shiro(3)授权

最新推荐文章于 2024-07-08 16:55:04 发布
最新推荐文章于 2024-07-08 16:55:04 发布
阅读量118 收藏
点赞数 1
分类专栏: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ZYC123121/article/details/102937796
版权
本文介绍了Shiro授权的实现,包括角色和权限的查询,以及在Spring与Shiro整合配置文件中的权限规则设置。同时,讲解了Shiro的注解式开发,如@RequiresAuthentication、@RequiresRoles和@RequiresPermissions等,并提供了配置和测试方法。
摘要由CSDN通过智能技术生成

1、shiro授权角色、权限

在这里插入图片描述
新增加俩个查询方法,通过id查询用户所对应的角色,通过id查询用户所对应的权限

<select id="getRolesByUserId" resultType="java.lang.String" parameterType="java.lang.Integer">
    select r.roleid from t_shiro_user u,t_shiro_user_role ur,t_shiro_role r
    where u.userid = ur.userid and ur.roleid = r.roleid
    and u.userid=#{userid}
  </select>

  <select id="getPersByUserId" resultType="java.lang.String" parameterType="java.lang.Integer">
    select p.permission from t_shiro_user u,t_shiro_user_role ur,t_shiro_role_permission rp,t_shiro_permission p
    where u.userid = ur.userid and ur.roleid = rp.roleid and rp.perid = p.perid
    and u.userid=#{userid}
  </select>

Service层就是常规的编写
再重写MyRealm里面的授权方法

package com.zyc.shiro;

import com.zyc.model.ShiroUser;
import com.zyc.service.ShiroUserService;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.util.ByteSource;
import org.springframework.stereotype.Component;

import java.util.Set;

/**
 * @author 简单定义存在
 * @site https://i.csdn.net/#/uc/profile
 * @company xxx公司
 * @create  2019-11-04 10:32
 */
@Component
public class MyRealm extends AuthorizingRealm {

    private ShiroUserService shiroUserService;

    public ShiroUserService getShiroUserService() {
        return shiroUserService;
    }

    public void setShiroUserService(ShiroUserService shiroUserService) {
        this.shiroUserService = shiroUserService;
    }

    /**
     * 授权的方法
     * @param principalCollection
     * @return
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        //从这principalCollection里面拿到要授权的账号
        //getPrimaryPrincipal()这个是唯一的身份
        String uname=principalCollection.getPrimaryPrincipal().toString();
        //拿到当前的用户
        ShiroUser shiroUser = this.shiroUserService.querybyName(uname);
        //拿到当前用户对应所有权限
        Set<String> perids= this.shiroUserService.getPersByUserId(shiroUser.getUserid());
        //用户对应的所有角色
        Set<String> roleIds= this.shiroUserService.getRolesByUserId(shiroUser.getUserid());

        SimpleAuthorizationInfo info=new SimpleAuthorizationInfo();
        //设置角色
        info.setRoles(roleIds);
        //设置权限
        info.setStringPermissions(perids);
        //返回AuthorizationInfo
        return info;
    }

    /**
     * 认证的方法
     * @param authenticationToken
     * @return
     * @throws AuthenticationException
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        String uname=authenticationToken.getPrincipal().toString();
        String pwd=authenticationToken.getCredentials().toString();
        ShiroUser shiroUser = shiroUserService.querybyName(uname);
        AuthenticationInfo info = new SimpleAuthenticationInfo(
                shiroUser.getUsername(),//身份(用户名)
                shiroUser.getPassword(),//凭证(密码)
                ByteSource.Util.bytes(shiroUser.getSalt()),//凭证盐
                this.getName()//数据源名字
        );
        return info;
    }
}

把当前用户对应的所有角色与权限全部给到shiro,由shiro来执行授权的操作
权限规则都在spring与shiro整合的配置文件中:

