Spring+Shiro权限管理 (二) 通过访问数据库实现用户的授权

最新推荐文章于 2020-08-06 15:08:19 发布
最新推荐文章于 2020-08-06 15:08:19 发布
阅读量630 收藏 1
点赞数 1
分类专栏: Shiro 文章标签: shiro授权 ssm druid
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Escorts/article/details/99944470
版权

前情提要,上一篇博客主要讲了Spring和Shiro整合(基于Shiro使用MD5加盐对密码加密,以及Shiro的认证流程)。

本篇基于上一篇博客,做以下两点补充:

一、基于Shiro对用户授权

二、Durid连接池监控

 

思路:

shiro查询是否有操作权限,前提要有个权限集合,这个集合从数据库中查询而来。

例如:

当点击新增用户,我们要在新增前,利用Shiro判断当前用户是否拥有新增用户的权限。

实际操作:

数据库中,通过当前用户信息查询当前用户的角色  》》》 在通过角色信息查询当前角色拥有的操作权限  》》》 拿到用户的操作权限集合

在UserRealm类中的doGetAuthorizationInfo授权方法中,simpleAuthorizationInfo.setStringPermissions(权限集合)。

 

具体实现步骤(比较乱,哈哈)

 

一、基于Shiro对用户授权

1、数据库设计(考虑表之间存在多对多关系)

① user(用户表)

② role(角色表)

③ permission(权限表)

④ user_role(用户和角色的中间表)

⑤ role_permission(角色和权限的关系表)  

2、因为修改了数据库结构,所以新增用户的方式也要修改下(新增用户时,也要设置角色)

①、在UserDao接口中添加添加角色的方法

public void addUserAndRole(@Param("idCode")Integer idCode,@Param("roleId") Integer roleId);

②、在UserDao.xml中添加:

    <insert id="addUserAndRole" parameterType="Integer" >
        INSERT INTO user_role (uid,rid) VALUES (#{idCode},#{roleId})
    </insert>

③、修改UserService中的addUser方法:

/*新增员工*/
public void addUser(User user,Integer roleId);

④、修改UserSreviceImp中addUser的实现(添加用户的同时向user_role表添加关系,这里用到了@Transactional事务注解)

    @Transactional
    @Override
    public void addUser(User user,Integer roleId) {

        userDao.addUser(user);
        /*同时绑定角色*/
        userDao.addUserAndRole(user.getIdCode(),roleId);
    }

⑤、spring引用事务注解的配置:

a、引入依赖:

<dependency>
    <groupId>org.springframework</groupId>
    <artifactId>spring-tx</artifactId>
    <version>${spring.version}</version>
</dependency>

b、applicationContext.xml头文件:

c、aplicationContext.xml中配置:

    <!-- 支持事务注解 -->
    <tx:annotation-driven transaction-manager="transactionManager"/>
    <!-- 配置事务管理组件 -->
    <bean id="transactionManager" class="org.springframework.jdbc.datasource.DataSourceTransactionManager">
        <property name="dataSource" ref="dataSource"/>
    </bean>

3、引入AOP依赖(用于Shiro注解)

        <dependency>
            <groupId>org.springframework</groupId>
            <artifactId>spring-aop</artifactId>
            <version>${spring.version}</version>
        </dependency>
        <dependency>
            <groupId>aopalliance</groupId>
            <artifactId>aopalliance</artifactId>
            <version>1.0</version>
        </dependency>

        <dependency>
            <groupId>org.aspectj</groupId>
            <artifactId>aspectjrt</artifactId>
            <version>1.9.4</version>
        </dependency>
        <dependency>
            <groupId>org.aspectj</groupId>
            <artifactId>aspectjweaver</artifactId>
            <version>1.9.4</version>
        </dependency>

4、applicationContext.xml

头部文件添加:

applicationContext.xml中添加:

    <!-- 支持事务注解 -->
    <tx:annotation-driven transaction-manager="transactionManager"/>
    <!-- 配置事务管理组件 -->
    <bean id="transactionManager" class="org.springframework.jdbc.datasource.DataSourceTransactionManager">
        <property name="dataSource" ref="dataSource"/>
    </bean>

Shiro拦截器链中添加箭头指向的内容,

/admin = roles[admin] 意思是只有拥有admin角色的用户才可以访问/admin
/toAddUser = perms[add] 意思是只有拥有add权限的用户才可以访问/toAddUser

5、配置entity、dao、service、controller。

添加实体类(Role角色类、Permission权限类)

package com.xcj.jquery_ajax.entity;

import lombok.Getter;
import lombok.Setter;
import lombok.ToString;

