Shiro授权

最新推荐文章于 2024-10-23 19:46:59 发布
最新推荐文章于 2024-10-23 19:46:59 发布
阅读量92 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/li___kang/article/details/102912213
版权

目标
1、shiro授权角色、权限
2、Shiro的注解式开发
在这里插入图片描述

授权

<select id="getRolesByUserId" resultType="java.lang.String" parameterType="java.lang.Integer">
  select r.roleid from t_shiro_user u,t_shiro_user_role ur,t_shiro_role r
    where u.userid = ur.userid and ur.roleid = r.roleid
    and u.userid = #{userid}
</select>
<select id="getPersByUserId" resultType="java.lang.String" parameterType="java.lang.Integer">
  select p.permission from t_shiro_user u,t_shiro_user_role ur,t_shiro_role_permission rp,t_shiro_permission p
  where u.userid = ur.userid and ur.roleid = rp.roleid and rp.perid = p.perid
  and u.userid = #{userid}
</select>

Service层

package com.likang.service;

import com.likang.model.ShiroUser;
import org.apache.ibatis.annotations.Param;

import java.util.Set;

/**
 * @author 木子康
 */
public interface ShiroUserService {
    ShiroUser queryByName( String uname);

    int insert(ShiroUser record);

    Set<String> getRolesByUserId(Integer userid);

    Set<String> getPersByUserId(Integer userid);
}

重写自定义realm中的授权方法

package com.likang.shiro;

import com.likang.model.ShiroUser;
import com.likang.service.ShiroUserService;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.util.ByteSource;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Component;

import java.util.Set;

/**
 * @author 木子康
 */
public class MyRealm extends AuthorizingRealm {
    private ShiroUserService shiroUserService;

    public ShiroUserService getShiroUserService() {
        return shiroUserService;
    }

    public void setShiroUserService(ShiroUserService shiroUserService) {
        this.shiroUserService = shiroUserService;
    }

    /**
     * 授权的方法
     * @param principalCollection
     * @return
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        String uname=principalCollection.getPrimaryPrincipal().toString();
        ShiroUser shiroUser = this.shiroUserService.queryByName(uname);
        Set<String> persByUserId = this.shiroUserService.getPersByUserId(shiroUser.getUserid());
        Set<String> rolesByUserId = this.shiroUserService.getRolesByUserId(shiroUser.getUserid());
        SimpleAuthorizationInfo info=new SimpleAuthorizationInfo();
        info.setRoles(rolesByUserId);
        info.setStringPermissions(persByUserId);
        return info;
    }

    /**
     * 身份认证的方法
     * @param authenticationToken
     * @return
     * @throws AuthenticationException
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        String uname=authenticationToken.getPrincipal().toString();
        String pwd=authenticationToken.getCredentials().toString();
        ShiroUser shiroUser=shiroUserService.queryByName(uname);

        AuthenticationInfo info=new SimpleAuthenticationInfo(
            shiroUser.getUsername(),
                shiroUser.getPassword(),
                ByteSource.Util.bytes(shiroUser.getSalt()),
                this.getName()
        );
        return info;
    }
}

注解式开发

常用注解介绍

  @RequiresAuthenthentication:表示当前Subject已经通过login进行身份验证;即 Subject.isAuthenticated()返回 true
  @RequiresUser:表示当前Subject已经身份验证或者通过记住我登录的
  @RequiresGuest:表示当前Subject没有身份验证或者通过记住我登录过,即是游客身份
  @RequiresRoles(value = {"admin","user"},logical = Logical.AND):表示当前Subject需要角色admin和user
  @RequiresPermissions(value = {"user:delete","user:b"},logical = Logical.OR):表示当前Subject需要权限user:delete或者user:b

Springmvc.xml

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xmlns:context="http://www.springframework.org/schema/context"
       xmlns:mvc="http://www.springframework.org/schema/mvc" xmlns:aop="http://www.springframework.org/schema/aop"
       xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd
      http://www.springframework.org/schema/context http://www.springframework.org/schema/context/spring-context-4.3.xsd http://www.springframework.org/schema/mvc http://www.springframework.org/schema/mvc/spring-mvc.xsd http://www.springframework.org/schema/aop http://www.springframework.org/schema/aop/spring-aop.xsd">
    <!-- 通过context:component-scan元素扫描指定包下的控制器-->
    <!--1) 扫描com.javaxl.zf及子子孙孙包下的控制器(扫描范围过大,耗时)-->
    <aop:aspectj-autoproxy/>
    <context:component-scan base-package="com.likang"/>

