第九章 JSP标签——《跟我学Shiro》

jinnianshilongnian

浏览: 21503395 次
性别:

最近访客更多访客>>

jobily

lisanshao

Sehriff

西兰花好吃不好洗

博主相关

博客

微博

相册

留言

关于我

博客专栏

: 跟我学spring3
浏览量：2418529

: Spring杂谈
浏览量：3008685

: 跟开涛学SpringMVC...
浏览量：5639397

: Servlet3.1规范翻...
浏览量：259907

: springmvc杂谈
浏览量：1597277

: hibernate杂谈
浏览量：250212

: 跟我学Shiro
浏览量：5858865

: 跟我学Nginx+Lua开...
浏览量：701961

: 亿级流量网站架构核心技术
浏览量：785165

文章分类

社区版块

我的资讯 ( 10)
我的论坛 ( 1112)
我的问答 ( 2428)

存档分类

博客分类：

跟我学Shiro

跟我学Shiro

Shiro提供了JSTL标签用于在JSP/GSP页面进行权限控制，如根据登录用户显示相应的页面按钮。

导入标签库

<%@taglib prefix="shiro" uri="http://shiro.apache.org/tags" %>

标签库定义在shiro-web.jar包下的META-INF/shiro.tld中定义。

guest标签

<shiro:guest>
欢迎游客访问，<a href="${pageContext.request.contextPath}/login.jsp">登录</a>
</shiro:guest>

用户没有身份验证时显示相应信息，即游客访问信息。

user标签

<shiro:user>
欢迎[<shiro:principal/>]登录，<a href="${pageContext.request.contextPath}/logout">退出</a>
</shiro:user>

用户已经身份验证/记住我登录后显示相应的信息。

authenticated标签

<shiro:authenticated>
    用户[<shiro:principal/>]已身份验证通过
</shiro:authenticated>

用户已经身份验证通过，即Subject.login登录成功，不是记住我登录的。

notAuthenticated标签

<shiro:notAuthenticated>
    未身份验证（包括记住我）
</shiro:notAuthenticated>

用户已经身份验证通过，即没有调用Subject.login进行登录，包括记住我自动登录的也属于未进行身份验证。

principal标签

<shiro: principal/>

显示用户身份信息，默认调用Subject.getPrincipal()获取，即Primary Principal。

<shiro:principal type="java.lang.String"/>

相当于Subject.getPrincipals().oneByType(String.class)。

<shiro:principal type="java.lang.String"/>

相当于Subject.getPrincipals().oneByType(String.class)。

<shiro:principal property="username"/>

相当于((User)Subject.getPrincipals()).getUsername()。

hasRole标签

<shiro:hasRole name="admin">
    用户[<shiro:principal/>]拥有角色admin<br/>
</shiro:hasRole>

如果当前Subject有角色将显示body体内容。

hasAnyRoles标签

<shiro:hasAnyRoles name="admin,user">
    用户[<shiro:principal/>]拥有角色admin或user<br/>
</shiro:hasAnyRoles>

如果当前Subject有任意一个角色（或的关系）将显示body体内容。

lacksRole标签

<shiro:lacksRole name="abc">
    用户[<shiro:principal/>]没有角色abc<br/>
</shiro:lacksRole>

如果当前Subject没有角色将显示body体内容。

hasPermission标签

<shiro:hasPermission name="user:create">
    用户[<shiro:principal/>]拥有权限user:create<br/>
</shiro:hasPermission>

如果当前Subject有权限将显示body体内容。

lacksPermission标签

<shiro:lacksPermission name="org:create">
    用户[<shiro:principal/>]没有权限org:create<br/>
</shiro:lacksPermission>

如果当前Subject没有权限将显示body体内容。

另外又提供了几个权限控制相关的标签：

导入自定义标签库

<%@taglib prefix="zhang" tagdir="/WEB-INF/tags" %>

示例

<zhang:hasAllRoles name="admin,user">
    用户[<shiro:principal/>]拥有角色admin和user<br/>
</zhang:hasAllRoles>
<zhang:hasAllPermissions name="user:create,user:update">
    用户[<shiro:principal/>]拥有权限user:create和user:update<br/>
</zhang:hasAllPermissions>
<zhang:hasAnyPermissions name="user:create,abc:update">
    用户[<shiro:principal/>]拥有权限user:create或abc:update<br/>
</zhang:hasAnyPermissions>

hasAllRoles表示拥有所有相关的角色；hasAllPermissions表示拥有所有相关的权限；hasAnyPermissions表示拥有任意一个相关的权限。

