通过shiro进行按钮及页面访问url的权限控制

最新推荐文章于 2024-07-20 16:51:13 发布
最新推荐文章于 2024-07-20 16:51:13 发布
阅读量682 收藏 1
点赞数
分类专栏: java 文章标签: java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_67392010/article/details/124491710
版权

1.当面我们每次登录系统时,都会通过我们自己定义的继承AuthorizingRealm的ShiroRealm进行用户账号密码的确认以及拥有权限的查询:

(1)自定义shiroReam:

public class ShiroDbRealm extends AuthorizingRealm {
  
    @Autowired
	private UserService userService;
	@Autowired
	private SysUserService sysUserService ;
	@Autowired
	private SysUserResService sysUserResService ;
	public ShiroDbRealm() {
		super();
	}
 
	/**
	 * 验证登陆
	 */
	@Override
	protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authcToken)
			throws AuthenticationException {
		UsernamePasswordToken token = (UsernamePasswordToken) authcToken;
		SysUser sysUser = sysUserService.getUserByLoginName(token.getUsername()) ;
		//根据登录名获取用户信息
		if (sysUser != null) {
			return new SimpleAuthenticationInfo(sysUser.getUserNo(), sysUser.getUserPwd(), getName());
		} else {
			throw new AuthenticationException();
		}
	}
 
	/**
	 * 登陆成功之后,进行角色和权限验证
	 */
	@Override
	protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
 
		String userNo = (String) getAvailablePrincipal(principals);
		// 列举此用户所有的权限
		//List<Permission> permissions = userService.findUserPermissionByName(username);
		List<SysUserRes> listRes = sysUserResService.getPermissionByNo(userNo) ;
		Set<String> strs=new HashSet<String>();
		Iterator<SysUserRes> it = listRes.iterator();
		while (it.hasNext()) {
			SysUserRes re=it.next();
			strs.add(re.getResUrl());
		}
		SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
		authorizationInfo.addStringPermissions(strs);
		return authorizationInfo;
	}
 
	/**
	 * 清除所有用户授权信息缓存.
	 */
	public void clearCachedAuthorizationInfo(String principal) {
		SimplePrincipalCollection principals = new SimplePrincipalCollection(principal, getName());
		clearCachedAuthorizationInfo(principals);
	}
 
	/**
	 * 清除所有用户授权信息缓存.
	 */
	public void clearAllCachedAuthorizationInfo() {
		Cache<Object, AuthorizationInfo> cache = getAuthorizationCache();
		if (cache != null) {
			for (Object key : cache.keys()) {
				cache.remove(key);
			}
		}
	}
	/**
	 * 
	* @Title: clearAuthz 
	* @Description: TODO 清楚缓存的授权信息  
	* @return void    返回类型
	 */
	public void clearAuthz(){
		this.clearCachedAuthorizationInfo(SecurityUtils.getSubject().getPrincipals());
	}
}

(2)通过siro进行处理:shiro的配置文件

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
	xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
	xmlns:context="http://www.springframework.org/schema/context"
	xmlns:util="http://www.springframework.org/schema/util"
	xsi:schemaLocation="http://www.springframework.org/schema/beans classpath:org/springframework/beans/factory/xml/spring-beans-3.0.xsd 
				http://www.springframework.org/schema/context classpath:org/springframework/context/config/spring-context-3.0.xsd
				http://www.springframework.org/schema/aop classpath:org/springframework/aop/config/spring-aop-3.0.xsd
				http://www.springframework.org/schema/tx classpath:org/springframework/transaction/config/spring-tx-3.0.xsd
				http://www.springframework.org/schema/util classpath:org/springframework/beans/factory/xml/spring-util-3.0.xsd"
	default-lazy-init="true">
 
	<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
		<property name="realm" ref="shiroDbRealm" />
		<property name="cacheManager" ref="shiroCacheManager" />
	</bean>
 
