springboot整合shiro实现基础的用户角色权限管理

最新推荐文章于 2024-03-20 12:21:29 发布
最新推荐文章于 2024-03-20 12:21:29 发布
阅读量881 收藏 5
点赞数
分类专栏: java 文章标签: java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_54852350/article/details/124039398
版权

文章目录

项目地址

1. 用户角色权限需要解决的问题及shiro的解决方案

  1. 灵活配置需要和不需要拦截的页面

shiro提供了过滤器可以灵活配置需要和不需要拦截的页面

  1. 实现用户认证

shiro整合了HttpSession(web应用)可以保存用户登录的信息。

  1. 根据当前认证用户加载不同的菜单权限

这个和shiro无关,直接展示用户具有的菜单权限即可

  1. 根据认证用户的权限,严格控制用户的操作

shiro可以用Realm的doGetAuthorizationInfo()方法做授权,结合shiro的注解(@RequiresPermissions(),@RequiresRoles())做权限控制

  1. 权限==>角色==>用户配置

可以灵活配置权限角色

2. 过滤器

public ShiroFilterFactoryBean shirFilter(SecurityManager securityManager) {
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        shiroFilterFactoryBean.setSecurityManager(securityManager);
        //配置默认未登录跳转页面
        shiroFilterFactoryBean.setLoginUrl("/user/login");
        // 配置未授权跳转页面,filterChainDefinitionMap.put("/user/login2", "perms[2]")
        // 注解的未授权直接抛异常,由统一异常处理
        // shiroFilterFactoryBean.setUnauthorizedUrl("/user/unauthorized");

        // 拦截器.
        Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>();
        // 配置不许认证的资源
        filterChainDefinitionMap.put("/static/**", "anon");
        filterChainDefinitionMap.put("/user/login", "anon");
        filterChainDefinitionMap.put("/user/tologin", "anon");
        // filterChainDefinitionMap.put("/user/login2", "perms[2]");

        // 配置退出过滤器,其中的具体的退出代码Shiro已经替我们实现了
        filterChainDefinitionMap.put("/user/loginout", "logout");

        // 除了上面所有,其它都需要授权,匹配方式,第一次匹配优先
        filterChainDefinitionMap.put("/**", "authc");
        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
        return shiroFilterFactoryBean;
    }

3. 登录并获取菜单权限

@RequestMapping("/tologin")
@ResponseBody
public Map<String, Object> login(Model model, String userName, String password) {
    Map<String, Object> map = new HashedMap();
    if (StringUtils.isNotBlank(userName) && StringUtils.isNotBlank(password)) {
        Subject subject = SecurityUtils.getSubject();
        UsernamePasswordToken token = new UsernamePasswordToken(userName, password);
        token.setRememberMe(true);
        try {
            subject.login(token);
        } catch (AuthenticationException e) {
            e.printStackTrace();
            map.put("code", -1);
            map.put("msg", "登录失败, 用户名或密码错误");
            return map;
        }
        // 获取角色对应的权限
        List<SysPermission> sysPermissionList = sysPermissionService.selectSysPermissionsBySysUserName(userName);
        if (sysPermissionList != null && sysPermissionList.size() != 0) {
            model.addAttribute("sysPermissionList", sysPermissionList);
            model.addAttribute("isSysPermissionList", true);
        } else {
            model.addAttribute("isSysPermissionList", false);
        }
        // 当前登录用户
        SysUser sysUser = new SysUser();
        sysUser.setUserName(userName);
        model.addAttribute("sysUser", sysUserService.selectOne(sysUser));
        map.put("code", 1);
        return map;
    } else {
        map.put("code", -1);
        map.put("msg", "用户名与密码不能为空");
        return map;
    }
}

subject.login()最后由Realm的doGetAuthenticationInfo()执行,查询数据库获取用户,shiro自动帮我们比对密码是否正确

@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
    String userName = (String) token.getPrincipal();
    Example sysUserExample = new Example(SysUser.class);
    Example.Criteria criteria = sysUserExample.createCriteria();
    criteria.andEqualTo("userName", userName);
    SysUser user = sysUserMapper.selectByExample(sysUserExample).get(0);
    if (user != null) {
        AuthenticationInfo authcInfo = new SimpleAuthenticationInfo(user.getUserName(), user.getPassword(), "xxx");
        return authcInfo;
    } else {
        return null;
    }
}

