Shiro授权

最新推荐文章于 2024-10-08 14:23:59 发布
最新推荐文章于 2024-10-08 14:23:59 发布
阅读量173 收藏
点赞数
分类专栏: shiro IDEA 文章标签: java servlet 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m12120426/article/details/126551410
版权
IDEA 同时被 2 个专栏收录
14 篇文章 0 订阅
订阅专栏
shiro
2 篇文章 0 订阅
订阅专栏
本文详细介绍了Shiro的授权流程,包括Mapper层、Service层的配置,以及自定义Realm的实现。在授权方法部分,强调了角色与权限的匹配与配置。文章还探讨了注解式开发,讲解了Shiro的常用注解,如@RequiresAuthentication、@RequiresRoles和@RequiresPermissions,并给出了在SpringMVC中的拦截器配置及Controller层的示例。
摘要由CSDN通过智能技术生成

目录

一、shiro授权

Mapper层

 Service层 

shiro的 授权的方法 

 测试

二、注解式开发

常用注解介绍

将对应注解添加到指定需要权限控制的方法上

在springmvc-servlet.xml中添加拦截相关配置

controller层

一、shiro授权

Mapper层

UserMapper.xml中新增内容

<!--通过用户名查询对应的角色-->
<select id="selectRoleIdsByUserName" resultType="java.lang.String" parameterType="java.lang.String" >
   select ur.roleid from t_shiro_user u,t_shiro_user_role ur
    where u.userid = ur.userid
    and u.username = #{userName}
  </select>

<!--通过用户名查询对应的权限-->
  <select id="selectPerIdsByUserName" resultType="java.lang.String" parameterType="java.lang.String" >
   select rp.perid from t_shiro_user u,t_shiro_user_role ur,t_shiro_role_permission rp
   where u.userid = ur.userid and ur.roleid = rp.roleid
  and u.username = #{userName}
  </select>

UserMapper.java

package com.maomao.ssm.mapper;

import com.maomao.ssm.model.User;
import org.apache.ibatis.annotations.Param;
import org.springframework.stereotype.Repository;

import java.util.Set;

@Repository
public interface UserMapper {
    int deleteByPrimaryKey(Integer userid);

    int insert(User record);

    int insertSelective(User record);

    User selectByPrimaryKey(Integer userid);

    //通过账户名查询对应的权限
    User queryUserByUserName(@Param("userName") String userName);

    // 通过用户名查询对应的角色
    Set<String> selectRoleIdsByUserName(@Param("userName") String userName);

    //通过用户名查询对应的权限
    Set<String> selectPerIdsByUserName(@Param("userName") String userName);

    int updateByPrimaryKeySelective(User record);

    int updateByPrimaryKey(User record);
}

 Service层 

UserBiz.java

package com.maomao.ssm.biz;

import com.maomao.ssm.model.User;
import org.apache.ibatis.annotations.Param;

import java.util.Set;

public interface UserBiz {
    int deleteByPrimaryKey(Integer userid);

    int insert(User record);

    int insertSelective(User record);

    User selectByPrimaryKey(Integer userid);

    User queryUserByUserName(String userName);

    int updateByPrimaryKeySelective(User record);

    int updateByPrimaryKey(User record);

    // 通过用户名查询对应的角色
    Set<String> selectRoleIdsByUserName(String userName);

    //通过用户名查询对应的权限
    Set<String> selectPerIdsByUserName(String userName);

}

UserBizImpl.java

package com.maomao.ssm.biz.impl;

import com.maomao.ssm.biz.UserBiz;
import com.maomao.ssm.mapper.UserMapper;
import com.maomao.ssm.model.User;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Service;

import java.util.Set;

@Service("userBiz")
public class UserBizImpl implements UserBiz {
    @Autowired
    private UserMapper userMapper;

    @Override
    public int deleteByPrimaryKey(Integer userid) {
        return userMapper.deleteByPrimaryKey(userid);
    }

    @Override
    public int insert(User record) {
        return userMapper.insert(record);
    }

    @Override
    public int insertSelective(User record) {
        return userMapper.insertSelective(record);
    }

    @Override
    public User selectByPrimaryKey(Integer userid) {
        return userMapper.selectByPrimaryKey(userid);
    }

    @Override
    public User queryUserByUserName(String userName) {
        return userMapper.queryUserByUserName(userName);
    }

    @Override
    public int updateByPrimaryKeySelective(User record) {
        return userMapper.updateByPrimaryKeySelective(record);
    }

    @Override
    public int updateByPrimaryKey(User record) {
        return userMapper.updateByPrimaryKeySelective(record);
    }

    @Override
    public Set<String> selectRoleIdsByUserName(String userName) {
        return userMapper.selectRoleIdsByUserName(userName);
    }