另外可以参考我的《简单shiro扩展实现NOT、AND、OR权限验证》实现NOT、AND、OR权限验证：http://jinnianshilongnian.iteye.com/blog/1864800。

示例源代码：https://github.com/zhangkaitao/shiro-example；可加群 231889722 探讨Spring/Shiro技术。

16
顶

6
踩

分享到：

第十章会话管理——《跟我学Shiro》 | 第八章拦截器机制——《跟我学Shiro》

2014-03-06 07:31
浏览 117963
评论(12)
分类:企业架构
查看更多

12 楼 java_xh 2017-11-23

感谢楼主，在处理system:user:* 语义的时候遇到点儿困难，之前我自己理解的是拥有system:user:下面任意一个权限就返回true，但是其实是满足所有权限才返回true，实际应用场景我更需要任意一个满足就返回true，所以我自己做了重新实现。

参照了源码，发现校验权限的方法实现主要是这两个

AuthorizingRealm.java 304行
protected boolean isPermitted(Permission permission, AuthorizationInfo info) {
	Collection perms = this.getPermissions(info);
	if(perms != null && !perms.isEmpty()) {
		Iterator var4 = perms.iterator();

		while(var4.hasNext()) {
			Permission perm = (Permission)var4.next();
			if(perm.implies(permission)) {
				return true;
			}
		}
	}

	return false;
}

WildcardPermission.java 85行
public boolean implies(Permission p) {
	if(!(p instanceof WildcardPermission)) {
		return false;
	} else {
		WildcardPermission wp = (WildcardPermission)p;
		List otherParts = wp.getParts();
		int i = 0;

		for(Iterator part = otherParts.iterator(); part.hasNext(); ++i) {
			Set otherPart = (Set)part.next();
			if(this.getParts().size() - 1 < i) {
				return true;
			}

			Set part1 = (Set)this.getParts().get(i);
			if(!part1.contains("*") && !part1.containsAll(otherPart)) {
				return false;
			}
		}

		while(i < this.getParts().size()) {
			Set var8 = (Set)this.getParts().get(i);
			if(!var8.contains("*")) {
				return false;
			}

			++i;
		}

		return true;
	}
}

这里我要修改*号的实现逻辑，必须要重写implies方法，所以我自定义了自己的CustomerPermission类，实现了WildcardPermission，代码如下

public CustomerPermission(String permissionString) {
	super(permissionString, false);
}

/**
 * 将当前需要验证的权限和用户拥有的权限之一对比，惹大于则返回true<br>
 * 重写的目的是为了将user:*的语义更改为any，即满足user:下面任何一个权限即可（原语义为满足user:下面所有权限）<br>
 *
 * @param p 表示当前需要验证的权限，  this 表示用户拥有的权限之一
 * @return boolean
 */
@Override
public boolean implies(Permission p) {
	if(!(p instanceof CustomerPermission)) {
		return false;
	} else {
		CustomerPermission wp = (CustomerPermission)p;
		List otherParts = wp.getParts();
		int i = 0;

		for(Iterator part = otherParts.iterator(); part.hasNext(); ++i) {
			Set otherPart = (Set)part.next();
			if(this.getParts().size() - 1 < i) {
				return true;
			}

			// 这里就是重写的重点，表示当前需要验证的权限当前是*号，那么就可以匹配任意权限，所以可以直接返回true
			if (otherPart.contains("*")) {
				return true;
			}

			Set part1 = (Set)this.getParts().get(i);
			if(!part1.contains("*") && !part1.containsAll(otherPart)) {
				return false;
			}
		}

		while(i < this.getParts().size()) {
			Set var8 = (Set)this.getParts().get(i);
			if(!var8.contains("*")) {
				return false;
			}

			++i;
		}

		return true;
	}
}

后面的事情就是要去把shiro的默认使用的WildcardPermission替换为CustomerPermission的实例,重写PermissionResolver

public class CustomerPermissionResolver implements PermissionResolver {
    @Override
    public Permission resolvePermission(String permissionString) {
        return new CustomerPermission(permissionString);
    }
}

