基于URL的权限管理(三)

最新推荐文章于 2022-08-31 10:16:44 发布
最新推荐文章于 2022-08-31 10:16:44 发布
阅读量521 收藏
点赞数
分类专栏: Shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35222843/article/details/105990344
版权

思路:先创建一个专门的类ActiveUser用于存储用户登录的信息,主要用于存储用户id,账户,名称,菜单,权限。

认证拦截器主要是查看用户是否已登陆,如果没有转发到登陆界面,用户用账户跟密码登录时候先验证账户密码认证。

如果正确登陆之后进入授权拦截器中,授权拦截器主要查看session域中用户的菜单与权限(如果其权限满足能访问资源就放行)。用户每点一次按钮都会访问一个URL,都会进行权限的判断。

在session中存取用户信息的思路:根据用户的id去关联查询用户的菜单与权限以对象形式放入list中,并将查出来的信息存到ActiveUser,将ActiveUser存到session域中。菜单主要是进去之后左边的大菜单,菜单的URL是点击大菜单的时候跳转的页面,权限是其点击小按钮进行每一次访问的URL(也会进行处理),这样处理比较严谨。

 

 

 

1.流程

 

 

 

2.系统登陆

系统 登陆相当 于用户身份认证,用户成功,要在session中记录用户的身份信息.

 

操作流程:

         用户进行登陆页面

         输入用户名和密码进行登陆

         进行用户名和密码校验

         如果校验通过,在session记录用户身份信息

 

   2.1    用户的身份信息

创建专门类用于记录用户身份信息。

 

package cn.qlq.springmvc.pojo;


import java.util.Iterator;
import java.util.List;

import com.sun.org.apache.bcel.internal.generic.NEW;

/**
 * 用户身份信息,存入session 由于tomcat将session会序列化在本地硬盘上,所以使用Serializable接口
 * 
 * @author Thinkpad
 * 
 */
public class ActiveUser implements java.io.Serializable {
    private String userid;//用户id(主键)
    private String usercode;// 用户账号
    private String username;// 用户名称

    private List<SysPermission> menus;// 菜单
    private List<SysPermission> permissions;// 权限

    public String getUsername() {
        return username;
    }

    public void setUsername(String username) {
        this.username = username;
    }


    public String getUsercode() {
        return usercode;
    }

    public void setUsercode(String usercode) {
        this.usercode = usercode;
    }

    public String getUserid() {
        return userid;
    }

    public void setUserid(String userid) {
        this.userid = userid;
    }

    public List<SysPermission> getMenus() {
        return menus;
    }

    public void setMenus(List<SysPermission> menus) {
        this.menus = menus;
    }

    public List<SysPermission> getPermissions() {
        return permissions;
    }

    public void setPermissions(List<SysPermission> permissions) {
        this.permissions = permissions;
    }

    
}

 

 

2.2             mapper

mapper接口: 根据用户账号查询用户(sys_user)信息(使用逆向工程生成的mapper)

查询菜单与权限的时候需要进行多表查询,自定义mapper

 

mapper.java

 

public interface SysPermissionMapperCustom {
    
    //根据用户id查询菜单
    public List<SysPermission> findMenuListByUserId(String userid)throws Exception;
    //根据用户id查询权限url
    public List<SysPermission> findPermissionListByUserId(String userid)throws Exception;

}

 

 

mapper.xml

 

<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE mapper PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN" "http://mybatis.org/dtd/mybatis-3-mapper.dtd" >
<mapper namespace="cn.qlq.springmvc.mapper.SysPermissionMapperCustom" >
  
  
  <!-- 根据用户id查询url -->
  <select id="findPermissionListByUserId" parameterType="string" resultType="cn.qlq.springmvc.pojo.SysPermission">
      SELECT 
      * 
    FROM
      sys_permission 
    WHERE TYPE = 'permission' 
      AND id IN 
      (SELECT 
        sys_permission_id 
      FROM
        sys_role_permission 
      WHERE sys_role_id IN 
        (SELECT 
          sys_role_id 
        FROM
          sys_user_role 
        WHERE sys_user_id = #{id}))
  </select>
  
   <!-- 根据用户id查询菜单 -->
  <select id="findMenuListByUserId"  parameterType="string" resultType="cn.qlq.springmvc.pojo.SysPermission">
          SELECT 
      * 
    FROM
      sys_permission 
    WHERE TYPE = 'menu' 
      AND id IN 
      (SELECT 
        sys_permission_id 
      FROM
        sys_role_permission 
      WHERE sys_role_id IN 
        (SELECT 
          sys_role_id 
        FROM
          sys_user_role 
        WHERE sys_user_id = #{id}))
  </select>
  