    @Override
    public Set<String> selectPerIdsByUserName(String userName) {
        return userMapper.selectPerIdsByUserName(userName);
    }
}

shiro的 授权的方法 

MyRealm.java

package com.maomao.ssm.shiro;

import com.maomao.ssm.biz.UserBiz;
import com.maomao.ssm.model.User;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.util.ByteSource;

import java.util.Set;

public class MyRealm extends AuthorizingRealm {

    public UserBiz userBiz;

    public UserBiz getUserBiz() {
        return userBiz;
    }

    public void setUserBiz(UserBiz userBiz) {
        this.userBiz = userBiz;
    }

    /**
     * 授权
     * @param principalCollection
     * @return
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        String userName = principalCollection.getPrimaryPrincipal().toString();
        Set<String> roleIds = userBiz.selectRoleIdsByUserName(userName);
        Set<String> perIds = userBiz.selectPerIdsByUserName(userName);
        SimpleAuthorizationInfo info=new SimpleAuthorizationInfo();
//      将当前登录的 权限 交给 shiro的授权器
        info.setStringPermissions(perIds);
//      将当前登录的 角色 交给 shiro的授权器
        info.setRoles(roleIds);
        return info;
    }

    /**
     * 认证
     * @param authenticationToken
     * @return
     * @throws AuthenticationException
     * shiro.ini
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        String userName = authenticationToken.getPrincipal().toString();
        User user = userBiz.queryUserByUserName(userName);
        AuthenticationInfo info=new SimpleAuthenticationInfo(
                user.getUsername(),
                user.getPassword(),
                ByteSource.Util.bytes(user.getSalt()),
                this.getName()//realm的名字
        );
        return info;
    }
}

角色与权限的结果要与applicationContext-shiro.xml的配置保持一致 

角色:4
权限:2

 测试

 admin的角色id是4,所有admin下的jsp界面都可以访问

admin下所有jsp界面 

 

 当登录的角色id不为4,就是没有授权,无法访问

 

  

二、注解式开发

常用注解介绍

@RequiresAuthenthentication:表示当前Subject已经通过login进行身份验证;即 Subject.isAuthenticated()返回 true

@RequiresUser:表示当前Subject已经身份验证或者通过记住我登录的

@RequiresGuest:表示当前Subject没有身份验证或者通过记住我登录过,即是游客身份

@RequiresRoles(value = {"admin","user"},logical = Logical.AND):表示当前Subject需要角色admin和user

@RequiresPermissions(value = {"user:delete","user:b"},logical = Logical.OR):表示当前Subject需要权限user:delete或者user:b

将对应注解添加到指定需要权限控制的方法上

身份认证:requireUser

角色认证:requireRole

权限认证: requirePermission

 在springmvc-servlet.xml中添加拦截相关配置

<bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator"
      depends-on="lifecycleBeanPostProcessor">
    <property name="proxyTargetClass" value="true"></property>
</bean>
<bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
    <property name="securityManager" ref="securityManager"/>
</bean>

<bean id="exceptionResolver" class="org.springframework.web.servlet.handler.SimpleMappingExceptionResolver">
    <property name="exceptionMappings">
        <props>
            <prop key="org.apache.shiro.authz.UnauthorizedException">
                unauthorized
            </prop>
        </props>
    </property>
    <property name="defaultErrorView" value="unauthorized"/>
</bean>

controller层

ShiroController.java

package com.maomao.ssm.controller;

import org.apache.shiro.authz.annotation.Logical;
import org.apache.shiro.authz.annotation.RequiresPermissions;
import org.apache.shiro.authz.annotation.RequiresRoles;
import org.apache.shiro.authz.annotation.RequiresUser;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.RequestMapping;

@RequestMapping("/shiro")
@Controller
public class ShiroController {
    //   RequiresUser代表 当前方法只有登录后才能够访问
//    RequiresUser等价于spring-shiro.xml中的/user/updatePwd.jsp=authc配置
    @RequiresUser
    @RequestMapping("/passUser")
    public String passUser() {
        System.out.println("身份认证通过!");
        return "admin/addUser";
    }

    //RequiresRoles 代表当前方法只有具备指定的角色才能访问
//    RequiresRoles等价于spring-shiro.xml中的/admin/*.jsp=roles[4]配置
    @RequiresRoles(value = {"1", "4"}, logical = Logical.AND)
    @RequestMapping("/passRole")
    public String passRole() {
        System.out.println("角色认证通过!");
        return "admin/addUser";
    }

    //RequiresRoles 代表当前方法只有具备指定的权限才能访问
//    RequiresRoles等价于spring-shiro.xml中的/user/teacher.jsp=perms[2]配置
    @RequiresPermissions(value = {"2"}, logical = Logical.AND)
    @RequestMapping("/passPermission")
    public String passPermission() {
        System.out.println("权限认证通过!");
        return "admin/addUser";
    }
}