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd">

    <!--配置自定义的Realm-->
    <bean id="shiroRealm" class="com.zyc.shiro.MyRealm">
        <property name="shiroUserService" ref="shiroUserService" />
        <!--注意:重要的事情说三次~~~~~~此处加密方式要与用户注册时的算法一致 -->
        <!--注意:重要的事情说三次~~~~~~此处加密方式要与用户注册时的算法一致 -->
        <!--注意:重要的事情说三次~~~~~~此处加密方式要与用户注册时的算法一致 -->
        <!--以下三个配置告诉shiro将如何对用户传来的明文密码进行加密-->
        <property name="credentialsMatcher">
            <bean id="credentialsMatcher" class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">
                <!--指定hash算法为MD5-->
                <property name="hashAlgorithmName" value="md5"/>
                <!--指定散列次数为1024次-->
                <property name="hashIterations" value="1024"/>
                <!--true指定Hash散列值使用Hex加密存. false表明hash散列值用用Base64-encoded存储-->
                <property name="storedCredentialsHexEncoded" value="true"/>
            </bean>
        </property>
    </bean>

    <!--注册安全管理器-->
    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
        <property name="realm" ref="shiroRealm" />
    </bean>

    <!--Shiro核心过滤器-->
    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <!-- Shiro的核心安全接口,这个属性是必须的 -->
        <property name="securityManager" ref="securityManager" />
        <!-- 身份验证失败,跳转到登录页面 -->
        <property name="loginUrl" value="/login"/>
        <!-- 身份验证成功,跳转到指定页面 -->
        <!--<property name="successUrl" value="/index.jsp"/>-->
        <!-- 权限验证失败,跳转到指定页面 -->
        <property name="unauthorizedUrl" value="/unauthorized.jsp"/>
        <!-- Shiro连接约束配置,即过滤链的定义 -->
        <property name="filterChainDefinitions">
            <value>
                <!--
                注:anon,authcBasic,auchc,user是认证过滤器
                    perms,roles,ssl,rest,port是授权过滤器
                -->
                <!--anon 表示匿名访问,不需要认证以及授权-->
                <!--authc表示需要认证 没有进行身份认证是不能进行访问的-->
                <!--roles[admin]表示角色认证,必须是拥有admin角色的用户才行-->
                <!--perms["user:update"]表示权限认证,必须是拥有user:update权限的用户才行-->
                <!--[]可以为用户或权限名称,也可以为用户或权限id,取决于你的查询方法所查询的内容-->
                /user/login=anon
                /user/updatePwd.jsp=authc
                /admin/*.jsp=roles[admin]
                /user/teacher.jsp=perms["user:update"]
                <!-- /css/**               = anon
                 /images/**            = anon
                 /js/**                = anon
                 /                     = anon
                 /user/logout          = logout
                 /user/**              = anon
                 /userInfo/**          = authc
                 /dict/**              = authc
                 /console/**           = roles[admin]
                 /**                   = anon-->
            </value>
        </property>
    </bean>

    <!-- Shiro生命周期,保证实现了Shiro内部lifecycle函数的bean执行 -->
    <bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>
</beans>

在你登录的时候(subject.login)shiro会先调用认证的方法,再调用授权的方法,这样登录成功之后就可以访问当前用户所拥有的权限了
注意:
在spring整合shiro的配置文件中对凭证(密码)进行了解密的操作,
如果你数据库的密码不是按照配置文件中解密的规则进行加密之后得到的密文的话,
那么解密就不会成功,登录就会失败

运行结果与之前的几乎相同就不演示了

2、Shiro的注解式开发

@RequiresAuthenthentication:表示当前Subject已经通过login进行身份验证;即 Subject.isAuthenticated()返回 true
@RequiresUser:表示当前Subject已经身份验证或者通过记住我登录的
@RequiresGuest:表示当前Subject没有身份验证或者通过记住我登录过,即是游客身份
@RequiresRoles(value = {“admin”,“user”},logical = Logical.AND):表示当前Subject需要角色admin和user
@RequiresPermissions(value = {“user:delete”,“user:b”},logical = Logical.OR):表示当前Subject需要权限user:delete或者user:b

虽然在spring与shiro整合文件中我们配置了安全管理器,但那里的安全管理器只对数据源(MyRealm)进行了管理,我们要使用shiro注解的话还要再springMvc配置文件中配置扫面
shiro注解的安全管理器

