Shiro 提供了相应的注解用于权限控制,如果使用这些注解就需要使用AOP 的功能来进行
判断,如Spring AOP;Shiro 提供了Spring AOP 集成用于权限注解的解析和验证。
@RequiresAuthentication
表示当前Subject已经通过login 进行了身份验证;即Subject. isAuthenticated()返回true。
@RequiresUser
表示当前Subject已经身份验证或者通过记住我登录的。
@RequiresGuest
表示当前Subject没有身份验证或通过记住我登录过,即是游客身份。
@RequiresRoles(value={“admin”, “user”}, logical= Logical.AND)
@RequiresRoles(value={“admin”})
@RequiresRoles({“admin“})
表示当前Subject需要角色admin 和user。
@RequiresPermissions (value={“user:a”, “user:b”}, logical= Logical.OR)
表示当前Subject需要权限user:a或user:b。
Shiro的认证注解处理是有内定的处理顺序的,如果有个多个注解的话,前面的通过了会继续检查后面的,若不通过则直接返回,处理顺序依次为(与实际声明顺序无关):
RequiresRoles
RequiresPermissions
RequiresAuthentication
RequiresUser
RequiresGuest
例如:你同时声明了RequiresRoles和RequiresPermissions,那就要求拥有此角色的同时还得拥有相应的权限。
1) RequiresRoles
- 可以用在Controller或者方法上。可以多个roles,多个roles时默认逻辑为 AND也就是所有具备所有role才能访问。
//属于user角色 @RequiresRoles("user") //必须同时属于user和admin角色 @RequiresRoles({"user","admin"}) //属于user或者admin之一;修改logical为OR 即可 @RequiresRoles(value={"user","admin"},logical=Logical.OR)
2) RequiresPermissions
/符合index:hello权限要求 @RequiresPermissions("index:hello") //必须同时复核index:hello和index:world权限要求 @RequiresPermissions({"index:hello","index:world"}) //符合index:hello或index:world权限要求即可 @RequiresPermissions(value={"index:hello","index:world"},logical=Logical.OR)
3) RequiresAuthentication,RequiresUser,RequiresGuest
- 这三个的使用方法一样
既可以用在controller中,也可以用在service中
建议将shiro注解放入controller,因为如果service层使用了spring的事物注解,那么shiro注解将无效