SSSDJday7权限判断

最新推荐文章于 2020-06-13 09:09:26 发布
最新推荐文章于 2020-06-13 09:09:26 发布
阅读量342 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/GG__bond1/article/details/95789897
版权

权限判断
1.1.获取到所有权限进行判断
FilterChainDefinitionMapBuilder:
public class FilterChainDefinitionMapBuilder {

@Autowired
private IPermissionService permissionService;

public Map<String,String> createFilterChainDefinitionMap(){
   …
    filterChainDefinitionMap.put("/logout","logout"); //不登录也可以访问
    //从数据库拿到数据,放到咱们的Map中
    //1.拿到所有权限
    List<Permission> permissions = permissionService.findAll();
    //2.遍历权限,拿到权限与资源
    for (Permission permission : permissions) {
        String url = permission.getUrl();//资源
        String sn = permission.getSn();//权限
        //把路径与资源放到拦截中去
        filterChainDefinitionMap.put(url,"perms["+sn+"]");
    }
    filterChainDefinitionMap.put("/**","authc");

    return  filterChainDefinitionMap;

}

}

.拿到登录用户
之前咱们登录,是把用户放到shiro中进行管理,现在我们先把主体修改成Employee用户:
主体改成当前登录用户:
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
UsernamePasswordToken token = (UsernamePasswordToken)authenticationToken;
String username = token.getUsername();
Employee loginUser = employeeService.findByUsername(username);
if(loginUser==null){
return null;
}
//拿到登录用户的密码
String dbPassword = loginUser.getPassword();
//设置加盐
ByteSource salt = ByteSource.Util.bytes(“itsource”);
SimpleAuthenticationInfo authorizationInfo = new SimpleAuthenticationInfo(loginUser,dbPassword,salt,getName());
return authorizationInfo;
}

修改页面展示:
主页面的用户现在变成了这个样子

修改代码:
shiro:user
欢迎[ <shiro:principal property=“username” />]登录,退出
</shiro:user>

2.2.2.UserContext:设置与拿到当前登录用户
public class UserContext {
private static final String USER_IN_SESSION = “loginUser”;
/**
* 把当前登录用户放入Session
/
public static void setUser(Employee loginUser) {
Subject subject = SecurityUtils.getSubject();
subject.getSession().setAttribute(USER_IN_SESSION, loginUser);
}
/*
* 从Session中获取User
*/
public static Employee getUser() {
Subject subject = SecurityUtils.getSubject();
Employee curentUser = (Employee) subject.getSession().getAttribute(USER_IN_SESSION);
return curentUser;
}
}

2.2.3.LoginController:登录成功后把用户放到Session中

@RequestMapping(value="/login",method = RequestMethod.POST)
@ResponseBody
public JsonResult login(String username, String password){
//1.拿到访问的主体(当前登录用户)
Subject subject = SecurityUtils.getSubject();
//2.判断这个用户是否已经登录(通过验证)
if(!subject.isAuthenticated()){
….
}
//登录成功后,把当前登录用户放到session中
//1.拿到当前登录用户(这个主体就是当前登录用户)
Employee loginUser = (Employee) subject.getPrincipal();
//2.当前登录用户放到session中
UserContext.setUser(loginUser);
return new JsonResult();
}

2.2.4.根据用户id拿到权限
PermissionRepository
//根据当前登录用户拿到对应的权限
@Query(“select distinct p.sn from Employee e join e.roles r join r.permissions p where e.id = ?1”)
Set findSnByEmp(Long employeeId);

IPermissionService
Set findSnByEmp(Long employeeId);

PermissionServiceImpl
@Override
public Set findSnByEmp(Long employeeId) {
return permissionRepository.findSnByEmp(employeeId);
}

2.2.5.JpaRealm:进入权限判断

public class JpaRealm extends AuthorizingRealm {

@Autowired
private IEmployeeService employeeService;
@Autowired
private IPermissionService permissionService;

//AuthorizationInfo:授权(是否有权限进入操作)
// 我们只需要把相应的权限交给Shiro,它就会自动比对
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
    //拿到主体信息(指的就是当前登录用户)
    Employee loginUser = UserContext.getUser();
    //获取权限资源(这里假设已经根据用户名到数据库中获取到了)
    Set<String> permissions = permissionService.findSnByEmp(loginUser.getId());
    //permissions.add("employee:index");
    //permissions.add("role:index");
    //permissions.add("employee:*");

    //拿到授权对象,并且所有权限交给它
    SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
    simpleAuthorizationInfo.setStringPermissions(permissions);
    //返回授权对象
    return simpleAuthorizationInfo;
}


}

以上功能完成后,我们就可以测试咱们的用户是否有相应的权限!

