Shiro共有5個注解
- RequiresAuthentication:
使用該注解標注的類,實例,方法在訪問或調用時,當前Subject必須在當前session中已經過認證。
- RequiresGuest:
使用該注解標注的類,實例,方法在訪問或調用時,當前Subject可以是“gust”身份,不需要經過認證或者在原先的session中存在記錄。
- RequiresPermissions:
當前Subject需要擁有某些特定的權限時,才能執行被該注解標注的方法。如果當前Subject不具有這樣的權限,則方法不會被執行。
- RequiresRoles:
當前Subject必須擁有所有指定的角色時,才能訪問被該注解標注的方法。如果當天Subject不同時擁有所有指定角色,則方法不會執行還會拋出AuthorizationException異常。
- RequiresUser
當前Subject必須是應用的用戶,才能訪問或調用被該注解標注的類,實例,方法。
使用方法:
Shiro的認證注解處理是有內定的處理順序的,如果有個多個注解的話,前面的通過了會繼續檢查后面的,若不通過則直接返回,處理順序依次為(與實際聲明順序無關):
RequiresRoles
RequiresPermissions
RequiresAuthentication
RequiresUser
RequiresGuest
例如:你同時聲明了RequiresRoles和RequiresPermissions,那就要求擁有此角色的同時還得擁有相應的權限。
1) RequiresRoles
- 可以用在Controller或者方法上。可以多個roles,多個roles時默認邏輯為 AND也就是所有具備所有role才能訪問。
@Target({ElementType.TYPE, ElementType.METHOD}) @Retention(RetentionPolicy.RUNTIME) public @interfaceRequiresRoles { String[] value(); Logical logical() default Logical.AND; }
- 示例
//屬於user角色 @RequiresRoles("user") //必須同時屬於user和admin角色 @RequiresRoles({"user","admin"}) //屬於user或者admin之一;修改logical為OR 即可 @RequiresRoles(value={"user","admin"},logical=Logical.OR)
2) RequiresPermissions
- 與 RequiresRoles類似
@Target({ElementType.TYPE, ElementType.METHOD}) @Retention(RetentionPolicy.RUNTIME) public @interfaceRequiresPermissions { String[] value(); Logical logical() default Logical.AND; }
- 示例
//符合index:hello權限要求 @RequiresPermissions("index:hello") //必須同時復核index:hello和index:world權限要求 @RequiresPermissions({"index:hello","index:world"}) //符合index:hello或index:world權限要求即可 @RequiresPermissions(value={"index:hello","index:world"},logical=Logical.OR)
3) RequiresAuthentication,RequiresUser,RequiresGuest
- 這三個的使用方法一樣
@RequiresAuthentication @RequiresUser @RequiresGusst
注:Shiro依賴於slf4j,commons-beanutils,commons-logging三個jar包。