shiro授权-SSM

已于 2022-04-13 17:03:49 修改
阅读量610 收藏
点赞数
分类专栏: idea 文章标签: idea
于 2022-04-12 21:45:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_65975514/article/details/124131161
版权

先在数据库中建立相应的数据表,以及后面使用需要的sql语句

#建表脚本
CREATE TABLE t_sys_user
(
  userid INT PRIMARY KEY AUTO_INCREMENT COMMENT '用户ID,主键',                                    
  username VARCHAR(10) UNIQUE NOT NULL COMMENT '用户账号',                                        
  PASSWORD VARCHAR(32) NOT NULL COMMENT '用户密码=MD5+盐加密',
  salt VARCHAR(32) NOT NULL COMMENT '盐',                                                    
  createdate TIMESTAMP NULL DEFAULT CURRENT_TIMESTAMP COMMENT '创建日期'                      
);

CREATE TABLE t_sys_role
(
  roleid INT PRIMARY KEY AUTO_INCREMENT COMMENT '角色ID,主键',                                   
  rolename VARCHAR(100) UNIQUE NOT NULL COMMENT '角色名称',                                                     
  description VARCHAR(100) COMMENT '角色描述'                                                    
);

CREATE TABLE t_sys_permission
(
  perid INT PRIMARY KEY AUTO_INCREMENT COMMENT 'ID,主键',                              
  pername VARCHAR(100) NOT NULL COMMENT '权限名称', 
  pid INT COMMENT '父编号',                                                       
  permission VARCHAR(100) NOT NULL COMMENT '权限字符串:例如:system:user:create:1'
);

CREATE TABLE t_sys_user_role
(
  urid INT PRIMARY KEY AUTO_INCREMENT COMMENT 'ID,主键',                                       
  userid INT NOT NULL COMMENT '用户ID',                                                      
  roleid INT NOT NULL COMMENT '角色ID'
);

CREATE TABLE t_sys_role_permission
(                                   
  roleid INT NOT NULL COMMENT '角色ID',                                                   
  perid INT NOT NULL COMMENT  '权限ID'
);


#数据添加

insert  into `t_sys_permission`(`perid`,`pername`,`pid`,`permission`) values (10,'书本管理',-1,''),(11,'系统管理',-1,''),(1001,'书本管理',10,'bookmanager:book:*'),(1002,'订单管理',10,'bookmanager:order:*'),(1101,'用户管理',11,'system:user:*'),(100101,'书本查询',1001,'bookmanager:book:query'),(100102,'书本新增',1001,'bookmanager:book:add'),(100103,'书本修改',1001,'bookmanager:book:edit'),(100104,'书本删除',1001,'bookmanager:book:del'),(110101,'用户查询',1101,'system:user:query'),(110102,'用户新增',1101,'system:user:add'),(110103,'用户修改',1101,'system:user:edit');

/*Data for the table `t_sys_role` */

insert  into `t_sys_role`(`roleid`,`rolename`,`description`) values (1,'管理员',NULL),(2,'高级用户',NULL),(3,'普通用户',NULL);

/*Data for the table `t_sys_role_permission` */

insert  into `t_sys_role_permission`(`roleid`,`perid`) values (1,1001),(1,100101),(1,100102),(1,100103),(1,100104),(1,1101),(1,110101),(1,110102),(1,110103),(2,100101),(2,100102);

/*Data for the table `t_sys_user` */

insert  into `t_sys_user`(`userid`,`username`,`password`,`salt`,`createdate`) values (1,'admin','c3b3ac764e1dbf4a1e4483f42c7140cb','af0111353776182a4f166e1d49a7dd2f','2018-11-26 15:02:42'),(2,'zhangsan','9c917b6f860eeb24361c75f27a236d6b','bcdf6f5c2237bdb440684b6c4ce943d4','2018-11-28 16:44:33');

/*Data for the table `t_sys_user_role` */

insert  into `t_sys_user_role`(`urid`,`userid`,`roleid`) values (1,1,1),(2,2,2);



select * from t_sys_user;
SELECT * FROM t_sys_user_role;
select * from t_sys_role;
select * from t_sys_role_permission;
select * from t_sys_permission;
#关系:用户->角色->权限
#前提:用户登录后,根据用户账号(唯一)获取角色和权限

