前言

Shiro的組件都是JavaBean/POJO式的組件，所以非常容易使用Spring進行組件管理，可以非常方便的從ini配置遷移到Spring進行管理，且支持JavaSE應用及Web應用的集成。

集成 Spring 后我們通過過濾器鏈來配置每個 URL 需要的權限，但當配置多了以后就會不方便，而且只支持 URL 級別的配置。

好在 Shiro 提供了相應的注解用于權限控制，此處使用了 Spring MVC 來測試Shiro注解，當然 Shiro 注解不僅僅可以在 web 環境使用，在獨立的JavaSE 中也是可以用的，此處只是以 web 為例了。

下面話不多說了，來一起看看詳細的介紹吧

開啟注解配置

首先我們需要在 Spring Web 的配置文件 spring-web.xml 中加入以下內容來開啟 Shiro 的注解支持 :

<aop:config proxy-target-class="true"/><bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor"> <property name="securityManager" ref="securityManager"/></bean>

簡單演示

接著我們就可以使用注解來配置權限：

@RestControllerpublic class AuthorizationController { @RequestMapping("/role1") @RequiresRoles("user") public String role1() { return "success"; } @RequestMapping("/role2") @RequiresRoles("admin") public String role2() { return "success2"; }}

訪問 role1 方法需要當前用戶有 user 角色，role2 方法需要 admin 角色。

當驗證失敗時，會拋出 UnauthorizedException ，我們可以使用 Spring 的 ExceptionHandler 來進行異常處理：

@ExceptionHandler(UnauthorizedException.class)public String processUnauthorizedException(UnauthorizedException e) { return e.getMessage();}

更多注解

當然不止有 @RequiresRoles 用來驗證角色，Shiro 還提供了以下注解：

@RequiresAuthentication

驗證用戶是否登陸，等同于方法 subject.isAuthenticated()  。

@RequiresUser

驗證用戶是否被 記憶，即登陸成功或 RememberMe 狀態。等同于方法 : subject.isAuthenticated() 與 subject.isRemembered() 。

@RequiresGuest

僅未登錄狀態可訪問，與 @RequiresUser 完全相反。

@RequiresPermissions

驗證是否具備權限，可通過參數 logical 來配置驗證策略：

// 擁有 admin 或 user 角色即可@RequiresPermissions(logical = Logical.OR,value = {"admin", "user"})// 需同時具備 admin 與 user 角色@RequiresPermissions(logical = Logical.AND,value = {"admin", "user"})

RequiresRoles 同樣可以配置驗證策略。

小結

我們可以通過注解配置來更方便的實現權限配置，且這些方法不僅可以配置在 Controller 層，還可以在 Service 層，DAO 層等，只不過需要通過 IOC 容器來獲取對象才能使用。

本章代碼地址 : https://github.com/zhaojun1998/Premission-Study/tree/master/Permission-Shiro-10/

總結

以上就是這篇文章的全部內容了，希望本文的內容對大家的學習或者工作具有一定的參考學習價值，如果有疑問大家可以留言交流，謝謝大家對VeVb武林網的支持。