Shiro的三种授权

最新推荐文章于 2023-05-19 00:57:05 发布
最新推荐文章于 2023-05-19 00:57:05 发布
阅读量618 收藏
点赞数
分类专栏: java 文章标签: java

前提就是在Realm的授权方法中查询出权限并返回List<String>形式

复制代码

    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {

        // 从 principals获取主身份信息
        // 将getPrimaryPrincipal方法返回值转为真实身份类型(在上边的doGetAuthenticationInfo认证通过填充到SimpleAuthenticationInfo中身份类型),
        ActiveUser activeUser = (ActiveUser) principals.getPrimaryPrincipal();

        // 根据身份信息获取权限信息
        // 从数据库获取到权限数据
        List<SysPermission> permissionList = null;
        try {
            permissionList = sysService.findPermissionListByUserId(activeUser.getUserid());
        } catch (Exception e) {
            // TODO Auto-generated catch block
            e.printStackTrace();
        }
        // 单独定一个集合对象
        List<String> permissions = new ArrayList<String>();
        if (permissionList != null) {
            for (SysPermission sysPermission : permissionList) {
                // 将数据库中的权限标签 符放入集合
                permissions.add(sysPermission.getPercode());
            }
        }

        // 查到权限数据,返回授权信息(要包括 上边的permissions)
        SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
        // 将上边查询到授权信息填充到simpleAuthorizationInfo对象中
        simpleAuthorizationInfo.addStringPermissions(permissions);

        return simpleAuthorizationInfo;
    }

复制代码

 

1.applicationContext-shiro.xml配置

解释:访问上面这个需要有item:edit权限。

2.注解方法:

开启controller类aop支持

在springmvc.xml中配置:  

复制代码

<!-- 开启aop,对类代理 -->
    <aop:config proxy-target-class="true"></aop:config>
    <!-- 开启shiro注解支持 -->
    <bean
        class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
        <property name="securityManager" ref="securityManager" />
    </bean>

复制代码

 

  在controller方法中添加注解

 

3.JSP授权(页面上根据权限设置菜单显示与否)

Jsp页面添加:

<%@ tagliburi="http://shiro.apache.org/tags" prefix="shiro" %>

 

标签名称

标签条件(均是显示标签内容)

<shiro:authenticated>

登录之后

<shiro:notAuthenticated>

不在登录状态时

<shiro:guest>

用户在没有RememberMe时

<shiro:user>

用户在RememberMe时

<shiro:hasAnyRoles name="abc,123" >

在有abc或者123角色时

<shiro:hasRole name="abc">

拥有角色abc

<shiro:lacksRole name="abc">

没有角色abc

<shiro:hasPermission name="abc">

拥有权限资源abc

<shiro:lacksPermission name="abc">

没有abc权限资源

<shiro:principal>

显示用户身份名称

                         <shiro:principal property="username"/>     显示用户身份中的属性值

 

总结:

当调用controller的一个方法,由于该 方法加了@RequiresPermissions("item:query") ,shiro调用realm获取数据库中的权限信息,看"item:query"是否在权限数据中存在,如果不存在就拒绝访问,如果存在就授权通过。

 

当展示一个jsp页面时,页面中如果遇到<shiro:hasPermission name="item:update">,shiro调用realm获取数据库中的权限信息,看item:update是否在权限数据中存在,如果不存在就拒绝访问,如果存在就授权通过。

 

 

 

还有一种情况是有时候连接是在Ajax请求之后拼接到页面的,有时候也需要根据权限进行判断,项目中也遇到这种情况:

思路:在页面中定义一个JS全局变量,在shiro权限标签里面,如果有权限修改全局变量的值,在JS中根据全局变量的值判断是否有权限

(1)页面定义全局变量

<script>

var hasOperatingDepart=false;

<script>

(2)页面用shiro标签判断是否有权限:(有权限会执行JS脚本改变全局变量的值)

1

2

3

4

5

<shiro:hasPermission name="department:operating">

<script>

hasOperatingDepart = true;

</script>

</shiro:hasPermission>

(3)JS拼接的时候根据全局变量判断是否有权限:

1

2

3

4

5

6

// 有删除修改权限就显示连接

if (hasOperatingDepart) {

    str += '<a onclick="updateDepartment(this)" class="el_delButton">修改</a> ';

} else {

    str += "-";

}

  

 

 

有时候我们需要在代码中判断用户是否有某些权限;

        // 获取用户信息
        Subject currentUser = SecurityUtils.getSubject();
        boolean permitted = currentUser.isPermitted("exammanager:factory");// 判断是否有全厂管理的权限,有就不添加部门ID,没有就设为当前Session中的部门ID
        String departmentId = permitted ? null : departmentIdSession;