替换shiro默认的WildcardPermission为CustomerPermission一开始是采用楼主文档中的ini配置，如下：

authorizer=org.apache.shiro.authz.ModularRealmAuthorizer
permissionResolver=com.fc.realm.CustomerPermissionResolver
authorizer.permissionResolver=$permissionResolver
securityManager.authorizer=$authorizer

后来发现这种方式无法替换permissionResolver，是因为在AuthenticatingRealm类的构造函数中有一句写死的赋值语句

public AuthorizingRealm(CacheManager cacheManager, CredentialsMatcher matcher) {
	if(cacheManager != null) {
		this.setCacheManager(cacheManager);
	}

	if(matcher != null) {
		this.setCredentialsMatcher(matcher);
	}

	this.authorizationCachingEnabled = true;
	[color=red]this.permissionResolver = new WildcardPermissionResolver();[/color]
	int instanceNumber = INSTANCE_COUNT.getAndIncrement();
	this.authorizationCacheName = this.getClass().getName() + ".authorizationCache";
	if(instanceNumber > 0) {
		this.authorizationCacheName = this.authorizationCacheName + "." + instanceNumber;
	}

}

所以我在自定义的UserRealm类的构造函数中重新为该属性赋值了，即可达到效果，实现自己的权限校验逻辑

public UserRealm()
{
	super();
	// 这句话很重要，把自定义的PermissionResolver注入到AuthorizingRealm对象的permissionResolver中
	super.setPermissionResolver(new CustomerPermissionResolver());
}

11 楼 zj_璠璠 2017-03-03

js中使用shiro好像无效

10 楼德赫0625 2016-05-23

notAuthenticated标签，这里的描述“用户已经身份验证通过”似乎写错了？应该是“用户身份未验证通过”吧

9 楼 xubao6000 2016-04-05

为什么在页面之中引入<%@taglib prefix="shiro" uri="http://shiro.apache.org/tags" %>之后，加载速度从1-2秒变成了大约1分钟左右呢？没有其它任何区别，只有引入标签的区别

8 楼 u011168185 2016-01-18

我想请教一下，如果是html页面怎么办呢？？？

7 楼 u013609917 2016-01-15

shiro 标签用js加好像无效

(菜鸟询问)

6 楼 sunwt 2014-05-08

在sitemesh的decorator页面内使用shiro标签貌似不太好用啊~求解答

5 楼 freerambo 2014-05-07

照着例子做了一天了，非常受用。之处个小错误啊在自定义标签中： hasAnyPermissions.tag 中，for循环中的判定条件 if(subject.isPermitted(permission)) ，一旦有一个命中就应该终止，我加的break；否则的话会打印多次 jsp body

谢！！！taoge居然是非法字符。。。

4 楼 jinnianshilongnian 2014-03-06

lyq881209 写道

jinnianshilongnian 写道

lyq881209 写道

问下，调用subject.logout(),缓存中的权限，session会清除吗，cache用的自定义缓存，和自定义的分布式session。

1、session会进行stop() stop时如果是自己做会话；可以实现自己的SessionDAO 进行删除；
2、cache会清除

session:用的是DefaultWebSessionManager,sessionDAO用的是继承AbstractSessionDAO的自定义类。
当subject.logout()或会话过期，需要自定义session监听器来手动清理吗。

实现SessionDAO 即可你去看看它的api吧里边有个doDelete方法

3 楼 lyq881209 2014-03-06

jinnianshilongnian 写道

lyq881209 写道

问下，调用subject.logout(),缓存中的权限，session会清除吗，cache用的自定义缓存，和自定义的分布式session。

1、session会进行stop() stop时如果是自己做会话；可以实现自己的SessionDAO 进行删除；
2、cache会清除

session:用的是DefaultWebSessionManager,sessionDAO用的是继承AbstractSessionDAO的自定义类。
当subject.logout()或会话过期，需要自定义session监听器来手动清理吗。

2 楼 jinnianshilongnian 2014-03-06

lyq881209 写道

问下，调用subject.logout(),缓存中的权限，session会清除吗，cache用的自定义缓存，和自定义的分布式session。

1、session会进行stop() stop时如果是自己做会话；可以实现自己的SessionDAO 进行删除；
2、cache会清除

1 楼 lyq881209 2014-03-06

问下，调用subject.logout(),缓存中的权限，session会清除吗，cache用的自定义缓存，和自定义的分布式session。

发表评论

您还没有登录,请您登录后再发表评论

最近访客更多访客>>

博主相关

博客专栏

文章分类

社区版块

存档分类

最新评论