shiro 授權和註解開發(三)

原創 cpc q:2531249502 2019-10-25 22:01

文章目錄

說明:本篇博客基於前兩篇博客構建:
shiro入門(一)
Shiro身份認證及鹽加密(二)

這是數據庫的表設計:
在這裏插入圖片描述

授權

在ShiroUserMapper.xml中新增內容

<!--  這是根據用戶id獲取到所擁有的角色集合-->
  <select id="getRolesByUserId" resultType="java.lang.String" parameterType="java.lang.Integer">
    select r.roleid from t_shiro_user u,t_shiro_user_role ur,t_shiro_role r
      where u.userid = ur.userid and ur.roleid = r.roleid
      and u.userid = #{userid}
  </select>
  
  <!--  這是根據用戶id獲取到所擁有的權限集合-->
  <select id="getPersByUserId" resultType="java.lang.String" parameterType="java.lang.Integer">
    select p.permission from t_shiro_user u,t_shiro_user_role ur,t_shiro_role_permission rp,t_shiro_permission p
    where u.userid = ur.userid and ur.roleid = rp.roleid and rp.perid = p.perid
    and u.userid = #{userid}
  </select>

mapper接口和server層這對應的方法就不貼了

重寫自定義realm中的授權方法

    /**
     *用戶授權(獲取權限)
     * @param principalCollection
     * @return
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        System.out.println("用戶授權。。。。");
        //獲取到用戶名
        String username = principalCollection.getPrimaryPrincipal().toString();
        //更具用戶名獲取當前用戶
        ShiroUser user = shiroUserService.queryByName(username);
        //獲取用戶的角色列表
        Set<String> roles = shiroUserService.getRolesByUserId(user.getUserid());
        //獲取當前用戶的權限列表
        Set<String> pers = shiroUserService.getPersByUserId(user.getUserid());
    
        
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        //將用戶的授權信息保持到 info 對象中(授權信息包括 角色和權限)
        info.setRoles(roles);
        info.setStringPermissions(pers);

        return info;
    }

這樣當用戶一登錄就會調用 doGetAuthorizationInfo 來獲取權限。我們就能夠通過數據庫靈魂配置權限了

註解式開發

常用註解介紹
@RequiresAuthenthentication:表示當前Subject已經通過login進行身份驗證;即 Subject.isAuthenticated()返回 true

@RequiresUser:表示當前Subject已經身份驗證或者通過記住我登錄的

@RequiresGuest:表示當前Subject沒有身份驗證或者通過記住我登錄過,即是遊客身份

@RequiresRoles(value = {"admin","user"},logical = Logical.AND):表示當前Subject需要角色admin和user

@RequiresPermissions(value = {"user:delete","user:b"},logical = Logical.OR):表示當前Subject需要權限user:delete或者user:b

備註:Logical是決定多條件下的關係,支持 AND和 OR (並且和或者)

Controller層


    /**
     * 用戶必須登錄後才能請求
     * @param request
     * @return
     */
    @RequiresUser
    @RequestMapping("/passUser")
    public String passUser(HttpServletRequest request){
        return "admin/addUser";
    }


    /**
     * 用戶必須擁有角色id爲 1 和 4 的這兩個角色
     *
     * Logical.RO 就是或的意思,也就是說用戶 必須擁有角色id爲 1 或 4 的這兩個角色
     * @param request
     * @return
     */
    @RequiresRoles(value = {"1","4"},logical = Logical.AND)
    @RequestMapping("/passRole")
    public String passRole(HttpServletRequest request){
        return "admin/listUser";
    }


    /**
     * 用戶必須擁有 user:update 或 user:view 權限才能訪問
     *
     * 當然:Logical.OR 能改成 Logical.AND
     * @param request
     * @return
     */
    @RequiresPermissions(value = {"user:update","user:view"},logical = Logical.OR)
    @RequestMapping("/passPer")
    public String passPer(HttpServletRequest request){
        return "admin/resetPwd";
    }

Springmvc.xml(springmvc的配置文件中)

    <bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator"
          depends-on="lifecycleBeanPostProcessor">
        <property name="proxyTargetClass" value="true"></property>
    </bean>
    <bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
        <property name="securityManager" ref="securityManager"/>
    </bean>

    <!--    springmvc整合 shiro 實現註解式權限-->
    <bean id="exceptionResolver" class="org.springframework.web.servlet.handler.SimpleMappingExceptionResolver">
        <property name="exceptionMappings">
            <props>
                <!--                當用戶沒有權限會調轉到 unauthorized.jsp頁面-->
                <prop key="org.apache.shiro.authz.UnauthorizedException">
                    unauthorized
                </prop>
            </props>
        </property>
        <property name="defaultErrorView" value="unauthorized"/>
    </bean>

Jsp測試代碼

<ul>
    shiro註解
    <li>
        <a href="${pageContext.request.contextPath}/passUser">用戶認證</a>
    </li>
    <li>
        <a href="${pageContext.request.contextPath}/passRole">角色</a>
    </li>
    <li>
        <a href="${pageContext.request.contextPath}/passPer">權限認證</a>
    </li>
</ul>

