts/**", "anon");
chains.put("/layer/**", "anon");
在Springboot环境中继承Shiro时,使用注解@RequiresPermissions时无效
@RequestMapping("add")
@RequiresPermissions("user:add")
public String add() {
return "user_add";
}
在shiroConfig配置类中增加如下代码
/**
* 开启Shiro注解(如@RequiresRoles,@RequiresPermissions),
* 需借助SpringAOP扫描使用Shiro注解的类,并在必要时进行安全逻辑验证
* 配置以下两个bean(DefaultAdvisorAutoProxyCreator和AuthorizationAttributeSourceAdvisor)
*/
@Bean
public DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator(){
DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator = new DefaultAdvisorAutoProxyCreator();
advisorAutoProxyCreator.setProxyTargetClass(true);
return advisorAutoProxyCreator;
}
/**
* 开启aop注解支持
*/
@Bean
public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager) {
AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();
authorizationAttributeSourceAdvisor.setSecurityManager(securityManager);
return authorizationAttributeSourceAdvisor;
}
若是不想在过滤链中配置权限,也可以通过注解方式,更加灵活方便。
Shiro的其他权限过滤器及其用法
- anon :org.apache.shiro.web.filter.authc.AnonymousFilter
/statics/**=anon :以statics开头的请求可以随便访问,没有权限
- authc:org.apache.shiro.web.filter.authc.FormAuthenticationFilter
/**=authc :表示所有的请求都需要进行验证权限且权限通过才能放行
- authcBasic:org.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilter
/admins/user/*=authcBasic :表示没有通过httpbasic认证的
perms:org.apache.shiro.web.filter.authz.PermissionsAuthorizationFilter
/admins/user/=perms[user:add:] :上面已经解释过了,表示访问./admins/user/..
的请求必须是由use:add:权限的才可以访问,否则重定向登录页面(这里的登录页面默认是web下的login.html,正常我们通过设置shiro中的filterChainDefinitions属性设置页面)
- port : org.apache.shiro.web.filter.authz.PortFilter
/admins/user/**=port[8081] :
当访问的请求端口不是8001时,则shiro会重定向到schemal://serverName:8081?queryString请求。这个请求中schemal是http或者https,serverName是我们原请求中的域名,8081就是我们port里设置端口号,queryString是我们原请求中携带的参数。
- rest :org.apache.shiro.web.filter.authz.HttpMethodPermissionFilter
/admins/user/**=rest[user] :
rest表示请求方法。相当于perms[user:method],这里method值得是post,get , delete.
- roles :org.apache.shiro.web.filter.authz.RolesAuthorizationFilter
/admins/user/=roles[admin] :
这个和perms使用时一样的,只不过在后台我们是通过setRoles**方法给用户设置角色的。
- ssl : org.apache.shiro.web.filter.authz.SslFilter
/admins/user/**=ssl : 表示该请求是安全请求,协议是https
- user : org.apache.shiro.web.filter.authc.UserFilter
/admins/user/**=user 表示必须存在用户,在登录操作是不进行检查的,因为登录的时候根本就不存在用户
- logout : org.apache.shiro.web.filter.authc.LogoutFilter
/admins/user/**=logout : 表示该请求是退出操作
