Shiro 提供了相應的注解用於權限控制,如果使用這些注解就需要使用AOP 的功能來進行
判斷,如Spring AOP;Shiro 提供了Spring AOP 集成用於權限注解的解析和驗證。
@RequiresAuthentication
表示當前Subject已經通過login 進行了身份驗證;即Subject. isAuthenticated()返回true。
@RequiresUser
表示當前Subject已經身份驗證或者通過記住我登錄的。
@RequiresGuest
表示當前Subject沒有身份驗證或通過記住我登錄過,即是游客身份。
@RequiresRoles(value={“admin”, “user”}, logical= Logical.AND)
@RequiresRoles(value={“admin”})
@RequiresRoles({“admin“})
表示當前Subject需要角色admin 和user。
@RequiresPermissions (value={“user:a”, “user:b”}, logical= Logical.OR)
表示當前Subject需要權限user:a或user:b。
Shiro的認證注解處理是有內定的處理順序的,如果有個多個注解的話,前面的通過了會繼續檢查后面的,若不通過則直接返回,處理順序依次為(與實際聲明順序無關):
RequiresRoles
RequiresPermissions
RequiresAuthentication
RequiresUser
RequiresGuest
例如:你同時聲明了RequiresRoles和RequiresPermissions,那就要求擁有此角色的同時還得擁有相應的權限。
1) RequiresRoles
- 可以用在Controller或者方法上。可以多個roles,多個roles時默認邏輯為 AND也就是所有具備所有role才能訪問。
//屬於user角色 @RequiresRoles("user") //必須同時屬於user和admin角色 @RequiresRoles({"user","admin"}) //屬於user或者admin之一;修改logical為OR 即可 @RequiresRoles(value={"user","admin"},logical=Logical.OR)
2) RequiresPermissions
/符合index:hello權限要求 @RequiresPermissions("index:hello") //必須同時復核index:hello和index:world權限要求 @RequiresPermissions({"index:hello","index:world"}) //符合index:hello或index:world權限要求即可 @RequiresPermissions(value={"index:hello","index:world"},logical=Logical.OR)
3) RequiresAuthentication,RequiresUser,RequiresGuest
- 這三個的使用方法一樣
既可以用在controller中,也可以用在service中
建議將shiro注解放入controller,因為如果service層使用了spring的事物注解,那么shiro注解將無效