freemarker集成shiro标签

luckyxl0

2016-01-09

最近在做权限控制的时候用到了shiro，可惜一窍不通，学了一段时间之后，在freemarker装饰器中集成shiro标签时遇到了一点问题，网上资料都是在普通页面实现，特此记录下，如有理解不对的地方还请各位指正。

1、需要引入jar包，或者到github上下载源码打包使用：https://github.com/zhoushuaichang/shiro-freemarker-tags

2、集成freemarker的配置类FreeMarkerConfigurer，重写afterPropertiesSet()方法：如下

import com.jagregory.shiro.freemarker.ShiroTags;
import freemarker.template.TemplateException;
import org.springframework.web.servlet.view.freemarker.FreeMarkerConfigurer;

import java.io.IOException;

/**
 * 继承FreeMarkerConfigurer类,重写afterPropertiesSet()方法；
 * 集成shiroTags标签
 * Created by zsc on 2016/1/5.
 */
public class ShiroTagFreeMarkerConfigurer extends FreeMarkerConfigurer {

@Override
public void afterPropertiesSet() throws IOException, TemplateException {
super.afterPropertiesSet();
        this.getConfiguration().setSharedVariable("shiro", new ShiroTags());
}

}

3、修改freemarker的xml配置文件：把freemarkerConfig bean的class指向自定义的ShiroTagFreeMarkerConfigurer，如下

<!--<bean id="freemarkerConfig" class="org.springframework.web.servlet.view.freemarker.FreeMarkerConfigurer">-->
<bean id="freemarkerConfig" class="com.***.shiro.tag.ShiroTagFreeMarkerConfigurer">

<!--shiro标签仅限用在该路径下的ftl页面，不能使用include引入-->
  <property name="templateLoaderPath" value="/WEB-INF/viewftl/" /> 

 <property name="freemarkerSettings">
 <props>
 <prop key="template_update_delay">0</prop>
 <prop key="default_encoding">utf-8</prop>
 <prop key="number_format">\#0.\#\#\#\#\#</prop>
 <prop key="datetime_format">yyyy-MM-dd HH:mm:ss</prop>
 <prop key="classic_compatible">true</prop>
 <prop key="template_exception_handler">ignore</prop>
<!--<prop key="auto_import">/common/page.ftl as p</prop>-->
 <!--<prop key="auto_include">/common/page.ftl</prop>-->
</props>
 </property>
</bean>

4、包含以下标签

guest标签：验证当前用户是否为“访客”，即未认证（包含未记住）的用户；shiro标签：<shiro:guest></shiro:guest> ；freemark中： <@shiro.guest> </@shiro.guest>

user标签：认证通过或已记住的用户 shiro标签：<shiro:user> </shiro:user> ；freemark中： <@shiro.user> </@shiro.user>

authenticated标签：已认证通过的用户。不包含已记住的用户，这是与user标签的区别所在。 shiro标签：<shiro:authenticated> </shiro:authenticated>；freemark中： <@shiro.authenticated></@shiro.authenticated>

notAuthenticated标签：未认证通过的用户。与authenticated标签相对。 shiro标签：<shiro:notAuthenticated> </shiro:notAuthenticated>；freemark中： <@shiro.notAuthenticated></@shiro.notAuthenticated>

principal标签：输出当前用户信息，通常为登录帐号信息 shiro标签：Hello, <@shiro.principal property="name" /> ；freemarker中： Hello, <@shiro.principal property="name" />, how are you today?

hasRole标签：验证当前用户是否属于该角色，shiro标签： <shiro:hasRole name="administrator"> Administer the system </shiro:hasRole> ；freemarker中：<@shiro.hasRole name=”admin”>Hello admin!</@shiro.hasRole>

hasAnyRoles标签：验证当前用户是否属于这些角色中的任何一个，角色之间逗号分隔，shiro标签： <shiro:hasAnyRoles name="admin,user,operator"> Administer the system </shiro:hasAnyRoles> ；freemarker中：<@shiro.hasAnyRoles name="admin,user,operator">Hello admin!</@shiro.hasAnyRoles>

