安全框架 - Shiro的注解以及JSP标签

Shiro想必大家都知道了，之前的文章我也有提过，是目前使用率要比spring security都要多的一个权限框架，本身spring自己都在用shiro，之前的文章有兴趣可以去扒一下

最近正好用到shiro，简单聊聊几个小tips吧

在对资源访问的时候需要对url进行权限配置，在spring-shiro.xml中需要配置大量的上述代码，这样做可以，但是十分的冗余，而且也不利于后期维护，就像当初的hibernate一样，有很多的hbm文件，所以后来很多人都是用了注解形式，当然了，shiro也支持注解，这样的话会非常方便，程序员再开发代码的时候就可以完善相应的权限

在springmvc.xml中进行配置：

这样就可以在代码中使用注解了，需要注意的是，注解可以再controller, service 以及dao层使用，但是建议再controller中拦截，因为入口只有一个，而其他两层的方法是可以公用的

@RequiresPermissions("order:query")

另外jsp上可以这样使用：

OK，这样整个权限的控制就没有问题了，直接控制到资源，而不是角色。

最后再附上一张最基本的5张数据库权限表