Shiro学习笔记——(2)前奏-基于url的权限管理

最新推荐文章于 2024-06-14 08:00:00 发布
最新推荐文章于 2024-06-14 08:00:00 发布
阅读量835 收藏 1
点赞数
分类专栏: Shiro学习笔记 文章标签: Shiro 权限管理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shaohe18362202126/article/details/79735505
版权

*注:此章节可跳过

基于url权限管理流程

        基于url拦截是企业中常用的权限管理方法,实现思路是:将系统操作的每个url配置在权限表中,将权限对应到角色,将角色分配给用户,用户访问系统功能通过Filter进行过虑,过虑器获取到用户访问的url,只要访问的url是用户分配角色中的url则放行继续访问。

         如下图:

一、搭建环境

(1)数据库

用户表

CREATE TABLE `sys_user` (
  `id` varchar(36) NOT NULL COMMENT '主键',
  `usercode` varchar(32) NOT NULL COMMENT '账号',
  `username` varchar(64) NOT NULL COMMENT '姓名',
  `password` varchar(32) NOT NULL COMMENT '密码',
  `salt` varchar(64) DEFAULT NULL COMMENT '盐',
  `locked` char(1) DEFAULT NULL COMMENT '账号是否锁定,1:锁定,0未锁定',
  PRIMARY KEY (`id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8;

角色表

CREATE TABLE `sys_role` (
  `id` varchar(36) NOT NULL,
  `name` varchar(128) NOT NULL,
  `available` char(1) DEFAULT NULL COMMENT '是否可用,1:可用,0不可用',
  PRIMARY KEY (`id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8;

权限表(实质上是权限和资源的结合 )

CREATE TABLE `sys_permission` (
  `id` bigint(20) NOT NULL COMMENT '主键',
  `name` varchar(128) NOT NULL COMMENT '资源名称',
  `type` varchar(32) NOT NULL COMMENT '资源类型:menu,button,',
  `url` varchar(128) DEFAULT NULL COMMENT '访问url地址',
  `percode` varchar(128) DEFAULT NULL COMMENT '权限代码字符串',
  `parentid` bigint(20) DEFAULT NULL COMMENT '父结点id',
  `parentids` varchar(128) DEFAULT NULL COMMENT '父结点id列表串',
  `sortstring` varchar(128) DEFAULT NULL COMMENT '排序号',
  `available` char(1) DEFAULT NULL COMMENT '是否可用,1:可用,0不可用',
  PRIMARY KEY (`id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8;

用户角色表

CREATE TABLE `sys_user_role` (
  `id` varchar(36) NOT NULL,
  `sys_user_id` varchar(32) NOT NULL,
  `sys_role_id` varchar(32) NOT NULL,
  PRIMARY KEY (`id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8;

角色权限表

CREATE TABLE `sys_role_permission` (
  `id` varchar(36) NOT NULL,
  `sys_role_id` varchar(32) NOT NULL COMMENT '角色id',
  `sys_permission_id` varchar(32) NOT NULL COMMENT '权限id',
  PRIMARY KEY (`id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8;