#1.根据username获取用户对应的角色
select 
r.rolename
from 
t_sys_user u,t_sys_user_role ur,t_sys_role r
where
u.userid=ur.userid and ur.roleid=r.roleid
and u.username='zhangsan';
#2.根据username获取用户对象的角色权限

select 
p.permission
from 
t_sys_user u,t_sys_user_role ur,t_sys_role r,t_sys_role_permission rp,t_sys_permission p
where
u.userid=ur.userid and ur.roleid=r.roleid
and r.roleid=rp.roleid
and rp.perid=p.perid
and u.username='zhangsan';

定义mapper层的方法

 在相对应的xml中实现方法

 注意!!!如果是我这种传值请在方法参数添加注解@Param

如图:

然后在对应的Service中添加方法注意删除注解

如图:

然后在Serive的实现类中实现方法的调用

如图:

 

然后在自定义Real的安全数据源(采用数据库方式)中写入:

  @Autowired
    private ISysUserService sysUserService;

    /**
     * 授权
     * @param principalCollection
     * @return
     */

    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        //获取登录账号
        String username=principalCollection.getPrimaryPrincipal().toString();
//        根据username获取用户对应角色
        Set<String> roles=sysUserService.findRoles(username);
//        根据username获取用户对应的角色权限
        Set<String> permissions = sysUserService.findPermissions(username);
//      创建SimpleAuthorizationInfo
        SimpleAuthorizationInfo simple=new SimpleAuthorizationInfo();
//        填充用户的角色和权限
        simple.setRoles(roles);
        simple.setStringPermissions(permissions);
        return simple;
    }

在index.jsp页面中引入shiro

如图:

然后在想要区分权限的地方使用shiro的标签即可

如图: 

 启动项目

来到登录页面,我们先登录有权限的账号:

 登录成功后,我们来到首页,可以看到有权限的账号能看到被限制的部分

然后使用没有权限的普通用户账号:

我们能清晰的看到显示的内容少了很多:

 看看网页源代码:

发现在客户端根本就没有被限制的内容,并不是隐藏,这种使用标签的方式太暴力了 

所以介绍另一种方式:在spring-mvc.xml中开启注解


  <bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator"
      depends-on="lifecycleBeanPostProcessor">
    <property name="proxyTargetClass" value="true"></property>
</bean>
<bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
    <property name="securityManager" ref="securityManager"/>
</bean>

然后在你需要使用的Controller.java中的相应方法上加入注解

@RequiresRoles("管理员")   //效果是限定身份是管理员才能使用

或者是:

@RequiresPermissions("bookmanager:book:update")//限定只有权限有bookmanager:book:update的才能使用

如图:

加入注解后启动项目,登录一个没有权限的账号,使用被限定了的查询功能

(因为不是标签,所以是在后台中调用时判断生效)

得到: 

什么也没有查到。 

通过Debug可以知道是因为不是管理员的原因

导致了异常,但是这里的全局异常处理并没有收集,所以此处的map集合是空的,所以此处既没有填充错误码,也没有填充错误信息,直接把空的map集合返回了

 

所以我们添加一个判断

 然后在来一遍上面的操作就会看到:

如果没效果,那么可能是缓存问题,重新启动项目可以解决 

 其他方法并不会受到影响。

使用有权限的账号进行相同的操作:

可以正常查询。

@RequiresRoles(value = {"管理员","高级用户"},logical = Logical.OR)   //限定身份是管理员或者高级用户才能使用

@RequiresRoles(value = {"管理员","高级用户"},logical = Logical.AND)   //限定身份是管理员并且也是高级用户才能使用,单独的一个身份无法使用

 

Shiro标签库

  guest标签 :验证当前用户是否为“访客”,即未认证(包含未记住)的用户
  user标签 :认证通过或已记住的用户
  authenticated标签 :已认证通过的用户。不包含已记住的用户,这是与user标签的区别所在
  notAuthenticated标签 :未认证通过用户,与authenticated标签相对应。与guest标签的区别是,该标签包含已记住用户
  principal 标签 :输出当前用户信息,通常为登录帐号信息 
  hasRole标签 :验证当前用户是否属于该角色 
  lacksRole标签 :与hasRole标签逻辑相反,当用户不属于该角色时验证通过
  hasAnyRole标签 :验证当前用户是否属于以下任意一个角色
  hasPermission标签 :验证当前用户是否拥有指定权限
  lacksPermission标签 :与hasPermission标签逻辑相反,当前用户没有制定权限时,验证通过 

