安全框架 - Shiro与springMVC整合的注解以及JSP标签

Shiro想必大家都知道了，之前的文章我也有提过，是目前使用率要比spring security都要多的一个权限框架，本身spring自己都在用shiro，之前的文章有兴趣可以去扒一下

最近正好用到shiro，简单聊聊几个小tips吧

<!-- 对静态资源设置匿名访问，即可以未登录状态下访问 -->
                /images/** = anon
                /js/** = anon
                /styles/** = anon
                /css/** = anon

                /page/getOrders.action = perms[order:query]
                /page/editOrderItemCounts.action = perms[order:edit]

在对资源访问的时候需要对url进行权限配置，在spring-shiro.xml中需要配置大量的上述代码，这样做可以，但是十分的冗余，而且也不利于后期维护，就像当初的hibernate一样，有很多的hbm文件，所以后来很多人都是用了注解形式，当然了，shiro也支持注解，这样的话会非常方便，程序员再开发代码的时候就可以完善相应的权限

在springmvc.xml中进行配置

<!-- 开启aop，对类代理 -->
    <aop:config proxy-target-class="true"></aop:config>
    <!-- 开启shiro注解支持 -->
    <bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
        <property name="securityManager" ref="securityManager" />
    </bean>

这样就可以在代码中使用注解了，需要注意的是，注解可以再controller, service 以及dao层使用，但是建议再controller中拦截，因为入口只有一个，而其他两层的方法是可以公用的

@RequiresPermissions("order:query")

另外jsp上可以这样使用：

<shiro:hasPermission name="order:edit">
<a href="<%=request.getContextPath() %>/page/editOrderItemCounts">修改商品</a>
</shiro:hasPermission>

<br/><br/>

<shiro:hasPermission name="order:query">当前用户有查询订单权限</shiro:hasPermission>
<shiro:lacksPermission name="order:add">当前用户没有下单权限</shiro:lacksPermission>

OK，这样整个权限的控制就没有问题了，直接控制到资源，而不是角色。

<shiro:authenticated>    登录之后
<shiro:notAuthenticated>    不在登录状态时
<shiro:guest>    用户在没有RememberMe时
<shiro:user>    用户在RememberMe时
<shiro:hasAnyRoles name="abc,123" >    在有abc或者123角色时
<shiro:hasRole name="abc">    拥有角色abc
<shiro:lacksRole name="abc">    没有角色abc
<shiro:hasPermission name="abc">    拥有权限资源abc
<shiro:lacksPermission name="abc">    没有abc权限资源
<shiro:principal>    显示用户身份名称
<shiro:principal property="username"/>     显示用户身份中的属性值

最后再附上一张最基本的5张数据库权限表

时间： 2024-08-25 13:59:44

安全框架 - Shiro与springMVC整合的注解以及JSP标签的相关文章

Shiro权限框架与SpringMVC整合

1.Shiro整合SpringMVC 我们学习Shiro框架肯定是要应用到Web项目上的,所以我们需要整合Shiro和SpringMVC 整合步骤: 第一步:SpringMVC框架的配置 spring-mvc.xml: <?xml version="1.0" encoding="UTF-8"?> <beans xmlns="http://www.springframework.org/schema/beans" xmlns:xs

自制权限框架（一）jsp标签

一.概述在我们的系统中,很多时候都用到了权限.最简单的权限就是登录.登录了,我就可以自己的相关信息:没有登录,就不能看到. 目前比较流行的权限框架就是apache shiro和spring security,大家在选择时比较青睐apache shiro,因为spring security的拦截器过多,导致性能下降. 笔者在搭建系统时也是选择了Apache shiro.在权限框架中,最常用的两个地方是: 1.在controller层,使用@RequiresPermissions注解,标识这个链接

SpringMVC整合Shiro——（3）

SpringMVC整合Shiro,Shiro是一个强大易用的Java安全框架,提供了认证.授权.加密和会话管理等功能. 第一步:配置web.xml   <!-- 使用[/*]匹配所有请求,保证所有的可控请求都经过Shiro

springMVC整合jedis+redis，以注解形式使用

前两天写过 springMVC+memcached 的整合,我从这个基础上改造一下,把redis和springmvc整合到一起. 和memcached一样,redis也有java专用的客户端,官网推荐使用的是:jedis. 看了一部分资料,大家推荐使用 spring-data-redis (spring在jedis的基础上又包装了一层),但是实际中感觉写起来有点麻烦,不如原生态的jedis好用. 所以我利用spring的构造注入做了一个springmvc整合jedis的例子. 先了解下redis

spring和springMVC整合注解版helloworld

整合的之前需要从官网上下载spring完整的jar包,我下载的是spring-framework-3.2.2.RELEASE.整合步骤如下: 1.在eclipse中新建一个web项目,将下载的spring的jar包拷入lib目录下,但是spring启动的时候依赖一个commons-logging-1.1.jar的jar包,你需要额外的下载. 2.编写web.xml,配置spring的分发器和spring配置文件的位置.具体内容如下: <servlet> <servlet-name>

springmvc整合mybatis框架源码

获取[下载地址] [免费支持更新]三大数据库 mysql oracle sqlsever 更专业.更强悍.适合不同用户群体[新录针对本系统的视频教程,手把手教开发一个模块,快速掌握本系统] A 集成代码生成器 [正反双向(单表.主表.明细表.树形表,开发利器)+快速构建表单; freemaker模版技术 ,0个代码不用写,生成完整的一个模块,带页面.建表sql脚本,处理类,service等完整模块B 集成阿里巴巴数据库连接池druid; 数据库连接池阿里巴巴的 druid.Dr

springmvc整合mybatis框架源码 bootstrap html5

获取[下载地址] QQ: 313596790 [免费支持更新]支持三大数据库 mysql oracle sqlsever 更专业.更强悍.适合不同用户群体[新录针对本系统的视频教程,手把手教开发一个模块,快速掌握本系统]A 代码生成器(开发利器); 增删改查的处理类,service层,mybatis的xml,SQL( mysql 和oracle)脚本, jsp页面都生成就不用写搬砖的代码了,生成的放到项目里,可以直接运行B 阿里巴巴数据库连接池druid

springmvc整合mybatis框架源码 bootstrap html5 mysql oracle

获取[下载地址] QQ: 313596790 [免费支持更新]A 代码生成器(开发利器);全部是源码增删改查的处理类,service层,mybatis的xml,SQL( mysql 和oracle)脚本, jsp页面都生成就不用写搬砖的代码了,生成的放到项目里,可以直接运行B 阿里巴巴数据库连接池druid; 数据库连接池阿里巴巴的 druid.Druid在监控.可扩展性.稳定性和性能方面都有明显的优势C 安全权限框架shiro ; Shiro 是一个用