插入样本数据

insert  into `sys_permission`(`id`,`name`,`type`,`url`,`percode`,`parentid`,`parentids`,`sortstring`,`available`) values (1,'权限','','',NULL,0,'0/','0','1'),(11,'商品管理','menu','/item/queryItem.action',NULL,1,'0/1/','1.','1'),(12,'商品新增','permission','/item/add.action','item:create',11,'0/1/11/','','1'),(13,'商品修改','permission','/item/editItem.action','item:update',11,'0/1/11/','','1'),(14,'商品删除','permission','','item:delete',11,'0/1/11/','','1'),(15,'商品查询','permission','/item/queryItem.action','item:query',11,'0/1/15/',NULL,'1'),(21,'用户管理','menu','/user/query.action','user:query',1,'0/1/','2.','1'),(22,'用户新增','permission','','user:create',21,'0/1/21/','','1'),(23,'用户修改','permission','','user:update',21,'0/1/21/','','1'),(24,'用户删除','permission','','user:delete',21,'0/1/21/','','1');
insert  into `sys_role`(`id`,`name`,`available`) values ('ebc8a441-c6f9-11e4-b137-0adc305c3f28','商品管理员','1'),('ebc9d647-c6f9-11e4-b137-0adc305c3f28','用户管理员','1');
insert  into `sys_role_permission`(`id`,`sys_role_id`,`sys_permission_id`) values ('ebc8a441-c6f9-11e4-b137-0adc305c3f21','ebc8a441-c6f9-11e4-b137-0adc305c','12'),('ebc8a441-c6f9-11e4-b137-0adc305c3f22','ebc8a441-c6f9-11e4-b137-0adc305c','11'),('ebc8a441-c6f9-11e4-b137-0adc305c3f24','ebc9d647-c6f9-11e4-b137-0adc305c','21'),('ebc8a441-c6f9-11e4-b137-0adc305c3f25','ebc8a441-c6f9-11e4-b137-0adc305c','15'),('ebc9d647-c6f9-11e4-b137-0adc305c3f23','ebc9d647-c6f9-11e4-b137-0adc305c','22'),('ebc9d647-c6f9-11e4-b137-0adc305c3f26','ebc8a441-c6f9-11e4-b137-0adc305c','13');
insert  into `sys_user`(`id`,`usercode`,`username`,`password`,`salt`,`locked`) values ('lisi','lisi','李四','bf07fd8bbc73b6f70b8319f2ebb87483','uiwueylm','0'),('zhangsan','zhangsan','张三','cb571f7bd7a6f73ab004a70322b963d5','eteokues','0');
insert  into `sys_user_role`(`id`,`sys_user_id`,`sys_role_id`) values ('ebc8a441-c6f9-11e4-b137-0adc305c3f28','zhangsan','ebc8a441-c6f9-11e4-b137-0adc305c'),('ebc9d647-c6f9-11e4-b137-0adc305c3f28','lisi','ebc9d647-c6f9-11e4-b137-0adc305c');

模型:


(2)开发环境

jdk1.7.0_72

eclipse 3.7 indigo

技术架构:springmvc+mybatis+jqueryeasyui

(3)系统工程架构

二、系统登陆

系统 登陆相当 于用户身份认证,用户成功,要在session中记录用户的身份信息.

操作流程:

         用户进行登陆页面

         输入用户名和密码进行登陆

         进行用户名和密码校验

         如果校验通过,在session记录用户身份信息

(1)用户身份信息

创建专门类用于记录用户身份信息。

/**
 * 用户身份信息,存入session 由于tomcat将session会序列化在本地硬盘上,所以使用Serializable接口
 * 
 * @author
 * 
 */
public class ActiveUser implements java.io.Serializable {
	private String userid;// 用户id
	private String usercode;// 用户账号
	private String username;// 用户名称

	public String getUsername() {
		return username;
	}

	public void setUsername(String username) {
		this.username = username;
	}

	public String getUsercode() {
		return usercode;
	}

	public void setUsercode(String usercode) {
		this.usercode = usercode;
	}

	public String getUserid() {
		return userid;
	}

	public void setUserid(String userid) {
		this.userid = userid;
	}
}
(2)mapper

mapper接口: 根据用户账号查询用户(sys_user)信息(使用逆向工程生成的mapper)

(3)service(进行用户名和密码校验)

接口功能:根据用户的身份和密码 进行认证,如果认证通过,返回用户身份信息

认证过程:

         根据用户身份(账号)查询数据库,如果查询不到用户不存在

         对输入的密码和数据库密码 进行比对,如果一致,认证通过

public interface SysService {
	
	/**
	 * 
	 * <p>Title: authenticat</p>
	 * <p>Description:用户认证 </p>
	 * @param usercode 用户账号
	 * @param password 用户密码 
	 * @return ActiveUser 用户身份信息
	 * @throws Exception
	 */
	public ActiveUser authenticat(String usercode, String password)throws Exception; 

}

实现类

public class SysServiceImpl implements SysService {

	@Autowired
	private SysUserMapper sysUserMapper;

	@Override
	public ActiveUser authenticat(String usercode, String password) throws Exception {

		// 账号和密码非空校验
		// ....