到此为止,网站就具有了认证和非认证的状态,但是仅仅有这两种状态不够,因为现在没法保证具体权限的控制,也就是说只要登录了就可以访问任何权限,需要解决这个问题还要利用shiro的授权控制。

4. shiro授权

shiro的授权操作是借助Realm的doGetAuthorizationInfo()来操作的,这个方法会获取用户对应的所有角色和权限,并且放入shiro中统一管理。

@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
    String userName = (String) SecurityUtils.getSubject().getPrincipal();
    //根据用户名查询出用户记录
    Example sysUserExample = new Example(SysUser.class);
    Example.Criteria criteria = sysUserExample.createCriteria();
    criteria.andEqualTo("userName", userName);
    SysUser user = sysUserMapper.selectOneByExample(sysUserExample);

    SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
    List<SysRole> roleList = sysRoleMapper.selectRolesByUserId(user.getId());

    Set<String> roles = new HashSet<>();
    if (roleList.size() > 0) {
        for (SysRole role : roleList) {
            roles.add(role.getRoleName());
            //根据角色id查询所有资源
            List<SysPermission> menuList = sysPermissionMapper.selectMenusByRoleId(role.getId());
            for (SysPermission menu : menuList) {
                info.addStringPermission(menu.getPermissionName()); // 添加权限
            }
        }
    }
    info.setRoles(roles);
    return info;
}

上述操作是把用户具有的所有角色权限加载出来了,但是还没设定具体的操作需要哪种权限,可以通过注解或代码的方式设定。

@RequestMapping("/usermanage")
@RequiresPermissions({"用户管理"})
public String userManage() {
    // 可以手动判断是否拥有权限,也可以通过注解配合ControllerAdvice
    //Subject subject = SecurityUtils.getSubject();
    //subject.isPermitted("用户管理");

