一 基于注解方式的权限控制
首先, 在spring配置文件applicationContext.xml中配置自动代理和切面
<!-- 8配置自动代理 -->
<bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator">
<!-- 指定使用cglib动态代理, 因为jdk动态代理只是针对接口实现的 -->
<property name="proxyTargetClass" value="true"></property>
</bean>
<!-- 9配置切面 -->
<bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor"></bean>
然后, 在具体需要进行权限控制的方法上添加@RequiresPermissions("staff-delete")注解
@RequiresPermissions("staff-delete")
public String deleteOrRestore () {
//获取用户时删除还是还原功能
String flag = model.getDeltag();
//拆分ids, 获取id数组
String[] idArray = ids.split(",");
if ("1".equals(flag)) {
//调用业务层, 批量删除
staffService.delete(idArray);
} else {
//调用业务层, 批量还原
staffService.restore(idArray);
}
return "list";
}
最后, 如果在struts中编写了通用的action即baseAction类, 则需要修改baseAction中的构造方法
//通过无参构造方法,在对象初始化的时候创建model
@SuppressWarnings({ "rawtypes", "unchecked" })
public BaseAction() {
//1.获取当前类的字节码
Class<? extends BaseAction> clazz = this.getClass();
//2.通过当前类的字节码获取父类的类型
Type genericSuperclass = clazz.getGenericSuperclass();
//3.将父类的类型强转为parameterizedType
ParameterizedType parameterizedType = null;
/*
* 由于在权限校验中使用了cglib动态代理, 所以this.getgenericSuperClass()获取的不一定是baseaction中的参数化类型
* 不一定能强转,因此需要进一步判断和处理
*/
//3.1首先判断genericSuperclass是否是ParameterizedType的父类,
if (genericSuperclass instanceof ParameterizedType) {
//3.2如果是,则可以强转
parameterizedType = (ParameterizedType) genericSuperclass;
} else {
//3.3如果不是,则说明使用cglib动态代理,则genericSuperclass是实际调用的baseaction的子类,如UserAction等,则需要获取UserAction的父类,然后转换
parameterizedType = (ParameterizedType) this.getClass().getSuperclass().getGenericSuperclass();
}
//4.根据parameterizedType获取当前对象的类型
Type[] actualTypeArguments = parameterizedType.getActualTypeArguments();
//5.强当前对象类型强转为class对象
Class<T> modelClass = (Class<T>) actualTypeArguments[0];
//为detachedCriteria赋值
detachedCriteria = detachedCriteria.forClass(modelClass);
pageBean.setDetachedCriteria(detachedCriteria);
//6.根据class对象利用反射创建实体类
try {
model = modelClass.newInstance();
} catch (InstantiationException | IllegalAccessException e) {
// TODO Auto-generated catch block
e.printStackTrace();
}
}
二 Ehcache缓存在Shiro权限控制中的应用
在Shiro权限认证中, 每次访问特定权限的区域时, 都会调用Shiro安全管理器进行权限认证和授权, 并且还会与数据库进行交互, 这样势必导致程序运行的速率比较地下. 为此, 引入Ehcache缓存进行权限数据的缓存, 在用户第一次登陆授权完成之后, 将用户的权限保存在缓存中, 以后再访问需要授权的模块时, 则直接从缓存中获取该用户对应的权限即可.
首先, 将Ehcache的jar包导入到项目中
其次, 将Ehcache缓存jar包解压, 获取ehcache-failsafe.xml文件,将其改名为ehcache.xml并配置在src根目录下
最后, 在spring配置文件中配置缓存管理器, 并将其注入给安全管理器
<!-- 7配置Shiro的安全管理器 -->
<bean name="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
<!-- 注入realm -->
<property name="realm" ref="bosReal"></property>
<!-- 注入缓存管理器 -->
<property name="cacheManager" ref="ehCacheManager"></property>
</bean>
<bean id="bosReal" class="cn.rodge.bos.shiro.BOSRealm"></bean>
<!-- 10配置Ehcache缓存管理器 -->
<bean id="ehCacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager">
<property name="cacheManagerConfigFile" value="classpath:ehcache.xml"></property>
</bean>
三 使用Shiro标签, 根据权限展示页面数据
首先, 在页面中引入Shiro标签库
<%@ taglib prefix="shiro" uri="http://shiro.apache.org/tags" %>
然后, 在对应的权限工具上添加权限控制的标签
<shiro:hasPermission name="staff">
{
id : 'button-delete',
text : '作废',
iconCls : 'icon-cancel',
handler : doDelete
},
</shiro:hasPermission>