项目中使用shiro @RequiresPermissions:注解 为登录用户授予权限

最新推荐文章于 2024-04-19 15:44:18 发布
最新推荐文章于 2024-04-19 15:44:18 发布
阅读量5.1k 收藏 11
点赞数
分类专栏: Java相关 文章标签: RequiresPermissions: shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37767455/article/details/100188290
版权

在这之前,Shiro的具体验证过程 链接:
https://blog.csdn.net/qq_37767455/article/details/99771312

https://blog.csdn.net/qq_37767455/article/details/91351791

下面完整代码地址:
https://gitee.com/never_enough/jxc_system

一、表设计

t_user:
在这里插入图片描述
t_role:
在这里插入图片描述
t_user_role:
在这里插入图片描述
管理员role_id 为1,管理员拥有最高权限,即所有菜单,下面是t_role_menu:
在这里插入图片描述
各表之间关联:
在这里插入图片描述

二、登录 加载角色对应的菜单

若当前登录用户拥有一个角色,那么登录成功直接跳到主界面,否则让先让用户选择一个角色,然后再进入主界面,当然主界面的菜单是根据选中的角色来加载的。

在这里插入图片描述
1.用户通过shiro验证后,也即是登录合法,然后将currentUser和用户拥有的角色存起来:
在这里插入图片描述
2.回到登录页面 判断角色个数

在这里插入图片描述
如果角色个数大于1,提示用户选择一个角色:
在这里插入图片描述
点击提交:

在这里插入图片描述
转到后台:
在这里插入图片描述
3.进入主界面前请求加载菜单树:
在这里插入图片描述
在这里插入图片描述

在这里插入图片描述

/**
	 *     这里获取的是一层的菜单
	 * 根据父节点和用户角色Id查询菜单
	 * @param parentId
	 * @param roleId
	 * @return
	 */
	public JsonArray getMenuByParentId(Integer parentId,Integer roleId) {
		List<Menu> menuList=menuService.findByParentIdAndRoleId(parentId, roleId);	
		JsonArray jsonArray=new JsonArray();
		for(Menu menu:menuList) {
			JsonObject jsonObject=new JsonObject();
			jsonObject.addProperty("id", menu.getId());//节点id  作为标识
			jsonObject.addProperty("text", menu.getName());//节点名字
			if(menu.getState()==1) {
				jsonObject.addProperty("state", "closed"); //状态为1说明是根结点
			}else {
				jsonObject.addProperty("state", "open");//叶子结点
			}
			
			jsonObject.addProperty("iconCls", menu.getIcon());//节点图标
			
			JsonObject attributeObject=new JsonObject(); //扩展属性
			attributeObject.addProperty("url", menu.getUrl());// 菜单请求地址
			
			jsonObject.add("attributes", attributeObject);
			jsonArray.add(jsonObject);
		}
		return jsonArray;
	}

持久层:

/**
	 * 根据父节点以及用户角色id查询子节点
	 * @param id
	 * @return
	 */
	@Query(value="SELECT * FROM t_menu WHERE p_id=?1 AND id IN (SELECT menu_id FROM t_role_menu WHERE role_id=?2)",nativeQuery=true)
	public List<Menu> findByParentIdAndRoleId(int parentId,int roleId);

界面展示效果:

在这里插入图片描述
在这里插入图片描述

在这里插入图片描述

在这里插入图片描述
由于当前登录用户是tony,选的 角色是总经理,角色对应的权限不多,所以菜单就展示了这么多。

三、为controller中的方法加上shiro注解,也即是访问权限

当点击一个菜单:
在这里插入图片描述

在这里插入图片描述
发出请求获取客户列表:
在这里插入图片描述
下面重点:
在这里插入图片描述
由于请求要访问的方法上面加上了@RequiresPermissions注解,程序要执行到下面这里:
在这里插入图片描述
用户登录进来 访问带shiro注解的方法时 要到这里 进行授权(给当前主体授权)

在这里插入图片描述
给用户授予了 “客户管理 ”这个菜单权限后,才能正常访问:
在这里插入图片描述
在这里插入图片描述

四、部分代码展示

package com.java1234.realm;

import java.util.HashSet;
import java.util.List;
import java.util.Set;

import javax.annotation.Resource;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;

import com.java1234.entity.Menu;
import com.java1234.entity.Role;
import com.java1234.entity.User;
import com.java1234.repository.MenuRepository;
import com.java1234.repository.RoleRepository;
import com.java1234.repository.UserRepository;