    <!--2) 此标签默认注册DefaultAnnotationHandlerMapping和AnnotationMethodHandlerAdapter -->
    <!--两个bean,这两个bean是spring MVC为@Controllers分发请求所必须的。并提供了数据绑定支持,-->
    <!--@NumberFormatannotation支持,@DateTimeFormat支持,@Valid支持,读写XML的支持(JAXB),读写JSON的支持(Jackson)-->
    <mvc:annotation-driven></mvc:annotation-driven>

    <!--3) ViewResolver -->
    <bean class="org.springframework.web.servlet.view.InternalResourceViewResolver">
        <!-- viewClass需要在pom中引入两个包:standard.jar and jstl.jar -->
        <property name="viewClass"
                  value="org.springframework.web.servlet.view.JstlView"></property>
        <property name="prefix" value="/"/>
        <property name="suffix" value=".jsp"/>
    </bean>

    <bean id="multipartResolver" class="org.springframework.web.multipart.commons.CommonsMultipartResolver">
        <!-- 必须和用户JSP 的pageEncoding属性一致,以便正确解析表单的内容 -->
        <property name="defaultEncoding" value="UTF-8"></property>
        <!-- 文件最大大小(字节) 1024*1024*50=50M-->
        <property name="maxUploadSize" value="52428800"></property>
        <!--resolveLazily属性启用是为了推迟文件解析,以便捕获文件大小异常-->
        <property name="resolveLazily" value="true"/>
    </bean>

    <bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator"
          depends-on="lifecycleBeanPostProcessor">
        <property name="proxyTargetClass" value="true"></property>
    </bean>
    <bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
        <property name="securityManager" ref="securityManager"/>
    </bean>

    <bean id="exceptionResolver" class="org.springframework.web.servlet.handler.SimpleMappingExceptionResolver">
        <property name="exceptionMappings">
            <props>
                <prop key="org.apache.shiro.authz.UnauthorizedException">
                    unauthorized
                </prop>
            </props>
        </property>
        <property name="defaultErrorView" value="unauthorized"/>
    </bean>


    <!--4) 单独处理图片、样式、js等资源 -->
    <!--<mvc:resources location="/css/" mapping="/css/**"/>-->
    <!--<mvc:resources location="/images/" mapping="/images/**"/>-->
    <!--<mvc:resources location="/js/" mapping="/js/**"/>-->
    <mvc:resources location="/static/" mapping="/static/**"/>


</beans>

Controller

package com.likang.controller;

import com.likang.model.ShiroUser;
import com.likang.service.ShiroUserService;
import com.likang.util.PasswordHelper;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.authz.annotation.Logical;
import org.apache.shiro.authz.annotation.RequiresPermissions;
import org.apache.shiro.authz.annotation.RequiresRoles;
import org.apache.shiro.authz.annotation.RequiresUser;
import org.apache.shiro.subject.Subject;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.RequestBody;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestPart;
import org.springframework.web.bind.annotation.ResponseBody;

import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

/**
 * @author 木子康
 */
@Controller
public class ShiroUserController {
    @Autowired
    private ShiroUserService shiroUserService;

    @RequestMapping("login")
    public String login(HttpServletRequest req){
        Subject subject = SecurityUtils.getSubject();
        String uname = req.getParameter("username");
        String pwd = req.getParameter("password");
        UsernamePasswordToken token = new UsernamePasswordToken(uname,pwd);

        try {
//            这里会跳转到MyRealm中的认证方法
            subject.login(token);
            req.getSession().setAttribute("username",uname);
            return "main";
        }catch (Exception e){
            req.setAttribute("message","用户名密码错误");
            return "login";
        }
    }