--mq--
关注
专栏目录
RabbitMQ教程(安装与使用详解,Spring集成)
鸟哥哥的专栏
12-26 50万+
RabbitMQ教程,面试题。消息队列(MQ),本质是个队列,队列中存放的内容是message。MQ用于不同进程Process/线程Thread之间通信。本文介绍RabbitMQ的使用。RabbitMQ实战教程。
Shiro授权&&Shiro的注解式开发
qq_63492318的博客
08-28 921
Shiro授权的代码实现、注解式开发实现Shiro授权...
activemq-shiro-5.10.0.jar
07-17
标签:activemq-shiro-5.10.0.jar,activemq,shiro,5.10.0,jar包下载,依赖包
activemq-shiro-5.10.0-sources.jar
07-17
标签:activemq-shiro-5.10.0-sources.jar,activemq,shiro,5.10.0,sources,jar包下载,依赖包
快速搭建springboot框架以及整合ssm+shiro+安装Rabbitmq和Erlang、Mysql下载与配置
MaxElephant的博客
11-08 527
1.快速搭建springboot框架(在idea中): file–>new project–>Spring Initializr–>next–>然后一直下一步。 然后复制一下代码:!–shiro版本控制–> org.apache.shiro shiro-core shiro.versionorg.apache.shiroshiro−web{shiro.v
springboot shiro 中@RequiresRoles使用(简单明了!!好文章!!)
HD243608836的博客
05-24 2453
Shiro中通过@RequiresRoles注解可检验权限,在检验权限之前先要设置权限: 授权方法中给用户添加角色 在自定义的Realm中(继承实现AuthorizingRealm)的doGetAuthorizationInfo方法中授权方法中给用户添加角色。 @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) { String userNa
shiro授权
yzq102873的博客
08-29 998
shiro授权
shiro 授权
快乐的小三菊的博客
05-14 1935
shiro 授权源码探究
Shiro授权流程
k393393的博客
01-14 837
shiro是如何进行权限验证的呢? 1、
shiro授权的实现原理
08-29
Shiro 授权的实现原理 Shiro 授权的实现原理是指在应用中控制谁能访问哪些资源的机制。这个机制主要涉及到四个关键对象:主体(Subject)、资源(Resource)、权限(Permission)、角色(Role)。 1. 主体...
shiro授权类图关系简化版
04-13
shiro授权类图关系简化版
shiro授权设计的两种思路
05-03
Shiro授权设计中,主要存在两种思路,分别是基于角色的访问控制(Role-Based Access Control, RBAC)和基于权限的访问控制(Permission-Based Access Control)。这两种思路各有特点,适用于不同的应用场景。 **1...
shiro授权无效的原因
m0_67390379的博客
03-28 678
问题 在一个shiro的demo中,设计共有两个页面,add页面和update页面,add页面只能具有user:add字段的用户可以访问,update页面只能具有user:update字段的用户去访问,如果某用户访问add页面,但是没有user:add字段的话,则会呈现用户:未经授权不得访问 这样的一个页面。 代码如下: @RequestMapping("/noauth") @ResponseBody public String unauthorized(){ return
shiro 授权 & 注解式开发
oyang的博客
08-29 644
RequiresPermissions(value = {"user:delete","user:b"},logical = Logical.OR):表示当前Subject需要权限user:delete或者user:b。@RequiresRoles(value = {"admin","user"},logical = Logical.AND):表示当前Subject需要角色admin和user。@RequiresUser:表示当前Subject已经身份验证或者通过记住我登录的。只有权限含2的才可访问。...
C语言 | 第十章 | 函数 作用域
ZJC744575的博客
10-05 1286
为完成某一功能的程序指令(语句)的集合,称为函数。在C语言中,函数分为:自定义函数、系统函数(查看C语言函数手册)函数还有其它叫法,比如方法等,在本视频课程中,我们统一称为 函数。返回类型 函数名(形参列表){执行语句...;// 函数体return 返回值;// 可选形参列表:表示函数的输入函数中的语句:表示为了实现某一功能代码块函数可以有返回值,也可以没有, 如果没有返回值,返回类型 声明为 void。
JDK1.0主要特性
FoolRabbit的专栏
10-06 380
JDK1.0主要特性。
Puppeteer自动化:使用JavaScript定制PDF下载
最新发布
ip16yun的博客
10-08 774
Puppeteer 是一个强大的Node.js库,提供了对无头Chrome或Chromium的控制,可以用于生成网页快照、抓取数据、自动化测试等任务。其中,生成PDF文件是一个常见的需求,本文将通过使用Puppeteer展示如何自动化生成定制的PDF,并使用代理IP、设置user-agent、cookie等技术来增强自动化过程的灵活性与稳定性。为了更好地理解如何定制Puppeteer生成的PDF文件,我们提供一个生成A4纸张格式的网页PDF的实例。用户可以根据需求自定义输出的PDF格式或内容。
Shiro授权详解:编程式、注解式与JSP标签授权
"Shiro授权.pdf 是一份关于Apache Shiro授权机制的技术文档,涵盖了授权流程、授权方式以及如何进行授权测试等内容。文档分享了如何利用Shiro实现编程式、注解式和JSP标签的方式来控制权限访问,并提供了ini配置文件...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值