Shiro高级及与项目的认证授权（四）

用户1289394

发布于 2023-09-27 09:23:12

1570

发布于 2023-09-27 09:23:12

文章被收录于专栏：Java学习网Java学习网

1.5.2 基于注解的授权

（1）RequiresPermissions

配置到方法上，表明执行此方法必须具有指定的权限

//查询
    @RequiresPermissions(value = "user-find")
    public String find() {
        return "查询用户成功";
   }

（2）RequiresRoles

配置到方法上，表明执行此方法必须具有指定的角色

  //查询
    @RequiresRoles(value = "系统管理员")
    public String find() {
        return "查询用户成功";
   }

基于注解的配置方式进行授权，一旦操作用户不具备操作权限，目标方法不会被执行，而且会抛出AuthorizationException 异常。所以需要做好统一异常处理完成未授权处理

2 Shiro中的会话管理

在shiro里所有的用户的会话信息都会由Shiro来进行控制，shiro提供的会话可以用于JavaSE/JavaEE环境，不依赖于任何底层容器，可以独立使用，是完整的会话模块。通过Shiro的会话管理器（SessionManager）进行统一的

会话管理

2.1 什么是shiro的会话管理

SessionManager（会话管理器）：管理所有Subject的session包括创建、维护、删除、失效、验证等工作。

SessionManager是顶层组件，由SecurityManager管理

shiro提供了三个默认实现：

1. DefaultSessionManager：用于JavaSE环境

2. ServletContainerSessionManager：用于Web环境，直接使用servlet容器的会话。

3. DefaultWebSessionManager：用于web环境，自己维护会话（自己维护着会话，直接废弃了Servlet容器的会话管理）。

在web程序中，通过shiro的Subject.login()方法登录成功后，用户的认证信息实际上是保存在HttpSession中的通过如下代码验证。

//登录成功后，打印所有session内容
 @RequestMapping(value="/show") 
    public String show(HttpSession session) {
        // 获取session中所有的键值
        Enumeration<?> enumeration = session.getAttributeNames();
        // 遍历enumeration中的
        while (enumeration.hasMoreElements()) {
            // 获取session键值
            String name = enumeration.nextElement().toString();
            // 根据键值取session中的值
            Object value = session.getAttribute(name);
            // 打印结果
            System.out.println("<B>" + name + "</B>=" + value + "<br>/n");
       }
        return "查看session成功";
   }

本文参与腾讯云自媒体同步曝光计划，分享自微信公众号。

原始发表：2023-09-27 07:30，如有侵权请联系 cloudcommunity@tencent.com 删除

容器