Shiro 支持三种方式的授权: 编程式:通过写if/else 授权代码块完成:
Subject subject = SecurityUtils.getSubject(); if(subject.hasRole(“admin”)) { //有权限 } else { //无权限 }注解式:通过在执行的Java方法上放置相应的注解完成:
@RequiresRoles("admin") public void hello() { //有权限 }JSP/GSP 标签:在JSP/GSP 页面通过相应的标签完成:
<shiro:hasRole name="admin"> <!— 有权限—> </shiro:hasRole>在原来自定义的realm中,修改doGetAuthorizationInfo方法
1、对subject进行授权,调用方法isPermitted(”permission串”) 2、SecurityManager执行授权,通过ModularRealmAuthorizer执行授权 3、ModularRealmAuthorizer执行realm(自定义的CustomRealm)从数据库查询权限数据 调用realm的授权方法:doGetAuthorizationInfo 4、realm从数据库查询权限数据,返回ModularRealmAuthorizer 5、ModularRealmAuthorizer调用PermissionResolver进行权限串比对 6、如果比对后,isPermitted中”permission串”在realm查询到权限数据中,说明用户访问permission串有权限,否则 没有权限,抛出异常。