 Shiro注解

  @RequiresAuthenthentication:表示当前Subject已经通过login进行身份验证;即 Subjecj.isAuthenticated()返回 true
  @RequiresUser:表示当前Subject已经身份验证或者通过记住我登录的
  @RequiresGuest:表示当前Subject没有身份验证或者通过记住我登录过,即是游客身份
  @RequiresRoles(value = {"admin","user"},logical = Logical.AND):表示当前Subject需要角色admin和user
  @RequiresPermissions(value = {"user:delete","user:b"},logical = Logical.OR):表示当前Subject需要权限user:delete或者user:b

暗夜小白白
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro-ssm.zip
09-05
Shiro整合SSM框架详解及登录验证授权实践》 Shiro是一个强大的Java安全框架,它为应用程序提供了认证、授权、会话管理和加密等核心安全功能。SSM(Spring、Struts、MyBatis)是Java开发中常用的三大框架集成,...
Shiro自定义or关系的权限和角色验证,取代permsroles
rosyouth的专栏
01-15 312
Shiro自定义or关系的权限和角色验证,取代permsroles
第七节 shiro自带的拦截器分析
大宇的博客,欢迎访问
01-30 3463
一、Shiro框架携带的拦截器 首先来温故一下最常见的shiro拦截器。anon表示不拦截,authc表示需要认证,roles表示需要某种角色,perms就更狠了,直接表明需要某种权限。ssl是https相关的拦截器,上次项目中客户要求以https方式启动项目,当时是项目经理配置的,我暂时还没有掌握这种拦截器。 anon:匿名拦截器,即不需要登录即可访问;一般用于静态资源过滤...
Shiro过滤器配置(ShiroFilterFactoryBean)
热门推荐
霓虹深处
03-30 4万+
这篇博客就是记录一下shiro过滤器的配置和一些注意事项 /** * Shiro过滤器配置 */ @Bean(name = "shiroFilter") public ShiroFilterFactoryBean shiroFilter() { ShiroFilterFactoryBean shiroFilter = new Shir...
Shiro权限框架认证和授权原理介绍
IT飞岳的博客
06-12 1万+
1、简介shiro是一个安全框架,是Apache的一个子项目。shiro提供了:认证、授权、加密、会话管理、与web集成、缓存等模块。   1.1、模块介绍Authentication:用户身份识别,可以认为是登录;Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是...
在使用Shiro过滤链时,可以把/**=user放在首位吗
qq_68334807的博客
05-18 96
不能,Shrio过滤链是按照顺序进行过滤,而/**=user则将项目中的所有文件全部过滤,当你点击一个文件时会返回到user界面进行登录验证,但是/**=user是过滤所有jsp文件,当他在首位时会使前端页面一直陷入循环当中,无法找到登录验证的jsp文件。正确的操作是先将登录的jsp文件注明出来用anno进行注明,然后将其他需要的文件都一一注明,然后再将/**=user放到结尾。
注释最全,一步步详解 shiro-ssm登录认证权限授予验证案例.zip
09-04
Apache Shiro 是一个强大且易用的 Java 安全框架,它提供了认证、授权、加密和会话管理功能,简化了开发人员的安全实现。在本案例中,我们将深入探讨如何将 Shiro 与 Spring(SSM)框架整合,实现用户登录认证和权限...
SSM整合Shiro-登录案例.zip
09-04
SSM整合Shiro登录案例是一个基于Spring、SpringMVC和MyBatis的Java Web项目,其中集成了Apache Shiro安全框架来实现用户的身份认证和授权功能。在这个案例中,我们将探讨如何将这三个主流的Java Web开发框架有效地...
SSM+Maven+Shiro
05-24
SSM+Maven+Shiro 是一种常见的Java Web开发架构,由Spring、Spring MVC(SSM)和Apache Shiro三个核心组件组成。这个整合旨在提供一个高效、灵活且安全的后端开发环境。 **Spring** 是一个开源的Java平台,它简化了...
shiro整合ssm框架
10-17
SSM(Spring、SpringMVC、MyBatis)框架是Java开发中常用的一种组合,而Apache Shiro则是一个强大且易用的Java安全框架,负责处理认证、授权、会话管理和加密等安全相关任务。本项目"shiro整合ssm框架"旨在将Shiro与...
Shiro授权&注解
qq_66924116的博客
08-26 694
