shiro权限管理

　　

---

 

 

<!-- 配置Shiro核心Filter 同名bean --> 
    <bean id="shiroFilter" 
        class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <!-- 安全管理器 -->
        <property name="securityManager" ref="securityManager" />
        <!-- 未认证，跳转到哪个页面  -->
        <property name="loginUrl" value="/login.html" />
        <!-- 登录页面页面 -->
        <property name="successUrl" value="/index.html" />
        <!-- 认证后，没有权限跳转页面 -->
        <property name="unauthorizedUrl" value="/unauthorized.html" />
        <!-- shiro URL控制过滤器规则  -->
        <property name="filterChainDefinitions">
            <value>
                /login.html* = anon
                /user_login.action* = anon 
                /validatecode.jsp* = anon
                /css/** = anon
                /js/** = anon
                /images/** = anon
                /services/** = anon 
                /pages/base/courier.html* = perms[courier:list]
                /pages/base/area.html* = roles[base]
                /** = authc
            </value>
        </property>
    </bean>

补充： 权限表达式 “:”代表子权限 

 举例:权限 courier  包含 courier:add、courier:list、courier:* ，如果用户具有父权限，操作

所有子权限功能 

 

<!-- 安全管理器  -->
    <bean id="securityManager" 
        class="org.apache.shiro.web.mgt.DefaultWebSecurityManager"> 
        <property name="realm" ref="bosRealm" />
        <property name="cacheManager" ref="shiroCacheManager" />
    </bean>

 　　

 

四种主要方式 ：

1、  在程序中 通过 Subject 编程方式进行权限控制 

2、  配置 Filter 实现 URL 级别粗粒度权限控制

 

3、 配置代理，基于注解实现细粒度权限控制 

 

4、 在页面中使用 shiro 自定义标签实现 页面显示权限控制

(1)

 (2)