</mapper>

 

 

 

 

2.3 Service(进行用户名和密码校验)

 

接口功能:根据用户的身份和密码 进行认证,如果认证通过,返回用户身份信息

认证过程:

         根据用户身份(账号)查询数据库,如果查询不到用户不存在

         对输入的密码 和数据库密码 进行比对,如果一致,认证通过

 

package cn.qlq.springmvc.serviceImpl;

import java.util.List;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Service;

import cn.qlq.springmvc.Exception.MyException;
import cn.qlq.springmvc.mapper.SysPermissionMapperCustom;
import cn.qlq.springmvc.mapper.SysUserMapper;
import cn.qlq.springmvc.pojo.ActiveUser;
import cn.qlq.springmvc.pojo.SysPermission;
import cn.qlq.springmvc.pojo.SysUser;
import cn.qlq.springmvc.pojo.SysUserExample;
import cn.qlq.springmvc.service.SysService;
import cn.qlq.springmvc.utils.MD5;

/**
 * 认证和授权
 * 
 * @author: qlq
 * @date : 2017年7月28日上午10:45:52
 */
@Service
public class SysServiceImpl implements SysService {

    @Autowired
    private SysUserMapper sysUserMapper;
    @Autowired
    private SysPermissionMapperCustom sysPermissionMapperCustom;

    @Override
    public ActiveUser authenticat(String userCode, String password) throws Exception {
        /**
         * 认证过程: 根据用户身份(账号)查询数据库,如果查询不到用户不存在 对输入的密码 和数据库密码 进行比对,如果一致,认证通过
         */
        // 根据用户账号查询数据库
        SysUser sysUser = this.findSysUserByUserCode(userCode);

        if (sysUser == null) {
            // 抛出异常
            throw new MyException("用户账号不存在");
        }

        // 数据库密码 (md5密码 )
        String password_db = sysUser.getPassword();

        // 对输入的密码 和数据库密码 进行比对,如果一致,认证通过
        // 对页面输入的密码 进行md5加密
        String password_input_md5 = new MD5().getMD5ofStr(password);
        if (!password_input_md5.equalsIgnoreCase(password_db)) {
            // 抛出异常
            throw new MyException("用户名或密码 错误");
        }
        // 得到用户id
        String userid = sysUser.getId();
        // 根据用户id查询菜单
        List<SysPermission> menus = this.findMenuListByUserId(userid);

        // 根据用户id查询权限url
        List<SysPermission> permissions = this.findPermissionListByUserId(userid);

        // 认证通过,返回用户身份信息
        ActiveUser activeUser = new ActiveUser();
        activeUser.setUserid(sysUser.getId());
        activeUser.setUsercode(userCode);
        activeUser.setUsername(sysUser.getUsername());// 用户名称

        // 放入权限范围的菜单和url
        activeUser.setMenus(menus);
        activeUser.setPermissions(permissions);

        return activeUser;
    }

    // 根据用户账号查询用户信息
    public SysUser findSysUserByUserCode(String userCode) throws Exception {
        // 根据用户名查询用户信息
        SysUserExample sysUserExample = new SysUserExample();
        SysUserExample.Criteria criteria = sysUserExample.createCriteria();
        criteria.andUsercodeEqualTo(userCode);

        List<SysUser> list = sysUserMapper.selectByExample(sysUserExample);

        if (list != null && list.size() == 1) {
            return list.get(0);
        }

        return null;
    }

    @Override
    public List<SysPermission> findMenuListByUserId(String userid) throws Exception {

        return sysPermissionMapperCustom.findMenuListByUserId(userid);
    }

    @Override
    public List<SysPermission> findPermissionListByUserId(String userid) throws Exception {

        return sysPermissionMapperCustom.findPermissionListByUserId(userid);
    }
}

 

 

 

2.4      controller(记录session)

 

package cn.qlq.springmvc.controller;


import javax.servlet.http.HttpSession;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.RequestMapping;

import cn.qlq.springmvc.Exception.MyException;
import cn.qlq.springmvc.pojo.ActiveUser;
import cn.qlq.springmvc.service.SysService;

@Controller
public class LoginController {
    
    @Autowired
    private SysService sysService;
    