		SysUserExample sysUserExample = new SysUserExample();
		SysUserExample.Criteria criteria = sysUserExample.createCriteria();
		criteria.andUsercodeEqualTo(usercode);
		List<SysUser> userList = sysUserMapper.selectByExample(sysUserExample);
		if (userList == null || userList.size() <= 0) {
			throw new CustomException("账号不存在!");
		}
		SysUser sysUser = userList.get(0);
		// 密码
		String password_fromdb = sysUser.getPassword();

		// 输入 密码 和数据库密码 比较
		if (!password_fromdb.equalsIgnoreCase(new MD5().getMD5ofStr(password))) {
			throw new CustomException("账号或密码 错误 !");
		}
		// 认证通过,返回用户身份
		ActiveUser activeUser = new ActiveUser();
		activeUser.setUserid(sysUser.getId());
		activeUser.setUsername(sysUser.getUsername());
		activeUser.setUsercode(sysUser.getUsercode());

		return activeUser;
	}

}
(4)controller
@Controller
public class LoginController {

	@Autowired
	private SysService sysService;

	// 用户登陆提交
	@RequestMapping("/loginsubmit")
	public String loginsubmit(HttpSession session, String usercode, String password,
			String randomcode) throws Exception {

		// 校验验证码
		// 从session获取正确的验证码
		String validateCode = (String) session.getAttribute("validateCode");
		if (!randomcode.equals(validateCode)) {
			// 抛出异常:验证码错误
			throw new CustomException("验证码 错误 !");
		}
		// 用户身份认证
		ActiveUser activeUser = sysService.authenticat(usercode, password);

		// 记录session
		session.setAttribute("activeUser", activeUser);

		return "redirect:first.action";
	}

}

三、用户认证拦截器

(1)anonymousURL.properties

配置可以匿名访问的url

#此配置文件配置用户无需登录即可操作的地址链接
login.action=系统登录页面
loginsubmit.action=系统登录提交
(2)认证拦截器
public class LoginInterceptor implements HandlerInterceptor {

	// 在进入controller方法之前执行
	// 使用场景:比如身份认证校验拦截,用户权限拦截,如果拦截不放行,controller方法不再执行
	@Override
	public boolean preHandle(HttpServletRequest request, HttpServletResponse response,
			Object handler) throws Exception {

		// 校验用户访问是否是公开资源地址(无需认证即可访问)
		List<String> open_urls = ResourcesUtil.gekeyList("anonymousURL");

		// 用户访问的url
		String url = request.getRequestURI();
		for (String open_url : open_urls) {
			if (url.indexOf(open_url) >= 0) {
				// 如果访问的是公开 地址则放行
				return true;
			}
		}

		// 校验用户身份是否认证通过
		HttpSession session = request.getSession();
		ActiveUser activeUser = (ActiveUser) session.getAttribute("activeUser");
		if (activeUser != null) {
			// 用户已经登陆认证,放行
			return true;
		}
		// 跳转到登陆页面
		request.getRequestDispatcher("/WEB-INF/jsp/login.jsp").forward(request, response);
		return false;
	}

}
(3)在springmvc.xml中配置拦截器
<!-- 拦截器 -->
	<mvc:interceptors>
		<!-- 用户身份校验的拦截器 -->
		<mvc:interceptor>
			<mvc:mapping path="/**" />
			<bean class="cn.itcast.ssm.controller.interceptor.LoginInterceptor"></bean>
		</mvc:interceptor>
	</mvc:interceptors>