測結果
zs只能查看身份認證的按鈕內容
ls、ww可以看權限認證按鈕內容
zdm可以看所有按鈕的內容

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

Springboot+Shiro+Mybatis 前後端分離

pom.xml <!--shiro start--> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifac

Andy8921 2020-07-08 00:16:48

Shiro(2)---授權

Shiro授權 1.授權流程 2.授權方式 Shiro 支持三種方式的授權: 1.編程式:通過寫if/else 授權代碼塊完成: Subject subject = SecurityUtils.getSubject(); if(

Kyle Stamos 2020-07-07 13:56:22

第八章 攔截器機制——《跟我學Shiro》[張開濤]

8.1 攔截器介紹 Shiro使用了與Servlet一樣的Filter接口進行擴展;所以如果對Filter不熟悉可以參考《Servlet3.1規範》http://www.iteye.com/blogs/subjects/Servlet-3

Angel_G 2020-07-05 20:30:04

第六章 Realm及相關對象——《跟我學Shiro》[張開濤]

6.1 Realm 【2.5 Realm】及【3.5 Authorizer】部分都已經詳細介紹過Realm了,接下來再來看一下一般真實環境下的Realm如何實現。    1、定義實體及關係 即用戶-角色之間是多對多關係,角色-權限之間是

Angel_G 2020-07-05 20:30:04

第九章 JSP標籤——《跟我學Shiro》[張開濤]

Shiro提供了JSTL標籤用於在JSP/GSP頁面進行權限控制,如根據登錄用戶顯示相應的頁面按鈕。     導入標籤庫 Java代碼   <%@taglib prefix="shiro" uri="http://shiro.apa

Angel_G 2020-07-05 20:30:04

18.SSM框架集~Shiro

18.SSM框架集~Shiro 本文是上一篇文章的後續,詳情點擊該鏈接         Apache Shiro 是一個強大而靈活的開源安全框架,它乾淨利落地處理身份認證,授權,企業會話管理和加密 Shiro官網 Shiro 中的

Java软件工程师· 2020-07-08 09:09:02

Springboot+Shiro+Mybatis+Thymeleaf

首先是pom.xml注入依賴包 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-

Andy8921 2020-07-08 00:16:47

初始Shiro

Shiro 關於 Apache Shiro 是一個強大易用的 Java 安全框架,提供了認證、授權、加密和會話管理等功能,對於任何一個應用程序,Shiro 都可以提供全面的安全管理服務。並且相對於 Spring Security安

GD柠檬 2020-07-07 11:25:19

shiro源碼分析04 -- SubjectDAO

前面的章節說完了Subject的創建過程,創建完Subject需要將其保存起來,而保存的過程則由SubjectDAO完成。既然每一次訪問都會創建一個新的Subject,那麼爲什麼還需要SubjectDAO來存儲呢?其實SubjectDAO

砖1⃣️的渣男 2020-07-07 09:29:51

Shiro框架學習筆記(二)基於內置ini文件的身份認證

一開始學習我們先從簡單的開始學習,先不從數據庫中取數據來進行交互檢測,先通過內置一個shiro.ini文件來進行簡單的身份驗證。 shiro.ini文件如下: #定義⽤戶信息 #格式:⽤戶名=密碼,⻆⾊1,⻆⾊2,.... [us

瓤瓤 2020-07-07 04:53:42

Shiro框架學習筆記(一)shiro簡介以及工作流程

不知道大家在做java web項目的時候有沒有想過這個,雖然我們一般做項目時都會選擇讓用戶先註冊登錄之後才能看到我們項目的具體內容,在知道了內部頁面的路徑之後我們能夠在未登錄的情況下,直接在網頁中輸入我們內部頁面的絕對路徑訪問到呢

瓤瓤 2020-07-07 04:53:42

Shiro框架學習筆記(三)與web集成之後進行簡單的身份驗證

首先說一下shiro在web程序中的運作流程 shiro就像是一個包裹着web應用程序的罩子,所有的用戶請求都需要經過shiro這一層罩子,經過shiro這層罩子以後,就會接着通過一條循環的過濾器鏈,從上到下通過,在經過與該請求適

瓤瓤 2020-07-07 04:53:42

freemarker與shiro

freemarker中shiro常用標籤:<@shiro.guest><@shiro.user> <shiro:hasRole name="admin

YtN_C 2020-07-06 22:32:55

Shiro學習(總結)

聲明:本文原文地址:http://www.iteye.com/blogs/subjects/shiro 感謝開濤提供的博文,讓我學到了很多,在這裏由衷的感謝你,同時我強烈的推薦開濤的博文,他的博文力爭完美,講解細緻,是基於實際的項

AlexLongjiu 2020-07-06 10:38:23

spring整合shiro系列(三)spring boot 整合 shiro

之前寫了兩篇有關shiro和spring的文章,結合目前java開發spring boot框架是大勢,所以有必要將shiro和spring boot進行一次整合。我在使用spring  boot的時候比較明顯的一個感觸就是原來spring

今天想吃柠檬 2020-07-06 07:55:45