Shiro安全框架(Shiro与SpringBoot整合开发)授权部分(二)连接数据库

最新推荐文章于 2024-01-18 14:03:22 发布
最新推荐文章于 2024-01-18 14:03:22 发布
阅读量287 收藏 2
点赞数
分类专栏: shiro 数据库sql 框架 文章标签: shiro mysql mybatis java 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/JavaJieRui/article/details/111400802
版权
本文介绍了如何将Shiro的授权数据持久化到MySQL数据库中,包括设计思路、数据库表结构(如用户-角色-权限表)、角色初始化以及代码实现。通过实现Realm,从数据库获取并处理角色信息,实现了用户登录后的权限控制。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、思路设计整合

我们之前已经为大家展示了一下shiro授权数据在Realm中的简单实现,那这时我们就要将shiro的授权数据持久化至数据库中去,因为我们将来一个系统一定是有很多用户,并且也是拥有很多角色的,我们的授权数据不可能总是在Realm中写,所以这时,我们就要将授权数据持久化进数据库中去。接下来就简单分析一下思路。

首先,我们要实现从数据库中获取权限信息,那么第一件事就是要设计表结构,我们有这样几种设计思路:

第一种模式: 用户  ---------->  角色  ---------->  权限  --------->  资源url

第二种模式:用户  ----------->  角色

第三种模式:用户  ----------->  权限

 

这里我们就以第一种模式来实现权限控制,首先是权限控制的思维导图:

这里我们的思路就是,一个用户可以拥有多个角色,那反过来一个角色也可以被多个用户拥有,同样的一个角色可以有多个权限,那一个权限也会被多个角色持有,也就是说用户和角色之间的关系是多对多的,角色和权限也是多对多的,为了将来我们从数据库取用户的权限(也就是说要将多对多处理为两个一对多),我们还需要两张用户和角色之间的中间关系表,也需要角色和权限字符串之间的角色权限表。所以说其实在权限的数据库表设计方面,我们一定是要站在多个角度来设计数据库表的。

二、数据库表设计

1.表设计

那么我们就开始设计表了,首先是角色表:

表名:t_role

id,角色名称

接着是权限表:

表名:t_perms

id,权限名称

然后再来创建用户与角色的中间表:
       表名:t_user_role

再之后是角色权限的中间表:

表名:t_role_perms

五张表总览:

2.表中角色初始化

好了,那么我们接下来为角色表:t_role 初始化几个角色信息:

这里我们设计一共三种角色,第一个是admin,是最大的权限,然后分别再设计两个user和product角色。

然后我们再来填充t_user和t_role两张表的中间表t_user_role:

id是中间表自己的id,user_id是user表中的id,role_id是role表中的id。

由上面的中间表可以看出来,一号用户拥有一号权限,二号用户拥有二号和三号权限

我们再回头来看一下t_user表中的数据;

通过表中的数据可以看出来,日后我们如果根据admin用户查的话他是一号权限,也就是admin权限,如果根据zhangsan查的话就是二号和三号权限。

数据和表都搞好之后,我们就可以来搞一下代码了:

三、代码中的实现

首先是实体类:

权限字符串:Perms:

@Data
@AllArgsConstructor
@NoArgsConstructor
@Accessors(chain = true)
public class Perms {
    private String id;
    private String name;
}

角色Role:

@Data
@AllArgsConstructor
@NoArgsConstructor
@Accessors(chain = true)
public class Role {
    private String id;
    private String name;
}

在User实体类中我们再定义一个角色的集合:

@Data
@AllArgsConstructor
@NoArgsConstructor
@Accessors(chain = true)
public class User implements Serializable {
    private String id;
    private String username;
    private String password;
    private String salt;

    //定义角色集合
    private List<Role> roles;
}

在DAO接口中再新定义一个方法(findRolesByUsername):

@Mapper
public interface UserDao {
    /**
     * 用户注册接口
     *
     * @param user
     */
    void save(User user);

