1 学习计划

1、在realm中进行授权

2、使用shiro的方法注解方式权限控制

n 在spring文件中配置开启shiro注解支持

n 在Action方法上使用注解

3、★使用shiro的标签进行权限控制

n 在页面引入shiro的标签库

n 在页面中使用标签

4、总结shiro提供的权限控制方式

n URL拦截权限控制

n 方法注解权限控制

n 页面标签权限控制

n 代码级别权限控制(了解)

5、权限管理

n 初始化权限数据

n 添加权限功能

n 权限分页查询

2 在realm中进行授权

在BOSRealm中实现授权方法：

Todo标识，用于提醒自己有部分代码是需要完善的。

在Tasks里面就会看见未完成的任务。

3 使用shiro的方法注解方式权限控制（重要）

第一步：在spring配置文件中开启shiro注解支持

<!-- 开启shiro框架注解支持 -->
    <bean id="defaultAdvisorAutoProxyCreator" 
        class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator">
            <!-- 必须使用cglib方式为Action对象创建代理对象 -->
        <property name="proxyTargetClass" value="true"/>
    </bean>
    
    <!-- 配置shiro框架提供的切面类，用于创建代理对象 -->
    <bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor"/>

知识回顾：通知+切入点=切面

如果设置成false，那么会是JDK创建出的代理对象，使用的是接口实现，接口是没有实现方法的所以运行程序的时候会报错说找不到方法，因此这里要设置为true，用CGLIB来创建相应的代理对象，CGLIB是以继承的方式创建代理的。

<property name="proxyTargetClass" value="false"/>

第二步：在Action的方法上使用shiro注解

第三步：在struts.xml中配置全局异常捕获，当shiro框架抛出权限不足异常时，跳转到权限不足提示页面

4 使用shiro提供的页面标签方式权限控制

第一步：在jsp页面中引入shiro的标签库

<%@ taglib prefix="shiro" uri="http://shiro.apache.org/tags" %>

第二步：使用shiro的标签控制页面元素展示

5 总结shiro框架提供的权限控制方式

l URL拦截权限控制（基于过滤器实现）

l 方法注解权限控制（基于代理技术实现）

l 页面标签权限控制（标签技术实现）

l 代码级别权限控制（基于代理技术实现）

6 权限数据管理

6.1 初始化权限数据

当项目上线后，如果正常运行，需要依赖一些基础数据支持。权限数据，就属于基础数据，因为系统的菜单是从权限表查询获得的。一般会提供sql脚本文件，导入基础数据。

6.2 添加权限数据

页面：WEB-INF/pages/admin/function_add.jsp

第一步：修改页面中父功能点对应的combobox，修改URL地址

第二步：创建FunctionAction、Service、Dao，查询所有的权限，返回json

第三步：配置struts.xml

第四步：为添加页面中保存按钮绑定事件，进行校验，如果校验通过就提交表单

第五步：在FunctionAction中创建add方法，添加权限

Service代码：（注意：如果不进行非空判断，ParentFunction的值在用户没有对下拉框进行选择的时候是""空，这个""是存不进数据库的，会产生异常。）

6.3 权限分页查询

第一步：修改页面中datagrid的URL地址

第二步：在Action中提供分页查询方法（因为属性驱动的page属性，出现重名的情况，所以要手动给第二个page赋值，不然永远拿不到值）