Java 权限框架 Shiro

http://blog.csdn.net/qq_30739519/article/details/51478843

给JFinal添加Shiro插件功能，支持Shiro所有注解-实现篇

https://my.oschina.net/myaniu/blog/137198

给JFinal添加Shiro插件功能，支持Shiro所有注解-使用篇

https://my.oschina.net/myaniu/blog/137205

Shiro的Session管理

https://my.oschina.net/boonya/blog/348149

org.apache.shiro shiro-all 1.4.0-RC2 cn.dreampie jfinal-shiro 0.2

anon:例子/admins/**=anon 没有参数，表示可以匿名使用。

authc:例如/admins/user/**=authc表示需要认证(登录)才能使用，没有参数

roles(角色)：例子/admins/user/**=roles[admin],参数可以写多个，多个时必须加上引号，并且参数之间用逗号分割，当有多个参数时，例如admins/user/**=roles["admin,guest"],每个参数通过才算通过，相当于hasAllRoles()方法。

perms（权限）：例子/admins/user/**=perms[user:add:*],参数可以写多个，多个时必须加上引号，并且参数之间用逗号分割，例如/admins/user/**=perms["user:add:*,user:modify:*"]，当有多个参数时必须每个参数都通过才通过，想当于isPermitedAll()方法。

rest：例子/admins/user/**=rest[user],根据请求的方法，相当于/admins/user/**=perms[user:method] ,其中method为post，get，delete等。

port：例子/admins/user/**=port[8081],当请求的url的端口不是8081是跳转到schemal://serverName:8081?queryString,其中schmal是协议http或https等，serverName是你访问的host,8081是url配置里port的端口，queryString

是你访问的url里的？后面的参数。

authcBasic：例如/admins/user/**=authcBasic没有参数表示httpBasic认证

ssl:例子/admins/user/**=ssl没有参数，表示安全的url请求，协议为https

user:例如/admins/user/**=user没有参数表示必须存在用户，当登入操作时不做检查

aythc.loginUrl = /index.ftl 表示authc认证失败时,返回到的路径

/** = anon 表示所有路径都可以不需要认证

/* = anon  下面就可以正常配置了

/a/** = user

/b/** = authc

对shiro理解,认证登陆部分

创建类继承AuthorizingRealm  

实现两个方法  

下面这个方法用于登录认证的

/** * 登录认证 * 根据Token中的username 从数据库中获取用户信息 如果不存在返回null * 存在,返回对象SimpleAuthenticationInfo * PrincipalCollection principals === username和Realm.name * Object credentials === password * ByteSource credentialsSalt === 解密用的salt */

@Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException { UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken; if(!"qaz".equals(token.getUsername())){ return null;//返回空说明账户不存在 } return new SimpleAuthenticationInfo("qaz","123", getName()); }

登录

public void login(){ UsernamePasswordToken token = new UsernamePasswordToken(getPara(0),getPara(1)); Subject currentuser = SecurityUtils.getSubject(); if(!currentuser.isAuthenticated()){ try { currentuser.login(token); } catch (UnknownAccountException e) { renderText("账户不存在"); return; } catch (IncorrectCredentialsException e){ renderText("密码错误"); return; } }else{ renderText("已认证"); return; } renderText("登录成功"); }

SecurityUtils.getSubject().getPrincipals().getPrimaryPrincipal();//登录后,获取用户名

退出

public void logout(){ Subject currentuser = SecurityUtils.getSubject(); if(currentuser.isAuthenticated()) { currentuser.logout(); } renderText("用户退出"); }