    @RequestMapping("logout")
    public String logout(HttpServletRequest req){
        Subject subject = SecurityUtils.getSubject();
        subject.logout();
        return "redirect:/login.jsp";
    }


    @RequestMapping("/register")
    public String register(HttpServletRequest req, HttpServletResponse resp){
        String uname = req.getParameter("username");
        String pwd = req.getParameter("password");
        String salt = PasswordHelper.createSalt();
        String credentials = PasswordHelper.createCredentials(pwd, salt);

        ShiroUser shiroUser=new ShiroUser();
        shiroUser.setUsername(uname);
        shiroUser.setPassword(credentials);
        shiroUser.setSalt(salt);
        int insert = shiroUserService.insert(shiroUser);
        if(insert>0){
            req.setAttribute("message","注册成功");
            return "login";
        }
        else{
            req.setAttribute("message","注册失败");
            return "register";
        }
    }

    @RequiresUser
    @ResponseBody
    @RequestMapping("passUser")
    public String passUser(){
        return "用户认证访问成功!!!";
    }
    @RequiresRoles(value = {"2"} ,logical = Logical.AND)
    @ResponseBody
    @RequestMapping("passRole")
    public String passRole(){
        return "角色访问成功!!!";
    }
    @RequiresPermissions(value = {"user:update","user:load"},logical = Logical.AND)
    @ResponseBody
    @RequestMapping("passPer")
    public String passPer(){
        return "权限访问成功!!!";
    }