    
    //用户登陆提交方法
    /**
     * 
     * <p>Title: login</p>
     * <p>Description: </p>
     * @param session
     * @param randomcode 输入的验证码
     * @param usercode 用户账号
     * @param password 用户密码 
     * @return
     * @throws Exception
     */
    @RequestMapping("/login")
    public String login(HttpSession session, String randomcode,String usercode,String password)throws Exception{
        
        //校验验证码,防止恶性攻击
        //从session获取正确验证码
        String validateCode = (String) session.getAttribute("validateCode");
        
        //输入的验证和session中的验证进行对比 
        if(!randomcode.equals(validateCode)){
            //抛出异常
            throw new MyException("验证码输入错误");
        }
        
        //调用service校验用户账号和密码的正确性
        ActiveUser activeUser = sysService.authenticat(usercode, password);
        
        //如果service校验通过,将用户身份记录到session
        session.setAttribute("activeUser", activeUser);
        //重定向到商品查询页面
        return "redirect:/first.action";
    }
    
    //用户退出
    @RequestMapping("/logout")
    public String logout(HttpSession session)throws Exception{
        
        //session失效
        session.invalidate();
        //重定向到商品查询页面
        return "redirect:/first.action";
        
    }
    

}

 

 

 

 

 

2.5     用户认证拦截器

package cn.qlq.springmvc.inteceptor;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;
/**
 * SpringMVC的拦截器
* @author: qlq
* @date :  2017年7月22日下午12:20:52
 */
public class Inteceptor1 implements HandlerInterceptor{


    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object arg2) throws Exception {
//        判断是否是登陆
        String requestURI = request.getRequestURI();  //springmvc-mybatis/itemlist.action
        StringBuffer requestURL = request.getRequestURL(); //http://localhost:8080/springmvc-mybatis/itemlist.action
//        判断用户是否登陆  如果没有登陆  重定向到登陆页面   不放行   如果登陆了  就放行了
        if(!requestURI.contains("login")){
            Object attribute = request.getSession().getAttribute("user");
            if(attribute==null){
                response.sendRedirect(request.getContextPath()+"/login.action");
                return false;
            }
        }
        //不放行的话返回false
        return true;
    }
    @Override
    public void postHandle(HttpServletRequest arg0, HttpServletResponse arg1, Object arg2, ModelAndView arg3)
            throws Exception {
        System.out.println("这是方法后1");        
    }
    @Override
    public void afterCompletion(HttpServletRequest arg0, HttpServletResponse arg1, Object arg2, Exception arg3)
            throws Exception {
        // TODO Auto-generated method stub
        System.out.println("这是页面渲染后1");
    }



    
}

 

 2.6用户授权拦截器(在认证拦截器之后配置)

 

package cn.qlq.springmvc.inteceptor;



import java.util.List;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;

import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;

import cn.qlq.springmvc.pojo.ActiveUser;
import cn.qlq.springmvc.pojo.SysPermission;
import cn.qlq.springmvc.utils.ResourcesUtil;



public class PermissionInterceptor implements HandlerInterceptor {

    //在执行handler之前来执行的
    //用于用户认证校验、用户权限校验
    @Override
    public boolean preHandle(HttpServletRequest request,
            HttpServletResponse response, Object handler) throws Exception {
        
        //得到请求的url
        String url = request.getRequestURI();
        
        //判断是否是公开 地址
        //实际开发中需要公开 地址配置在配置文件中
        //从配置中取逆名访问url
        
        List<String> open_urls = ResourcesUtil.gekeyList("anonymousURL");
        //遍历公开 地址,如果是公开 地址则放行
        for(String open_url:open_urls){
            if(url.indexOf(open_url)>=0){
                //如果是公开 地址则放行
                return true;
            }
        }
        
        //从配置文件中获取公共访问地址
        List<String> common_urls = ResourcesUtil.gekeyList("commonURL");
        //遍历公用 地址,如果是公用 地址则放行
        for(String common_url:common_urls){
            if(url.indexOf(common_url)>=0){
                //如果是公开 地址则放行
                return true;
            }
        }
        
        //获取session
        HttpSession session = request.getSession();
        ActiveUser activeUser = (ActiveUser) session.getAttribute("activeUser");
        //从session中取权限范围的url
        List<SysPermission> permissions = activeUser.getPermissions();
        for(SysPermission sysPermission:permissions){
            //权限的url
            String permission_url = sysPermission.getUrl();
            if(url.indexOf(permission_url)>=0){
                //如果是权限的url 地址则放行
                return true;
            }
        }
        