	<!-- 項目自定义的Realm -->
	<bean id="shiroDbRealm" class="com.creidtsys.security.realm.ShiroDbRealm">
		 <!-- <property name="credentialsMatcher">
	        <bean class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">
	            <property name="hashAlgorithmName" value="MD5"/>
	        </bean>
    	</property>  -->
	</bean>
 
	<!-- Shiro Filter -->
	<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
		<property name="securityManager" ref="securityManager" />
		<property name="loginUrl" value="/page/login" />
		<property name="successUrl" value="/page/index" />
		<property name="unauthorizedUrl" value="/page/noPers" />
	<!-- 	<property name="filters">
         	<util:map>
             	 <entry key="authc">
                 	<bean class="org.apache.shiro.web.filter.authc.PassThruAuthenticationFilter"/>
            	 </entry>
       		 </util:map>
        </property> -->
		<property name="filterChainDefinitions">
			<value>
				/sysUser/checkLogin = anon
				/login = anon
				/index = anon
				/page/** = anon
				<!-- 要拦截的url -->
				<!-- 用户权限拦截 -->
				/sysUser/list= perms["user:serch"]
				/sysUser/toAdd = perms["user:add"]
				/sysUser/toEdit = perms["user:update"]
				<!-- 角色权限拦截 -->
				/sysRole/list=perms["role:serch"]
				/sysUser/toAdd = perms["role:add"]
				/sysUser/toEdit = perms["role:update"]
				<!-- 部门权限拦截 -->
				/sysDept/list = perms["dept:serch"]
				/sysDept/toAdd = perms["dpt:add"]
				/sysDept/toEdit = perms["dept:edit"]
				<!-- 资源权限拦截 -->
				/sysRes/list = perms["res:serch"]
				/sysRes/toAdd = perms["res:add"]
				/sysRest/toEdit = perms["res:edit"]
			</value>
		</property>
	</bean> 
 
	<!-- 用户授权信息Cache org.apache.shiro.cache.ehcache.EhCacheManager-->
	
 
	
	<bean id="shiroCacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager">
		<property name="cacheManager" ref="ehCacheManager" />
	</bean>
	<!-- 保证实现了Shiro内部lifecycle函数的bean执行 -->
	<bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor" />
 
	<!-- AOP式方法级权限检查 -->
	<bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator"
		depends-on="lifecycleBeanPostProcessor">
	</bean>
 
	<bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
		<property name="securityManager" ref="securityManager" />
	</bean>
	
</beans>

(3)拦截配置说明:

anon:例子/admins/**=anon 没有参数,表示可以匿名使用。

authc:例如/admins/user/**=authc表示需要认证(登录)才能使用,没有参数

roles:例子/admins/user/=roles[admin],参数可以写多个,多个时必须加上引号,并且参数之间用逗号分割,当有多个参数时,例如admins/user/=roles[“admin,guest”],每个参数通过才算通过,相当于hasAllRoles()方法。

perms:例子/admins/user/=perms[user:add:*],参数可以写多个,多个时必须加上引号,并且参数之间用逗号分割,例如/admins/user/=perms[“user:add:,user:modify:”],当有多个参数时必须每个参数都通过才通过,想当于isPermitedAll()方法。

rest:例子/admins/user/=rest[user],根据请求的方法,相当于/admins/user/=perms[user:method] ,其中method为post,get,delete等。

port:例子/admins/user/**=port[8081],当请求的url的端口不是8081是跳转到schemal://serverName:8081queryString,其中schmal是协议http或https等,serverName是你访问的host,8081是url配置里port的端口,queryString是你访问的url里的?后面的参数。

authcBasic:例如/admins/user/**=authcBasic没有参数表示httpBasic认证

ssl:例子/admins/user/**=ssl没有参数,表示安全的url请求,协议为https

user:例如/admins/user/**=user没有参数表示必须存在用户,当登入操作时不做检查
注:anon,authcBasic,auchc,user是认证过滤器,
perms,roles,ssl,rest,port是授权过滤器

(4)我的配置:

