shiro 授权和注解开发(三)

最新推荐文章于 2024-02-21 15:39:55 发布
最新推荐文章于 2024-02-21 15:39:55 发布
阅读量117 收藏 1
点赞数
分类专栏: shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43059674/article/details/102563395
版权

文章目录

说明:本篇博客基于前两篇博客构建:
shiro入门(一)
Shiro身份认证及盐加密(二)

这是数据库的表设计:
在这里插入图片描述

授权

在ShiroUserMapper.xml中新增内容

<!--  这是根据用户id获取到所拥有的角色集合-->
  <select id="getRolesByUserId" resultType="java.lang.String" parameterType="java.lang.Integer">
    select r.roleid from t_shiro_user u,t_shiro_user_role ur,t_shiro_role r
      where u.userid = ur.userid and ur.roleid = r.roleid
      and u.userid = #{userid}
  </select>
  
  <!--  这是根据用户id获取到所拥有的权限集合-->
  <select id="getPersByUserId" resultType="java.lang.String" parameterType="java.lang.Integer">
    select p.permission from t_shiro_user u,t_shiro_user_role ur,t_shiro_role_permission rp,t_shiro_permission p
    where u.userid = ur.userid and ur.roleid = rp.roleid and rp.perid = p.perid
    and u.userid = #{userid}
  </select>

mapper接口和server层这对应的方法就不贴了

重写自定义realm中的授权方法

    /**
     *用户授权(获取权限)
     * @param principalCollection
     * @return
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        System.out.println("用户授权。。。。");
        //获取到用户名
        String username = principalCollection.getPrimaryPrincipal().toString();
        //更具用户名获取当前用户
        ShiroUser user = shiroUserService.queryByName(username);
        //获取用户的角色列表
        Set<String> roles = shiroUserService.getRolesByUserId(user.getUserid());
        //获取当前用户的权限列表
        Set<String> pers = shiroUserService.getPersByUserId(user.getUserid());
    
        
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        //将用户的授权信息保持到 info 对象中(授权信息包括 角色和权限)
        info.setRoles(roles);
        info.setStringPermissions(pers);

        return info;
    }

这样当用户一登录就会调用 doGetAuthorizationInfo 来获取权限。我们就能够通过数据库灵魂配置权限了

注解式开发

常用注解介绍
@RequiresAuthenthentication:表示当前Subject已经通过login进行身份验证;即 Subject.isAuthenticated()返回 true

@RequiresUser:表示当前Subject已经身份验证或者通过记住我登录的

@RequiresGuest:表示当前Subject没有身份验证或者通过记住我登录过,即是游客身份

@RequiresRoles(value = {"admin","user"},logical = Logical.AND):表示当前Subject需要角色admin和user

@RequiresPermissions(value = {"user:delete","user:b"},logical = Logical.OR):表示当前Subject需要权限user:delete或者user:b

备注:Logical是决定多条件下的关系,支持 AND和 OR (并且和或者)

Controller层


    /**
     * 用户必须登录后才能请求
     * @param request
     * @return
     */
    @RequiresUser
    @RequestMapping("/passUser")
    public String passUser(HttpServletRequest request){
        return "admin/addUser";
    }


    /**
     * 用户必须拥有角色id为 1 和 4 的这两个角色
     *
     * Logical.RO 就是或的意思,也就是说用户 必须拥有角色id为 1 或 4 的这两个角色
     * @param request
     * @return
     */
    @RequiresRoles(value = {"1","4"},logical = Logical.AND)
    @RequestMapping("/passRole")
    public String passRole(HttpServletRequest request){
        return "admin/listUser";
    }


    /**
     * 用户必须拥有 user:update 或 user:view 权限才能访问
     *
     * 当然:Logical.OR 能改成 Logical.AND
     * @param request
     * @return
     */
    @RequiresPermissions(value = {"user:update","user:view"},logical = Logical.OR)
    @RequestMapping("/passPer")
    public String passPer(HttpServletRequest request){
        return "admin/resetPwd";
    }

Springmvc.xml(springmvc的配置文件中)

    <bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator"
          depends-on="lifecycleBeanPostProcessor">
        <property name="proxyTargetClass" value="true"></property>
    </bean>
    <bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
        <property name="securityManager" ref="securityManager"/>
    </bean>