2.3.权限判断Ajax请求
2.3.1.判断需知
现在,咱们进入一个页面进入判断已经能完成,但是如果是Ajax请求,如果返回的还是一个页面,用户的体验就非常的差,所以我们接下来要解决的是这个问题:

咱们所有的请求可以分为两大类,一个是跳转页面,xxx/index 还有一类是Ajax请求期望返回的是{“success”:false,”message”:”没有权限”}

区分处理是否是Ajax请求,普通跳转页面的请求 ,就跳转没有权限的页面,如果是ajax请求返回{“success”:false,”message”:”没有权限”}

?怎么Ajax 判断请求头里面是否有X-Requested-With
跳转页面请求头

Ajax请求多个一个请求头X-Requested-With XMLHttpRequest

2.3.2.自定义权限拦截器
区分处理–shiro默认的权限过滤器不支持,需要自定义过滤器才行

上面的配置会交给

自定义权限的功能:可以参考我们给大家准备Shiro的资料

ItsourceYxbPermissionsAuthorizationFilter:自定义权限过滤器
public class ItsourceYxbPermissionsAuthorizationFilter extends PermissionsAuthorizationFilter {

@Override
protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws IOException {
    Subject subject = this.getSubject(request, response);
    if (subject.getPrincipal() == null) {
        //没有登录成功后的操作
        this.saveRequestAndRedirectToLogin(request, response);
    } else {
        //登录成功后没有权限的操作
        //1.转成http的请求与响应操作
        HttpServletRequest httpRequest = (HttpServletRequest) request;
        HttpServletResponse httpResponse = (HttpServletResponse) response;
        //2.根据请求确定是什么请求
        String xRequestedWith = httpRequest.getHeader("X-Requested-With");
        if (xRequestedWith != null &&"XMLHttpRequest".equals(xRequestedWith)) {
            //3.在这里就代表是ajax请求
            //表示ajax请求 {"success":false,"message":"没有权限"}
            httpResponse.setContentType("text/json; charset=UTF-8");
            httpResponse.getWriter().print("{\"success\":false,\"msg\":\"没有权限\"}");
        }else {
            String unauthorizedUrl = this.getUnauthorizedUrl();
            if (StringUtils.hasText(unauthorizedUrl)) {
                WebUtils.issueRedirect(request, response, unauthorizedUrl);
            } else {
                WebUtils.toHttp(response).sendError(401);
            }
        }
    }
    return false;
}

}
applicationContext-shiro.xml

FilterChainDefinitionMapBuilder
public Map<String,String> createFilterChainDefinitionMap(){

Map<String, String> filterChainDefinitionMap = new LinkedHashMap();
//注:对于一些不登录也可以放行的设置(大家可以根据实际情况添加)
filterChainDefinitionMap.put("/login","anon");
filterChainDefinitionMap.put("*.js","anon");
filterChainDefinitionMap.put("*.css","anon");
filterChainDefinitionMap.put("/css/**","anon");
filterChainDefinitionMap.put("/js/**","anon");
filterChainDefinitionMap.put("/easyui/**","anon");
filterChainDefinitionMap.put("/images/**","anon");

filterChainDefinitionMap.put("/logout","logout"); //不登录也可以访问
//这个值之后从数据库中查询到【用户-角色-权限-资源】
//从数据库拿到数据,放到咱们的Map中
//1.拿到所有权限
List<Permission> permissions = permissionService.findAll();
//2.遍历权限,拿到权限 资源
for (Permission permission : permissions) {
    String url = permission.getUrl();//资源
    String sn = permission.getSn();//权限
    //把路径与资源放到拦截中去
    filterChainDefinitionMap.put(url,"yxbPerms["+sn+"]");
}
filterChainDefinitionMap.put("/**","authc");
return  filterChainDefinitionMap;

}

3.菜单读取
用户->角色->权限->菜单
用户有哪些权限,就应该有对应的菜单
(这里咱们可以分析数据库理解设计)
用户拥有对应的权限就拥有对应的菜单(二级菜单),如果此菜单有父菜单(一级菜单)也同时拥有
3.1.Domain设计
3.1.1. Menu
@Entity
@Table(name=“menu”)
public class Menu extends BaseDomain {

 private String name;//菜单名称
 private String url; //路径
 private String icon; //图标

/**
 * JsonIgnore:生成JSON的时候忽略这个属性
 */
@ManyToOne(fetch = FetchType.LAZY)
@JoinColumn(name="parent_id")
@JsonIgnore //这里生成json的时候要忽略,否则会造成功能相互调用
private Menu parent;

