实战-Shiro安全框架(二)权限控制

最新推荐文章于 2023-02-21 11:36:19 发布
最新推荐文章于 2023-02-21 11:36:19 发布
阅读量617 收藏 1
点赞数 1
分类专栏: shiro 文章标签: shiro 权限控制 安全 实战
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/China_eboy/article/details/83449096
版权

  上一篇讲解了shiro的认证流程以及实现。这一篇,笔者要详细讲解shiro的另一重要部分就是权限控制,简称授权。

  授权流程跟认证流程很相似,大致过程为当前用户subject调用isPermitted*/hasRole* 接口时,将会委派给security manager,security manager委派给Authorizer(授权器)。比如调用的是isPermitted("user:create"),其中PermissionResolver 把字符串转换成相应的 Permission 实例。在进行授权之前,其会调用相应的 Realm 获取 Subject 相应的角色/权限用于匹配传入的角色/权限;Authorizer 会判断 Realm 的角色/权限是否和传入的匹配,如果有多个Realm,会委托给 ModularRealmAuthorizer 进行循环判断, 如果匹配如 isPermitted*/hasRole* 会返回true,否则返回false表示授权失败。

   Shiro支持三种授权方式,分别如下:

   编程式:通过写if/else 授权代码块完成 (不推荐

   注解式:通过在执行的Java方法上放置相应的注解完成,没有权限将抛出相 应的异常 (需要在springmvgc配置文件加一段配置才能注解生效

<!--
   4. 配置 LifecycleBeanPostProcessor. 可以自定的来调用配置在 Spring IOC 容器中 shiro bean 的生命周期方法.
   -->
	<bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>

	<!-- Enable Shiro Annotations for Spring-configured beans.  Only run after
         the lifecycleBeanProcessor has run: -->
	<!--
    5. 启用 IOC 容器中使用 shiro 的注解. 但必须在配置了 LifecycleBeanPostProcessor 之后才可以使用.
    -->
	<bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator"
		  depends-on="lifecycleBeanPostProcessor">
		<property name="proxyTargetClass" value="true" />
	</bean>
	<bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
		<property name="securityManager" ref="securityManager"/>
	</bean>

   JSP/GSP 标签:在JSP/GSP 页面通过相应的标签完成(需要引入标签库<%@ taglib prefix="shiro" uri="http://shiro.apache.org/tags" %>   )

例如

<shiro:principal></shiro:principal>
	
<shiro:hasRole name="admin">

   shiro的权限规则

规则:资源标识符:操作:对象实例 ID 。 即对哪个资源的哪个 实例可以进行什么操作.。其默认支持通配符权限字符串,: 表 示资源/操作/实例的分割;, 表示操作的分割,* 表示任意资 源/操作/实例。例如:user:create  表示可以拥有对user模块(领域)进行新增操作的权限。

接下来进行具体演示,准备好数据表

1.用户表

2.角色表

3.权限表

4.用户-角色表

5.角色-权限表

 

6.service接口

实际开发中,我们常常将用户按角色来划分,不同角色拥有不同权限,而不是直接按用户具有哪些权限来操作。

现在开始编码实现,实现realm中的授权方法,具体如下

 @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
//获取唯一标识principal
        String principal = (String) principalCollection.getPrimaryPrincipal();
//从数据库获取用户的具体权限信息
        Set<String> permissions = userService.getPermissions(principal);
//从数据库获取用户的具体角色信息
        Set<String> roles = userService.getRoles(principal);
//创建具有permissions、roles信息的SimpleAuthorizationInfo返回
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo(roles);
        info.setStringPermissions(permissions);
        return info;
    }

UserServcie接口方法的具体实现如下

@Override
    public Set<String> getRoles(String loginName) {
        SysUser user = getUserByLoginNmae(loginName);
        SysUserRoleExample userRoleExample = new SysUserRoleExample();
        userRoleExample.createCriteria().andUserCodeEqualTo(user.getUserCode());
        List<SysUserRole> rolesCode = userRoleMapper.selectByExample(userRoleExample);
        Set<String> roles = new HashSet<>();
        SysRoleExample roleExample = new SysRoleExample();
        for (SysUserRole userRole : rolesCode) {
            roleExample.clear();
            roleExample.createCriteria().andRoleCodeEqualTo(userRole.getRoleCode());
            List<SysRole> roles1 = roleMapper.selectByExample(roleExample);
            for (SysRole role : roles1) {
                roles.add(role.getRoleCode());
            }
        }
        return roles;
    }
@Override
    public Set<String> getPermissions(String loginName) {
        Set<String> permissions = new HashSet<>();
        Set<String> roles = getRoles(loginName);
        SysRolePermissionExample example = new SysRolePermissionExample();
        for (String role : roles) {
            example.clear();
            example.createCriteria().andRoleCodeEqualTo(role);
            List<SysRolePermission> rolePermissions = rolePermissionMapper.selectByExample(example);
            for (SysRolePermission permission : rolePermissions) {
                permissions.add(permission.getPermissionCode());
            }
        }
        return permissions;
    }
@Override
    public SysUser getUserByLoginNmae(String loginName) {
        SysUserExample example = new SysUserExample();
        example.createCriteria().andLoginNameEqualTo(loginName);
        List<SysUser> users = userMapper.selectByExample(example);
        return users.get(0);
    }

