Shiro框架验证用户拥有的权限并设置对应的权限给用户角色------Shiro框架

已于 2024-06-13 12:31:40 修改
阅读量880 收藏 13
点赞数 11
分类专栏: # Shiro框架 JAVA # Spring-Boot框架 文章标签: spring boot java mybatis 微服务 web安全 安全 后端
于 2024-06-13 00:04:58 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2201_75960169/article/details/139628920
版权
JAVA 同时被 3 个专栏收录
533 篇文章 3 订阅
订阅专栏
Spring-Boot框架
138 篇文章 0 订阅
订阅专栏
Shiro框架
17 篇文章 0 订阅
订阅专栏 
package com.alatus.shiro.realm;

import com.alatus.shiro.entity.User;
import com.alatus.shiro.service.UserService;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.util.ByteSource;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Component;
import org.springframework.util.ObjectUtils;
import java.util.List;

@Component
public class MyRealm extends AuthorizingRealm {
    @Autowired
    private UserService userService;
//    自定义授权方法
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
//        获取用户身份信息
        String name = principalCollection.getPrimaryPrincipal().toString();
//        获取授权角色列表
        List<String> roles = userService.getUserRoleInfo(name);
//        获取角色权限信息
        List<String> userPermission = userService.getUserPermissionInfo(roles);
//        创建对象封装当前用户的角色和权限信息
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
//        存储角色
        info.addRoles(roles);
//        储存角色权限信息
        info.addStringPermissions(userPermission);
//        返回角色信息
        return info;
    }

//    自定义登录认证方法
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
//        获取用户身份信息
        String name = authenticationToken.getPrincipal().toString();
//        调用业务层提供的用户信息
        User user = userService.getUserInfoByName(name);
//        非空判断,完成封装
        if(!ObjectUtils.isEmpty(user)){
            AuthenticationInfo info = new SimpleAuthenticationInfo(
                    authenticationToken.getPrincipal(),
                    user.getPwd(),
                    ByteSource.Util.bytes("salt"),
                    authenticationToken.getPrincipal().toString()
            );
            return info;
        }
        return null;
    }
}

package com.alatus.shiro.realm;

import com.alatus.shiro.entity.User;
import com.alatus.shiro.service.UserService;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.util.ByteSource;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Component;
import org.springframework.util.ObjectUtils;
import java.util.List;

@Component
public class MyRealm extends AuthorizingRealm {
    @Autowired
    private UserService userService;
//    自定义授权方法
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
//        获取用户身份信息
        String name = principalCollection.getPrimaryPrincipal().toString();
//        获取授权角色列表
        List<String> roles = userService.getUserRoleInfo(name);
//        获取角色权限信息
        List<String> userPermission = userService.getUserPermissionInfo(roles);
//        创建对象封装当前用户的角色和权限信息
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
//        存储角色
        info.addRoles(roles);
//        储存角色权限信息
        info.addStringPermissions(userPermission);
//        返回角色信息
        return info;
    }

//    自定义登录认证方法
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
//        获取用户身份信息
        String name = authenticationToken.getPrincipal().toString();
//        调用业务层提供的用户信息
        User user = userService.getUserInfoByName(name);
//        非空判断,完成封装
        if(!ObjectUtils.isEmpty(user)){
            AuthenticationInfo info = new SimpleAuthenticationInfo(
                    authenticationToken.getPrincipal(),
                    user.getPwd(),
                    ByteSource.Util.bytes("salt"),
                    authenticationToken.getPrincipal().toString()
            );
            return info;
        }
        return null;
    }
}

package com.alatus.shiro.controller;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.authz.annotation.RequiresPermissions;
import org.apache.shiro.authz.annotation.RequiresRoles;
import org.apache.shiro.subject.Subject;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestParam;
import org.springframework.web.bind.annotation.ResponseBody;
import javax.servlet.http.HttpSession;