/**
 * 自定义Realm
 * @author Administrator
 *
 */
public class MyRealm extends AuthorizingRealm{

	@Resource
	private UserRepository userRepository;
	
	@Resource
	private RoleRepository roleRepository;
	
	@Resource
	private MenuRepository menuRepository;
	
	
	/**
	 * 授权  :是什么用户就给他什么角色   什么菜单权限
	 * 用户登录进来 访问带shiro注解的方法时 要到这里  进行授权(给当前主体授权)
	 */
	@Override
	protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
		String userName=(String) SecurityUtils.getSubject().getPrincipal();
		User user=userRepository.findByUserName(userName);
		
		SimpleAuthorizationInfo  info=new SimpleAuthorizationInfo();
		
		List<Role> roleList=roleRepository.findByUserId(user.getId());
		Set<String> roles=new HashSet<String>();
		for(Role role:roleList) {
			roles.add(role.getName());
			
			List<Menu> menuList=menuRepository.findByRoleId(role.getId());
			for(Menu menu:menuList) {
				info.addStringPermission(menu.getName());
			}
		}
		info.setRoles(roles);
		
		return info;
	}


	/**
	 * 身份认证:登录的时候判断权限   是否有权限       判断用户名和密码
	 */
	@Override
	protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
		String userName=(String) token.getPrincipal();
		User user=userRepository.findByUserName(userName); //获取首体、当事人
		if(user!=null) {    //封装成AuthenticationInfo然后返回  它内部进行判断密码是否正确(输入的用户名对应的用户存在,继续判断该用户密码是否正确)
			AuthenticationInfo authcInfo=new SimpleAuthenticationInfo(user.getUserName(), user.getPassword(),"xxx");
			return authcInfo;
		}else {
			return null; //用户不存在  return Null
		}
	}
	
}


package com.java1234.config;

import java.util.LinkedHashMap;
import java.util.Map;

import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.spring.LifecycleBeanPostProcessor;
import org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.context.annotation.DependsOn;

import com.java1234.realm.MyRealm;

/**
 * Shiro配置类
 */
@Configuration
public class ShiroConfig {

	/**
     * ShiroFilterFactoryBean 处理拦截资源文件问题。
     * 注意:单独一个ShiroFilterFactoryBean配置是会报错的,因为在
     * 初始化ShiroFilterFactoryBean的时候需要注入:SecurityManager
     *
     * Filter Chain定义说明 1、一个URL可以配置多个Filter,使用逗号分隔 2、当设置多个过滤器时,全部验证通过,才视为通过
     * 3、部分过滤器可指定参数,如perms,roles
     *
     */
    @Bean
    public ShiroFilterFactoryBean shirFilter(SecurityManager securityManager) {
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();

        // 必须设置 SecurityManager
        shiroFilterFactoryBean.setSecurityManager(securityManager);

        //设置登录界面 如果不设置默认会自动寻找Web工程根目录下的"/login.jsp"页面
        shiroFilterFactoryBean.setLoginUrl("/login.html");
 

        // 拦截器.
        Map<String, String> filterChainDefinitionMap = new LinkedHashMap<String, String>();
        // 配置不会被拦截的链接 顺序判断
        filterChainDefinitionMap.put("/static/**", "anon");
        filterChainDefinitionMap.put("/user/login", "anon");
        filterChainDefinitionMap.put("/drawImage", "anon");//验证码生成的请求也不需要验证即可访问

        // 配置退出过滤器,其中的具体的退出代码Shiro已经替我们实现了
        /*
         * 退出后 shiro内置currentUser 被自动清掉 但我们自己设置的currentUser还在
         * 因此还需在 controller的logout方法中手动清理
         */
        filterChainDefinitionMap.put("/logout", "logout");


        // <!-- 过滤链定义,从上向下顺序执行,一般将 /**放在最为下边 -->:这是一个坑呢,一不小心代码就不好使了;
        // <!-- authc:所有url都必须认证通过才可以访问; anon:所有url都都可以匿名访问-->
        filterChainDefinitionMap.put("/**", "authc");//除了上面那些,其他的请求都需要认证

        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
        return shiroFilterFactoryBean;
    }

    @Bean
    public SecurityManager securityManager() {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        // 设置realm.
        securityManager.setRealm(myRealm());
        return securityManager;
    }