<!--扫描shiro的注解-->
    <bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator"
          depends-on="lifecycleBeanPostProcessor">
        <property name="proxyTargetClass" value="true"></property>
    </bean>
    <bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
        <property name="securityManager" ref="securityManager"/>
    </bean>

    <!--shiro异常解析器-->
    <bean id="exceptionResolver" class="org.springframework.web.servlet.handler.SimpleMappingExceptionResolver">
        <property name="exceptionMappings">
            <props>
                <prop key="org.apache.shiro.authz.UnauthorizedException">
                    unauthorized
                </prop>
            </props>
        </property>
        <property name="defaultErrorView" value="unauthorized"/>
    </bean>

测试方法:

 @RequiresUser
    @ResponseBody
    @RequestMapping("/passUser")
    public String passUser(){
        return "身份认证能够访问";
    }

//    角色id为2和(或)4才能访问      AND  OR
    @RequiresRoles(value = {"2","4"},logical = Logical.OR)
    @ResponseBody
    @RequestMapping("/passRole")
    public String passRole(){
        return "角色认证能够访问";
    }

//    拥有user:update权限的用户才能访问,可同时填写多个权限   AND 和  OR  或
    @RequiresPermissions(value = {"user:update"},logical = Logical.AND)
    @ResponseBody
    @RequestMapping("/passPer")
    public String passPer(){
        return "权限认证能够访问";
    }

如以上注解规则
passUser:只要认证之后的用户就可以访问;
passRole:角色为2或4的用户可以访问;
passPer:拥有user:update权限的用户才能访问