@Controller
@RequestMapping("myController")
public class MyController {
    @GetMapping("userLogin")
    public String userLogin(String name, String pwd,@RequestParam(defaultValue = "false")boolean rememberMe, HttpSession session){
//        获取subject对象
        Subject subject = SecurityUtils.getSubject();
//        封装对象到token
        AuthenticationToken token = new UsernamePasswordToken(name,pwd,rememberMe);
//        调用login方法进行认证
        try{
            subject.login(token);
            session.setAttribute("user",token.getPrincipal().toString());
            return "main";
        }
        catch (AuthenticationException e){
            e.printStackTrace();
            return "登陆失败";
        }
    }
    @GetMapping("userLoginRm")
    public String userLogin(HttpSession session){
        session.setAttribute("user","rememberMe");
        return "main";
    }

//    跳转登陆页面
    @GetMapping("login")
    public String login(){
        return "login";
    }

//    登录认证验证角色
    @RequestMapping("userLoginRoles")
    @RequiresRoles("admin")
    @ResponseBody
    public String userLoginRoles(){
        return "验证角色成功";
    }

//    登陆验证权限
    @RequestMapping("userLoginPermission")
    @RequiresPermissions("user:add")
    @ResponseBody
    public String userPermission(){
        return "验证权限成功";
    }
}

package com.alatus.shiro.controller;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.authz.annotation.RequiresPermissions;
import org.apache.shiro.authz.annotation.RequiresRoles;
import org.apache.shiro.subject.Subject;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestParam;
import org.springframework.web.bind.annotation.ResponseBody;
import javax.servlet.http.HttpSession;

@Controller
@RequestMapping("myController")
public class MyController {
    @GetMapping("userLogin")
    public String userLogin(String name, String pwd,@RequestParam(defaultValue = "false")boolean rememberMe, HttpSession session){
//        获取subject对象
        Subject subject = SecurityUtils.getSubject();
//        封装对象到token
        AuthenticationToken token = new UsernamePasswordToken(name,pwd,rememberMe);
//        调用login方法进行认证
        try{
            subject.login(token);
            session.setAttribute("user",token.getPrincipal().toString());
            return "main";
        }
        catch (AuthenticationException e){
            e.printStackTrace();
            return "登陆失败";
        }
    }
    @GetMapping("userLoginRm")
    public String userLogin(HttpSession session){
        session.setAttribute("user","rememberMe");
        return "main";
    }

//    跳转登陆页面
    @GetMapping("login")
    public String login(){
        return "login";
    }

//    登录认证验证角色
    @RequestMapping("userLoginRoles")
    @RequiresRoles("admin")
    @ResponseBody
    public String userLoginRoles(){
        return "验证角色成功";
    }

//    登陆验证权限
    @RequestMapping("userLoginPermission")
    @RequiresPermissions("user:add")
    @ResponseBody
    public String userPermission(){
        return "验证权限成功";
    }
}

package com.alatus.shiro.service;

import com.alatus.shiro.entity.User;

import java.util.List;

public interface UserService {
//    用户登录
    User getUserInfoByName(String name);
//    根据用户查询角色信息
    List<String> getUserRoleInfo(String principal);
//    获取用户的角色权限信息
    List<String> getUserPermissionInfo(List<String> roles);
}

package com.alatus.shiro.service;

import com.alatus.shiro.entity.User;

import java.util.List;

public interface UserService {
//    用户登录
    User getUserInfoByName(String name);
//    根据用户查询角色信息
    List<String> getUserRoleInfo(String principal);
//    获取用户的角色权限信息
    List<String> getUserPermissionInfo(List<String> roles);
}

package com.alatus.shiro.service.impl;

import com.alatus.shiro.entity.User;
import com.alatus.shiro.mapper.UserMapper;
import com.alatus.shiro.service.UserService;
import com.baomidou.mybatisplus.core.conditions.query.QueryWrapper;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Service;

import java.util.List;