@Setter
@Getter
@ToString
public class Role {
    Integer roleId;
    String roleName;
}

package com.xcj.jquery_ajax.entity;

import lombok.Getter;
import lombok.Setter;
import lombok.ToString;

@Setter
@Getter
@ToString
public class Permission {
    Integer permissionId;
    String permissionName;
}

新增RoleDao接口:

package com.xcj.jquery_ajax.dao;

import com.xcj.jquery_ajax.entity.Role;
import org.apache.ibatis.annotations.Param;

import java.util.List;
import java.util.Set;

public interface RoleDao {
    
    /*查询数据库中所有的角色*/
    public List<Role> findRole();

    /*通过用户编号获取用户角色名集合*/
    public Set<String> findRoleByIdCode(@Param("idCode") Integer idCode);

}

RoleDao.xml

<?xml version="1.0" encoding="utf-8" ?>
<!DOCTYPE mapper PUBLIC "-//mybatis.org//DTD Mapper 3.4//EN" "http://mybatis.org/dtd/mybatis-3-mapper.dtd">

<mapper namespace="com.xcj.jquery_ajax.dao.RoleDao">
    <resultMap id="resultMap" type="Role">
        <id property="roleId" column="rid" javaType="Integer"/>
        <result property="roleName" column="rname" javaType="String"/>
    </resultMap>

    <select id="findRole" resultMap="resultMap">
        SELECT * FROM role
    </select>

    <select id="findRoleByIdCode" parameterType="Integer" resultType="String">
        SELECT r.rname FROM role r JOIN user_role ur ON ur.rid = r.rid WHERE ur.uid = #{idCode}
    </select>
</mapper>

PermissionDao接口

package com.xcj.jquery_ajax.dao;

import com.xcj.jquery_ajax.entity.Permission;
import org.apache.ibatis.annotations.Param;

import java.util.Set;

public interface PermissionDao {

    /*通过员工编号查询他的权限*/
    public Set<String> findPermissionByIdCode(@Param("idCode") Integer idCode);
}

PermissionDao.xml

<?xml version="1.0" encoding="utf-8" ?>
<!DOCTYPE mapper PUBLIC "-//mybatis.org//DTD Mapper 3.4//EN" "http://mybatis.org/dtd/mybatis-3-mapper.dtd">

<mapper namespace="com.xcj.jquery_ajax.dao.PermissionDao">
    <resultMap id="resultMap" type="Permission">
        <id property="permissionId" column="pid" javaType="Integer"/>
        <result property="permissionName" column="pname" javaType="String"/>
    </resultMap>

    <select id="findPermissionByIdCode" parameterType="Integer" resultType="String">
        SELECT p.pname FROM permission p
        JOIN role_permission rp ON p.pid = rp.pid
        JOIN user_role ur ON ur.rid = rp.rid
        WHERE ur.uid = #{idCode}
    </select>

</mapper>

RoleService接口

package com.xcj.jquery_ajax.service;

import com.xcj.jquery_ajax.entity.Role;

import java.util.List;
import java.util.Set;

public interface RoleService {

    public List<Role> findRole();

    public Set<String> findRoleByIdCode(Integer idCode);
}

RoleServiceImp

package com.xcj.jquery_ajax.service.serviceImp;

import com.xcj.jquery_ajax.dao.RoleDao;
import com.xcj.jquery_ajax.entity.Role;
import com.xcj.jquery_ajax.service.RoleService;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Service;

import java.util.List;
import java.util.Set;

@Service("RoleService")
public class RoleServiceImp implements RoleService {

    @Autowired
    RoleDao roleDao;

    @Override
    public List<Role> findRole() {
        return roleDao.findRole();
    }

    @Override
    public Set<String> findRoleByIdCode(Integer idCode) {
        return roleDao.findRoleByIdCode(idCode);
    }
}

PermissionService接口

package com.xcj.jquery_ajax.service;

import java.util.Set;

public interface PermissionService {

    public Set<String> findPermissionByIdCode(Integer idCode);
}

PermissionServiceImp

package com.xcj.jquery_ajax.service.serviceImp;

import com.xcj.jquery_ajax.dao.PermissionDao;
import com.xcj.jquery_ajax.entity.Permission;
import com.xcj.jquery_ajax.service.PermissionService;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Service;

import java.util.Set;

@Service("PermissionService")
public class PermissionServiceImp implements PermissionService {

    @Autowired
    PermissionDao permissionDao;

    @Override
    public Set<String> findPermissionByIdCode(Integer idCode) {
        return permissionDao.findPermissionByIdCode(idCode);
    }
}

