Spring Boot与Shiro实现权限管理03

最新推荐文章于 2024-05-21 20:07:23 发布
最新推荐文章于 2024-05-21 20:07:23 发布
阅读量772 收藏 1
点赞数 1
分类专栏: SpringBoot 文章标签: spring boot Shiro 权限管理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pikcacho_pkq/article/details/127722846
版权

1.实现登陆

1.1 创建Service

创建service包,并在该包下创建UserService及其实现类。

public interface UserService {


    /**
     * 通过用户名查询用户的主键
     * @param username
     * @return
     */
    Integer findUserByName(String username);
}

@Service
public class UserServiceImpl implements UserService {

	@Autowired
    private SysUserMapper sysUserMapper;

    @Override
    public Integer findUserByName(String username){
        SysUser user = sysUserMapper.findByUsername(username);
        if(user == null){
            return null;
        }
        return user.getId();
    }
}

1.2 完成Controller层

在LoginController.java类中添加登陆方法。

首先需添加一个session的工具类,创建util包,在该包下创建SessionUtils.java类。

public class SessionUtils {

    public static final String KEY_UID = "key_uid";

    public static Integer getUID() {
        Object uid = SecurityUtils.getSubject().getSession().getAttribute(KEY_UID);
        return ((Integer) uid);
    }

    public static void setAttribute(String key, Object value) {
        SecurityUtils.getSubject().getSession().setAttribute(key, value);
    }
}

添加登陆方法。

    @Autowired
    private UserService userService;

    @Data
    public static class LoginRequest implements Serializable {
        private String username;
        private String password;
    }


    @PostMapping("/api/login")
    @ApiOperation("登陆接口")
    public ResponseEntity login(@RequestBody LoginRequest req){
        if(StringUtils.isBlank(req.getUsername())){
            return Results.userInputError("请输入用户名");
        }
        if(StringUtils.isBlank(req.getPassword())){
            return Results.userInputError("请输入密码");
        }

        Subject subject = SecurityUtils.getSubject();
        if(subject.isAuthenticated()){
            return Results.success();
        }
        UsernamePasswordToken token = new UsernamePasswordToken(req.getUsername(), req.getPassword());
        try{
            subject.login(token);
            Integer id = userService.findUserByName(req.getUsername());
            SessionUtils.setAttribute(SessionUtils.KEY_UID, id);
            return Results.success();
        }catch (UnknownAccountException e){
            return Results.userInputError("用户不存在");
        }catch(IncorrectCredentialsException e){
            return Results.userInputError("密码错误");
        }catch(AuthenticationException e){
            e.printStackTrace();
            return Results.error("登陆失败");
        }

    }

SessionUtils.setAttribute(Sessions.KEY_UID, id) 将登录用户的 UID 保存到 Session 中,以便后续使用。

1.3 简单测试一下

在这里插入图片描述

2. 实现退出

1.1 完成Controller层

在LoginController.java类中添加退出方法。

    /**
     * 退出
     * @return
     */
    @PostMapping("/api/logout")
    @ApiOperation("退出接口")
    public ResponseEntity logout(){
        Subject subject = SecurityUtils.getSubject();
        if(!subject.isAuthenticated()){
            return Results.error("用户未登陆");
        }
        subject.logout();
        return Results.success();
    }

1.2 简单测试一下

先不登陆直接退出:会跳转到未登录请求。
在这里插入图片描述
登陆后在退出:
在这里插入图片描述

3.实现角色管理

Shiro 支持通过原生 API 对用户进行权限检查,例如:isPermitted,hasRole 方法等,但是在Shiro中使用的更多的时注解的方式 ,在 AuthorizationAttributeSourceAdvisor 中定义了两个方法用来检查某个 Spring Bean 是否使用了 Shiro 注解:

  • boolean isAuthzAnnotationPresent(Class<?> targetClazz)
  • boolean isAuthzAnnotationPresent(Method method)

一个用于检查类上是否使用了 Shiro 注解,另一个则检查方法,如果返回 true,就意味着当前类或方法需要进一步执行相应的权限控制策略。

Shiro 定义了如下五个注解,分别对应着不同的权限控制策略:

  • @RequiresAuthentication: 访问者需要通过身份认证,即 subject.isAuthenticated() 结果为 true。
  • @RequiresUser: 访问者通过身份认证或通过 RememberMe 的方式被认证为系统用户。
  • @RequiresGuest: 访问者不是系统用户。
  • @RequiresRoles: 访问者需要具有指定角色,subject.hasRole() 结果为 true。
  • @RequiresPermissions: 访问者需要具有指定权限,subject.isPermitted() 结果为 true。