这代码还没有优化,有点又臭又长。。。

这里要补充一点就是,在shiro认证的时候,在realm里就会把先认证和后授权一次性执行完毕,也就是说,在登陆成功后,该用户的角色和权限信息就已经得到并保存起来了,而不是认证的时候就只执行doGetAuthenticationInfo,授权的时候就再跳到realm只执行doGetAuthorizationInfo。这也很符合逻辑。在接下来的一些权限访问控制时,就会取出来进行匹配。

后台controller代码如下

    //只有admin角色才能行执行controller
    @RequiresRoles(value = {"admin"})
   //只有具有"user:delete"权限才能执行此controller
    @RequiresPermissions({"user:delete"})
    @RequestMapping("/UserCreate.action")
    public String userCreate(){
        Subject subject = SecurityUtils.getSubject();
    //用户已经认证过
        if (subject.isAuthenticated()){
            if (subject.isPermitted("user:delete")) System.out.println("拥有创建用户权限!!!");
            if (subject.hasRole("admin")) System.out.println("拥有角色");
            userService.createUser(new SysUser());
            System.out.println("controller创建user");
        }
        return "list";
    }

注意:要想在springmvc让shiro的注解生效,必须在spring的配置文件配置让注解生效的配置

笔者试了一下,在service层加注解,注解会失效,因为配置了spring的事务管理的原因,让shiro注解失效了,所以最好就是加在controller里,也比较符合我们的实际开发。