简单定义存在
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Springboot整合Shiro授权
波波烤鸭的博客
11-30 1万+
  本文我们来介绍SpringBoot整合Shiro来实现授权的操作 一、注解的使用方式 1.配置类修改   在权限校验的时候,我们一般在控制中通过注解来实现权限的校验,但我们需要放开注解的使用,在配置文件中的使用方式如下: 对应的在配置类中的设置如下: /** * 开启授权注解使用方式 * @param manager * @return */ @Bean public Authori...
shiro入门
trasewell的博客
09-25 896
目录: 1.pom.xml 2.applicationContext.xml 3.applicationContext-mybatis.xml 4.SpringBaseTest 5.优化分页 1.pom.xml <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4...
Shiro授权--ssm
m0_67477525的博客
08-27 183
RequiresAuthenthentication:表示当前Subject已经通过login进行身份验证;即 Subject.isAuthenticated()返回 true@RequiresUser:表示当前Subject已经身份验证或者通过记住我登录的@RequiresGuest:表示当前Subject没有身份验证或者通过记住我登录过,即是游客身份。...
Shiro授权
qq_57907966的博客
12-24 1243
在controller层创建接口使用shiro中的注解@RequiresRoles指定能访问的角色名称在自定义的MyRealm自定义授权方法其中的service层dao层数据库表role角色表角色用户关系表。
shiro授权
weixin_50020236的博客
07-11 715
shiro 授权
shiro授权
yzq102873的博客
08-29 989
shiro授权
shiro授权过程
ITWANGBOIT的博客
10-14 894
1:通过继承shiro的AuthorizingRealm类,并实现它的doGetAuthorizationInfo方法来进行授权。 2:doGetAuthorizationInfo方法的参数是认证通过的principal的集合(因为可多个realm,且有不同的认证策略) 3:doGetAuthorizationInfo方法的作用就是:登录认证成功之后,根据认证通过的principal,...
Shiro框架2——shiro的认证+shiro授权
最新发布
qq_64064246的博客
07-08 1221
通过分析源码可得:认证:1.最终执行用户名比较是 在SimpleAccountRealm类 的 doGetAuthenticationInfo 方法中完成用户名校验2.最终密码校验是在 AuthenticatingRealm类 的 assertCredentialsMatch方法 中总结:认证realm授权realm自定义Realm的作用:放弃使用.ini文件,使用数据库查询。
shiro 授权
快乐的小三菊的博客
05-14 1882
shiro 授权源码探究
shiro刷新授权缓存无效
weixin_42947972的博客
12-06 286
shiro刷新授权缓存无效
Shiro登录授权认证功能
09-26
3. 配置Shiro的`SecurityManager`,包括设置`Realm`和会话管理策略。 4. 创建过滤器链配置,定义访问控制规则。 5. 在Spring Boot的启动类或配置类中初始化`SecurityManager`并启动Shiro。 通过以上步骤,我们可以...
shiro授权的实现原理
08-29
3. 权限(Permission):是安全策略中的原子授权单位,通过权限我们可以表示在应用中用户有没有操作某个资源的权力。即权限代表了用户有没有操作某个资源的权利,不反映谁去执行这个操作。 4. 角色(Role):代表了...
shiro认证授权
08-03
Apache Shiro 是一个强大且易用的 Java 安全框架,提供了认证、授权、加密和会话管理功能,可以非常方便地开发出足够安全的应用。本文将深入探讨 Shiro 的核心概念,包括认证和授权,并结合提供的 `shiro-demo` 代码...
vue+elementUI完成登陆
ZYC123121的博客
08-30 2799
1、spa项目完成登录注册布局 安装开发模块 npm install element-ui -S npm install axios -S npm install qs -S npm install vue-axios -S 引入main.js配置: // The Vue build version to load with the `import` command // (runtime-on...
Vue模板语法(一)
ZYC123121的博客
08-21 696
1. 模板语法 1.1 插值 1.1.1 文本 {{msg}} 1.1.2 html 使用v-html指令用于输出html代码 1.1.3 属性 HTML属性中的值应使用v-bind指令 1.1.4 表达式 Vue提供了完全的JavaScript表达式支持 详细代码: <!DOCTYPE html> <html> <head> <meta chars...
Quartz入门
ZYC123121的博客
12-02 356
目录1、Quartz简介及应用场景1. Quartz介绍2.quartz的应用场景大致分为两类:3. Quartz的触发器4. 存储方式核心类和核心类之间关系quartz相关表达式2、Quartz简单触发器 SimpleTrigger介绍3、Quartz表达式触发器CronTirgger介绍、4、Quartz中参数传递5、Spring task Vs Quartz 1、Quartz简介及应用场景 ...
jwt
ZYC123121的博客
09-08 333
1. JWT是什么 JSON Web Token (JWT),它是目前最流行的跨域身份验证解决方案 2. 为什么使用JWT JWT的精髓在于:“去中心化”,数据是保存在客户端的。 传统开发对资源的访问限制利用session完成图解: 3. JWT的工作原理 是在服务器身份验证之后,将生成一个JSON对象并将其发送回用户,示例如下: {“UserName”: “Chongchong”,“Rol...
Linux
ZYC123121的博客
10-09 328
Linux是什么 Linux是一种自由和开放源码的类UNIX操作系统。它能运行主要的Unix工具软件、应用程序和网络协议,支持32位和64位硬件。该操作系统的内核由林纳斯·托瓦兹于1991年10月5日首次发布。 Linux环境搭建及项目部署 一.VMWare安装图解 1.安装包如下,双击安装 安装步骤直接一直下一步就好了。 在第一次启动该软件时,需要输入注册码(也可自行到百度上找): 注册码:F...
Hirbernate之二级缓存
ZYC123121的博客
08-11 306
1. 为什么需要缓存 拉高程序的性能 关系型数据库:数据与数据之间存在关系(联系)的数据库 mysql/Oracle、sqlserver 非关系型数据库:数据与数据之间是不存在关系的,key-value 1、基于文件存储的数据库:ehcache 2、基于内存存储的数据库:redis、memcache 3、基于文档存储的数据库:mongodb 2. 什么样的数据需要缓存 很少被修改或根本不改的数据...
Apache Shiro授权机制详解
"Apache Shiro是一个强大的Java安全框架,用于实现身份验证、授权、会话管理和缓存等功能。本文将深入探讨Shiro授权机制,包括其核心组件、权限分配和授权流程。" Apache Shiro授权机制是其功能的重要组成部分...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值