四、授权

(1)commonURL.properties

在此配置文件配置公用访问地址,公用访问地址只要通过用户认证,不需要对公用访问地址分配权限即可访问。

#此配置文件配置用户无需登录即可操作的地址链接
first.action=系统首页
logout.action=系统退出
(2)获取用户权限范围的菜单

思路:在用户认证时,认证通过,根据用户id从数据库获取用户权限范围的菜单,将菜单的集合存储在session中。

1、用户实体变化

2、mapper接口:根据用户id查询用户权限的菜单

public interface SysPermissionMapperCustom {
    
	//根据用户id获取权限菜单 
	List<SysPermission> findMenuByUserid(String userid)throws Exception;
}

	<!-- 根据用户id获取菜单列表查询 -->
	<select id="findMenuByUserid" parameterType="string" resultType="SysPermission">
		SELECT
			*
		FROM
			sys_permission
		WHERE
			TYPE = 'menu'
		AND id IN (
			SELECT
				sys_permission_id
			FROM
				sys_role_permission
			WHERE
				sys_role_id = (
					SELECT
						sys_role_id
					FROM
						sys_user_role
					WHERE
						sys_user_id = #{value}
				)
		)
	</select>
3、service接口:根据用户id查询用户权限的菜单
public interface SysService {
	
	//根据用户id获取权限 
	public List<SysPermission> findSysPermissionList(String userid) throws Exception; 
}

实现类

	@Override
	public List<SysPermission> findSysPermissionList(String userid)
			throws Exception {
		
		return sysPermissionMapperCustom.findMenuByUserid(userid);
	}
(3)获取用户权限范围的url

思路:在用户认证时,认证通过,根据用户id从数据库获取用户权限范围的url,将url的集合存储在session中。

1、用户实体变化

2、mapper接口:根据用户id查询用户权限的url
	<!-- 根据用户id获取权限 -->
	<select id="findPermissionByUserid" parameterType="string" resultType="SysPermission">
		SELECT
			*
		FROM
			sys_permission
		WHERE
			TYPE = 'permission'
		AND id IN (
			SELECT
				sys_permission_id
			FROM
				sys_role_permission
			WHERE
				sys_role_id = (
					SELECT
						sys_role_id
					FROM
						sys_user_role
					WHERE
						sys_user_id = #{value}
				)
		)
	</select>
3、service接口:根据用户id查询用户权限的url

(4)用户认证通过取出菜单和URL放入session

修改service认证代码:


(5)菜单动态显示

修改first.jsp,动态从session中取出菜单显示:


(6)授权拦截器
1、拦截器
public class PermissionInterceptor implements HandlerInterceptor {

	// 在进入controller方法之前执行
	// 使用场景:比如身份认证校验拦截,用户权限拦截,如果拦截不放行,controller方法不再执行
	// 进入action方法前要执行
	@Override
	public boolean preHandle(HttpServletRequest request, HttpServletResponse response,
			Object handler) throws Exception {
		// TODO Auto-generated method stub
		// 用户访问地址:
		String url = request.getRequestURI();

		// 校验用户访问是否是公开资源地址(无需认证即可访问)
		List<String> open_urls = ResourcesUtil.gekeyList("anonymousURL");
		// 用户访问的url
		for (String open_url : open_urls) {
			if (url.indexOf(open_url) >= 0) {
				// 如果访问的是公开 地址则放行
				return true;
			}
		}
		// 从 session获取用户公共访问地址(认证通过无需分配权限即可访问)
		List<String> common_urls = ResourcesUtil.gekeyList("commonURL");
		// 用户访问的url
		for (String common_url : common_urls) {
			if (url.indexOf(common_url) >= 0) {
				// 如果访问的是公共地址则放行
				return true;
			}
		}
		// 从session获取用户权限信息

		HttpSession session = request.getSession();

		ActiveUser activeUser = (ActiveUser) session.getAttribute("activeUser");