3.1 添加角色

首先创建dto,用于请求与响应数据的传输。在common包下创建dto包,在该包下创建RoleDto.java类。

@Data
@AllArgsConstructor
@NoArgsConstructor
public class RoleDto implements Serializable {

    private Integer id;
    private String roleName;
}
创建Controller层

在controller包下创建RoleController.java类。

@RestController
@RequestMapping("/api")
public class RoleController {

    @Autowired
    private RoleService roleService;
    
    @RequiresPermissions("role:add")
    @ApiOperation("创建角色")
    @PostMapping("/role")
    public ResponseEntity<RoleDto> add(@RequestBody RoleDto dto) {
        if (StringUtils.isBlank(dto.getRoleName())) {
            return Results.userInputError("角色名不能为空");
        }

        dto = roleService.create(dto.getRoleName());
        return Results.success(dto);
    }
}

@RequiresPermissions 注解的 value 为 “role:add”,这里指的是“创建角色”权限。当接口被调用时 Shiro 首先会通过 ACSRealm.java 的 doGetAuthorizationInfo 方法拿到访问者的所有权限信息,然后判断其中是否包括了 “role:add” 权限,没有包括时将抛出 AuthorizationException 异常,在ExceptionController.java 中添加相应的方法统一处理这个异常,给调用者返回 403(Forbidden)错误。

创建Service层

在service包下创建RoleService.java类。

public interface RoleService {

    /**
     * 创建角色
     * @param roleName
     * @return
     */
    RoleDto create(String roleName);
}

@Service
public class RoleServiceImpl implements RoleService {

    @Autowired
    private SysRoleMapper sysRoleMapper;


    @Transactional
    @Override
    public RoleDto create(String roleName) {
        SysRole sr = new SysRole();
        sr.setRoleName(roleName);
        if (1 != sysRoleMapper.insert(sr)) {
            throw new ServiceException("无法新增角色记录到数据库");
        }

        return DataConverter.map(sr, RoleDto.class);
    }
}

数据类型转换工具类

public class DataConverter {
    private static final ModelMapper mapper = new ModelMapper();

    public DataConverter() {
    }

    public static <D> D map(Object source, Class<D> destinationType) {
        return source == null ? null : mapper.map(source, destinationType);
    }
}
创建Mapper层

之前通过mybatis反向工程创建的模版代码直接包含基本的curd代码,所以这里不需要再编写了。

  <insert id="insert" parameterType="com.picacho.springbootshiro.entity.SysRole" >
    insert into sys_role (id, insert_time, update_time, 
      role_name)
    values (#{id,jdbcType=INTEGER}, #{insertTime,jdbcType=TIMESTAMP}, #{updateTime,jdbcType=TIMESTAMP}, 
      #{roleName,jdbcType=VARCHAR})
  </insert>
测试一下

启动项目后,先需要访问登陆接口,完成登陆操作后才能访问添加角色接口。
在这里插入图片描述
在这里插入图片描述
接着查看数据库的情况。
在这里插入图片描述
后面对角色的修改,删除和列表查询等功能,其实现方式和流程与上面的流程基本一致,这里就不一一详细介绍了。

4.实现角色分配权限管理

前面已经创建了一个新的角色:“角色分配管理员A”,但到目前为止,这个角色还没有任何权限,接着需要对其进行权限分配。

4.1 角色权限列表

首先创建dto,用于请求与响应数据的传输。在common包下创建dto包,在该包下创建PermissionDto.java类。

@Data
@AllArgsConstructor
@NoArgsConstructor
public class PermissionDto implements Serializable {

    private Integer id;
    private String permissionName;
}
完成Controller层
    @RequiresPermissions("role:permission:list")
    @ApiOperation("角色权限列表")
    @GetMapping("/role/{id}/permissions")
    public ResponseEntity<PageModel<PermissionDto>> listPermissions(@PathVariable Integer id,
                                                                    @RequestParam(required = false) Integer pageSize,
                                                                    @RequestParam(required = false) Integer pageNum) {
        PageCondition pc = new PageCondition(pageNum, pageSize);
        PageModel<PermissionDto> pageModel = roleService.listRolePermissions(id, pc);
        return Results.success(pageModel);
    }
完成Service层
    /**
     * 角色权限列表
     * @param roleId
     * @param condition
     * @return
     */
    PageModel<PermissionDto> listRolePermissions(Integer roleId, PageCondition condition);