hasPermission标签：验证当前用户是否拥有该权限，shiro标签： <shiro:hasPermission name="/order:*"> 订单 </shiro:hasPermission> ；freemarker中：<@shiro.hasPermission name="/order:*">订单/@shiro.hasPermission>

lacksRole标签：验证当前用户不属于该角色，与hasRole标签想反，shiro标签： <shiro:hasRole name="admin"> Administer the system </shiro:hasRole> ；freemarker中：<@shiro.hasRole name="admin">Hello admin!</@shiro.hasRole>

lacksPermission标签：验证当前用户不拥有某种权限，与hasPermission标签是相对的，shiro标签： <shiro:lacksPermission name="/order:*"> trade </shiro:lacksPermission> ；freemarker中：<@shiro.lacksPermission name="/order:*">trade</@shiro.lacksPermission>

5、注意：此情况只是对没有使用sitemesh有效，若freemarker使用了装饰器模板来对返回页面进行装饰，这些标签只能用在返回的ftl页面中，而不能用在模板ftl中，include引入的会解析不了。

解决上述问题，可以通过修改freemarker的重写覆盖源码的Configuration类来实现，这样做的话不仅可以实现上述集成的效果，而且还避免的装饰页面不生效的问题，具体做法如下：

1、将 freemarker.template.Configuration.java中的源码复制到项目中，包命名和类命名与之完全相同，修改自己复制后的类中loadBuiltInSharedVariables()方法，添加sharedVariables.put("shiro", new ShiroTags());，如下：ShiroTags是上述shiro-freemarker-tags.jar中定义的。

2、修改web.xml文件，如下，红色字体是需要在shiroFilter中配置的，因为动态请求页面中的标签是通过REQUEST获取的，而静态装饰页面中的标签是通过FORWARD或者INCLUDE获取的，否则在解析标签时获取不到当前用户的subject信息。另外，shiroFilter建议配置在sitemesh之前。

<!-- shiro 安全过滤器 -->
<filter>
       <filter-name>shiroFilter</filter-name>
       <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
       <async-supported>true</async-supported>
       <init-param>
           <param-name>targetFilterLifecycle</param-name>
           <param-value>true</param-value>
       </init-param>
   </filter>
   <filter-mapping>
       <filter-name>shiroFilter</filter-name>
       <url-pattern>*.htm</url-pattern>
       <dispatcher>REQUEST</dispatcher>
       <dispatcher>FORWARD</dispatcher>
       <dispatcher>INCLUDE</dispatcher>
   </filter-mapping>
<!-- sitemesh 装饰配置 -->
   <filter>
       <filter-name>sitemesh</filter-name>
       <filter-class>com.opensymphony.module.sitemesh.filter.PageFilter</filter-class>
   </filter>
   <filter-mapping>
       <filter-name>sitemesh</filter-name>
       <url-pattern>/*</url-pattern>
   </filter-mapping>

也可以到我的CSDN博客大家讨论 http://blog.csdn.net/lingyundouer/article/details/50487459

shiro freemarker

安科网

freemarker集成shiro标签

luckyxl0

luckyxl0

相关推荐

shiro配合druid使用下URL拦截权限设置为anno时遇到的问题

springboot windows10风格工作流整合项目框架源码 shiro 安全框架

windows10风格 springboot mybatis 项目框架源码 shiro flowable工作流

Apache Shiro 反序列化(CVE-2016-4437)复现

Apache Shiro 反序列化(CVE-2016-4437)复现

不用 Spring Security 可否？试试这个小而美的安全框架

springboot windows10风格工作流整合项目框架源码 shiro

【Shiro】05 自定义Realm认证实现

springboot windows10风格工作流整合项目框架源码 shiro 安全框架

Spring Security 从入门到实战

springcloud vue.js 微服务分布式 flowable 工作流前后分离 shiro权限

springcloud vue.js 微服务分布式 activiti工作流前后分离集成代码生成器 shiro权限

shiro java 反序列漏洞复现

Spring Security

SpringBoot11：集成Shiro

Shiro+JWT 实现权限管理(一)--Shiro

springboot整合shiro

Java项目源码考试系统 springboot mybaits vue.js 前后分离跨域 shiro 权限

shiro配置登录验证（前后端分离项目）

30分钟学会如何使用Shiro

luckyxl0