/sysRes/list = perms[“res:serch”]
/sysRes/toAdd = perms[“res:add”]
/sysRest/toEdit = perms[“res:edit”]

如果你想要访问主界面(/sysRes/list)就必修又有[“res:serch”]的权限

如果你想要跳转到添加界面(/sysRes/toAdd),就必须拥有[“res:add”]的权限

如果你想跳转到修改界面(/sysRest/toEdit),就必须拥有[“res:edit”]的权限

2.按钮权限的控制就显得简单了,只需要通过shiro的标签就轻而易举的解决了:

	<div data-options="region:'center'">
	    	<div id="tb" style="padding-bottom: 5px">
	    		<input id="queryName" class="easyui-textbox"/>
		     	<a id="querybtn" class="easyui-linkbutton" data-options="iconCls:'icon-search'">查询</a>
		     	<shiro:hasPermission name="res:add">
		     		<a id="addbtn" class="easyui-linkbutton" data-options="iconCls:'icon-add'">新增</a>
		     	</shiro:hasPermission>
		     	<shiro:hasPermission name="res:edit">
		     		<a id="editbtn" class="easyui-linkbutton" data-options="iconCls:'icon-edit'">修改</a> 
		     	</shiro:hasPermission>
		     	<shiro:hasPermission name="res:delete">
		     		<a id="delbtn" class="easyui-linkbutton" data-options="iconCls:'icon-remove'">删除 </a>
		     	</shiro:hasPermission>
				
	</div>

3.补充点:

身份验证相关的
在这里插入图片描述

授权相关的
在这里插入图片描述
其他
在这里插入图片描述

Shiro 标签

Shiro 提供了 JSTL 标签用于在 JSP 页面进行权限控制,如根据登录用户显示相应的页面按钮。
guest 标签:用户没有身份验证时显示相应信息,即游客访问信息:
在这里插入图片描述
user 标签:用户已经经过认证/记住我登录后显示相应的信息。

Shiro 标签

authenticated 标签:用户已经身份验证通过,即Subject.login登录成功,不是记住我登录的
在这里插入图片描述
notAuthenticated 标签:用户未进行身份验证,即没有调用Subject.login进行登录,包括记住我自动登录的也属于
未进行身份验证。
在这里插入图片描述
pincipal 标签:显示用户身份信息,默认调用Subject.getPrincipal() 获取,即 Primary Principal。
在这里插入图片描述
hasRole 标签:如果当前 Subject 有角色将显示 body 体内容:
在这里插入图片描述
hasAnyRoles 标签:如果当前Subject有任意一个角色(或的关系)将显示body体内容。
在这里插入图片描述
lacksRole:如果当前 Subject 没有角色将显示 body 体内容
在这里插入图片描述
hasPermission:如果当前 Subject 有权限将显示 body 体内容
在这里插入图片描述
lacksPermission:如果当前Subject没有权限将显示body体内容。
在这里插入图片描述

权限注解

@RequiresAuthentication:表示当前Subject已经通过login进行了身份验证;即 Subject. isAuthenticated() 返回 true
@RequiresUser:表示当前 Subject 已经身份验证或者通过记住我登录的。
@RequiresGuest:表示当前Subject没有身份验证或通过记住我登录过,即是游客身份。
@RequiresRoles(value={“admin”, “user”}, logical=Logical.AND):表示当前 Subject 需要角色 admin 和user
@RequiresPermissions (value={“user:a”, “user:b”},logical= Logical.OR):表示当前 Subject 需要权限 user:a 或user:b。

自定义拦截器

通过自定义拦截器可以扩展功能,例如:动态url-角色/权限访问控制的实现、根据 Subject 身份信息获取用户信息绑定到 Request(即设置通用数据)、验证码验证、在线用户信息的保存等