    /**
     * 身份认证realm; (这个需要自己写,账号密码校验;权限等)
     * 
     * @return
     */
    @Bean        //返回一个Bean
    public MyRealm myRealm() {
    	MyRealm myRealm = new MyRealm();
        return myRealm;
    }

    /**
     * Shiro生命周期处理器     (固定写法)
     * @return
     */
    @Bean
    public LifecycleBeanPostProcessor lifecycleBeanPostProcessor(){
        return new LifecycleBeanPostProcessor();
    }
    
    /**
     * 开启Shiro的注解(如@RequiresRoles,@RequiresPermissions),需借助SpringAOP扫描使用Shiro注解的类,并在必要时进行安全逻辑验证
     * 配置以下两个bean(DefaultAdvisorAutoProxyCreator(可选)和AuthorizationAttributeSourceAdvisor)即可实现此功能
     * @return
     * 
     * 
     * Controller里面有方法,方法里面要进行权限认证
     * @RequiresPermissions:比如需要有自己的菜单权限,否则访问会报错
     */
    @Bean
    @DependsOn({"lifecycleBeanPostProcessor"})
    public DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator(){
        DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator = new DefaultAdvisorAutoProxyCreator();
        advisorAutoProxyCreator.setProxyTargetClass(true);
        return advisorAutoProxyCreator;
    }
    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(){
        AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();
        authorizationAttributeSourceAdvisor.setSecurityManager(securityManager());
        return authorizationAttributeSourceAdvisor;
    }

