前面说了把各个角色和路径的拦截写在配置文件是很不利于复杂权限设置的,所以这次动态的来搞定它们.
项目地址:https://github.com/thecattle/spring-mvc-shiro
加载权限
首先先看看这个配置是怎么加载进去的
调试的时候可以看到是在 shiro.xml 的配置的ShiroFilterFactoryBean的这个 bean 里的setFilterChainDefinitions方法加载的
所以现在自定义一个拦截器工厂MyShiroFilterFactoryBean,继承ShiroFilterFactoryBean,然后传入这些参数,给这个方法重新赋值:
这样配置文件中的拦截就不需要传值,可以设为空:
修改好的是这样:拦截器工厂设置为自定义的,拦截参数传入为空
重启后会发现权限配置已经设置进去了,这样就可以在数据直接读数据创始化权限了.
动态修改权限
新增拦截器更新管理类: FilterManageController:
@SuppressWarnings("SpringJavaAutowiringInspection")
@Controller
@RequestMapping(value = "/filter")
public class FilterManageController {
Logger logger = LoggerFactory.getLogger(FilterManageController.class);
//加载自定义的拦截工厂
@Autowired
private MyShiroFilterFactoryBean myShiroFilterFactoryBean;
@RequestMapping(value = "/change", method = RequestMethod.GET)
@ResponseBody
public Map<String, String> updateFilter() {
Map<String, String> filterMap = new HashMap<>();
filterMap.put("/user/login**", "anon");
filterMap.put("/admin/**", "anon");//把 admin 设置成不需要拦截
filterMap.put("/super/**", "authc,roles[super],perms[super:info]");
updatePermission(filterMap);
return myShiroFilterFactoryBean.getFilterChainDefinitionMap();
}
/**
* 动态更新新的权限
* @param filterMap
*/
private synchronized void updatePermission(Map<String, String> filterMap) {
AbstractShiroFilter shiroFilter = null;
try {
shiroFilter = (AbstractShiroFilter) myShiroFilterFactoryBean.getObject();
// 获取过滤管理器
PathMatchingFilterChainResolver filterChainResolver = (PathMatchingFilterChainResolver) shiroFilter
.getFilterChainResolver();
DefaultFilterChainManager filterManager = (DefaultFilterChainManager) filterChainResolver.getFilterChainManager();
//清空拦截管理器中的存储
filterManager.getFilterChains().clear();
/*
清空拦截工厂中的存储,如果不清空这里,还会把之前的带进去
ps:如果仅仅是更新的话,可以根据这里的 map 遍历数据修改,重新整理好权限再一起添加
*/
myShiroFilterFactoryBean.getFilterChainDefinitionMap().clear();
// 相当于新建的 map, 因为已经清空了
Map<String, String> chains = myShiroFilterFactoryBean.getFilterChainDefinitionMap();
//把修改后的 map 放进去
chains.putAll(filterMap);
//这个相当于是全量添加
for (Map.Entry<String, String> entry : filterMap.entrySet()) {
//要拦截的地址
String url = entry.getKey().trim().replace(" ", "");
//地址持有的权限
String chainDefinition = entry.getValue().trim().replace(" ", "");
//生成拦截
filterManager.createChain(url, chainDefinition);
}
} catch (Exception e) {
logger.error("updatePermission error,filterMap=" + filterMap, e);
}
}
}
执行change 方法的时候,把 admin 的权限设置为"不需要任何权限".
仅仅是个 demo, 但是如何去实现更新已经注释的很清楚了,可以根据需求去修改.
测试
登录 super 账号:看到登录成功
访问 admin: 显示没有权限,因为现在的权限设置是只有 admin 登录才能访问 admin.
执行更新权限的 change 方法:返回现在的权限有哪些, 显示 admin 的权限毕竟被改掉了
再次访问 admin:可以访问
这样就方便多了吖.好了,现在感觉整个 shiro 的学习已经差不多了,不想再深入了,用到的时候再说,这个源码还是很容易看的.