 有时候我们需要在代码中判断用户是否有某些角色:

        // 获取用户信息
        Subject currentUser = SecurityUtils.getSubject();
        boolean hasRole = currentUser.hasRole("教研室");
        boolean hasRole2 = currentUser.hasRole("院长")

 

 

 

 

 

上面获取的主体的权限码是我们在授权的时候塞进去的,当然我们也可以将角色码也塞进去:

复制代码

package cn.xm.jwxt.shiro;


import cn.xm.jwxt.bean.system.Permission;
import cn.xm.jwxt.bean.system.User;
import cn.xm.jwxt.service.system.UserService;
import cn.xm.jwxt.utils.ValidateCheck;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.springframework.beans.factory.annotation.Autowired;

import java.util.HashSet;
import java.util.List;
import java.util.Set;

/**
 * @Author: qlq
 * @Description 自定义realm。根据上面传下来的token去数据库查信息,查到返回一个SimpleAuthenticationInfo,查不到返回null(用于shiro认证)
 * @Date: 21:56 2018/5/6
 */
public class CustomRealm extends AuthorizingRealm {

    @Autowired
    private UserService userService;

    // 设置realm的名称
    @Override
    public void setName(String name) {
        super.setName("customRealm");
    }

    // realm的认证方法,从数据库查询用户信息
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        String userCode=(String)token.getPrincipal();//获取token的主身份(登录的username
        User user = null;
        try {
            user =  userService.getUserByUserCode(userCode);
        } catch (Exception e) {
            e.printStackTrace();
        }
        AuthenticationInfo authenticationInfo=new SimpleAuthenticationInfo(user, user.getPassword(), this.getName());
        return authenticationInfo;
    }
    // 用于授权
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        //0.下面方法principals.getPrimaryPrincipal()获取的是在上面认证的时候装进AuthenticationInfo的对象
        String userId=((User)(principals.getPrimaryPrincipal())).getUserid();
        SimpleAuthorizationInfo simpleAuthorizationInfo=null;
        try {
            simpleAuthorizationInfo = new SimpleAuthorizationInfo();
            //1.设置所有的权限(注意权限是以字符串的形式保存的权限码)
            List<Permission> permissions1 = userService.selectPermissionsByUserId(userId);//获取所有权限码
            Set<String> permissions = new HashSet<>();
            for(Permission permission:permissions1){
                if(ValidateCheck.isNotNull(permission.getPermissioncode())){
                    permissions.add(permission.getPermissioncode());
                }
            }
            if (permissions != null && permissions.size()>0) {
                simpleAuthorizationInfo.setStringPermissions(permissions);
            }
            //2.设置角色,角色也是以字符串的形式表示(这里存的是角色名字)
            Set<String> userRoleNames = userService.getUserRoleNameByUserId(userId);
            if(userRoleNames != null && userRoleNames.size()>0){
                simpleAuthorizationInfo.setRoles(userRoleNames);
            }
        } catch (Exception e) {
            e.printStackTrace();
        }
        return simpleAuthorizationInfo;
    }

}

 

 

获取用户信息

复制代码

@RequestMapping("/first.action")
        public String first(Model model)throws Exception{
            
            //从shiro的session中取activeUser
            Subject subject = SecurityUtils.getSubject();
            //取身份信息
            ActiveUser activeUser = (ActiveUser) subject.getPrincipal();
            //通过model传到页面
            model.addAttribute("activeUser", activeUser);
            