}
Take^that
关注
  • 0
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringBoot 、Shiro、 自定义注解权限控制源码下载
04-06
4. **Shiro权限控制**:掌握如何使用Shiro注解进行权限判断,如@RequiresPermissions、@RequiresRoles等。 5. **MyBatis Plus的使用**:学习如何创建实体类、Mapper接口,以及如何编写Mapper XML文件来实现数据...
springboot与shiro整合—登录认证和权限管理实例项目
04-16
在本文,我们将深入探讨如何将Spring Boot与Apache Shiro整合,实现登录认证和权限管理的实例项目。这个项目对于初学者来说是一个很好的实践平台,它可以帮助开发者将理论知识转化为实际应用。 首先,Spring Boot...
8.Shiro权限控制注解
相互学习 共同进步
06-29 865
Controller角色权限访问控制(注解★) 在其他的Controller使用注解来做权限控制访问 @RequiresPermissions("system:user:view") @RequestMapping(value = {"list", ""}) public String list() { return "/admin/index"; } // 只用同时具有user:view和user:create权限才能访问 @RequiresPermissions(value = { "sys
@RequiresPermissions要求用户拥有某(些)权限
圆圆学习笔记的博客
02-21 1224
如果有个多个注解的话,前面的通过了会继续检查后面的,若不通过则直接返回,处理顺序依次为(与实际声明顺序无关) RequiresRoles、RequiresPermissionsRequiresAuthentication、RequiresUser、RequiresGuest。注解用于配置接口要求用户拥有某(些)权限才可访问,它拥有两个参数。Shiro的认证注解处理是有内定的处理顺序的,,那就要求拥有此角色的同时还得拥有相应的权限。示例1: 以下代码表示必须拥有。示例2: 以下代码表示必须拥有。
拦截RequiresPermissions权限标识获取逻辑,实现Controller多级权限拼接
最新发布
努力的小方的博客
04-19 931
业务场景:Shiro权限校验RequiresPermissions标签是优先获取方法上的注解信息,再从类上注解获取权限标识符但是系统的 XxxController 层是继承的 ParentController,增删改查方法,在ParentController,无法对增删改查的 RequiresPermissions 权限标签进行自定义后台技术组合:Spring Boot、逻辑分析:1、aop 切面拦截 controller 对应调用的方法2、获取对应方法的注解信息。
Shiro之@RequiresPermissions注解原理详解
热门推荐
敲代码的小小酥的博客
02-28 4万+
前言 shiro为我们提供了几个权限注解,如下图: 这几个注解原理都类似,这里我们讲解@RequiresPermissions的原理。 铺垫 第一 首先要清楚@RequiresPermissions的基本用法。就是在Controller的方法里,加上@RequiresPermissions注解,并写上权限标识。那么,有该权限标识的用户,才能访问到请求。如下图: 第二 先剧透一下,@RequiresPermissions注解的原理是使用了Spring的AOP进行了增强。来判断当前用户是否有该权限标识。我们
@RequiresPermissions注解的作用,超级简单的权限验证
qq_41625866的博客
03-13 2万+
shiro里面权限验证的一个注解 @RequiresPermissions(value = {"engineeringPause:download", "workContact:download", "supervisionNotice:download", "questionNotification:download"},logical = Logical.OR) value 值可以写一个 ,也可以写多个
@RequiresPermissions注解使用
qq_35227352的博客
03-12 1万+
@RequiresPermissionsshiro的常用注解,用于获取权限 实例:@RequiresPermissions{“xxx1:xxx2:xxx3”} 执行这个方法会判断用户有没有相应的权限 会在某个地方进行配置,比如controller层其xxx1/xxx2/xxx3的url路径访问相应资源就可以正常访问。 ...
shiroRequiresPermissions注解用法
01-15 3万+
RequiresPermissions的作用 RequiresPermissionsshiro提供的一个注解类。主要是用作权限校验的一种方式。 @Target({ElementType.TYPE, ElementType.METHOD}) @Retention(RetentionPolicy.RUNTIME) public @interface RequiresPermissions { ...
springboot+mybatis+shiro用户权限管理项目
11-27
总的来说,这个项目为学习和实践SpringBoot、MyBatis与Shiro的整合提供了很好的案例,开发者可以通过它深入理解这三个框架在实际项目的应用,掌握用户权限管理的实现方法。同时,该项目也可以作为一个基础,进一步...
easyShiro:使用shiro+springboot+mybatis实现登录权限管理(AOP自定义注解
05-14
easyShiro使用shiro+springboot+mybatis实现简单的登录权限管理,使用自定义权限注解实现权限管理。数据库表user字段名示例id1username1password1数据库表auth字段名示例id1username1roleuserpermissionuser:hi...
Spring配置shiro时自定义Realm属性无法使用注解注入的解决办法
08-26
今天小编就为大家分享一篇关于Spring配置shiro时自定义Realm属性无法使用注解注入的解决办法,小编觉得内容挺不错的,现在分享给大家,具有很好的参考价值,需要的朋友一起跟随小编来看看吧
shiro的@RequiresPermissions,@RequiresRoles解析流程
qq_61592687的博客
08-11 3179
全网最新讲解shiro的@RequiresPermissions,@RequiresRoles的解析流程,绝对对你理解这两个验证流程大有脾益。
shiro几种注解说明
皮蛋瘦肉的博客
04-16 2192
@RequiresAuthentication 验证用户是否登录,等同于方法subject.isAuthenticated() 结果为true时。 @RequiresUser 验证用户是否被记忆,user有两种含义: 一种是成功登录的(subject.isAuthenticated() 结果为true); 另外一种是被记忆的(subject.isRemembered()结果为true...
【@RequiresPermissions】@RequiresPermissions权限和其源码
陶洲川的博客
06-02 1万+
一、源代码: @RequiresPermissions("operation:view") @RequestMapping(value="{id}",method = RequestMethod.GET) public Result findById(@PathVariable Long id) throws Exception { SysOperation sysOperation =
基于springboot下利用shiro注解完成权限控制的超详细记录
0117
10-01 4536
首先先说明一下,由于某些问题,不能将代码上传到github,但是可以展示出足够说明流程的代码和sql。 项目涉及到的技术:redis,shiro,springboot,jpa 权限分配架构:RABC模型 数据库截图 务必注意这个id=11123的exm,是用它举的例子,总结一下上面的截图: 这个id=11123的人,拥有名字叫boss的角色名,而这个叫boss的角色,拥有名为boss的权...
apache shiro框架@RequiresPermissions源码分析
谢文峰的博客
04-22 3160
1.@RequiresPermissions使用方法 在对应的方法上使用注解 @RequestMapping("user/list") @RequiresPermissions("user:list") @ResponseBody public Map<String, Object> userList(QueryRequest request, User user) { ...
shiro @RequiresPermissions 权限控制问题排查
Mccsosix的博客
08-01 1458
最近在使用权限控制遇到了一些坑,分享一下我的排查思路大致问题普遍如下:前端请求接口,页面显示并无权限部分接口可以访问,少部分接口无权限
shiro通过@RequiresPermissions注解开放接口权限,用java语言编写
06-03
是的,Shiro可以通过@RequiresPermissions注解来控制接口的访问权限。在Java语言,我们可以在Controller的方法上添加该注解,指定所需的权限,例如: ``` @RequiresPermissions("user:add") @RequestMapping("/...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值