}
墨染天下
关注
Shiro授权&&Shiro的注解式开发
qq_63492318的博客
08-28 940
Shiro授权的代码实现、注解式开发实现Shiro授权...
shiro授权的实现原理
08-29
Shiro 授权的实现原理 Shiro 授权的实现原理是指在应用中控制谁能访问哪些资源的机制。这个机制主要涉及到四个关键对象:主体(Subject)、资源(Resource)、权限(Permission)、角色(Role)。 1. 主体...
shiro授权
yzq102873的博客
08-29 1014
shiro授权
shiro 授权
快乐的小三菊的博客
05-14 1966
shiro 授权源码探究
Shiro授权详解
Mr.W的博客
10-23 594
在进行Shiro授权之前,了解相关术语对于理解整个过程至关重要。Shiro授权机制以角色为中心,辅以权限,来控制主体对资源的访问。授权是指确定主体是否有权访问某一资源或执行某一操作。通过角色和权限机制,Shiro为系统提供了细粒度的访问控制能力主体是指当前的用户、设备或其他能与应用进行交互的实体。每个主体在登录后,会被分配一定的权限和角色来确定其行为资源可以是系统中的任意数据或服务,例如文件、API接口等,主体通过权限来访问这些资源权限是允许主体执行某个具体操作的规则。
Shiro授权流程
k393393的博客
01-14 850
shiro是如何进行权限验证的呢? 1、
Shiro 授权(权限)
我的博客----机械鱼人
01-09 1702
一、授权(权限) 1.1 什么是权限 授权,也叫访问控制,即在应用中控制谁能访问哪些资源(如访问页面/编辑数据/页面操作等)。 1.2 权限框架 shiro spring security Apache Shiro是Java的一个安全框架。目前,使用Apache Shiro的人越来越多,因为它相当简单, 对比Spring Security,可能没有Spring Security做的功能强大,但...
shiro授权无效的原因
m0_67390379的博客
03-28 692
问题 在一个shiro的demo中,设计共有两个页面,add页面和update页面,add页面只能具有user:add字段的用户可以访问,update页面只能具有user:update字段的用户去访问,如果某用户访问add页面,但是没有user:add字段的话,则会呈现用户:未经授权不得访问 这样的一个页面。 代码如下: @RequestMapping("/noauth") @ResponseBody public String unauthorized(){ return
shiro 授权 & 注解式开发
oyang的博客
08-29 663
RequiresPermissions(value = {"user:delete","user:b"},logical = Logical.OR):表示当前Subject需要权限user:delete或者user:b。@RequiresRoles(value = {"admin","user"},logical = Logical.AND):表示当前Subject需要角色admin和user。@RequiresUser:表示当前Subject已经身份验证或者通过记住我登录的。只有权限含2的才可访问。...
Shiro授权以及注解开发
weixin_66202611的博客
08-27 689
(value = {"user:delete","user:b"},logical = Logical.OR):表示当前Subject需要权限user:delete或者user:b --------(权限配置)(value = {"admin","user"},logical = Logical.AND):表示当前Subject需要角色admin和user --------(角色认证):表示当前Subject已经身份验证或者通过记住我登录的 ------(身份认证)......
shiro授权类图关系简化版
04-13
shiro授权类图关系简化版
shiro授权设计的两种思路
05-03
Shiro授权设计中,主要存在两种思路,分别是基于角色的访问控制(Role-Based Access Control, RBAC)和基于权限的访问控制(Permission-Based Access Control)。这两种思路各有特点,适用于不同的应用场景。 **1...
mobilenet模型-基于人工智能的卷积网络训练识别自驾旅行路标-不含数据集图片-含逐行注释和说明文档.zip
最新发布
11-07
本代码是基于python pytorch环境安装的。 下载本代码后,有个环境安装的requirement.txt文本 首先是代码的整体介绍 总共是3个py文件,十分的简便 本代码是不含数据集图片的,下载本代码后需要自行搜集图片放到对应的文件夹下即可 需要我们往每个文件夹下搜集来图片放到对应文件夹下,每个对应的文件夹里面也有一张提示图,提示图片放的位置 然后我们需要将搜集来的图片,直接放到对应的文件夹下,就可以对代码进行训练了。 运行01生成txt.py,是将数据集文件夹下的图片路径和对应的标签生成txt格式,划分了训练集和验证集 运行02CNN训练数据集.py,会自动读取txt文本内的内容进行训练,这里是适配了数据集的分类文件夹个数,即使增加了分类文件夹,也不需要修改代码即可训练 训练过程中会有训练进度条,可以查看大概训练的时长,每个epoch训练完后会显示准确率和损失值 训练结束后,会保存log日志,记录每个epoch的准确率和损失值 最后训练的模型会保存在本地名称为model.ckpt 运行03pyqt界面.py,就可以实现自己训练好的模型去识别图片了
【超强组合】基于VMD-混沌博弈优化算法CGO-Transformer-LSTM的光伏预测算研究Matlab实现.rar
11-07
1.版本:matlab2014/2019a/2024a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 替换数据可以直接使用,注释清楚,适合新手
农产品预售平台 SSM毕业设计 附带论文.zip
11-07
农产品预售平台 SSM毕业设计 附带论文 启动教程:https://www.bilibili.com/video/BV1GK1iYyE2B
【超强组合】基于VMD-樽海鞘优化算法SSA-Transformer-LSTM的光伏预测算研究Matlab实现.rar
11-07
1.版本:matlab2014/2019a/2024a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 替换数据可以直接使用,注释清楚,适合新手
非常好的电子设计小软件字库资料非常好用的软件.zip
11-07
非常好的电子设计小软件字库资料非常好用的软件.zip
从互联网产品经理到AI产品经理
11-07
人工智能 人工智能产品经理的新起点 三、 人工智能的本质及脑洞 1. 未来5年左右,不超过10年,会出现下⼀一个低⾕谷(挤泡沫) ——因为缺乏why层 ⾯面突破+深度学习红利消退 2. 现在的AI,三个真正瓶颈:落地产品、 AI PM、团队升级 3. 近期的AI,三个破局思路:情感最优、⼈人机交互、研究最接地⽓气的公司 4. 未来的AI,三个根本性突破⼝口 :图灵停机问题、量⼦子⼒力学、学佛 5. AI的本质: 从⼈人类意识⽣生出,且必须和⼈人类交互/共⽣生,但⼜又独⽴立于⼈人类的、具 备⾃自主意识的新物种形式 6. AI的效⽤用: 1)⾏行业⾓角度:不是突破效率瓶颈,⽽而是开启新⼀一轮的“流量-交易-效 率”周期(健康快乐/个体意愿—>流量); 2)⼈人类⾓角度:代替-撕裂-共⽣生 7. AI时代,政府会“更早或更深”的介⼊入
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值