   @Override
    public PageModel<PermissionDto> listRolePermissions(Integer roleId, PageCondition condition) {
        PageHelper.startPage(condition.getPageNum(), condition.getPageSize());
        PageInfo<PermissionDto> pageInfo = new PageInfo<>(sysRoleMapper.findRolePermissions(roleId));
        return Results.pageModel(pageInfo);
    }
完成mapper层
 List<PermissionDto> findRolePermissions(Integer roleId);

  <select id="findRolePermissions" resultType="com.picacho.springbootshiro.common.dto.PermissionDto">
    select sp.id,
           sp.permission_name as permissionName
    from sys_role_permission srp
           left join sys_permission sp on sp.id = srp.permission_id
    where srp.role_id = #{roleId}
  </select>
测试一下

目前超级管理员还没有 “permission:list”,“role:assign-permission” 和 “role:permission:list” 这三个权限,通过执行下面的 SQL 为超级管理员添加这三个权限:

INSERT INTO `sys_permission`(id, permission_code, permission_name)
VALUES (601, 'role:permission:list', '角色权限列表'),
       (602, 'role:assign-permission', '角色权限分配'),
       (801, 'permission:list', '权限列表');

INSERT INTO `sys_role_permission`(role_id, permission_id)
VALUES (1, 601),
       (1, 602),
       (1, 801);

在这里插入图片描述
可以看到超级管理员拥有很多权限。

4.2 为角色分配权限

完成Controller层
    @RequiresPermissions("role:assign-permission")
    @ApiOperation("分配角色权限")
    @PutMapping("/role/{id}/permission")
    public ResponseEntity assignPermissions(@RequestBody List<Integer> permisIdList, @PathVariable Integer id) {
        roleService.assignPermissions(id, permisIdList);
        return Results.success();
    }
完成Service层
    /**
     * 为角色分配权限
     * @param roleId
     * @param permisIdList
     */
    void assignPermissions(Integer roleId, List<Integer> permisIdList);

    @Transactional
    @Override
    public void assignPermissions(Integer roleId, List<Integer> permisIdList) {
        if (sysRoleMapper.find(roleId) == null) {
            throw Errors.badRequest("角色不存在");
        }
        if (!CollectionUtils.isEmpty(permisIdList)) {
            int count = sysPermissionMapper.countByIds(permisIdList);
            if (count != permisIdList.size()) {
                throw Errors.badRequest("权限不存在");
            }
        }
        sysRolePermissionMapper.deleteByRoleId(roleId);
        if (!CollectionUtils.isEmpty(permisIdList)) {
            List<SysRolePermission> rps = permisIdList.stream().map(p -> {
                SysRolePermission rp = new SysRolePermission();
                rp.setRoleId(roleId);
                rp.setPermissionId(p);
                return rp;
            }).collect(Collectors.toList());
            if (sysRolePermissionMapper.insertBatch(rps) != permisIdList.size()) {
                throw Errors.db();
            }
        }
    }
  • 1.首先需要对入参进行验证,确保相关的角色和权限都是存在的。
  • 2.清空角色权限,如果用户传递了空的权限数组,将其视为需要删除角色的所有权限。
  • 3.将新权限分配给角色。
完成mapper层

SysPermissionMapper

int countByIds(@Param("permisIdList") List<Integer> permisIdList);

  <select id="countByIds" resultType="java.lang.Integer">
    select COUNT(*)
    FROM sys_permission sp
    WHERE sp.id IN
    <foreach collection="permisIdList" item="k" open="(" separator="," close=")">#{k}</foreach>
  </select>

SysRolePermissionMapper

    void deleteByRoleId(Integer roleId);
    int insertBatch(@Param("rps") List<SysRolePermission> rps);

  <delete id="deleteByRoleId">
    delete
    from sys_role_permission
    where role_id = #{roleId}
  </delete>

  <insert id="insertBatch">
    insert into sys_role_permission (role_id, permission_id)
    values
    <foreach collection="rps" item="t" separator=",">
      (#{t.roleId},#{t.permissionId})
    </foreach>
  </insert>
测试一下

