1.5.2 基于注解的授权
(1)RequiresPermissions
配置到方法上,表明执行此方法必须具有指定的权限
代码语言:javascript复制//查询
@RequiresPermissions(value = "user-find")
public String find() {
return "查询用户成功";
}(2)RequiresRoles
配置到方法上,表明执行此方法必须具有指定的角色
代码语言:javascript复制 //查询
@RequiresRoles(value = "系统管理员")
public String find() {
return "查询用户成功";
}基于注解的配置方式进行授权,一旦操作用户不具备操作权限,目标方法不会被执行,而且会抛出AuthorizationException 异常。所以需要做好统一异常处理完成未授权处理
2 Shiro中的会话管理
在shiro里所有的用户的会话信息都会由Shiro来进行控制,shiro提供的会话可以用于JavaSE/JavaEE环境,不依赖于任何底层容器,可以独立使用,是完整的会话模块。通过Shiro的会话管理器(SessionManager)进行统一的
会话管理
2.1 什么是shiro的会话管理
SessionManager(会话管理器):管理所有Subject的session包括创建、维护、删除、失效、验证等工作。
SessionManager是顶层组件,由SecurityManager管理
shiro提供了三个默认实现:
1. DefaultSessionManager:用于JavaSE环境
2. ServletContainerSessionManager:用于Web环境,直接使用servlet容器的会话。
3. DefaultWebSessionManager:用于web环境,自己维护会话(自己维护着会话,直接废弃了Servlet容器的会话管理)。
在web程序中,通过shiro的Subject.login()方法登录成功后,用户的认证信息实际上是保存在HttpSession中的通过如下代码验证。
代码语言:javascript复制//登录成功后,打印所有session内容
@RequestMapping(value="/show")
public String show(HttpSession session) {
// 获取session中所有的键值
Enumeration<?> enumeration = session.getAttributeNames();
// 遍历enumeration中的
while (enumeration.hasMoreElements()) {
// 获取session键值
String name = enumeration.nextElement().toString();
// 根据键值取session中的值
Object value = session.getAttribute(name);
// 打印结果
System.out.println("<B>" name "</B>=" value "<br>/n");
}
return "查看session成功";
}