    <!--    springmvc整合 shiro 实现注解式权限-->
    <bean id="exceptionResolver" class="org.springframework.web.servlet.handler.SimpleMappingExceptionResolver">
        <property name="exceptionMappings">
            <props>
                <!--                当用户没有权限会调转到 unauthorized.jsp页面-->
                <prop key="org.apache.shiro.authz.UnauthorizedException">
                    unauthorized
                </prop>
            </props>
        </property>
        <property name="defaultErrorView" value="unauthorized"/>
    </bean>

Jsp测试代码

<ul>
    shiro注解
    <li>
        <a href="${pageContext.request.contextPath}/passUser">用户认证</a>
    </li>
    <li>
        <a href="${pageContext.request.contextPath}/passRole">角色</a>
    </li>
    <li>
        <a href="${pageContext.request.contextPath}/passPer">权限认证</a>
    </li>
</ul>

测结果
zs只能查看身份认证的按钮内容
ls、ww可以看权限认证按钮内容
zdm可以看所有按钮的内容

qq_43059674
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro 教程
12-23
第一章:权限管理基础 包括:理解常见权限系统的两个大部分(分配权限和验证权限)、理解安全实体和权限的含义、理解... 包括:授权的要素和粒度、编程授权注解授权、理解授权的流程、理解ModularRealmAuthorizer等
Shiro中@RequiresRoles使用
程序新视界
01-27 5012
Shiro中通过@RequiresRoles注解可检验权限,在检验权限之前先要设置权限: 授权方法中给用户添加角色 在自定义的Realm中(继承实现AuthorizingRealm)的doGetAuthorizationInfo方法中授权方法中给用户添加角色。 @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) { String userName =
shiro的@RequiresPermissions,@RequiresRoles解析流程
qq_61592687的博客
08-11 2541
全网最新讲解shiro的@RequiresPermissions,@RequiresRoles的解析流程,绝对对你理解这两个验证流程大有脾益。
@RequiresRoles要求拥有某(些)角色注解
最新发布
圆圆学习笔记的博客
02-21 565
注解用于配置接口要求用户拥有某(些)角色才可访问,它拥有两个参数。示例1: 以下代码表示必须拥有。示例2: 以下代码表示必须拥有。示例3: 以下代码表示需要拥有。
Shiro中@RequiresRoles和@RequiresPermissions的使用
weixin_44967580的博客
05-10 4864
@RequiresRoles("user") //具有user角色可以访问 @RequiresRoles(value = {"admin","user"},logical = Logical.AND)//用来判断是否拥有角色 同时具有admin 和 user角色才能访问 @RequiresRoles(value = {"admin","user"},logical = Logical.OR)//用来判断是否拥有角色 具有admin 或 user其中一角色才能访问 @RequiresPermiss
@RequiresRoles使用
热门推荐
qq_41212530的博客
09-24 2万+
前提:使用这两个注解的前提是会进入到Realm的doGetAuthorizationInfo()授权方法中。 一 @RequiresRoles 1、授权方法中给用户添加角色 2、 controller中注解的书写 首先是有super角色的管理员访问,显示请求成功 非super角色的管理员登录 ...
Shiro 视频教程+源码+课件
08-29
内容涵盖 Shiro 认证、加密、授权、安全标签、安全注解、会话管理、缓存、Rememberme 等 JavaEE 企业级开发的核心技术。视频讲授过程中通过分析源代码使学员知其然更知其所以然。 【课程内容】 第一章 问候 Shiro ...
吴天雄--shiro个人总结笔记.doc
04-30
第一讲了解shiro(什么是shiroshiro的结构体系、核心功能、shiro的架构、shiro的工作流程、RBAC模型),第二讲 用户认证和授权(demo练习),第三讲 JdbcRealm及认证策略,第四讲 与Web集成(shiro+SpringMVC),...
通俗易懂的Shiro教程(含配套资料)
06-14
本教程为授权出品教程 ...内容涵盖 Shiro 认证、加密、授权、安全标签、安全注解、会话管理、缓存、Rememberme 等 JavaEE 企业级开发的核心技术。视频讲授过程中通过分析源代码使学员知其然更知其所以然。
