- Shiro提供了JSTL 标签用于在JSP 页面进行权限控制,如根据登录用户显示相应的页面按钮。
- guest 标签:用户没有身份验证时显示相应信息,即游客访问信息:
- user 标签:用户已经经过认证/记住我登录后显示相应的信息。
- authenticated 标签:用户已经身份验证通过,即Subject.login登录成功,不是记住我登录的
- notAuthenticated标签:用户未进行身份验证,即没有调用Subject.login进行登录,包括记住我自动登录的也属于未进行身份验证。
- pincipal标签:显示用户身份信息,默认调用Subject.getPrincipal() 获取,即Primary Principal。
- hasRole标签:如果当前Subject 有角色将显示body 体内容:
- hasAnyRoles标签:如果当前Subject有任意一个角色(或的关系)将显示body体内容。
- lacksRole:如果当前Subject 没有角色将显示body 体内容
- hasPermission:如果当前Subject 有权限将显示body 体内容
- lacksPermission:如果当前Subject没有权限将显示body体内容。
权限注解
- @RequiresAuthentication:表示当前Subject已经通过login 进行了身份验证;即Subject. isAuthenticated() 返回true
- @RequiresUser:表示当前Subject 已经身份验证或者通过记住我登录的。
- @RequiresGuest:表示当前Subject没有身份验证或通过记住我登录过,即是游客身份。
- @RequiresRoles(value={“admin”, “user”}, logical= Logical.AND):表示当前Subject 需要角色admin 和user
- @RequiresPermissions(value={“user:a”, “user:b”}, logical= Logical.OR):表示当前Subject 需要权限user:a或user:b。
自定义拦截器
- 通过自定义拦截器可以扩展功能,例如:动态url-角色/权限访问控制的实现、根据Subject 身份信息获取用户信息绑定到Request(即设置通用数据)、验证码验证、在线用户信息的保存等