    /**
     * 根据用户名查询用户信息
     *
     * @param username
     * @return
     */
    User findByUsername(String username);

    /**
     * 根据用户名查询角色信息
     * @param username
     * @return
     */
    User findRolesByUsername(String username);

}

对应DAO层的方法在XML中写SQL语句(findRolesByUsername):

    <resultMap id="userMap" type="com.csdn.springboot_shiro_jsp_demo_1.login.pojo.User">
        <id column="uid" property="id"/>
        <result column="username" property="username"/>
        <!--角色信息-->
        <collection property="roles" javaType="list" ofType="com.csdn.springboot_shiro_jsp_demo_1.login.pojo.Role">
            <id column="id" property="id"/>
            <result column="rolename" property="name"/>
        </collection>
    </resultMap>
    <select id="findRolesByUsername" parameterType="String" resultMap="userMap">
        SELECT u.id uid,u.username,r.id,r.rolename FROM t_user u
        LEFT JOIN t_user_role ur
        ON u.id = ur.user_id
        LEFT JOIN t_role r
        ON r.id = ur.role_id
        WHERE u.username = #{username}
    </select>

接着是业务层Service:

    /**
     * 根据用户名查询角色信息
     * @param username
     * @return
     */
    User findRolesByUsername(String username);

业务层实现类Impl:

/**
     * 根据用户名查询角色信息
     * @param username
     * @return
     */
    @Override
    public User findRolesByUsername(String username) {
        User rolesByUsername = userDao.findRolesByUsername(username);
        return rolesByUsername;
    }

业务层写完之后,我们就要来自定义Realm来完成授权的实现:

/**
 * 自定义Realm
 */
public class MyRealm extends AuthorizingRealm {
    /**
     * 授权
     * @param principalCollection
     * @return
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        //首先拿到用户的主身份信息
        String primaryPrincipal = (String) principalCollection.getPrimaryPrincipal();
        //用获取容器中对象的工具类拿到userService对象
        UserService userService = (UserService) ApplicationContextUtils.getBean("userService");
        //拿到一个用户对象
        User user = userService.findRolesByUsername(primaryPrincipal);
        //使用CollectionUtils方法判空,如果roles集合非空说明有角色信息
        if (!CollectionUtils.isEmpty(user.getRoles())){
            SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
            //遍历角色集合之后添加角色字符串
            user.getRoles().forEach(role -> simpleAuthorizationInfo.addRole(role.getName()));
            //返回授权信息
            return simpleAuthorizationInfo;
        }

        return null;
    }

    /**
     * 认证
     * @param authenticationToken
     * @return
     * @throws AuthenticationException
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        //拿到用户名
        String principal = (String) authenticationToken.getPrincipal();
        //用获取容器中对象的工具类拿到userService对象
        UserService userService = (UserService) ApplicationContextUtils.getBean("userService");
        //调用方法拿到user对象
        User user = userService.findByUsername(principal);
        //如果user对象不为空
        if (!StringUtils.isEmpty(user)){
            SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo(user.getUsername(),user.getPassword(), ByteSource.Util.bytes(user.getSalt()),this.getName());
            return simpleAuthenticationInfo;
        }
        return null;
    }
}

来看一下这段代码,上面的方法就是授权的实现,那么我们来分析一下,同样的,我们再授权的方法中也需要去用到我们在工厂中的业务对象,所以首先是拿到工厂的业务对象,然后拿业务对象去调用我们的业务层的方法,拿到角色信息,拿到这个角色信息集合之后,首先要判断这个集合不为空,表明是有角色信息,然后我们用Java8的新特性Stream流来遍历这个集合并且在遍历的时候拿到角色信息之后添加角色信息。

好了这一步也完成了之后,为了避免大家忘记我们的页面角色是怎么定义的,我再将页面粘贴出来:

<%@ page contentType="text/html;charset=UTF-8" language="java" %>
<%@taglib prefix="shiro" uri="http://shiro.apache.org/tags" %>
<html>
<head>
    <title>后台管理系统</title>
</head>
<body>
    <h1>系统主页V1.0</h1>
    <ul>
        <shiro:hasRole name="admin">
        <li>物流管理</li>
        <ul>
            <li><a href="">发货时间</a></li>
            <li><a href="">预计送达</a></li>
            <li><a href="">承运单位</a></li>
        </ul>
        <li>订单管理</li>
        <ul>
            <li><a href="">订单新增</a></li>
            <li><a href="">订单删除</a></li>
            <li><a href="">订单修改</a></li>
        </ul>
        <li>商品管理</li>
        <ul>
            <li><a href="">商品新增</a></li>
            <li><a href="">商品删除</a></li>
            <li><a href="">商品修改</a></li>
        </ul>
        </shiro:hasRole>
        <shiro:hasAnyRoles name="user,admin">
        <li>用户管理</li>
        <ul>
            <shiro:hasPermission name="user:add:*">
            <li><a href="">用户新增</a></li>
            </shiro:hasPermission>
            <shiro:hasPermission name="user:delete:*">
            <li><a href="">用户删除</a></li>
            </shiro:hasPermission>
            <shiro:hasPermission name="user:update:*">
            <li><a href="">用户修改</a></li>
            </shiro:hasPermission>
        </ul>
        </shiro:hasAnyRoles>
    </ul>
    <a href="${pageContext.request.contextPath}/user/logout">用户登出</a>
</body>
</html>

可以看到我们的页面是admin和user权限是可以看到用户管理,只有admin能看到其他模块。然后我们再来看一下数据库我们的角色和用户的对应关系:

首先我们来看一下zhangsan用户的角色信息:

可以看到zhangsan拥有的权限为user和product角色

然后是admin用户的角色信息:

通过关联查询我们可以看到,zhangsan的角色信息是user和product,admin的角色信息为admin

然后我们来测试一下:

ok首先是admin登录,它的角色也是admin:

好的,然后是zhangsan用户登录:

好的,和我们预想的效果一样,这就是我们预期的,从数据库中获取角色信息的简单实现。

学习SpringBoot使用SpringSecurity()_表单登录、角色认证以及SpringSecurity导致CSS样式丢失问题
DreamsArchitects的博客
11-09 956
文章目录一、 环境准备导入依赖创建数据库准备页面index.htmlhome.htmlyml配置文件实体类数据访问层业务层业务层实现类、UserDetailsService三、WebSecurityConfigBug CSS样式丢失 一、 环境准备 用户认证一般要求用户提供用户密码。系统通过校验用户密码来完成认证过程。 用户授权指的是验证某个用户是否有权限执行某个操作。 spring security的主要核心功能为 认证授权,所有的权限架构也是基于这两个核心功能去实现的。  “认证”,是为
Shiro安全框架(ShiroSpringBoot整合开发)授权部分(一)编码
JavaJieRui的博客
12-19 355
对于shiro框架我们之前已经分别叙述了shiro在.ini文件中的认证,shiro代码中硬编码的认证实现,以及我们将shirospringboot整合的认证实现,还有我们将shirospringboot整合之后,连接数据库的认证实现,接下来我们继续为大家展开来研究一下shirospringboot整合之后连接数据库授权方面的实现,其实之前shiro连接数据库做认证的实现思路相似,我们也首先来理一下思路。 一、关于shirospringboot整合授权实现思路 首先,shiro这个安全框架
Spring boot + Spring Security CSS静态资源拦截问题
热门推荐
wtopps的专栏
08-31 3万+
问题描述 在使用Spring boot + Spring Security整合的时候,Spring Security对登陆进行了响应的处理操作,但是在进入登陆页的时候,出现页面报错,页面布局全部错乱的问题,查看原因发现是CSSJS等静态文件没有被加载成功导致 问题原因 Spring Security默认会对静态文件进行拦截,这个问题在Spring MVC中也出现过,Spring MVC...
Spring boot中集成Spring Security后CSS静态资源拦截问题
Asa_Prince的博客
03-23 1260
问题描述 在使用Spring boot + Spring Security整合的时候,Spring Security对登陆进行了响应的处理操作,但是在进入登陆页的时候,出现页面报错,页面布局全部错乱的问题,查看原因发现是CSSJS等静态文件没有被加载成功导致 问题原因 Spring Security默认会对静态文件进行拦截,这个问题在Spring MVC中也出现过,Spring MVC的解...
SpringScurity中css等静态资源访问
CharlesLiu233的博客
01-28 502
经常有小伙伴说自己配置了SpringScurity后,访问静态资源时出现各种各样的问题,比如访问html时前端页面出现了MIME 类型(“text/html”)不匹配(X-Content-Type-Options: nosniff)的报错,报错码是302,http中302的表示是暂时性转移(Temporarily Moved ),意思是访问的内容被重定向了,这种情况十有八九都是被后端的过滤器给拦截...
web项目部署到服务器后样式丢失的问题
weixin_30570101的博客
05-22 3917
项目在本地通过浏览器直接访问可以正常显示,但是部署到服务器却没有样式,debug发现 这是因为过滤器不够完善,在全局乱码处理的过滤器中,配置的WebFilter注解是"/*"过滤了所有请求,把所有响应格式都设置成了text/html,text/css文件被以text/html格式传输,浏览器无法正确解析,导致了样式文件无法正确引入。 解决方案: 在过滤器dofilter方法中进行判断,如果是静态...
Shiro安全框架ShiroSpringBoot整合开发
JavaJieRui的博客
10-20 2100
一、整合的思路 继上次说完了Shiro中的授权之后,Shiro中的认证授权就全部为大家讲解完了,相信大家是跟着前两篇文章看过来的对Shiro在程序中进行认证授权的操作都已经略知一了,下面就为大家讲解一下ShiroSpringBoot中的应用整合,同时在之前我们做的认证授权都是在代码中硬编码直接写死的,而在我们这次SpringBoot整合开发中,将会使用数据库中的数据来替代代码中的数据,更加真实的模拟我们日常在工作中对权限控制开发。 首先我们不论是开发任何功能,都是要对需求思路进...
Shiro安全框架(ShiroSpringBoot整合开发)CacheManager(四)Shiro缓存实现(ehCache自带缓存)
JavaJieRui的博客
12-31 541
在之前的文章中,介绍shiro一直从shiro的.ini文件的权限认证,到在自定义Realm中的权限认证的实现,到后期我们链接数据库权限实现,然后是自定义Realm中授权信息实现,到链接数据库授权实现。粗粒度的授权实现角色,以及细粒度的权限字符串的授权实现。我们都一一做了解释Demo。那么我们现在要考虑到一个系统的雏形搭建起来之后,就要考虑到一些优化的小问题,逼如说我们的权限数据一般来说不会有太大的变动,然而我们这时做的权限授权等等的操作一直都会访问数据库,如果我们的系统访问量很大,相应的访问首页的
springboot shiro安全框架整合
08-05
