1 课程计划
1、 常见权限控制方式
2、 基于shiro提供url拦截方式验证权限
3、 在realm中授权
4、 基于shiro提供注解方式验证权限
5、 总结验证权限方式(四种)
6、 用户注销
7、 基于treegrid实现菜单展示
2 常见的权限控制方式
2.1 url拦截实现权限控制
shiro基于过滤器实现的
2.2 注解方式实现权限控制
底层:代理技术
3 基于shiro的url拦截方式验权
<!-- 配置过滤器工厂 -->
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
<!-- 注入安全管理器 -->
<property name="securityManager" ref="securityManager"></property>
<!-- 注入相关页面
loginUrl :登陆页面=用户没有登录,访问某个url(要求当前用户登陆后可见)shiro框架跳转登录页
successUrl;登陆成功页面=可以不配(通过struts2框架跳转)
unauthorizedUrl;权限不足页面=用户登陆后访问url(要求必须有某个权限),如果用户没有权限,跳转此页面
-->
<property name="loginUrl" value="/login.jsp"></property>
<property name="unauthorizedUrl" value="/unauthorized.jsp"></property>
<!-- 配置过滤器链:配置项目中url对应拦截规则(怎么验权) -->
<!--
等号左侧代表项目url /** 项目中所有url
等号右侧代表url经过哪个过滤器(shiro框架提供,使用简称即可)
authc:表单认证过滤器(访问url,要求当前用户必须认证通过后才有权限访问)
anon:匿名过滤器(访问url,不需要登陆,不需要有权限==直接放行)
perms:权限授权过滤器(访问url,要求当前用户必须有某个权限)
roles:角色授权过滤器(访问url,要求当前用户必须有某个角色)
-->
<property name="filterChainDefinitions">
<value>
/js/** = anon
/images/** = anon
/css/** = anon
/login.jsp = anon
/validatecode.jsp* = anon
/userAction_login.action = anon
/pages/base/standard.jsp = perms["standard_page"]
<!-- /courierAction_delete.action = perms["courier_delete"] -->
/pages/base/courier.jsp = roles["admin"]
/** = authc
</value>
</property>
</bean>
访问:使用权限过滤器perms 拦截到用户请求后,而当前用户没有任何权限。
4 在realm中授权
通过url控制权限:当某个请求需要进行权限校验,角色校验时候,安全管理器会调用reaml中授权的方法;获取用户角色,以及权限。
/**
* @Description: 给用户进行授权
*/
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
System.out.println("给用户授权");
//获取当前用户
User user = (User) SecurityUtils.getSubject().getPrincipal();
//数据库结构 用户-角色:多对多 角色-权限:多对多 可以根据用户id查询用户权限
//TODO 给用户授权只能是硬编码 ,后期改为查询数据库
//创建简单授权信息(包含当前用户对应的权限,角色)
SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
//添加权限标识,注意这里不能添加空白权限
//跟过perms滤器中,要求权限标识一样
info.addStringPermission("courier_page");
info.addRole("admin");
return info;
}
1 基于shiro的注解方式验权
1.1 开启shiro注解支持
<!-- 开启shiro注解支持 -->
<!--
自动代理:自动根据情况不同选择代理技术
有接口:使用jdk动态代理==产生实现类代理对象
没有接口:使用cglib动态代理==产生子类代理对象
设置自动代理:强制使用cglib动态代理产生代理对象==如果使用自动代理使用jdk动态代理。产生对象为null -->
<bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator">
<property name="proxyTargetClass" value="true"></property>
</bean>
<!-- 配置验权切面:通知/增强(扩展功能代码:验证权限)+切点(shiro注解所在方法) -->
<bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor"></bean>
1.2 在Service中方法上使用shiro注解
验证当前用户是否有权限,当没有权限时候,shiro框架抛出异常;
解决:在Realm中给用户进行授权;给当前用户增加权限即可
1.3 使用struts2框架处理异常信息
2 总结权限控制方式
1、 url拦截:底层基于过滤器;在spring容器中配置过滤器链,配置项目中url对应拦截规则,注意:配置顺序
2、 注解方式:底层基于动态代理
a) 第一步开启shiro注解扫描 注意:强制使用cglib方式;事务注解也要使用cglib方式
b) 第二步:在service层中方法上使用shrio注解
3、 Shiro页面标签控制
<%@ taglib uri="http://shiro.apache.org/tags" prefix="shiro"%>
4、 代码级别
3 Shiro框架应用
1 基于shiro框架实现用户注销
1、 修改index.jsp页面退出时的请求地址
2、 在Action中提供logout方法
2 菜单的查询
项目部署后,菜单数据,通过sql脚本直接添加到数据库中。
菜单表自关联;
1.1 treeGrid展示菜单数据
Treegrid要求的数据格式
1、 页面:pages/system/menu.jsp
2、 创建菜单三层对象-完成注入 –略
3、 问题一:由于要求返回json包含children 并且方式 出现No-session
4、 解决:将子节点数据立即加载
5、 转json数据时候死循环
6、 问题:重复数据
Servie”:
