Shiro在web的授权检测(权限角色验证)

最新推荐文章于 2024-03-20 12:21:29 发布
最新推荐文章于 2024-03-20 12:21:29 发布
阅读量3.9k 收藏 2
点赞数 2
分类专栏: shiro 文章标签: shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012737182/article/details/52987000
版权

一、角色检测
1、建立Servlet程序来进行具体的登录操作处理。

@WebServlet("/shiroLogin")
public class LoginServlet extends HttpServlet {
    @Override
    protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
        String mid = request.getParameter("mid") ;
        String password = request.getParameter("password") ;
        Subject subject = SecurityUtils.getSubject() ;
        UsernamePasswordToken token = new UsernamePasswordToken(mid,password) ;
        subject.login(token);
        request.getSession().setAttribute("mid", mid);
        request.getRequestDispatcher("/pages/welcome.jsp").forward(request, response);
    } 
    @Override
    protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
        this.doPost(request, response);
    }

}

2、在项目中建立前台表单界面

<form action="shiroLogin" method="post">
        用户名:<input type="text" name="mid" id="mid"><br>
        密&nbsp;码:<input type="password" name="password" id="password"><br>
        <input type="submit" value="登录">
        <input type="reset" value="重置">
</form>

3、设置验证的Realm

public class MyRealm extends AuthorizingRealm {
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        System.out.println("********** 2、用户角色与权限:doGetAuthorizationInfo **********");
        String username = (String) principals.getPrimaryPrincipal() ;   // 取得用户登录名
        SimpleAuthorizationInfo auth = new SimpleAuthorizationInfo() ;  // 定义授权信息的返回数据
        MemberLoginService service = new MemberLoginService() ; // 进行业务层处理
        auth.setRoles(service.listRolesByMember(username));// 所有的角色必须以Set集合的形式出现
        auth.setStringPermissions(service.listActionsByMember(username));   // 所有的权限必须以Set集合的形式出现
        service.close();
        return auth;
    }
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        System.out.println("********** 1、用户登录认证:doGetAuthenticationInfo() **********");
        // 1、登录认证的方法需要先执行,需要用他来判断登录的用户信息是否合法
        String username = (String) token.getPrincipal() ;   // 取得用户名
        // 需要通过用户名取得用户的完整信息,利用业务层操作
        MemberLoginService service = new MemberLoginService() ;
        Member vo = service.get(username) ; // 需要取得的是用户的信息
        service.close(); 
        if (vo == null) {
            throw new UnknownAccountException("该用户名称不存在!") ;
        } else {    // 进行密码的验证处理
            String password = new String((char []) token.getCredentials()) ;
            // 将数据库中的密码与输入的密码进行比较,这样就可以确定当前用户是否可以正常登录
            if (vo.getPassword().equals(password)) {    // 密码正确
                AuthenticationInfo auth = new SimpleAuthenticationInfo(username, password, "memberRealm") ;
                return auth ;
            } else {
                throw new IncorrectCredentialsException("密码错误!") ;
            }
        }
    }

4、设置shiro.ini文件

[main]
# 如果现在认证失败,则跳转到loginUrl配置的路径
authc.loginUrl=/login.jsp
# 需要配置上当角色认证失败之后的跳转页面
roles.unauthorizedUrl=/role.jsp
jdbcRealm=cn.mldn.realm.MyRealm
securityManager.realms=$jdbcRealm
# 配置所有需要进行路径检测的页面
[urls]
# 登录的页面是不需要进行检测处理的
/shiroLogin=anon
# 指定的页面需要进行登录检测,此时表示需要先进行身份认证,而后再进行角色认证,当前路径下需要member的角色或者dept的角色
/pages/welcome.jsp=authc,roles[member],roles[dept]

二、权限检测

[main]
# 如果现在认证失败,则跳转到loginUrl配置的路径
authc.loginUrl=/login.jsp
# 需要配置上当角色认证失败之后的跳转页面
roles.unauthorizedUrl=/role.jsp
# 配置权限认证失败的跳转页面
perms.unauthorizedUrl=/role.jsp
jdbcRealm=cn.mldn.realm.MyRealm
securityManager.realms=$jdbcRealm
# 配置所有需要进行路径检测的页面
[urls]
# 登录的页面是不需要进行检测处理的
/shiroLogin=anon
# 需要member或者是dept的角色
# /pages/welcome.jsp=authc,roles[member],roles[dept]
# 对指定页面登录之后进行权限的检测处理,需要member:add或dept:add的权限
/pages/welcome.jsp=authc,perms[member:add],perms[dept:add]

(…其余和上面代码一样,只需要修改配置文件即可)