        //执行到这里拦截,跳转到无权访问的提示页面
        request.getRequestDispatcher("/WEB-INF/jsp/refuse.jsp").forward(request, response);
        
        //如果返回false表示拦截不继续执行handler,如果返回true表示放行
        return false;
    }
    //在执行handler返回modelAndView之前来执行
    //如果需要向页面提供一些公用 的数据或配置一些视图信息,使用此方法实现 从modelAndView入手
    @Override
    public void postHandle(HttpServletRequest request,
            HttpServletResponse response, Object handler,
            ModelAndView modelAndView) throws Exception {
        System.out.println("HandlerInterceptor1...postHandle");
        
    }
    //执行handler之后执行此方法
    //作系统 统一异常处理,进行方法执行性能监控,在preHandle中设置一个时间点,在afterCompletion设置一个时间,两个时间点的差就是执行时长
    //实现 系统 统一日志记录
    @Override
    public void afterCompletion(HttpServletRequest request,
            HttpServletResponse response, Object handler, Exception ex)
            throws Exception {
        System.out.println("HandlerInterceptor1...afterCompletion");
    }

}

 

源码地址:https://github.com/qiao-zhi/quanxian.git

Zhang.Voi
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
对应本博客:shiro、基于url权限管理章节的源代码
10-14
权限管理原理知识,权限管理解决方案,基于url权限管理、shiro介绍、shiro认证
第十九章 动态URL权限控制——《跟我学Shiro》
jinnianshilongnian的专栏
04-04 1007
  目录贴: 跟我学Shiro目录贴   用过Spring Security的朋友应该比较熟悉对URL进行全局的权限控制,即访问URL时进行权限匹配;如果没有权限直接跳到相应的错误页面。Shiro也支持类似的机制,不过需要稍微改造下来满足实际需求。不过在Shiro中,更多的是通过AOP进行分散的权限控制,即方法级别的;而通过URL进行权限控制是一种集中的权限控制。本章将介绍如何在Shiro...
通过shiro进行按钮及页面访问url权限控制
m0_67392931的博客
08-31 1254
super();}/*** 验证登陆*/@Override//根据登录名获取用户信息= null) {} else {}}/*** 登陆成功之后,进行角色和权限验证*/@Override// 列举此用户所有的权限}}/*** 清除所有用户授权信息缓存.*/}/*** 清除所有用户授权信息缓存.*/= null) {}}}/**** @Description: TODO 清楚缓存的授权信息。...
java问题处理---若依框架下对某个url权限放开,登陆后访问403 Forbidden
过去过去,未来未来,当下永恒!
04-02 5378
问题情景: 在若依框架下搭建了一套前后端代码,对某个url放开权限,后端SecurityConfig进行如下配置 但当登陆系统后,请求放开权限url,403报错。 解决方案: 参考:https://gitee.com/y_project/RuoYi-Vue/issues/I1N6Y8 在前端请求设置header headers: { isToken: false }, 问题解决。 ...
若依子项目关闭拦截直接访问
奔跑的坏蜗牛
01-22 5137
若依子项目关闭拦截直接访问 1、创建一个子项目,引入成功 2、创建Controller有一点需要注意,在引入Service或者Mapper时,若依在注解中添加了@RequiredArgsConstructor(onConstructor_ = @Autowired) 所以自己在引入时,一定要在Service活Mapper上添加Autowired 3、在若依的核心文件中找到SecurityConfig 中找到配置项configure,在允许匿名访问中添加你需要匿名访问的接口 4、重启访问,访问正常,操作完毕
shiro框架如何设置不过滤指定url
热门推荐
u012131610的博客
09-04 1万+
不过滤指定url意思就是遇到指定url直接放行,不跳转到登录页面,比如通过调某一个方法检测服务是否正常就需用用到该配置。 配置方式也比较简单,shiro.xml中添加相应的配置即可 比如遇到path为“/e74050c07f7d315d3ffc73df398ff9c5”的请求直接放行,可以如下配置: <!-- Shiro Filter --> <bean id="sh...
PHP权限管理系统源码
04-06
实现了基本的权限管理,本系统是基于权限节点进行认证,可控制菜单显示隐藏,基于角色控制权限节点。 1、前端框架:layui2.5.6 2、后端框架:ThinkPHP5.1.39LTS 3、后端界面基于layuimini 权限管理系统安装教程: 1...