		// 取出session中权限url
		// 获取用户操作权限
		List<SysPermission> permission_list = activeUser.getPermissions();
		// 校验用户访问地址是否在用户权限范围内
		for (SysPermission sysPermission : permission_list) {
			String permission_url = sysPermission.getUrl();
			if (url.contains(permission_url)) {
				return true;
			}
		}

		// 跳转到页面
		request.getRequestDispatcher("/refuse.jsp").forward(request, response);
		return false;
	}
}
2、配置授权拦截器

注意:将授权拦截器配置在用户认证拦截的下边。



星_陨
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro-attack-4.7.0-SNAPSHOT-all.zip
10-24
Apache Shiro是一个强大的Java安全框架,它提供了身份验证(Authentication)、授权(Authorization)以及会话管理(Session Management)等功能,广泛应用于各种类型的Java应用程序中。标题提到的"shiro-attack-...
对应本博客:shiro、基于url权限管理章节的源代码
10-14
本博客主要关注的是如何利用Shiro进行基于URL权限管理,这对于构建一个用户友好且安全的Web系统至关重要。 **Shiro基础** 1. **身份验证(Authentication)**:这是确认用户身份的过程,通常涉及用户输入用户名...
shiro学习笔记——shiro拦截器与url匹配规则
qq_30665009的博客
01-22 1175
一、使用场景举例 注:shiro过滤器与url匹配规则一般使用在定义的shiroFilter中,用于对指定的资源进行过滤二、URL匹配规则 (1)“?”:匹配一个字符,如”/admin?”,将匹配“ /admin1”、“/admin2”,但不匹配“/admin” (2)“*”:匹配零个或多个字符串,如“/admin*”,将匹配“ /admin”、“/admin123”,但不匹配“...
shiro、基于url权限管理、超详细
热门推荐
Ly
10-14 4万+
如果需要本篇博客内容的代码!请到我的博客下载中心去下载   https://download.csdn.net/download/qq_36125138/10719559 项目运行图: 权限管理原理知识   什么是权限管理          只要有用户参与的系统一般都要有权限管理权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。 ...
MySQL 用户权限管理:授权、撤销、密码更新和用户删除(图文解析)
码农研究僧的博客
06-14 2793
授予用户权限的基本命令是GRANT 可以授予的权限种类很多,涵盖从数据库和表级别到列和存储过程级别的各种操作 基本的语法如下: GRANT privileges ON database.table TO 'username'@'host'; 对应的参数如下: privileges:要授予的权限列表,可以是一个或多个权限,用逗号分隔 database:数据库名 table:表名,可以使用通配符*表示所有数据库或所有表 'username'@'host':用户及其允许连接的主机
shiro教程(1)-基于url权限管理
好好学java
03-30 1万+
一、 权限管理 1.1 什么是权限管理 基本上涉及到用户参与的系统都要进行权限管理权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。 权限管理包括用户身份认证和授权两部分,简称认证授权。对于需要访问控制的资源用户首先经过身份认证,认证通过后用户具有该资源的访问权限方可访问。 1.2 用户身份认证 1.
shiro721——CVE-2019-12422
bring_coco的博客
02-10 1439
shiro721——CVE-2019-12422
Shiro学习笔记——HelloWorld
shen的博客
09-09 224
配置 Maven管理依赖,pom.xml中添加如下: &amp;amp;lt;!-- Shiro模块 --&amp;amp;gt; &amp;amp;lt;dependency&amp;amp;gt; &amp;amp;lt;groupId&amp;amp;gt;org.apache.shiro&amp;amp;lt;/groupId&amp;amp;gt; &am
shiro学习笔记(2)-添加maven依赖以及与spring的整合
程序员不鸣的博客
07-19 1938
一、在maven中添加shiro的依赖 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-all</artifactId> <version>1.2.2</version> <...