SpringBootShiro是两个在Java开发中广泛使用的框架,SpringBoot简化了Spring应用的初始搭建以及开发过程,而Shiro则是一个强大的安全管理框架,负责处理认证、授权、会话管理安全相关的过滤器。当我们把它们整合...
Shiro安全框架(ShiroSpringBoot整合开发)缓存(五)Shiro缓存实现(redis缓存)
JavaJieRui的博客
01-04 353
这篇文章我们接上回的shiro自带缓存ehcahe cacheManager的实现,但是暴露了一个小问题是程序一结束缓存就会消失,所以此时我们就用redis做缓存,解决这个问题。 首先我们将redis的坐标引进来到POM文件中: <!--redis整合springboot--> <dependency> <groupId>org.springframework.boot</groupId>
springboot security 2.1 登录失败,注销, 返回没有样式?
u010207853的专栏
11-15 891
在我的项目里面,这个问题是因为静态资源文件被拦截了          在红圈的位置加上他就可以了。其它我之前也是加了的,只是写成了/static/css/**,所以不好使。把/static去掉就好了          下面是静态文件所在的位置 ...
经验总结:访问springboot项目首页 没css样式 拦截静态资源
chengqingshihuishui的博客
06-18 1961
1、问题背景: 用springboot框架做的项目。写了个首页,index.html 。 在springboot规定的静态资源文件夹里写了css文件。 1.1 代码如下: 1.2 故障现象 (1)直接访问登录界面正常。 (2)但是启动springboot项目以后,通过浏览器 localhost:1024 访问该首页,就只有登录界面,没有css 2、解决办法 2.1 网上百度时遇到的“坑” (1)大多数解决办法是拦截器拦截了静态资源,重写拦截器放行静态资源 (2)重写s...
SpringBoot SpringSecurity4整合
qq_40597878的博客
05-14 1343
** SpringBoot SpringSecurity4整合,灵活权限配置,弃用注解方式. ** SpringSecurity 可以使用注解对方法进行细颗粒权限控制,但是很不灵活,必须在编码期间,就已经写死权限 其实关于SpringSecurity,大部分类都不需要重写,需要的只是妥善的配置. 每次修改权限以后,需要让MetaDataSource刷新 资源-权限 的MAP,这里应该需要做一些处理...
MySQL5.7之grant
最新发布
大蚊子
01-18 1438
欢迎关注留言,我是收集理小能手,工具翻译,仅供参考,笔芯笔芯./ 赠款声明13.7.1.4。
springSecurity 使用默认登陆界面登录后无法跳转
weixin_44083915的博客
02-10 2083
springboot下使用springSecurity 解决:可能是controller中使用的路径为login,在没有学配置文件情况下 如果使用login作为请求路径的话,就会springSecurity的默认路径冲突,springSecurity默认的登录页面路径就是 /login。这是在没有写任何配置的情况下。想解决就别用login或者自己设置配置文件来更改。 下面是完的springSecurity的案例
Springsecurity引入静态资源 css,js,图片被屏蔽等问题解决办法
wanderlustLee的博客
02-26 1万+
如果不加解决,springsecurity会自动屏蔽我们引用的css,js等静态资源,导致页面不能加载出该有的样式功能。 应在继承了WebSecurityConfigurerAdapter类中的configure方法中添加允许加载的配置 .antMatchers("/js/**","/css/**","/images/*","/fonts/**","/**/*.png","/**/*.jpg.
SpringBoot点击登录不能加载css样式
weixin_44505152的博客
01-06 581
原因是调用css资源是最前面没有加 / 因为点击登录之后他会用当前更新的路径调用样式
springsecurity前端代码
m0_54355172的博客
12-09 368
springboot集成spring security系列文章的前端页面代码
mysql-proxy不再支持mysql5.7的client客户端登录
weixin_33713350的博客
03-02 635
一、服务器的环境: [root@VM_82_178_centos ~]# cat /etc/redhat-release CentOS Linux release 7.4.1708 (Core) [root@VM_82_178_centos ~]# 本地云主机安装有mysql-proxy-0.8.5 采用进制安装mysql5.7 mysql-proxy安装过程请看考如下链接:https...
SpringBoot整合Shiro框架实现认证授权
Shiro框架核心组件: - **Subject**:Subject 可以理解为当前操作系统的用户,不过在 Shiro 中它并不局限于人。Subject 表示软件交互的任何东西,可以是一个用户,也可以是第三方服务或后台账户。它是进行安全...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值