/**
 * 还要配置一个一对多
 *  这个字段不要交给JPA管理【到时候自己写代码管理】
 *  数据库的menu表中就应该有一个children,而且还是List类型
 *  Transient:临时属性(JPA不管这个属性,和数据库没有关系)
 */
@Transient
private List<Menu> children = new ArrayList<>();

…

public String getText(){ //EasyUI的树需要一个text属性
return name;
}
}

3.1.2.Permission
@ManyToOne(fetch = FetchType.LAZY)
@JoinColumn(name=“menu_id”)
private Menu menu;

3.2.功能完成
3.2.1.MenuRepository
//根据用户名拿到一个人对应的所有子菜单
@Query(“select distinct m from Employee e join e.roles r join r.permissions p join p.menu m where e.id = ?1”)
List

findByLoginUser(Long userId);

3.2.2.MenuService
@Override
public List

findByLoginUser(Long userId) {
//准备父菜单容器
List parentMenus = new ArrayList<>();
//从数据库中拿到子菜单
List childrenMenus = menuRepository.findByLoginUser(userId);
//遍历子菜单(如果有父菜单放进入,没有单独创建)
for (Menu childrenMenu : childrenMenus) {
//拿到子菜单对应的父菜单
Menu parent = childrenMenu.getParent();
//判断如果父菜单中是否有这个菜单
if(parentMenus.contains(parent)){
//有的话,咱们就把子菜单放到父菜单中去
int i = parentMenus.indexOf(parent);
Menu parentMenu = parentMenus.get(i);
parentMenu.getChildren().add(childrenMenu);
}else{
//如果没有,再单独把父菜单放进去
parentMenus.add(parent);
parent.getChildren().add(childrenMenu);
}
}
return parentMenus;
}

3.2.3.UtilController
@RequestMapping("/loginUserMenus")
@ResponseBody
public List loginUserMenus(Long id){
Employee loginUser = UserContext.getUser();
return menuService.findByLoginUser(loginUser.getId());
}

最后把主页面查找菜单的路径替换成咱们现在的路径即可(效果如下【不同的人看到的不同】)

4.页面按钮权限控制
4.1.功能描述
一个用户如果有查看员工的权限,但是它却没有删除的权限,我们连按钮都不应该让他看到!

4.2.功能实现
<shiro:hasPermission name=“employee:save”>
添加
</shiro:hasPermission>
<shiro:hasPermission name=“employee:update”>
修改
</shiro:hasPermission>
<shiro:hasPermission name=“employee:delete”>
删除
</shiro:hasPermission>