会话相关的 API

Subject.getSession():即可获取会话;其等价于Subject.getSession(true),即如果当前没有创建 Session 对象会创建
一个;Subject.getSession(false),如果当前没有创建 Session 则返回null
session.getId():获取当前会话的唯一标识
session.getHost():获取当前Subject的主机地址
session.getTimeout() & session.setTimeout(毫秒):获取/设置当前Session的过期时间
session.getStartTimestamp() & session.getLastAccessTime():获取会话的启动时间及最后访问时间;如果是 JavaSE 应用需要自己定期调用 session.touch() 去更新最后访问时间;如果是Web 应用,每次进入 ShiroFilter 都会自动调用 session.touch() 来更新最后访问时间。
session.touch() & session.stop():更新会话最后访问时间及销毁会话;当Subject.logout()时会自动调用 stop 方法来销毁会话。如果在web中,调用 HttpSession. invalidate()也会自动调用Shiro Session.stop 方法进行销毁Shiro 的会话
session.setAttribute(key, val) &session.getAttribute(key) &session.removeAttribute(key):设置/获取/删除会话属性;在整个会话范围内都可以对这些属性进行操作

小芬熊
关注
专栏目录
shiro 自定义 用户 角色 权限 (认证与授权)按钮控制
CaiXinXing的CSDN博客
06-02 1153
ShiroConfig.javashiro配置) /** * @todo: 集成shiro * @author: cxx * @date: 2020-5-22 09:56:10 * @description: manage */ @Configuration public class ShiroConfig { @Value("${spring.jedis.port}") private int port; @Value("${spring.jedis.host}
java shiro 实现按钮级别控制_shiro权限控制的简单实现
weixin_34746715的博客
02-16 469
importjava.util.LinkedHashMap;importjava.util.LinkedList;importjava.util.Map;importorg.apache.shiro.authc.UsernamePasswordToken;importorg.apache.shiro.authc.credential.HashedCredentialsMatcher;importo...
Shiro 入门教程 - Shiro 动态 URL
最新发布
smart_an的专栏
07-20 600
作者简介:大家好,我是哥,前中兴通讯、美团架构师,现某互联网公司联系qq:184480602,加我进群,大家一起学习,一起进步,一起对抗互联网寒冬学习必须往深处挖,挖的越深,基础越扎实!
1月19日学习内容整理:权限系统之URL按钮级别的权限控制
weixin_34318956的博客
01-19 117
1、表结构 用户表,角色表,权限表 用户和角色关系表(是为了表示临时把一些人归为一组的情况) 角色和权限关系表 权限组表(是为了表示按钮级别的权限) 2、URL级别的权限控制 3、按钮级别的权限控制 补充知识: 1、查询 _ _isnull=False 代表过滤掉空记录 2、当前访问URL地址 request.path_info 3、djan...
Shiro权限控制(六):Shiro按钮权限控制
kity9420的专栏
10-07 6512
一、前言 前段时间一直在研究如何通过标签方式控制控制权限,我用HTML做页面的渲染,Shiro标签在HTML中不生效,但还是想用Shiro标签方式控制页面按钮,有权限则显示,无权限则不显示,因此我想了一个替代方案来实现 二、方案描述 后端返回用户的所有角色及权限,前端自定义权限标签,通过标签中指定的权限后端返回的权限做对比,有权限按钮显示,无权限按钮隐藏 PS:权限控制不仅是前端按钮的按...
SpringBoot 集成 Shiro 实现动态uri权限
04-22
SpringBoot集成Shiro实现动态URI权限是一个常见的权限管理实践,主要目的是为了实现更灵活、更安全的用户访问控制。在Web应用中,权限控制通常包括角色管理、菜单管理、操作权限(URI)管理等,而动态URI权限则允许...
SSM+Shiro实现权限角色控制
11-07
在SSM项目中,Shiro通常用来进行用户登录验证、角色分配以及对特定URL或操作的权限控制。 项目中包含的"Maven"是Java项目管理工具,它通过定义项目的依赖关系和构建过程,帮助开发者管理和构建项目。而"Tomcat"是一...