基于SSM+Shiro的博客系统-期末设计毕业设计.zip
12-23
用户认证与授权:使用Shiro框架实现用户认证和授权功能。包括用户登录、注册、密码加密、角色授权等。 文章管理:实现文章的增删改查功能,包括文章发布、编辑、删除、分类、标签等。 评论管理:实现用户对文章...
Springboot中使用@RequiresRoles和@RequiresPermissions注解无效
qq_2300688967的博客
07-25 9637
在spring boot中, shiro使用@RequiresRoles,@RequiresPermissions注解无效时,可以在ShiroConfig.java中添加如下配置 /** * 开启Shiro注解(如@RequiresRoles,@RequiresPermissions) * 配置以下两个bean(DefaultAdvisorAutoProxyCre...
Shiro中@RequiresRoles注解相关参数说明
qq_42922014的博客
07-01 611
@RequiresRoles(value={"admin","user"},logical = Logical.OR) @RequiresPermissions(value={"add","update"},logical = Logical.AND)
shiro注解@RequiresRoles()、@RequiresPermissions()不生效,以及静态资源被拦截
weixin_46303407的博客
02-16 1446
shiro在使用前需要配置,其中就会有一个名叫ShiroConfig的类 ··· import org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor; import org.apache.shiro.spring.web.ShiroFilterFactoryBean; import org....
shiro见招拆招(其一) (已解决)shiro权限注解@RequireRole和 @RequiresPermissions使用无效解决方案
m0_67400972的博客
04-07 749
shiro见招拆招: @RequiresRoles和 @RequiresPermissions使用无效解决方案 前言 场景再现-- @RequiresRoles失效 场景再现-- @RequiresPermissions失效 其他原因 未完待续 前言 最近笔者在做 CMS系统 的时候, 针对安全框架进行选型, 其实说白了就是对shiro和security进行筛选, 百度一圈, 知乎一圈敲定使用shiro作为安全框架, 和很多人一样, 第一次使用shiro 自然师从涛哥, 从shiro讲解上 涛
SSM+shiro 关于注解@RequiresRoles不起作用的问题
qq_31608981的博客
10-25 2892
在ssm整合 shiro框架中,在做权限管理时,刚开始是使用代码的的方式进行权限的判断。代码如下 @RequestMapping(value="/role",method = {RequestMethod.POST}) public String test (Model model){ Subject subject = SecurityUtils.getSubject(); ...
Shiro启用@RequiresRoles后接口无法映射问题
qq_35627220的博客
05-24 254
1.shiro启用注解需要getDefaultAdvisorAutoProxyCreator()和authorizationAttributeSourceAdvisor() 其中creator.setProxyTargetClass(true);启用注解 creator.setUsePrefix(false);解除controller配置@RequiresRoles后404的问题 2.仍无法启用,LifecycleBeanPostProcessor次序配置问题 getDefaultAdvisorAutoPr
Shiro】权限控制注解
Mr_EvanChen的Blog
07-16 2109
Shiro共有5个注解: RequiresAuthentication: 使用该注解标注的类,实例,方法在访问或调用时,当前Subject必须在当前session中已经过认证。 RequiresGuest: 使用该注解标注的类,实例,方法在访问或调用时,当前Subject可以是“gust”身份,不需要经过认证或者在原先的session中存在记录。 ...
springboot集成shiro @RequiresRoles注解不生效的解决办法
weixin_45724872的博客
02-21 808
我们使用shiro 一般会有一个shiroConfig这么一个类 只需要在这个类下面加这几个方法即可 @Bean //LifecycleBeanPostProcessor 是管理shiro生命周期的 //这个方法不加也可以 但是网上别的博客都说需要加 public LifecycleBeanPostProcessor lifecycleBeanPostProcessor(){ return new LifecycleBeanPostProcessor();
springsecurity和shiro区别
07-08
Spring Security和Shiro都是用于安全认证和授权的框架,但是它们有以下几点区别: 1. Spring Security是基于Spring框架的安全框架,而Shiro是一个独立的安全框架。 2. Spring Security提供了更多的集成支持,可以...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值