Shiro学习笔记——工作流程与过滤器的配置
shen的博客
09-10 1462
工作流程 web.xml中配置了过滤器,整个访问请求都会被filter过滤 &amp;lt;filter&amp;gt; &amp;lt;filter-name&amp;gt;shiroFilter&amp;lt;/filter-name&amp;gt; &amp;lt;filter-class&amp;gt;org.springframework.web.filter.DelegatingFilte
SpringBoot2 整合 Shiro 基于URL的权限校验
tplina的博客
07-25 2408
概念模型 用户与角色之间是一对一关联,角色与资源之间是多对多关联(关联关系用中间表来维护) Resource里面存储着系统的url路径 模型字段都很简单,SQL及Model类就不再贴出来了. 1.引入依赖 <dependency> <groupId>org.apache.shiro</groupId> ...
Shiro 学习笔记(4)—— 基于字符串的角色和权限
李威威的博客
09-17 6513
Shiro 学习笔记(4)—— 基于字符串的角色和权限在 Shiro 中默认对角色和权限的定义和解析都是通过字符串来完成的。对于字符串的说明,在 Shiro 的官方文档和张开涛老师的博客上都有详细的说明。我们现在来看一个例子。我们在 Shiro 的核心配置文件 shiro.ini 中写到:[users]liwei=123456,role1,role2zhougu(String),在 Shiro 中默
Shiro-------自定义Realm实现身份认证
Miracle_Gaaral的博客
08-29 337
一.自定义Realm实现身份认证 package com.kennosaur.realm; import org.apache.shiro.authc.AuthenticationException; import org.apache.shiro.authc.AuthenticationInfo; import org.apache.shiro.authc.Authentication...
基于Java的maven-ssm-shiro权限管理系统设计源码
04-09
本项目是基于Java的maven-ssm-shiro权限管理系统设计源码,包含2118个文件,其中975个JavaScript文件,472个PNG文件,247个CSS文件,83个HTML文件,63个Java文件,54个SVG文件,34个GIF文件,24个JSP文件和23个JPG...
基于Springboot和Shiro权限管理系统设计源码
04-09
权限管理系统 - 基于Springboot和Shiro开发,包含127个文件,如JAVA、FTL、PNG、XML、JS、GITIGNORE、LICENSE、MD、SQL和YML等。该项目提供了一个基于Springboot和Shiro权限管理系统,通过界面交互和功能模块,为...
2.2 SpringBoot与Shiro整合-权限管理实战-课堂笔记.docx
04-14
【SpringBoot与Shiro整合-权限管理实战】 在本文中,我们将探讨如何将Spring Boot与Apache Shiro框架整合,以实现高效且灵活的权限管理系统。首先,我们需要了解这两个框架的基本概念。 **Spring Boot框架简介** ...
【创新未发表】Matlab实现白冠鸡优化算法COOT-Kmean-Transformer-LSTM负荷预测算法研究.rar
07-29
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 5.作者介绍:某大厂资深算法工程师,从事Matlab算法仿真工作10年;擅长智能优化算法、神经网络预测、信号处理、元胞自动机等多种领域的算法仿真实验,更多仿真源码、数据集定制私信+。 替换数据可以直接使用,注释清楚,适合新手
【创新未发表】Matlab实现淘金优化算法GRO-Kmean-Transformer-LSTM负荷预测算法研究.rar
07-29
1.版本:matlab2014/2019a/2024a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 5.作者介绍:某大厂资深算法工程师,从事Matlab算法仿真工作10年;擅长智能优化算法、神经网络预测、信号处理、元胞自动机等多种领域的算法仿真实验,更多仿真源码、数据集定制私信+。 替换数据可以直接使用,注释清楚,适合新手
数据结构,顺序表,链表整理
最新发布
07-29
数据结构,顺序表,链表整理
Shiro权限管理详解教程——实践篇
《跟我学Shiro--张开涛》是一本关于Apache Shiro权限管理的实用指南。作者张开涛以简洁易懂的方式讲解了Shiro的核心概念和实战应用,适合希望深入理解并掌握Shiro的开发者阅读。该书共分为12章,涵盖了从Shiro简介、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值