在UserController中新增几个方法用来测试权限

    @RequestMapping("admin")
    public ModelAndView admin(){
        return new ModelAndView("admin");
    }

    @RequiresRoles("admin2")
    @RequestMapping("admin2")
    public ModelAndView admin2(){
        return new ModelAndView("admin2");
    }

添加页面 admin.jsp

<%@ page contentType="text/html;charset=UTF-8" language="java" %>
<html>
<head>
    <title>admin</title>
</head>
<body>
<h2>This is admin page!</h2>
</body>
</html>

admin2.jsp

<%@ page contentType="text/html;charset=UTF-8" language="java" %>
<html>
<head>
    <title>admin2</title>
</head>
<body>
<h2>This is admin2 page!</h2>
</body>
</html>

修改home.jsp

<%@ page contentType="text/html;charset=UTF-8" language="java" %>
<html>
    <head>
        <title>主页面</title>
    </head>
    <body>
        <h2>登录成功!</h2>
        <button onclick="window.location.href='toAddUser'">新增用户</button><br/>
        <button onclick="window.location.href='admin'">跳转admin页面</button><br/>
        <button onclick="window.location.href='admin2'">跳转admin2页面</button>
    </body>
</html>

6、自定义UserRealm中修改“授权”部分(重点)

package com.xcj.jquery_ajax.realm;

import com.xcj.jquery_ajax.entity.Permission;
import com.xcj.jquery_ajax.entity.Role;
import com.xcj.jquery_ajax.entity.User;
import com.xcj.jquery_ajax.service.PermissionService;
import com.xcj.jquery_ajax.service.RoleService;
import com.xcj.jquery_ajax.service.UserService;
import org.apache.commons.collections.CollectionUtils;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.util.ByteSource;
import org.springframework.beans.factory.annotation.Autowired;

import java.util.HashSet;
import java.util.Set;

public class UserRealm extends AuthorizingRealm {

    @Autowired
    UserService userService;

    @Autowired
    PermissionService permissionService;

    @Autowired
    RoleService roleService;

    /*授权*/
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {

        Integer idCode = Integer.valueOf((String)principalCollection.getPrimaryPrincipal());

        Set<String> roleSet = new HashSet<>();
        Set<String> permissionSet = new HashSet<>();

        if(idCode!=null){
            /*从数据库获取用户角色*/
            roleSet = roleService.findRoleByIdCode(idCode);

            /*从数据库获取用户权限*/
            permissionSet =  permissionService.findPermissionByIdCode(idCode);
        }

        SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
        /*有角色才有权限*/
        if (CollectionUtils.isNotEmpty(roleSet)){
            simpleAuthorizationInfo.setRoles(roleSet);
            if (CollectionUtils.isNotEmpty(permissionSet)){
                simpleAuthorizationInfo.setStringPermissions(permissionSet);
            }
            return simpleAuthorizationInfo;
        }else {
            return null;
        }
    }

    /*认证*/
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {

        UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken;

        String username = token.getUsername();

        User user = null;
        if (username != null && !username.equals("")) {
            user = userService.findUserByIdCode(Integer.valueOf(username));
        }

        if (user != null) {
            String password = user.getPassword();
            String salt = user.getSalt();
            SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo(username, password, ByteSource.Util.bytes(salt), this.getName());
            return simpleAuthenticationInfo;
        }
        return null;
    }
}

7、使用shiro注解方式判断角色、权限,不匹配时会报 AuthorizationException,我想出现该异常时跳到 unauthorized.jsp 页面,所以我对自定义异常类MyExceptionResolver 进行修改:

package com.xcj.jquery_ajax.execption;

import lombok.extern.slf4j.Slf4j;
import org.apache.shiro.authz.AuthorizationException;
import org.springframework.web.servlet.HandlerExceptionResolver;
import org.springframework.web.servlet.ModelAndView;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

@Slf4j
public class MyExceptionResolver implements HandlerExceptionResolver {
    @Override
    public ModelAndView resolveException(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, Exception e) {

        if(e instanceof AuthorizationException){
           return new ModelAndView("unauthorized").addObject("exception",e.toString());
        }

        log.error("异常原因:{}  ;  异常信息:{}",e.getCause(),e.getMessage());

        ModelAndView mv = new ModelAndView("error");
        mv.addObject("exception", e.toString().replaceAll("\n", "<br/>"));
        return mv;
    }
}

unauthorized.jsp

<%@ page contentType="text/html;charset=UTF-8" language="java" %>
<html>
<head>
    <title>unauthorized</title>
</head>
<body>
<h2>你没有权限访问!!!</h2><br/>
${exception}
</body>
</html>

以上就完成了授权的流程,下面进行测试效果展示:

数据数据中各表数据展示:

user表

role表

permission表

user_role表

role_permission表

先使用角色为customer的用户登录

点击跳转admin页面按钮(admin页面限制只让admin角色访问,而当前用户只有customer角色,故而跳到unauthorized页面!)