springboot+shiro+layuimini实现后台管理系统的权限控制
08-02
2. **授权**:Shiro支持基于角色的访问控制(RBAC),可以灵活地定义用户角色及权限,如URL拦截、方法级别的权限控制等。 3. **会话管理**:Shiro可以统一管理会话,包括会话超时、分布式会话等,提高系统的安全性。...
shiro+thymeleaf+spring boot实现权限按钮
m0_60721514的博客
04-22 524
shiro框架整合 shiro简介 权限简介 基于角色的权限访问控制 基于资源的权限访问控制 粗粒度和细粒度 功能 构成 开始使用 依赖 配置thymeleaf 配置shiro 自定义relam 页面 登录 shiro简介 权限简介 对主体分配权限,主体只允许在权限范围内对资源进行操作,比如:对u01用户分配商品修改权限,u01用户只能对商品进行修改。 基于角色的权限访问控制 RBAC基于角色的访问控制(Role-Based Access Control)是以角色为中心进行访问
vue与shiro结合实现权限按钮
12-15
vue+shiro实现前端细颗粒按钮权限,并且可以实现删除和禁用两种不同模式,里面需要的前置技术包括 :vue\vue的自定义指令\vue的自定义插件\vuex
spring+shiro 增删改查权限控制
11-01
spring+shiro 增删改查权限控制,其中包括用户管理、角色管理、权限管理
通过按钮控制框架的显示与隐藏
02-19
通过按钮控制框架的显示与隐藏通过按钮控制框架的显示与隐藏通过按钮控制框架的显示与隐藏通过按钮控制框架的显示与隐藏
第一章 Shiro简介——《跟我学Shiro
jinnianshilongnian的专栏
02-19 3434
  扫一扫,关注我的公众号    我的新书 购买地址   目录贴: 跟我学Shiro目录贴   1.1  简介 Apache ShiroJava的一个安全框架。目前,使用Apache Shiro的人越来越多,因为它相当简单,对比Spring Security,可能没有Spring Security做的功能强大,但是在实际工作时可能并不需要那么复杂的东西,所以使用小而简单的...
shiro权限控制前端页面资源显示
m0_67392010的博客
04-07 1321
下面代码就是判断如果当前用户角色为 administrator ,则前端页面显示div标签和里面的内容 @if(shiro.hasRole("administrator")){ <div class="layui-inline"> <select id="lrr" name="lrr" lay-filter="lrr" lay-search=""></select> </div> @} 如果要控制多个角色资源,则使用 @if(shir
shiro 配置首先访问地址
彻底拆分,一切可控!
11-09 2206
shiro 配置首先访问 index 而不是 /login 在 filterChainDefinitions 配置如下代码 / =anon /index = anon &lt;!-- Shiro Filter --&gt; &lt;bean id="shiroSecurityFilter" class="org.apache.shi...
使用shiro框架的标签来根据权限显示按钮
weixin_39654286的博客
12-10 5036
第一步:在jsp页面中引入shiro的标签库 &lt;%@ taglib prefix="shiro" uri="http://shiro.apache.org/tags" %&gt; 第二步:使用shiro的标签控制页面元素展示 &lt;shiro:hasPermission name="sys:user:add"&gt; { id : 'button-add', tex...
Shiro获取用户登录信息
qq_35752835的博客
12-17 1110
主要使用 SecurityUtils.getSubject(); 获取 在通过Subject 的一些方法 下面是一些主要的方法 @RequestMapping("/index") public String index(){ Subject subject = SecurityUtils.getSubject(); //再认证的时候Principal 可以是用户对象 ,不单单只是username 是用什么认证就转化为什么对象 String us
Springboot与Shiro权限控制深度集成及Thymeleaf按钮权限示例
本文将详细介绍如何使用Springboot与Shiro实现权限管理,并结合Thymeleaf模板引擎进行按钮级别的细致权限控制。 首先,要集成Shiro到Spring Boot项目,你需要在项目的pom.xml文件中添加Shiro的Spring模块依赖。在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值