            return "/first";
        }
Kobe561
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
shiro认证及授权demo
10-28
包含使用Shiro实现认证和授权的Demo,对应博客:https://blog.csdn.net/fancheng614/article/details/83477345
shiro @RequiresPermissions多权限
afdasfggasdf的博客
08-30 4564
一、RequirePermissions多权限 权限值value用数组代替,再设置logical 多选一:logical = Logical.OR 例如:@RequiresPermissions(value = { "product_create", "product_edit" }, logical = Logical.OR) 必须全部符合:logical = Logical.AND ...
Shiro权限
Brooks Lv
11-06 4278
什么是授权 授权就是在认证的基础上给用户进行角色和权限的授予。权限定义了一个用户是否可以执行某个操作。角色是一组权限的集合,我们通常把一组权限绑定到一种角色上,再吧一个或者多个角色赋给一个用户,这样就是实现了权限的控制。 Shiro授权核心概念 权限 : 即操作资源的权利,比如访问某个页面,以及对某个模块的数据的添加,修改,删除,查看的权利 角色 : 是权限的集合,一种角色可以包含多种权限 用户 ...
springboot shiro 不执行授权方法doGetAuthorizationInfo()
m0_67392273的博客
04-08 2046
AuthorizingRealm中有两个需要被重写的方法,分别是 doGetAuthenticationInfo() //验证功能 和 doGetAuthorizationInfo() //授权功能 在login登录方法中,使用login()方法触发自定义的 myRealm.doGetAuthenticationInfo()*方法, /*登录方法*/ public void login(){ Subject subject = SecurityUtils.getSubject(); UsernamePa
Shiro实现授权
最新发布
Healerjy的博客
05-19 180
修改实体类 mapper、service、controller接口同上。测试:根据用户的权限进行判断能否进行访问。编写shiro配置类。
Shiro权限管理框架详解
WGH100817的博客
01-25 1532
1 权限管理1.1 什么是权限管理 基本上涉及到用户参与的系统都要进行权限管理,权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。 权限管理包括用户身份认证和授权两部分,简称认证授权。对于需要访问控制的资源用户首先经过身份认证,认证通过后用户具有该资源的访问权限方可访问。 1.2 用户身份认证1.2...
Apache Shiro 使用手册(三) Shiro授权
09-15
授权即访问控制,它将判断用户在应用程序中对资源是否拥有相应的访问权限
Shiro实现登录授权功能
09-26
Shiro实现登录授权功能
shiro授权.pdf
08-13
shiro 授权 #资源达人分享计划 # 技术文档
shiro授权的实现原理
08-29
主要介绍了shiro授权的实现原理,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
SpringBoot shiro添加多角色or关系权限管理
qq727580714的博客
09-27 2616
使用shiro时遇到一个问题,想为多个角色分配同一权限,也就是只要满足其中一个角色,就可以获得该权限,多角色之间是or关系而非and,但是shiro自带的方法同一权限只能分配一个角色。 // 使用如下Shiro自带的方法实现多角色权限分配,无法实现 filterChainDefinitionMap.put("/user/**", "roles[admin]"); filterChainDefini...
shiro授权流程
magicproblem的博客
02-03 285
1、授权需要继承 AuthorizingRealm 类, 并实现其 doGetAuthorizationInfo 方法(也可认证) public class MyRealm extends AuthorizingRealm 2、实现doGetAuthorizationInfo方法 /** * 授权 */ @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection
shiro JSP标签判断多个权限标识 hasAnyPermissions hasPermission
热门推荐
辛晨V的博客
08-23 1万+
&lt;customTag:hasAllRoles name="admin,user"&gt; 拥有admin和user角色 &lt;/customTag:hasAllRoles&gt; &lt;customTag:hasAllPermissions name="user:create,user:update"&gt; 拥有user:create和user:update权限 &l...
shiro之权限分配
weixin_44744094的博客
07-29 628
编写html // 登录后的链接 <a th:href="@{|/admin/test|}">需要有admin角色的功能</a><br> <a th:href="@{|/admin/test01|}">需要有admin角色的功能test01</a><br> <a th:href="@{|/admin/add|}">需要有admin角色的功能add</a><br> <a th:href="@{|/
shiro 授权
快乐的小三菊的博客
05-14 1634
shiro 授权源码探究
Shiro过滤器Filter的实战使用
a1498665771的博客
02-23 1358
Shiro过滤器Filter的实战使用
Shiro源码理解片段
qq_44039494的博客
03-28 278
1.new SimpleAuthenticationInfo(user,user.getPassword(),""),做了什么? 问题:1.doGetAuthorizationInfo(PrincipalCollection principalCollection)中的PrincipalCollection是什么? 答:存储了用户对象,来自认证方法中认证对象存储的用户对象。 public class UserRealm extends AuthorizingRealm { //授权 @Ove
Shiro授权信息刷新 | doGetAuthorizationInfo()不执行
qq_32352777的博客
06-10 2998
1
springboot+shiro+layuimini实现后台管理系统的权限控制(三)利用shiro实现对用户的授权
superyu1992的专栏
07-27 1202
用户成功登入我们系统之后,下一步就是要根据用户的角色给用户授予相应的权限。Shiro支持的权限控制范围很广,大到一个模块的权限,小到一个按钮的操作权限都可以通过shiro来进行控制。一、shiro基于权限的访问控制主要有三种调用方式:1、编码: 2、注解: 3、标签: 无论是哪一种访问控制的调用方式,都会从主体(Subject)委托给SecurityManager,最终委托给Realm下的doGetAuthorizationInfo()中来执行授权操作,并把授权结果返回到上层。二、shiro的授
shiro怎么实现授权
05-05
Shiro实现授权主要包括以下几个步骤: 1. 定义角色和权限:在Shiro中,角色和权限是通过字符串来定义的。可以使用Shiro提供的Configuration API来定义角色和权限,也可以使用注解来定义。 2. 认证用户身份:在进行...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值