点击新增用户按钮(customer没有新增用户权限,故而跳到unauthorized页面!)

点击跳转admin2页面按钮(因为使用Shiro注解方式设置了当前方法需要拥有admin2角色的用户才能访问,而当前用户只有customer角色,故而跳到unauthorized页面,并且我们在自定义异常中对AuthorizationException异常进行了处理(在页面展示了主要的异常信息)!)

接下来,我们换成拥有所有权限的10001账号登录测试

演示结束,以上就是Shiro授权,权限管理的内容,如发现错误,欢迎指正,谢谢。

 

二、查看Durid连接池监控

在上一篇中已经配置应用了durid连接池(具体配置可查看上一篇),现在我想要查看监控的数据,所以我们访问http://localhost:8080/jquery_ajax/druid/,发现访问不了durid监控的登录界面,一直跳回登录界面。

原因:页面被shiro拦截了。

解决方法:在shiro配置文件中,放开对druid的拦截。

重启服务器结果就可以正常访问了

Shiro授权要点总结:

1、用户、角色、权限三表间的关系是多对多,所以需要在数据库建立了中间表。

2、在自定义Realm中的doGetAuthorizationInfo方法做授权处理,我们根据当前用户的idCode从数据库拿到对应的角色、权限,封装到SimpleAuthorizationInfo类中,最后返回该对象,判断是否拥有权限的工作交给shiro去执行。

3、使用shiro注解,当前用户调用了与当前角色或权限不符的方法时,shiro会返回AuthorizationException异常,我们应该捕获处理它,跳转页面或返回参数到前端的方式告诉操作者没有权限。