@Service
public class UserServiceImpl implements UserService {
    @Autowired
    private UserMapper userMapper;
    @Override
    public User getUserInfoByName(String name) {
        QueryWrapper<User> wrapper = new QueryWrapper<>();
        wrapper.eq("name",name);
        User user = userMapper.selectOne(wrapper);
        return user;
    }

    @Override
    public List<String> getUserRoleInfo(String principal) {
        return userMapper.getUserRoleInfoMapper(principal);
    }

    @Override
    public List<String> getUserPermissionInfo(List<String> roles) {
        return userMapper.getUserPermissionInfoMapper(roles);
    }
}

package com.alatus.shiro.service.impl;

import com.alatus.shiro.entity.User;
import com.alatus.shiro.mapper.UserMapper;
import com.alatus.shiro.service.UserService;
import com.baomidou.mybatisplus.core.conditions.query.QueryWrapper;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Service;

import java.util.List;

@Service
public class UserServiceImpl implements UserService {
    @Autowired
    private UserMapper userMapper;
    @Override
    public User getUserInfoByName(String name) {
        QueryWrapper<User> wrapper = new QueryWrapper<>();
        wrapper.eq("name",name);
        User user = userMapper.selectOne(wrapper);
        return user;
    }

    @Override
    public List<String> getUserRoleInfo(String principal) {
        return userMapper.getUserRoleInfoMapper(principal);
    }

    @Override
    public List<String> getUserPermissionInfo(List<String> roles) {
        return userMapper.getUserPermissionInfoMapper(roles);
    }
}

package com.alatus.shiro.mapper;

import com.alatus.shiro.entity.User;
import com.baomidou.mybatisplus.core.mapper.BaseMapper;
import org.apache.ibatis.annotations.Param;
import org.apache.ibatis.annotations.Select;
import org.springframework.stereotype.Repository;
import java.util.List;

@Repository
public interface UserMapper extends BaseMapper<User> {
    @Select("SELECT `name` FROM role " +
            "WHERE id IN (" +
            "   SELECT rid FROM role_user " +
            "   WHERE uid = (" +
            "       SELECT id FROM `user` " +
            "       WHERE `name` = #{principal}" +
            "   )" +
            ");")
    List<String> getUserRoleInfoMapper(@Param("principal") String principal);

    @Select({
            "<script>",
            "SELECT info FROM permissions WHERE id IN (",
            "SELECT pid FROM role_ps WHERE rid IN (",
            "SELECT id FROM role WHERE name IN",
            "<foreach collection='roles' item='name' open='(' separator=',' close=')'>#{name}</foreach>",
            " )", // 加上关闭IN子句的括号
            ")",
            "</script>"
    })
    List<String> getUserPermissionInfoMapper(@Param("roles") List<String> roles);
}

package com.alatus.shiro.mapper;

import com.alatus.shiro.entity.User;
import com.baomidou.mybatisplus.core.mapper.BaseMapper;
import org.apache.ibatis.annotations.Param;
import org.apache.ibatis.annotations.Select;
import org.springframework.stereotype.Repository;
import java.util.List;

@Repository
public interface UserMapper extends BaseMapper<User> {
    @Select("SELECT `name` FROM role " +
            "WHERE id IN (" +
            "   SELECT rid FROM role_user " +
            "   WHERE uid = (" +
            "       SELECT id FROM `user` " +
            "       WHERE `name` = #{principal}" +
            "   )" +
            ");")
    List<String> getUserRoleInfoMapper(@Param("principal") String principal);