目前角色分配管理员A还没有任何权限。
在这里插入图片描述
接着利用超级管理员使用角色权限分配接口为角色分配管理员A添加三个权限。
在这里插入图片描述
接着继续查看角色分配管理员A的权限,可以看到现在这个角色有三个权限了。
在这里插入图片描述
源码下载地址:源码下载

picacho_pkq
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
shiro错误:Subject does not have permission [user:select]
weixin_34274029的博客
12-30 1万+
使用的是jdbcRealm,在数据库中有相应的权限 错误日志: org.apache.shiro.authz.UnauthorizedException: Subject does not have permission [user:select] at org.apache.shiro.authz.ModularRealmAuthorizer.checkPermission(ModularR...
如何在IDEA中快速生成Entity实体,DAO包,Mapper映射
weixin_50688830的博客
05-13 5997
MyBatis通用Mapper插件,可以将数据库表内容,在IDEA构建项目时,下载MyBatis通用Mapper插件,来快速生成Entity包实体类对象属性,以及连接数据库的DAO包,和数据库映射文件Mapper。 一.步骤 1.1,在项目pom.xml中添加依赖。 <!-- 自动生成Getter和Setter,构造器 --> <dependency> <groupId>org.projectlombok</groupId>......
shiro权限管理实例
weixin_52472152的博客
11-18 406
安全、shiro权限管理实例
springboot3微服务下结合springsecurity的认证授权实现
最新发布
PleaseBeStrong的博客
05-21 1240
往往是一些字符串类型的关键字,在这里统一定义外部就可以直接调用,方便微服务之间的管理集中式认证管理:通过统一的认证服务器进行登录认证和token的签发刷新,可以简化认证流程,提高安全性和效率。灵活性和可扩展性:各个微服务自行处理权限认证,可以根据各自的业务需求灵活设计权限控制逻辑,便于扩展和维护。适应多种鉴权场景:这种方式可以适应外部应用接入、用户-服务鉴权、服务-服务鉴权等多种鉴权场景。潜在的安全风险:如果各个微服务的权限认证实现不一致或存在缺陷,可能会引入安全风险。性能考虑。
Springboot-权限注解
LifeBackwards的专栏
03-03 3374
权限注解作用在Controller的方法上,作用是调用者是否有权限调用该接口。(本文代码参考若依项目) 1.权限示例 1.数据权限示例 // 符合system:user:list权限要求 @PreAuthorize(hasPermi = "system:user:list") @GetMapping("/list") public TableDataInfo list(SysUser user) { startPage(); List<SysUser> list
Shiro动态权限(整合Spring Boot
qq_53432338的博客
06-27 2065
1、说明 2、数据库 3、代码 4、测试 5、小结动态权限是程序运行期间,对用户的权限进行更改而不需要修改源码。在shiro中,实现动态权限只需要实现一个自定义的过滤器即可,这里使用的方法是继承。需要注意的是,任何的动态权限都会损耗服务器的资源,因为所谓的动态权限就是根据数据库的变化,实时的将情况反应到客户端,即每次请求都需要对数据库发送请求,因为需要的是实时的数据,所以没办法使用Redis解决这个问题,因为即使存储到Redis中,Redis也需要去向数据库发送请求来更新数据,甚至因为请求经过了Redis,
Spring BootShiro实现权限管理
11-12
本篇文章将深入探讨如何利用Spring Boot的便捷性和Shiro的安全特性,构建一个完善的权限管理系统。 首先,Spring Boot是基于Spring框架的简化版本,它极大地减少了配置工作,通过“约定优于配置”的原则,使得...
Spring Boot集成Shiro实现动态加载权限的完整步骤
08-25
总结来说,Spring Boot集成Shiro实现动态加载权限的关键在于创建自定义 Realm,重写授权方法,并配置Shiro的相关组件,如SecurityManager和缓存管理器。通过这种方式,我们能够在用户角色和权限发生变化时,实时更新...
spring boot+shiro 权限认证管理案例
12-20
通过以上步骤,我们可以构建一个集成了 Spring BootShiro 的权限认证管理系统,能够实现用户登录、权限校验、会话管理等功能,同时利用缓存提升系统性能。在实际开发中,还可以根据需求扩展 Shiro 功能,例如...
SpringBoot+Shiro(用户角色权限管理的后端代码实现
追求幸福,探索未知的博客
07-19 3322
文章目录一、什么是RBAC?二、用户角色权限管理的发展1.request(请求资源)→response(响应)2.过滤器filter3.过滤器filter+会话技术session4.Shiro框架权限管理5.Shiro+JWT三、Shiro框架学习1.前言2.Shiro3.Shiro架构图4.实战 一、什么是RBAC? 权限管理的设计范式:RBAC(Role Based Access Control),基于角色的访问控制。用户是通过角色与权限进行关联的。因此一般会有五个表格:用户表,用户角色表,角色表,角色
springboot shiro添加处理角色or关系的过滤器
weixin_42220123的博客
01-15 1010
