SpringBoot之Shiro注解使用

在shiro中可以配置资源权限，当需要在方法级别添加更细粒度的权限控制时，可以使用注解，但默认是不启用的。

一般是在shiroConfig初始配置文件中配置权限，如下:

Map<String, String> chains = Maps.newLinkedHashMap();
        //for swagger
        chains.put("/swagger-ui.html", "anon");
        chains.put("/static/**", "anon");
        chains.put("/swagger/**","anon");
        chains.put("/webjars/**", "anon");
        chains.put("/swagger-resources/**","anon");
        chains.put("/v2/**","anon");

        chains.put("/course/**", "authc,perms[admin:view]");
        chains.put("/user/**", "authc");
        chains.put("/logout", "logout");

        chains.put("/login/**", "anon");
        chains.put("/css/**", "anon");
        chains.put("/fonts/**", "anon");
        chains.put("/layer/**", "anon");

在Springboot环境中继承Shiro时，使用注解@RequiresPermissions时无效

@RequestMapping("add")
@RequiresPermissions("user:add")
public String add() {
     return "user_add";
}

在shiroConfig配置类中增加如下代码

/**
     * 开启Shiro注解(如@RequiresRoles,@RequiresPermissions),
     * 需借助SpringAOP扫描使用Shiro注解的类,并在必要时进行安全逻辑验证
     * 配置以下两个bean(DefaultAdvisorAutoProxyCreator和AuthorizationAttributeSourceAdvisor)
     */
    @Bean
    public DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator(){
        DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator = new DefaultAdvisorAutoProxyCreator();
        advisorAutoProxyCreator.setProxyTargetClass(true);
        return advisorAutoProxyCreator;
    }

    /**
     * 开启aop注解支持
     */
    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager) {
        AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();
        authorizationAttributeSourceAdvisor.setSecurityManager(securityManager);
        return authorizationAttributeSourceAdvisor;
    }

若是不想在过滤链中配置权限，也可以通过注解方式，更加灵活方便。

Shiro的其他权限过滤器及其用法

• anon ：org.apache.shiro.web.filter.authc.AnonymousFilter

/statics/**=anon ：以statics开头的请求可以随便访问，没有权限

• authc：org.apache.shiro.web.filter.authc.FormAuthenticationFilter

/**=authc ：表示所有的请求都需要进行验证权限且权限通过才能放行

• authcBasic：org.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilter

/admins/user/*=authcBasic ：表示没有通过httpbasic认证的
perms：org.apache.shiro.web.filter.authz.PermissionsAuthorizationFilter
/admins/user/=perms[user:add:] ：上面已经解释过了，表示访问./admins/user/..
的请求必须是由use:add:权限的才可以访问，否则重定向登录页面(这里的登录页面默认是web下的login.html，正常我们通过设置shiro中的filterChainDefinitions属性设置页面)

• port : org.apache.shiro.web.filter.authz.PortFilter

/admins/user/**=port[8081] :
当访问的请求端口不是8001时，则shiro会重定向到schemal://serverName:8081?queryString请求。这个请求中schemal是http或者https,serverName是我们原请求中的域名，8081就是我们port里设置端口号，queryString是我们原请求中携带的参数。

• rest :org.apache.shiro.web.filter.authz.HttpMethodPermissionFilter

/admins/user/**=rest[user] :
rest表示请求方法。相当于perms[user:method],这里method值得是post，get , delete.

• roles :org.apache.shiro.web.filter.authz.RolesAuthorizationFilter

/admins/user/=roles[admin] :
这个和perms使用时一样的，只不过在后台我们是通过setRoles**方法给用户设置角色的。

• ssl : org.apache.shiro.web.filter.authz.SslFilter

/admins/user/**=ssl : 表示该请求是安全请求，协议是https

• user ： org.apache.shiro.web.filter.authc.UserFilter

/admins/user/**=user 表示必须存在用户，在登录操作是不进行检查的，因为登录的时候根本就不存在用户

• logout : org.apache.shiro.web.filter.authc.LogoutFilter

/admins/user/**=logout ： 表示该请求是退出操作