    @Select({
            "<script>",
            "SELECT info FROM permissions WHERE id IN (",
            "SELECT pid FROM role_ps WHERE rid IN (",
            "SELECT id FROM role WHERE name IN",
            "<foreach collection='roles' item='name' open='(' separator=',' close=')'>#{name}</foreach>",
            " )", // 加上关闭IN子句的括号
            ")",
            "</script>"
    })
    List<String> getUserPermissionInfoMapper(@Param("roles") List<String> roles);
}
旧约Alatus
关注
  • 11
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro验证用户和获取权限角色
bigwatermel的博客
09-16 1万+
这2个方法究竟是在什么时候调用的,记录如下: shiro 中的AuthorizingRealm有2个方法doGetAuthorizationInfo()和doGetAuthenticationInfo(),一般实际开发中, 我们都继承AuthorizingRealm类然后重写doGetAuthorizationInfo和doGetAuthenticationInfo。          do...
shiro获取登录状态和用户信息
08-04
shiro根据session获取登录状态和用户信息
Shiro——没有角色无法访问、获取角色进行验证、获取权限进行验证以及异常处理
最新发布
程序员阿皓的博客
05-06 515
Shiro——没有角色无法访问、获取角色进行验证、获取权限进行验证以及异常处理
③【Shiro角色(权限组)、权限授权
ebb29bbe的博客
03-20 948
Shiro权限授权
Shiro角色权限权限添加与判断操作(四)
qq_37431224的博客
01-10 1580
一、Shiro是基于RBAC: 基于角色权限管理 简单理解为:谁扮演什么角色, 被允许做什么操作 用户对象:user: 当前操作用户 角色对象:role:表示权限操作许可权的集合 权限对象:permission: 资源操作许可权 例子:张三(user) 下载(permission)一个高清无码的种子(资源), 需要VIP权限(role) 张三--->普通用户--->授权-...
SpringBoot + Apache Shiro1.9.1 最新版本详细教程,基于RBAC角色访问、安全管理框架用户角色权限
07-26
0、重点!重点!...1、本教程适用所有开发人员简单易懂,结合文章教程与demo示例。...5、基于RBAC五张表:用户表 tb_user、角色表tb_role、权限表tb_permission用户角、表tb_user_role、角色权限tb_role_permissio
springboot-shiro权限管理系统.zip
07-05
2. **Shiro框架** Apache Shiro提供了身份认证、授权、会话管理和安全相关的API,使得开发者能够轻松地实现权限控制。它的核心组件包括Subject(主体)、SecurityManager(安全管理器)、Realms(领域)和...
SpringBoot2.0整合Shiro框架实现用户权限管理的示例
08-25
6. 实现用户权限管理:使用Shiro框架可以实现用户权限管理,通过Realm域对象来定义访问数据的方式,并通过SecurityManager来完成用户认证和授权。 7. 示例代码:通过详细的示例代码,展示了如何使用Shiro框架来实现...
shiro-main.zip
09-25
Shiro 提供了Role(角色)和Permission权限)的概念,用户可以被赋予一个或多个角色,每个角色又可以关联多个权限。通过这些,我们可以实现细粒度的权限控制。 **3. 加密**:Shiro 提供了丰富的加密工具类,如MD5...
sping-boot-shiro-jwt-redis-refreshtoken.zip
08-25
5. 服务器验证刷新令牌的有效性,并在Redis中找到对应的记录,生成新的访问令牌并返回给客户端。 6. 客户端用新令牌替换旧令牌,继续进行受保护的API调用。 通过这种方式,项目实现了基于Spring Boot安全框架,...
Shiro框架Shiro用户访问控制鉴权流程-内置过滤器方式源码解析
博客园
01-18 1382