以上为本人对shiro授权的经验终结,如有错误,欢迎指正。

下一篇将讲述Shiro结合缓存的使用(有空会更新),谢谢。

Escorts
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Shiro权限管理示例(包括数据库结构)
02-07
一个完整的Shiro项目,实现Shiro权限管理,附件里包括数据库结构(mysql),可直接运行
Shiro-Web应用访问数据库验证用户
Aro_HAN的博客
05-30 364
&lt;?xml version="1.0" encoding="UTF-8"?&gt; &lt;web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://java.sun.com/xml/ns/javaee" xsi:schemaLocation="http://java.sun.com/xml/ns
Shiro权限控制(七):Spring整合Shiro权限控制综合实践-按钮层级-超详细
kity9420的专栏
10-13 2344
前言 本文是Spring整合Shiro进行细粒度权限控制的综合实训,主要内容包括: 一、Spring中引入Shiro框架 Shiro登录控制 三、权限表设计 四、服务权限配置 五、自定义标签控制页面(HTML)按钮权限 开始正文之前,先介绍一下我的工程环境:Spring+Spring MVC+Mybatis+MySql+Maven,下面从Spring引入Shiro框架开始本文的介绍 一、S...
shiro-用户认证-连接数据库
pshdhx的博客
08-06 4128
Javase程序用shiro连接数据库验证用户身份 1、创建数据库 2、导入jar包 版本要对好: c3p0-0.9.2.1.jar commons-beanutils-1.9.2.jar commons-logging-1.2.jar junit-4.10.jar log4j-1.2.17.jar mchange-commons-java-0.2.3.4.jar mysql-
详解spring整合shiro权限管理数据库设计
wxy49212的博客
10-16 1203
现在基本上所有的后台系统都逃不过权限管理这一块,这算是一个刚需了。现在我们来集成shiro来达到颗粒化权限管理,也就是从连接菜单到页面功能按钮,都进行权限都验证,从前端按钮的显示隐藏,到后台具体功能方法的权限验证。 首先要先设计好我们的数据库,先来看一张比较粗糙的数据库设计图: 具体的数据库设计代码 ? 1 2 3 4 5 6 7...
spring boot+shiro 权限认证管理案例
12-20
通过以上步骤,我们可以构建一个集成了 Spring Boot 和 Shiro权限认证管理系统,能够实现用户登录、权限校验、会话管理等功能,同时利用缓存提升系统性能。在实际开发中,还可以根据需求扩展 Shiro 功能,例如...
maven+springboot+jpa+shiro权限管理内有数据库sql
03-03
在本项目中,Shiro用于实现用户登录验证、角色权限分配、URL拦截等功能,确保只有经过授权用户才能访问特定的资源。开发者可以自定义安全策略,实现细粒度的权限控制。 数据库SQL脚本的提供,意味着项目已经包含...
基于SpringBoot+shiro实现数据库的细粒度动态权限管理系统
最新发布
06-13
基于SpringBoot+shiro实现数据库的细粒度动态权限管理系统 项目经过严格测试,确保可以运行!源码无需做任何更改! 基于SpringBoot+shiro实现数据库的细粒度动态权限管理系统 项目经过严格测试,确保可以运行!...
spring + shiro + cas 实现sso单点登录的示例代码
08-29
Spring + Shiro + CAS 实现 SSO 单点登录示例代码 本篇文章主要介绍了 Spring + Shiro + CAS 实现 SSO 单点登录的示例代码,具有一定的参考价值。下面将详细介绍标题、描述、标签和部分内容中所涉及到的知识点。 ...
shiro权限安全管理框架
03-04
Apache Shiro是一个强大且易用的Java安全框架,提供了认证、授权、加密和会话管理等功能。Shiro都可以轻松为其提供全面的安全管理服务,相比业内spring security 而言,Shiro显得更加小巧,应用也更加广泛。本课程主要使用到java,shirospringspringmvc,mybatis,mysql,springboot技术,学习本课程需要具有一定的基础。
shiro():从数据库中获取用户信息实现shiro的登录/授权
coolwind的博客
11-30 4027
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;要实现登录权限管理,需要的数据有:用户、角色、权限,他们之间的关系都是多对多的,因此一共需要5张表:用户表,角色表,用户角色关联表,权限表,角色权限关联表。 &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;有了这些数据后,只需要从数据库中拿到相应的信息,放入我们自定义的realm中设置即可。 首先,将...
Shiro数据库中初始化授权
Charge8的博客
04-26 570
根据前面的了解,这次把基于权限授权通过从数据库中初始化授权实现。 1、分析一下 Shiro 过滤链 <!-- 配置shiro的一些拦截规则,id必须和web.xml中的 shiro 拦截器名一致 --> <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryB...
Shiro连接数据库验证
u012737182的博客
10-30 4558
1、要使用的数据表DROP DATABASE IF EXISTS shirodb ; CREATE DATABASE shirodb CHARACTER SET UTF8 ; USE shirodb ; CREATE TABLE member ( mid VARCHAR(50), password VARCHAR(32),
Shiro用户-角色-权限分配与数据库方式授权(十三)
qq_37431224的博客
01-14 2505
一、先进行用户-角色-权限数据分配 1:在role表中添加2个角色 部门经理(deptMgr) 人事经理(empMgr) 2:给人事经理分配权限:员工的crud权限 。在role_permission表中添加4条数据 3:给用户指派某个角色:给zhangsan指定人事经理这个角色 在user_role表中添加1条数据 数据库方式授权 1.在自定义的UserReal...
Shiro基于角色的访问控制
NULL
04-26 2101
 首先创建maven项目在pom.xml里面添加jar如下 &lt;dependencies&gt; &lt;!-- https://mvnrepository.com/artifact/org.apache.shiro/shiro-core --&gt; &lt;dependency&gt; &lt;groupId&gt;org.apache.shiro&lt;/groupI...
spring整合shiro权限管理数据库设计
热门推荐
胡汉三
01-19 3万+
之前的文章中我们完成了基础框架的搭建,现在基本上所有的后台系统都逃不过权限管理这一块,这算是一个刚需了。现在我们来集成shiro来达到颗粒化权限管理,也就是从连接菜单到页面功能按钮,都进行权限都验证,从前端按钮的显示隐藏,到后台具体功能方法的权限验证。 首先要先设计好我们的数据库,先来看一张比较粗糙的数据库设计图: 具体的数据库设计代码,请查看:https://git.oschina.
Shiro连接数据库进行验证用户名与密码
NULL
04-26 5835
首先是数据库的创建第步在maven项目中导入jar包pom.xml配置如下&lt;project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 ...
Shiro之从数据库初始化角色权限信息
weixin_33889665的博客
02-16 401
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean"> <!-- Shiro的核心安全接口,这个属性是必须的 --> <property name="securityManager" ref="secur...
基于SpringBoot+PF4J+Shiro的发票管理系统实现
4. 第四章Shiro权限管理框架介绍 - Shiro框架概述:Shiro是一个轻量级的安全框架,负责处理认证、授权、会话管理和加密等功能。 - Shiro的认证流程:详细解释了Shiro用户身份验证过程,包括凭证匹配、账户状态...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值