Maybe?
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SSM项目7:权限系统-菜单权限管理
weixin_42430635的博客
11-17 934
菜单页面 页面搭建 1.创建菜单表 CREATE TABLE `menu` ( `id` bigint(20) NOT NULL, `text` varchar(10) DEFAULT NULL, `url` varchar(30) DEFAULT NULL, `parent_id` bigint(20) DEFAULT NULL, PRIMARY KEY ...
Shiro_权限
weixin_44840242的博客
03-29 223
目录 1.角色crud 1.前提: 2.角色中添加权限展示 3.页面的完善form与grid 4.为角色添加权限/删除权限 5.解决只增不减的问题 2.权限 1.获取所有权限进行判断 2.完成权限判断 1.拿到登录用户----->主体 2.UserContext拿到当前登录用户 3.LoginController:登陆成功把用户放入Session作用域 4....
微信用户访问小程序的登录过程
热门推荐
Sam_Deep_Thinking
03-24 1万+
概述 当你开发完了一个小程序并部署上线后,某个微信用户第一次访问这个小程序的时候,会弹出一个授权界面,用户可以选择是否使用微信登录,如果选择是,则直接进入到小程序。当你第二次进入该小程序的时候,你会发现授权界面不会弹出来了,直接就进入小程序了。 这个过程看起来非常的简单,但其实实现起来相当的麻烦和繁琐。涉及到会话、安全、验证等各种各样的问题。下面笔者介绍一下实现这个登录过程的思路。...
Shiro再理解
Life And Code
06-13 644
文章目录1.权限的管理1.1 什么是权限管理1.2 什么是身份认证1.3 什么是授权2.什么是shiro3.shiro的核心架构3.1 Subject3.2 SecurityManager3.3 Authenticator3.4 Authorizer3.5 Realm3.6 SessionManager3.7 SessionDAO3.8 CacheManager3.9 Cryptography4. shiro中的认证4.1 认证4.2 shiro中认证的关键对象4.3 认证流程4.4 认证的开发1. 创建项
SSSDJday6
GG__bond1的博客
07-13 159
1.登录功能 1.1.数据库密码修改 如果咱们数据库的密码现在没有进行加密,咱们先把它们进行加密 (注:如果已经进行过加密就不需要再管了) 1.1.1.准备一个加密算法 public class MD5Util { // String algorithmName, Object source, Object salt, int hashIterations //设置盐值 public stati...
SSSDJday5
GG__bond1的博客
07-12 368
1.Shiro简介 1.1. Java安全框架,有身份验证、授权、密码学和会话管理。 Spring security 重量级安全框架 Apache Shiro轻量级安全框架 1.2.shiro能干什么? 1.3.架构 1.3.1.Shiro外部来看 从外部来看Shiro,即从应用程序角度来如何使用shiro来完成工作(认证、授权等)。 1.3.2.Shiro内部看 即shiro内部夹走 小结: ...
SSSDJday11
GG__bond1的博客
07-19 218
2.报表效果 2.1.运行演示项目itsource-yxb-spring-data cd E:\resources\pss //我们已经做好的项目位置 2.2.页面查询效果 2.3.图像页面效果 3.EasyUI(datagrid-groupview) 在这个页面就有groupview控件,我们可以看到它的介绍(在底部可以下载代码) 效果如下: 我们接下来需要研究一下它提供的案例(根据案例学习):...
使用 JavaScript 编写的记忆游戏(附源代码).zip
07-22
使用 JavaScript 编写的记忆游戏(附源代码)   项目:JavaScript 记忆游戏(附源代码) 记忆检查游戏是一个使用 HTML5、CSS 和 JavaScript 开发的简单项目。这个游戏是关于测试你的短期 记忆技能。玩这个游戏 时,一系列图像会出现在一个盒子形状的区域中 。玩家必须找到两个相同的图像并单击它们以使它们消失。 如何运行游戏? 记忆游戏项目仅包含 HTML、CSS 和 JavaScript。谈到此游戏的功能,用户必须单击两个相同的图像才能使它们消失。 点击卡片或按下键盘键,通过 2 乘 2 旋转来重建鸟儿对,并发现隐藏在下面的图像! 如果翻开的牌面相同(一对),您就赢了,并且该对牌将从游戏中消失! 否则,卡片会自动翻面朝下,您需要重新尝试! 该游戏包含大量的 javascript 以确保游戏正常运行。 如何运行该项目? 要运行此游戏,您不需要任何类型的本地服务器,但需要浏览器。我们建议您使用现代浏览器,如 Google Chrome 和 Mozilla Firefox, 以获得更好、更优化的游戏体验。要玩游戏,首先,通过单击 memorygame-index.html 文件在浏览器中打开游戏。 演示: 该项目为国外大神项目,可以作为毕业设计的项目,也可以作为大作业项目,不用担心代码重复,设计重复等,如果需要对项目进行修改,需要具备一定基础知识。 注意:如果装有360等杀毒软件,可能会出现误报的情况,源码本身并无病毒,使用源码时可以关闭360,或者添加信任。