如果没有权限或者角色访问的话,shiro会报错,如下所示

啊杰eboy
关注
专栏目录
Spring-shiro-Boot-10 shiro项目中的权限控制实例
良之才的专栏
03-21 634
以user模块来实现shiro中的权限控制。 一、用户列表展示-----前端进行permissions权限控制 (1) 前端:获取用户当前权限 function checkPermission() { var pers = []; $.ajax({ type : 'get', url : '/permissions/owns', contentType : "application/json; charset=utf-8", async : false, success
springboot整合Shiro安全框架实现权限控制
淡漠的博客
12-22 421
springboot整合Shiro安全框架实现权限控制 当使用shiro安全框架验证是否有权限时,需要创建5张表,分别为: 数据库表: ​ user:用户表 ​ user_role:用户角色中间表 ​ role:角色表 ​ role_permission:角色权限中间表 ​ permission:权限表 实体类:user permission import lombok.Data; @Data public class User { private Integer id; privat
Shiro学习(四)之权限控制
qq_30072161的博客
05-25 122
两大类:基于角色 基于权限字符串 在自定义的realm中重写父类的授权方法 @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { // principals 是给我们的身份信息集合,但是只能有一个主身份 String primaryPrincipal = (String) principals.getPrimaryPrincipal(); Sys
小白使用shiro安全框架|SpringBoot框架整合Shiro安全框架|使用Shiro安全框架实现用户用户角色接口权限管理|解决Shiro安全框架多角色权限问题
oh geez
05-18 565
前情提示: 1、我的数据库一共有4种用户类型表:student、school、company、admin,每张表都有属性role,以此让shiro获得用户角色。因此我实现的方法比较笨拙,仅供参考。有啥问题可以留言,共同进步哈。 2、因为shiro的用户权限是默认交集的,即一个接口配置多个用户角色的话就时必须时全部都满足这个角色才能访问。因此我进行了第四步配置。如果没有这个问题的话可以忽略第四步。 一、新建一个对象User类 public class User { private Integer id
shiro框架权限设定(三)
阿沐沐的博客
05-17 641
这篇的代码是根据上一篇的内容进行深入。 shiro框架的简单介绍以及使用(一) shiro框架的密码校验() 代码在前几篇,自取。 这篇的话因为权限校验我的使用经验并没有太复杂的东西,所以也只能大概的讲一下了。 这方面我属实没有啥太多的使用经验,讲的不好见谅,望斧正。 一、权限校验的使用 这玩意的话我个人感觉没什么需要讲的东西,它自带的权限验证就已经够我使用了 1.1 数据库设计 这玩意的话需要使用数据库,但是呢,我写教学代码不喜欢链数据库,所以我就把设计数据库的代码贴到下面。 你们自己想办法去链数据库,
Apache Shiro权限框架实战+项目案例视频课程
06-09
Apache Shiro是一个强大的Java安全框架,它为应用程序提供了身份验证(Authentication)、授权(Authorization)以及会话管理(Session Management)等功能。本课程旨在通过实战演练和项目案例,帮助学习者深入理解...
springboot-08-shiro.rar
03-31
总结,SpringBoot与Shiro的整合能帮助开发者快速搭建安全控制体系,通过简单的配置和代码就能实现用户的登录、权限控制等功能,大大提高了开发效率。在实际项目中,可以根据需求进行扩展,如集成OAuth2、JWT等现代...
spring-shiro-training-master.zip_guide8go_shiro_spring_spring 权限
09-19
《Spring-Shiro集成实战:构建企业级权限管理系统》 在当今的企业级Web开发中,权限管理是不可或缺的一部分,它确保了系统的安全性和用户访问的合法性。本教程将深入探讨如何结合Spring框架与Apache Shiro库,构建...
Spring-Boot实战-FEBS-shiro(持续更新)
u014516009的博客
05-07 3999
FEBS-shiro FEBS-shiro 是一个Spring-Boot 开源项目。本文将讲解该项目实现步骤。 日志 该项目采用Spring-Boot默认日志框架。 日志代码架构 该项目通过在classpath路径下,创建logback-spring.xml配置文件,配置日志。 logback-spring.xml <?xml version="1.0" encoding="UTF-8"?...
shiro安全框架
01-29
Apache Shiro是一个强大的Java安全框架,它为应用程序提供了身份验证、授权、会话管理和加密等核心安全性服务。在结合SpringMVC的情况下,Shiro能够帮助开发者构建出具有完整权限控制功能的应用程序。在这个demo中,...
Shiro系列(2) - 权限模型以及权限分配的两种方式
weixin_34392906的博客
10-23 239
1. 顶级账户分配权限用户需要被分配相应的权限才可访问相应的资源。权限是对于资源的操作一张许可证。给用户分配资源权限需要将权限的相关信息保存到数据库。这些相关内容包含:用户信息、权限管理、用户分配的权限信息(数据模型) 2. 权限模型设计主体(user、password)权限权限名称、资源id)/资源(资源名称、访问url)角色(角色名称)角色和权限关系(角色id、权限id)主体和角色关系(主体...
多租户改造方案(用户基础模块)角色、部门、菜单可参考官方文档
qq_33776323的博客
09-15 5534
修改用户表:sys_user 增加 tenant_id(租户ID,注意实体增加对应字段) 修改 MybatisPlusSaasConfig 修改登录接口 LoginController ,用户查询 ,登录检查用户是否有效不添加租户的附加条件(租户ID) 接口ISysUserService新增: /** * 用户登录查询,不进行SQL解析,不添加租户的附加条件 * @param userName * @return */ SysUser getOneUser(Stri..
Spring Boot与Shiro实现权限管理02
pikcacho_pkq的博客
11-06 663
用户权限管理系统一般包括以下模块: 根据基本的功能可以总结出6张数据库表:接下来就是创建数据库acs和表的具体设计了。 权限表用于将系统中所有支持进行权限控制的资源及其相关操作进行声明。WildcardPermission 是 Shiro Permission 接口的一个实现,它允许我们将权限表示为通配符的方式,通配符字符串能作为方法参数传递给 Subject.isPermitted 以完成权限检查。例如:接下来需要将系统中所有的权限都定义好,然后插入到数据库中。 2.sys_role: 我们对具有不同权
Java参数前加...是什么意思呢
weixin_44371237的博客
01-25 1275
如图,String …permissions这种写法是从Java 5开始的,Java语言对方法参数支持一种新写法,叫可变长度参数列表 表示此处接受的参数为0到多个String 类型的对象,或者是一个String[]
android 权限判断
介亭的博客
03-27 2568
1.SplashActivity @Override protected void onCreate(Bundle savedInstanceState) { super.onCreate(savedInstanceState); setContentView(R.layout.activity_main); if (Build.VERSION.SDK_INT >= 23) {//...
权限认证
祈祷之手
06-27 1002
权限认证流程 对 isPermitted 进行分析 public static void main(String[] args) { Factory&amp;lt;SecurityManager&amp;gt; factory = new IniSecurityManagerFactory(&quot;classpath:shiro.ini&quot;); Secur...
关于若依框架中v-hasRole/v-hasPermi作用到el-table-column中无法生效问题
最新发布
qq619982638的博客
02-21 3307
若依框架,v-hasRole/v-hasPermi,el-table-column
shiro的三种权限控制方式
编程笔记
09-14 1089
shiro控制权限的三种方式
SpringBoot+shiro整合学习之登录认证和权限控制
qq_20954959的博客
02-13 8129
学习任务目标 用户必须要登陆之后才能访问定义链接,否则跳转到登录页面。 对链接进行权限控制,只有当当前登录用户有这个链接访问权限才可以访问,否则跳转到指定页面。 输入错误密码用户名或则用户被设置为静止登录,返回相应json串信息。 我是用的是之前搭建的一个springboot+mybatisplus+jsp的一个基础框架。在这之上进行shiro的整合。需要的同学可以去我的码云下载。 导入shiro
Apache Shiro安全框架详解:架构与实战
"Apache Shiro是一个全面的Java安全框架,用于处理认证、授权、加密和会话管理等安全需求。它可以应用于JavaSE和JavaEE环境。Shiro的核心组件包括Subject、SecurityManager、Realms,以及相应的配置文件如shiro.ini...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

啊杰eboy

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值