转载自:http://www.kssfeng.com/content/98ba790618b211e9a181525400cc6d13 为什么添加or关系处理器 shiro中配置roles的时候当存在多个角色参数时,这是各参数的关系是and关系。 如:roles[admin,user],这样配置的时候需要同时是admin和user角色是才能通过。 shiro默认不能处理admin或user...
shiro授权RequiresPermissions注解使用
nanfang1012的博客
07-20 2万+
权限控制是shiro最核心的东西 Shiro权限声明通常是使用以冒号分隔的表达式。一个权限表达式可以清晰的指定资源类型,允许的操作,可访问的数据。同时,Shiro权限表达式支持简单的通配符,可以更加灵活的进行权限设置。 下面以实例来说明权限表达式。 可查询用户数据 User:view 可查询或编辑用户数据 User:view,edit 可对用户数据进行所有操作 User:* 或 user 可编辑i...
Spring bootshiro集合实现权限管理
一起好好做测试
08-16 733
一.数据库表设计 表中的测试数据: tb_user表如下,   pass_word是根据通过如下代码生成,根据用户名和密码生成md5值: import org.apache.shiro.crypto.hash.SimpleHash; import org.apache.shiro.util.ByteSource; public class GenePd {     public ...
spring boot注解实现权限控制
大圣即大盗
12-25 3710
1、自定义注解 Target(ElementType.METHOD) @Retention(RetentionPolicy.RUNTIME) @Documented public @interface RoleCheck { String[] roles() default {}; } 2、注解的实现 @Service public class RoleCheckInterceptor ...
SpringBoot报错-role should not start with ‘ROLE_’ since it is automatically inserted. Got ‘ROLE_USER’
CoderJiang
01-11 1247
本文引用-role should not start with ‘ROLE_’ since it is automatically inserted. Got ‘ROLE_ADMIN’ 百度了一番发现并没人遇到此问题,但我可是照着《Spring实战》一笔一划敲上去的,于是换了必应搜索,才看到国外某论坛有人提出了解决方案,其实报错信息已经描述地明明白白了 T_T role不应该以’ ROLE_ '开头,因为它会自动插入。 @Configuration @EnableWebSecurity public c.
servlet session的setAttribute(),getAttribute()方法注意 点
荒岛过客
05-24 1万+
这两天一直在做手机验证码的工作,ajax一下子就连通了,但是session存放发送给手机的随机验证码就无法读出来了(其实不是无法读出来,往下看),导致无法验证用户填写的手机验证码,于是我查了session的一些过期设置,还一度怀疑setMaxInteractiveInterval()的参数单位是不是毫秒。弄了下个下午之后实在受不了,我一直往session是不是第二次请求action时就过期了的方向去
mysql 角色(role)管理功能实现、创建role,role权限赋值、激活(基于mysql8.0)
热门推荐
程序分析爱好者
05-07 8万+
以下操作都是基于mysql8.0的来实现的,电脑安装不上mysql 8.0的,请自行安装升级 创建角色(role) 将role的权限赋值给一个用户 查看用户被授权情况并激活权限!!重点,不然赋权之后用户也无法使用role里面的权限 创建角色 CREATE ROLE xx; GRANT 权限 ON 数据库.表 TO XX; --创建ROLE,并赋权限 create role read_SC; ...
role属性解析
qq_35698009的博客
12-22 2108
role 属性: 本质上是增强语义性,当现有标签不能充分表达语义性的时候,就可以借助role来说明。 同时也是为了告诉Accessibility类应用(如读屏软件为盲人提供的访问网络便利程序), 在html5元素内,标签本身就有语义的,因此role是不必添加的,至少是不推荐的, 但bootstrap的案例内很多都是有类似的属性和声明的,目的是为了兼容老版本浏览器, 如果你的代码使用了ht
HTML标签的role作用
qq_34639706的博客
06-12 3099
看到别人代码中出现role属性,记录一下: <li role="tab" class=tabs-tab>tab1</li> role 是增强语义性,当现有的HTML标签不能充分表达语义性的时候,就可以借助role来说明。 通常这种情况出现在一些自定义的组件上,这样可增强组件的可访问性、可用性和可交互性。 role的作用是描述一个非标准的tag的实际作用。比如用div做button,那么设置div 的 role=“button”,辅助工具就可以认出这实际上是个button <l
Spring Boot整合Shiro搭建权限管理系统.pdf
11-27
本教程主要讲解如何使用Spring Boot与Apache Shiro框架结合,构建一个完善的权限管理系统。首先,我们从Spring Boot的基础入手,逐步搭建项目环境。 一、Spring Boot入门 1. 创建Maven工程 开始构建项目时,第一...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

picacho_pkq

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值