Shiro作为一款比较流行的登录认证、访问控制安全框架,被广泛应用在程序员社区;Shiro登录验证、访问控制、Session管理等流程内部都是委托给SecurityManager安全管理器来完成的,SecurityManager安全管理器前面文章已经进行了详细解析;在此基础上,上篇文章已对Shiro用户登录认证流程进行了源码跟踪,本篇文章继续对下一个核心流程---用户访问控制鉴权流程进行源码解析;
shiro笔记
godfather_001的博客
09-11 364
先创建过滤器对象,过滤器对象设置了管理器对象、过滤器对象同时可以设置接口权限、跳转login页面等,配置好的管理器对象要关联realm对象。大致思路就是过滤器设置访问接口需要的访问权限用户登录是就对该用户先进行认证,认证成功后授予访问权利,这用用户就可以访问有权访问的权利。realm对象 给当前用户授权和进行认证两个逻辑功能。认证逻辑中有两个逻辑判断用户名和验证密码两个逻辑。securityManager 安全管理器对象 安全管理器对象关联realm对象。访问某个接口时,就会先执行授权逻辑。
shiro概述(四)注解式授权校验
w_t_y_y的博客
12-28 373
1)注解式授权拦截只能用于方法,用在类头上无效; 2)项目支持拦截式注解的前提是开启了aop: <!-- AOP依赖,必须,否则shiro权限拦截验证不生效 --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-aop</artifactId
springsecurity-shiro获取登录用户详解
imVainiycos的博客
10-26 4925
SpringSecurity与Shiro实现原理类似。Shiro更轻量,SpringSecurity与Spring结合度更高也更复杂。安全认证之SecurityContextHolderSpringSecurity登录用户数据获取Spring Security 详解Shiro - Shiro简介;ShiroSpring Security区别;Spring Boot集成Shiro
企业员工角色权限管理平台(SpringBoot2.0+Mybatis+Shiro+Vue)
08-07
课程简介:历经半个多月的时间,Debug亲自撸的 “企业员工角色权限管理平台” 终于完成了。正如字面意思,本课程讲解的是一个真正意义上的、企业级的项目实战,主要介绍了企业级应用系统中后端应用权限的管理,其中主要涵盖了六大核心业务模块、十几张数据库表。 其中的核心业务模块主要包括用户模块、部门模块、岗位模块、角色模块、菜单模块和系统日志模块;与此同时,Debug还亲自撸了额外的附属模块,包括字典管理模块、商品分类模块以及考勤管理模块等等,主要是为了更好地巩固相应的技术栈以及企业应用系统业务模块的开发流程! 核心技术栈列表: 值得介绍的是,本课程在技术栈层面涵盖了前端和后端的大部分常用技术,包括Spring BootSpring MVC、MybatisMybatis-Plus、Shiro(身份认证与资源授权跟会话等等)、Spring AOP、防止XSS攻击、防止SQL注入攻击、过滤器Filter、验证码Kaptcha、热部署插件Devtools、POI、Vue、LayUI、ElementUI、JQuery、HTML、Bootstrap、Freemarker、一键打包部署运行工具Wagon等等,如下图所示: 课程内容与收益: 总的来说,本课程是一门具有很强实践性质的“项目实战”课程,即“企业应用员工角色权限管理平台”,主要介绍了当前企业级应用系统中员工、部门、岗位、角色权限、菜单以及其他实体模块的管理;其中,还重点讲解了如何基于Shiro的资源授权实现员工-角色-操作权限、员工-角色-数据权限的管理;在课程的最后,还介绍了如何实现一键打包上传部署运行项目等等。如下图所示为本权限管理平台的数据库设计图: 以下为项目整体的运行效果截图: 值得一提的是,在本课程中,Debug也向各位小伙伴介绍了如何在企业级应用系统业务模块的开发中,前端到后端再到数据库,最后再到服务器的上线部署运行等流程,如下图所示:
springboot整合shiro实现基础的用户角色权限管理
begefefsef的博客
04-26 1145
文章目录 1. 用户角色权限需要解决的问题及shiro的解决方案 2. 过滤器 3. 登录并获取菜单权限 4. shiro授权 5. 总结 项目地址 1. 用户角色权限需要解决的问题及shiro的解决方案 灵活配置需要和不需要拦截的页面 shiro提供了过滤器可以灵活配置需要和不需要拦截的页面 实现用户认证 shiro整合了HttpSession(web应用)可以保存用户登录的信息。 根据当前认证用户加载不同的菜单权限 这个和shiro无关,直接展示用户具有的菜单权
SpringBoot整合Shiro】排查源码解决Shiro 无法获取角色权限问题
Zhou_LC的博客
11-03 586
自定义 Relam 后角色权限失效。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值