    return "usermanage";
}

注:doGetAuthorizationInfo()方法是需要授权时,也就是解析注解或者执行授权代码时才执行的

5. 总结

上述只列出了大体的思路,详细的配置和实现有需要的请查看githup上的项目

项目地址

m0_54852350
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SSM+Shiro实现权限角色控制
11-07
SSM+Shiro实现权限角色控制,+Maven+Tomcat+Mysql,项目可直接在eclipse上跑,数据库表也附件在压缩包中。
springboot shiro权限管理
zangguangtian的博客
03-06 6375
 集成shiro大概分这么一个步骤:(一) pom.xml中添加Shiro依赖;(二) 注入Shiro Factory和SecurityManager。(三) 身份认证(四) 权限控制一: pom.xml中添加Shiro依赖1.1: 要使用Shiro进行权限控制,那么很明显的就需要添加对Shiro的依赖包,在pom.xml中加入如下配置: &lt;!-- shiro权限控制框架 --&gt; ...
③【Shiro角色(权限组)、权限授权
ebb29bbe的博客
03-20 802
Shiro权限授权
Shiro角色权限管理
热门推荐
不更了,主打一个陪伴
12-08 1万+
Shiro角色权限管理
spring security 授予权限_SpringBoot整合权限控制框架Spring Security
weixin_39534321的博客
11-22 255
通常我们的网站都有权限控制,就像一个公司有产品、开发、运维之分,各自负责各自的业务,相互独立,有相互协作,共同完成一个任务。拥有不同权限的用户查看不同的页面,进行不同的操作。这篇来简单的说一下使用springboot+jpa+springsecurity实现简单的用户权限管理角色用户的关系通过数据库配置控制。角色可以访问的权限通过硬编码控制。springboot是一个灵活和强大的身份...
SpringBoot + Apache Shiro1.9.1 最新版本详细教程,基于RBAC角色访问、安全管理框架、用户角色权限
07-26
0、重点!重点!...1、本教程适用所有开发人员简单易懂,结合文章教程与demo示例。...5、基于RBAC五张表:用户表 tb_user、角色表tb_role、权限表tb_permission、用户角、表tb_user_role、角色权限tb_role_permissio
SpringBoot整合Shiro实现基于角色的权限访问控制(RBAC)系统简单设计
最新发布
05-14
该项目利用了基于springboot + vue + mysql的开发模式框架实现的课设系统,包括了项目的源码资源、sql文件、相关指引文档等等。 【项目资源】:包含前端、后端、移动开发、操作系统、人工智能、物联网、信息化管理...
SpringBoot整合Shiro实现基于角色的权限访问控制(RBAC)系统简单设计从零搭建.zip
08-05
IT毕业设计
SpringBootShiro整合-权限管理实战视频最新最新.txt
07-11
传智播客 SpringBootShiro整合-权限管理实战视频,老师一步一步写出代码,里面有讲和Mybatis的整合。 最新最新最新!!!
SpringBoot整合Shiro实现基于角色的权限访问控制(RBAC)系统简单设计从零搭建+源代码+文档说明
11-28
SpringBoot整合Shiro实现基于角色的权限访问控制(RBAC)系统简单设计从零搭建 ================= #### 1 . 这是基于SpringBootShiro实现的一个角色权限访问控制(RBAC)的系统。 基本描述 : 1 . 一个用户具有一...
shiro 权限与角色
02-01
这里是shrio权限与角色,入门做为一个参考
spring boot权限系统
07-31
使用spring boot实现的动态权限系统,基本分为用户 角色 权限等模块,可以参考
Shiro 权限管理
心猿意码
06-24 3600
一共5个表 用户角色表 权限表 用户角色中间表 角色权限中间表 权限验证 通过角色来判断有没有权限。 比如 if 用户有在用户角色中间表中有经理的角色, 就可以查看工资。这中判断比较笼统。适合比如实现不同的角色登录以后看到不同的菜单。 通过权限标识来判断, 这个就需要查出用户拥有的具体权限。 这个权限控制比较细致。 适合细致的,比如部门公司的管理员,只能修改该部门下的员工资料。 Shi...
Spring Boot +Shiro 用户角色权限设计
LJY_SUPER的博客
09-05 3277
首先创建 用户-角色-权限 三个实体类 和 用户角色关系表和 角色与权限关系表 用户表UserInfo:在用户表中保存了用户的基本信息,账号、密码、姓名等; 权限表SysPermission(资源+控制权限):这个表中主要是保存了用户的URL地址,权限信息; 角色表SysRole:在这个表重要保存了系统存在的角色; 关联表:用户-角色管理表SysRoleUser(用户在系统中都有什么角色
SSM整合shiro 实现用户角色权限管理
Aron的博客
01-21 2225
ps: 一.环境:SpringMvc+spring+Mybatis,前后端分离,只支持单台项目(未实现单点登入); 二.需对shiro原理流程,有基础的理解,以及用户权限需求的应用场景明了,能更好项目整合; 三.shiro的基本构成: 1.Subject (接口) : 主体(当前用户) 定义了认证授权的相关函数,通过SecurityManage 安全管理器进行授权按认证 2...
springboot基于角色的权限认证
weixin_33815613的博客
05-23 249
2019独角兽企业重金招聘Python工程师标准>>> ...
springboot整合shiro进行权限控制
m0_48342140的博客
08-03 302
1.创建springboot项目 使用spring初始化器创建即可 2.引入相关依赖 <!-- shiro依赖 --> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring-boot-starter</artifactId> <version>1.5.3</version> </dependen
SpringBoot整合SpringSecurity系列(8)-角色权限控制
TianXinCoord的博客
04-22 2813
文章目录一、角色权限判断二、内置权限判断2.1 hasAuthority(String)2.2 hasAnyAuthority(String ...)2.3 hasRole(String)2.4 hasAnyRole(String ...)2.5 hasIpAddress(String) 一、角色权限判断 除了内置权限控制外,Spring Security 中还支持很多其他权限控制,这些方法一般都用于用户已经被认证后,判断用户是否具有特定的权限 例如登录微信之后,是否有权限发红包、发朋友圈等,后面的操作是
springboot整合shiro实现登录
09-26
实现springboot整合shiro实现登录,你需要按照以下步骤进行操作: 1. 引入相关依赖:在项目的pom.xml文件中添加spring-boot-starter-web和spring-boot-starter-thymeleaf依赖。 2. 创建ShiroConfig类:在项目的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值