java1234 shiro 第4 课 标签 注解 详细说明

 

第一节：权限认证核心要素

权限认证，也就是访问控制，即在应用中控制谁能访问哪些资源。
在权限认证中，最核心的三个要素是：权限，角色和用户；
权限，即操做资源的权利，好比访问某个页面，以及对某个模块的数据的添加，修改，删除，查看的权利；
角色，是权限的集合，一中角色能够包含多种权限；
用户，在 Shiro 中，表明访问系统的用户，即 Subject；

 

第二节：受权

1，编程式受权
1.1 基于角色的访问控制
1.2 基于权限的访问控制
2，注解式受权
@RequiresAuthentication 要求当前 Subject 已经在当前的 session 中被验证经过才能被访问或调用。
@RequiresGuest 要求当前的 Subject 是一个"guest"，也就是说，他们必须是在以前的 session 中没有被验证或被记住才
能被访问或调用。
@RequiresPermissions("account:create") 要求当前的 Subject 被容许一个或多个权限，以便执行注解的方法。
@RequiresRoles("administrator") 要求当前的 Subject 拥有全部指定的角色。若是他们没有，则该方法将不会被执行，而
且 AuthorizationException 异常将会被抛出。
@RequiresUser RequiresUser 注解须要当前的 Subject 是一个应用程序用户才能被注解的类/实例/方法访问或调用。一个“应
用程序用户”被定义为一个拥有已知身份，或在当前 session 中因为经过验证被确认，或者在以前 session 中的'RememberMe'
服务被记住。
3，Jsp 标签受权
<%@ taglib prefix="shiro" uri="http://shiro.apache.org/tags" %>
Guest 标签：用户没有身份验证时显示相应信息，即游客访问信息；
User 标签：用户已经身份验证/记住我登陆后显示相应的信息；
Authenticated 标签：用户已经身份验证经过，即 Subject.login 登陆成功，不是记住我登陆的。
notAuthenticated 标签：用户没有身份验证经过，即没有调用 Subject.login 进行登陆，包括记住我自动登陆
的也属于未进行身份验证。
principal 标签 显示用户身份信息，默认调用 Subject.getPrincipal()获取，即 Primary Principal。
hasRole 标签 若是当前 Subject 有角色将显示 body 体内容。
lacksRole 标签 若是当前 Subject 没有角色将显示 body 体内容。
hasAnyRoles 标签 若是当前 Subject 有任意一个角色（或的关系）将显示 body 体内容。
hasPermission 标签 若是当前 Subject 有权限将显示 body 体内容。
lacksPermission 标签 若是当前 Subject 没有权限将显示 body 体内容。

 

 

第三节：Permissions

单个权限 query
单个资源多个权限 user:query user:add 多值 user:query,add
单个资源全部权限 user:query,add,update,delete user:*
全部资源某个权限 *:view
实例级别的权限控制
单个实例的单个权限 printer:query:lp7200 printer:print:epsoncolor
全部实例的单个权限 printer:print:*
全部实例的全部权限 printer:*:*
单个实例的全部权限 printer:*:lp7200
单个实例的多个权限 printer:query,print:lp7200