(value = {"user:delete","user:b"},logical = Logical.OR):表示当前Subject需要权限user:delete或者user:b。value = {"admin","user"},logical = Logical.AND):表示当前Subject需要角色admin和user。@RequiresGuest:表示当前Subject没有身份验证或者通过记住我登录过,即是游客身份。:表示当前Subject已经身份验证或者通过记住我登录的。.........
shiroroles实现or关系的角色过滤
chen1218chen的专栏
06-20 6093
个人主页,欢迎来访原文链接roles参数可以写多个,多个时必须加上引号,并且参数之间用逗号分割,当有多个参数时,每个参数通过才算通过,相当于hasAllRoles()方法。shiro的角色过滤是and的关系。而最近根据项目需求,要求订阅号管理模块,多个角色都可以进行管理,角色的过滤非and关系而是or的关系,applicationContext.xml中roles[“管理员”,”订阅号”]不能实现或
Shiro授权
qq_57907966的博客
12-24 1240
在controller层创建接口使用shiro中的注解@RequiresRoles指定能访问的角色名称在自定义的MyRealm自定义授权方法其中的service层dao层数据库表role角色表角色用户关系表。
shiro授权
yzq102873的博客
08-29 987
shiro授权
Shiro权限管理框架详解
WGH100817的博客
01-25 1599
1 权限管理1.1 什么是权限管理 基本上涉及到用户参与的系统都要进行权限管理,权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。 权限管理包括用户身份认证和授权两部分,简称认证授权。对于需要访问控制的资源用户首先经过身份认证,认证通过后用户具有该资源的访问权限方可访问。 1.2 用户身份认证1.2...
【学生管理系统】权限管理之用户管理
专注于Java领域开发 关注我 带你玩转Java
10-21 857
环境搭建、查询所有用户、给用户授予角色、
SpringBoot集成Shiro实现认证和授权
loongkingwhat的博客
08-08 905
文章目录一、概念篇(一)关于Shiro(二)SpringBoot中使用Shiro实现自定义的授权与认证二、源码篇(一)依赖库(二)封装AuthenticationToken类型(三)创建自定义Filter类(四)实现自定义Realm类(五)配置自定义Reaml和Filter到Shiro 一、概念篇 (一)关于Shiro 关于Shiro的了解,推荐一门课程:Shiro知识精讲,和一篇文章:https://zhuanlan.zhihu.com/p/54176956 Shiro由三大部分组成,分别是Subjec
Shiro学习笔记(3)——授权(Authorization)
君君的专栏
05-28 1万+
什么是授权 授权三要素 Shiro的三种授权方式 1 编码方式授权 2 基于注解的授权 3 JSP标签授权1.什么是授权授权,就是访问控制,控制某个用户在应用程序中是否有权限做某件事2.授权三要素 权限 请看Shiro学习笔记(1)——shiro入门中权限部分内容角色 通常代表一组行为或职责.这些行为演化为你在一个软件应用中能或者不能做的事情。角色通常是分配给用户帐户的,因此,通过分配,用户
shiro 授权
快乐的小三菊的博客
05-14 1862
shiro 授权源码探究
ssm整合shiro
最新发布
10-07
SSM整合Shiro是指在使用Spring+SpringMVC+MyBatis框架的基础上,将Apache Shiro安全框架集成到项目中。下面是整合Shiro的步骤: 1. 引入Shiro的依赖,可以在pom.xml文件中添加如下代码: ```xml <!-- Shiro --> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.9.0</version> </dependency> ``` 2. 在Spring的配置文件中配置Shiro的相关信息,如realm、cacheManager、sessionManager等。 3. 创建Shiro的自定义Realm类,继承自`org.apache.shiro.realm.AuthorizingRealm`,并实现其中的两个方法:`doGetAuthenticationInfo`和`doGetAuthorizationInfo`,分别用于用户认证和权限授权。 4. 在Spring的配置文件中配置Shiro的安全管理器,将自定义Realm注入到SecurityManager中。 5. 在Web项目中创建登录页面,用户输入用户名和密码后,将其封装成`org.apache.shiro.authc.UsernamePasswordToken`对象,调用`SecurityUtils.getSubject().login(token)`方法进行登录验证。 6. 在访问需要进行权限控制的URL时,可以使用Shiro的标签库来控制页面的显示,例如: ```jsp <h1>欢迎<shiro:principal property="username"/>来到主页</h1> ``` 完成以上步骤后,SSM框架就成功地整合了Shiro安全框架。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值