SpringBoot+Shiro+JWT+Jedis+MybatisPlus+前后端分离+基于url通用权限管理系统
01-25
前后端分离(这里只展示后台),基于url拦截的通用权限管理系统,采用jwt+redis的机制取代传统session+cookie的认证授权方式,shiro框架,配置Jedis,以redis作缓存
EasyUI基于权限的仓库管理系统
05-15
text:"权限信息管理", attributes:{ url:"permissionManage.jsp" } },{ text:"角色权限管理", attributes:{ url:"rolePermissionManage.jsp" } },{ text:"仓库管理", attributes:{ url:"storeManage....
Nginx 基于url的安全认证配置
01-07
今天运维同学检测到我们job管理后台访问时未经授权.安全起见需要增加下认证,但是重新搭建登录服务比较麻烦,所以想到利用nginx做认证. 1. 下载安装httpd-tools yum install httpd-tools -y 2. 创建授权用户和密码 ...
Spring Security如何使用URL地址进行权限控制
08-25
主要介绍了Spring Security如何使用URL地址进行权限控制,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
java url 权限过滤器
09-16
获得structs的相对权限 url实现权限控制
若依微服务版怎样修改Nacos中配置文件使Url不受权限认证跳过Token验证
BADAO_LIUMANG_QIZHI的博客
11-27 3700
场景 若依微服务版手把手教你本地搭建环境并运行前后端项目: https://blog.csdn.net/BADAO_LIUMANG_QIZHI/article/details/109363303 在上面将若依微服务版成功搭建并运行后,如果想在服务中写一个开放的接口,可以跳过权限认证,不用登陆,不用携带Token就能访问。 注: 博客:https://blog.csdn.net/badao_liumang_qizhi 关注公众号 霸道的程序猿 获取编程相关电子书、教程推送与免费下载。 实现 若.
基于URL权限管理
踟蹰千年的博客
12-20 1235
转自https://www.cnblogs.com/qlqwjy/p/7251817.html   思路:先创建一个专门的类ActiveUser用于存储用户登录的信息,主要用于存储用户id,账户,名称,菜单,权限。 认证拦截器主要是查看用户是否已登陆,如果没有转发到登陆界面,用户用账户跟密码登录时候先验证账户密码认证。 如果正确登陆之后进入授权拦截器中,授权拦截器主要查看session域中...
权限管理最佳实践:二,URL权限控制
开源权限管理中间件Ralasafe
09-02 509
-------------------------------------------- 总大纲 --------------------------------- Ralasafe开源有段时间了,大约有2个月了。根据社区的反馈,我打算围绕Ralasafe最佳实践,书写一系列BLOG。   大体内容有: 1, 登录控制: 哪些页面需要登录后才能访问,登录用户名、密码验证,登录转向页...
若依前后端分离框架下载需要授权的url文件,解决跨域问题
Hunter_Kevin的博客
03-24 6058
一、问题描述: 使用若依前后端分离项目,前台点击下载图片,触发下载事件,而不是直接打开显示图片 二、解决思路: 前端调用后端接口,将需要下载的图片https链接传给后端下载 后端需要设置响应头response.addHeader("Access-Control-Allow-Origin", "*"); 允许跨域 前端需要设置 responseType: 'blob' 告诉后端前端需要的是blob二进制文件流,否则会导致返回乱码 前端发送请求调用后端自定义文件下载接口的代码可以参考:链接指引 或者 前
若依框架分离版,url返回给数据库全局路径问题
qq_41343485的博客
06-22 1101
在做项目中,要求返回给后端的路径去掉前缀,但是组件默认是返回给数据库,全局路径,要自己手动修改上传组件实现这种 具体实现要修改ImageUpload组件 由于this.$emit("input", res.url); 这个rul存储的是后台绝对路径http://localhost:8080/...... ,前端是没法访问到的。修正为 this.$emit("input", res.fileName); template中进行如下修改 script中进行如下修改 由...
java 权限url权限_Spring Security 动态url权限控制(
weixin_39878989的博客
11-21 219
一、前言本篇文章将讲述Spring Security 动态分配url权限,未登录权限控制,登录过后根据登录用户角色授予访问url权限基本环境spring-boot 2.1.8mybatis-plus 2.2.0mysql 数据库maven项目Spring Security入门学习可参考之前文章:SpringBoot集成Spring Security入门体验(一)Spring Security 自定...
基于django实现rbac权限管理
最新发布
04-07
在Django中,可以使用django-guardian或django-rules等第方库来实现RBAC权限管理,也可以自己编写代码实现。 下面是一个基于Django自己编写的简单RBAC权限管理系统的实现过程: 1. 定义权限模型 在Django中,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Zhang.Voi

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值