全国计算机三级(网络技术)做题技巧
07-22
全国计算机三级(网络技术)做题技巧
UnityUGUI线段组件
07-22
Unity扩展 UI线段绘制组件——UI上的LineRenderer
文化娱乐-国产进口电影票房榜单分析(Pyecharts大屏可视化).rar
最新发布
07-22
文化娱乐-国产进口电影票房榜单分析(Pyecharts大屏可视化)
联合国教科文组织:2023人工智能时代的教育报告(2).pdf
07-22
联合国教科文组织:2023人工智能时代的教育报告(2).pdf
《c语言程序设计》网上考试系统的设计与实现开题报告【答辩高分内容】.doc
07-22
本研究旨在设计和开发一个基于C语言的网上考试系统,以提供一个高效、安全和可靠的在线考试环境。该系统将具备自动评分、随机抽题、时间限制等功能,以满足不同学校和教育机构的需求。通过该系统,教师可以方便地创建和管理考试,学生可以随时随地参加考试,并及时获得成绩反馈。该系统还将提供管理员权限,用于管理用户账户、试题库和考试记录等数据。 随着互联网的快速发展,传统的纸质考试方式已经无法满足现代教育的需求。网上考试系统作为一种新兴的考试形式,具有许多优势。它可以节省时间和资源,避免了传统考试过程中的人力物力消耗。可以实现自动化评分和统计功能,提高了评分的准确性和效率。还可以提供实时的成绩反馈和排名信息,激励学生的学习动力。最重要的是,网上考试系统可以突破地域限制,使得学生可以随时随地参加考试,提高了学习的灵活性和便利性。因此,设计和开发一个高效、安全和可靠的《C语言程序设计》网上考试系统对于推动教育现代化和提高教学质量具有重要意义。
猎聘:2023年上半年金融行业人才趋势观察报告.pdf
07-22
猎聘:2023年上半年金融行业人才趋势观察报告.pdf
使用 JavaScript 编写的 Squareshooter 游戏及其源代码.zip
07-22
使用 JavaScript 编写的 Squareshooter 游戏及其源代码   项目:使用 JavaScript 编写的 Squareshooter 游戏(附源代码) 这款游戏是双人游戏。这是一款使用 JavaScript 编写的射击游戏,带有门户和强化道具。在这里,每个玩家都必须控制方形盒子(作为射手)。这款射击游戏的主要目标是射击对手玩家以求生存。当它射击对手时,它会获得一分。 游戏制作 该游戏仅使用 HTML 和 JavaScript 开发。该游戏的 PC 控制也很简单。 对于玩家 1: T:朝你上次动作的方向射击 A:向左移动 D:向右移动 W:向上移动 S:向下移动 对于玩家2: L:朝你上次移动的方向射击 左箭头:向左移动 右箭头:向右移动 向上箭头:向上移动 向下箭头:向下移动 游戏会一直进行,直到您成功射击对手或对手射击您为止。游戏得分显示在顶部。所有游戏功能均由 JavaScript 设置,而布局和其他次要功能则由 HTML 设置。 如何运行该项目? 要运行此项目,您不需要任何类型的本地服务器,但需要浏览器。我们建议您使用现代浏览器,如 Google Chrome 和 Mozilla Firefox。要运行此游戏,首先,通过单击 index.html 文件在浏览器中打开项目。 演示: 该项目为国外大神项目,可以作为毕业设计的项目,也可以作为大作业项目,不用担心代码重复,设计重复等,如果需要对项目进行修改,需要具备一定基础知识。 注意:如果装有360等杀毒软件,可能会出现误报的情况,源码本身并无病毒,使用源码时可以关闭360,或者添加信任。
全国大学生电子设计竞赛案例分享.docx
07-22
全国大学生电子设计竞赛是一项旨在促进大学生创新精神和实践能力培养的重要赛事。以下是一些关于该竞赛的案例分享,以展示参赛作品的创新性和实用性。 一、案例概述 1. 智能垃圾箱 来源:某工大学团队作品(参考文章1) 简介:该作品设计了一款能够自动分类垃圾的智能垃圾箱。通过内置的智能识别系统,可以准确判断投入垃圾的种类,并自动打开对应的垃圾桶,实现了垃圾分类的自动化。这种设计不仅提高了垃圾分类的效率,还有助于减少环境污染,对社会的环境保护起到了积极的推动作用。 2. 智能家居系统 来源:某技大学团队作品(参考文章1) 简介:智能家居系统通过集成多种智能设备(如智能空调、智能窗帘等),实现了家居环境的智能化控制。用户可以通过手机APP远程操控家中的各种设备,提高了生活的舒适度和便捷性。这一作品展示了物联网技术在智能家居领域的广泛应用前景。 3. 智能健康手环 来源:某通大学团队作品(参考文章1) 简介:该智能健康手环能够实时监测人体的血氧含量、心率、体温等健康指标,并将数据传输到用户的手机上。用户可以通过手机APP查看自己的健康状况,及时发现潜在的健康问题。这一作品在健康管理领域具有广泛的应
第十三届蓝桥杯EDA赛道真题
07-22
第十三届蓝桥杯EDA赛道真题
巴比达内网穿透技术基本概念、工作原理及应用场景介绍.zip
07-22
巴比达内网穿透 巴比达内网穿透技术基本概念、工作原理及应用场景介绍.zip

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值