Shiro是一个轻量级的权限控制框架，应用非常广泛。本文的重点是介绍Spring整合Shiro，并通过扩展使用Spring的EL表达式，使@RequiresRoles等支持动态的参数。对Shiro的介绍则不在本文的讨论范围之内，读者如果有对shiro不是很了解的，可以通过其官方网站了解相应的信息。infoq上也有一篇文章对shiro介绍比较全面的，也是官方推荐的，其地址是https://.elim.chat.shiro.SelfPermissionAnnotationMethodInterceptor" c:resolver-ref="springAnnotationResolver"/> <bean class="org.apache.shiro.authz.aop.AuthenticatedAnnotationMethodInterceptor" c:resolver-ref="springAnnotationResolver"/> <bean class="org.apache.shiro.authz.aop.UserAnnotationMethodInterceptor" c:resolver-ref="springAnnotationResolver"/> <bean class="org.apache.shiro.authz.aop.GuestAnnotationMethodInterceptor" c:resolver-ref="springAnnotationResolver"/> </util:list> </property> </bean> </property></bean><bean id="springAnnotationResolver" class="org.apache.shiro.spring.aop.SpringAnnotationResolver"/>

为了演示前面示例的动态的权限，我们把角色与权限的关系调整如下，让role1、role2和role3分别拥有query:1、query:2和query:3的权限。此时user1将拥有query:1和query:2的权限。

<bean id="realm" class="org.apache.shiro.realm.text.TextConfigurationRealm"> <property name="userDefinitions"> <value> user1=pass1,role1,role2 user2=pass2,role2,role3 admin=admin,admin </value> </property> <property name="roleDefinitions"> <value> role1=perm1,perm2,query:1 role2=perm1,perm3,query:2 role3=perm3,perm4,query:3 </value> </property></bean>

此时@RequiresPermissions中指定权限时就可以使用Spring EL表达式支持的语法了。因为我们在定义SelfPermissionAnnotationMethodInterceptor时已经指定了应用基于模板的表达式解析，此时权限中定义的文本都将作为文本解析，动态的部分默认需要使用#{前缀和}后缀包起来（这个前缀和后缀是可以指定的，但是默认就好）。在动态部分中可以使用#前缀引用变量，基于方法的表达式解析中可以使用参数名或p参数索引的形式引用方法参数。所以上面我们需要动态的权限的query方法的@RequiresPermissions定义如下。

@RequestMapping("/service/{type}")@RequiresPermissions("query:#{#type}")public Object query(@PathVariable("type") int type) { return this.realService.query(type);}

这样user1在访问/service/1和/service/2是OK的，但是在访问/service/3和/service/300时会提示没有权限，因为user1没有query:3和query:300的权限。

总结

以上所述是小编给大家介绍的Spring 整合Shiro 并扩展使用EL表达式的实例详解，希望对大家有所帮助，如果大家有任何疑问请给我留言，小编会及时回复大家的。在此也非常感谢大家对网站的支持！