启示收藏
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Shiro 权限处理(自我学习版)
m0_56532446的博客
05-06 1197
Shiro初步学习了解基础理论以及和SpringBoot整合
Shiro授权&注解
qq_66924116的博客
08-26 686
(value = {"user:delete","user:b"},logical = Logical.OR):表示当前Subject需要权限user:delete或者user:b。value = {"admin","user"},logical = Logical.AND):表示当前Subject需要角色admin和user。@RequiresGuest:表示当前Subject没有身份验证或者通过记住我登录过,即是游客身份。:表示当前Subject已经身份验证或者通过记住我登录的。.........
Shiro 权限管理
心猿意码
06-24 3949
一共5个表 用户表 角色权限表 用户角色中间表 角色权限中间表 权限验证 通过角色来判断有没有权限。 比如 if 用户有在用户角色中间表中有经理的角色, 就可以查看工资。这中判断比较笼统。适合比如实现不同的角色登录以后看到不同的菜单。 通过权限标识来判断, 这个就需要查出用户拥有的具体权限。 这个权限控制比较细致。 适合细致的,比如部门公司的管理员,只能修改该部门下的员工资料。 Shi...
shiro 验证角色权限过程分析
u013995395的博客
05-29 1537
首先说明,在shiro中,实际应用中在方法上添加 RequiresPermissions或者RequiresRoles注解会触发aop执行验证当前Subject是否有相关权限或者角色的代码。 RequiresPermissions的注解处理器中调用 getSubject().isPermitted(String permission)验证。 RequiresRoles 的注解处理器...
Shiro---角色权限的校验方法
Apple_Andy的博客
09-11 886
一.角色校验 1.hasRole(String role) hasRole是判断是否具有某个角色:有就返回true,没有就返回false 2.hasRoles(List roles) 判断是否具有多个角色:返回值是一个boolean的数组,数组中的每一个元素代表了是否具有的角色 3.hasAllRoles(Collection roles) 判断是否具有多个角色:如果提供列表中没有用户所具有的角色,则返回false,如果都存在,返回true 4. subject.checkXxx() 也是判断用户是否具有角
③【Shiro角色(权限组)、权限授权
最新发布
ebb29bbe的博客
03-20 981
Shiro权限授权
Shiro 身份验证授权、密码和会话管理
05-07
在访问控制时,Shiro 会检查用户的角色权限,确保只有被授权的用户才能执行特定的操作。 3. **密码管理(Password Management)**: Shiro 提供了密码加密和哈希算法,以保护用户的密码不被明文存储。它可以使用...
SSM+Shiro实现权限角色控制
11-07
在SSM项目中,Shiro通常用来进行用户登录验证角色分配以及对特定URL或操作的权限控制。 项目中包含的"Maven"是Java项目管理工具,它通过定义项目的依赖关系和构建过程,帮助开发者管理和构建项目。而"Tomcat"是一...
SpringBoot + Apache Shiro1.9.1 最新版本详细教程,基于RBAC角色访问、安全管理框架、用户角色权限
07-26
4、优点:快速上手、全面支持验证授权、加密和会话、灵活自定义设计、支持web环境、可以无缝集成spring等优点。可以用来用户验证、用户授权、用户session管理、安全加密等 5、基于RBAC五张表:用户表 tb_user、...
Shiro安全登录认证、权限授权封装模块代码
01-23
在这个项目中,你得到了一个基于 Shiro 的安全登录认证和权限授权的封装模块代码。这个模块可能已经被集成到 SpringBoot 和 MyBatis 框架中,使得在 SpringBoot 应用中轻松实现用户的身份验证权限控制。 1. **...
vue与shiro结合实现权限按钮
12-15
1. **配置Shiro**:在后端服务器上,我们需要配置ShiroWeb环境,包括 Realm(域)的实现,用于从数据库或其他数据源加载用户、角色权限信息。同时,设置Filter Chain,使Shiro能够拦截请求并执行权限校验。 2. ...
SSM整合shiro实现角色权限
03-31
初学shiro和大家共勉
shiro授权、注解式开发
weixin_43939301的博客
10-15 202
目标 1、shiro授权角色权限 2、Shiro的注解式开发 shiro权限设计图: 授权ShiroUserMapper.xml中新增内容 <select id="getRolesByUserId" resultType="java.lang.String" parameterType="java.lang.Integer"> select r.roleid from t...
Shiro基础应用——角色权限校验
qq_45337431的博客
10-10 2787
1.shiro的概述 2.相关依赖和配置文件 3.shiro工厂启动的初始化原理 4.整个的使用过程以及注意事项 5.自定义的标签的使用
Shiro权限管理框架详解
WGH100817的博客
01-25 1581
1 权限管理1.1 什么是权限管理 基本上涉及到用户参与的系统都要进行权限管理,权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。 权限管理包括用户身份认证和授权两部分,简称认证授权。对于需要访问控制的资源用户首先经过身份认证,认证通过后用户具有该资源的访问权限方可访问。 1.2 用户身份认证1.2...
springboot整合shiro实现基础的用户角色权限管理
begefefsef的博客
04-26 1149
文章目录 1. 用户角色权限需要解决的问题及shiro的解决方案 2. 过滤器 3. 登录并获取菜单权限 4. shiro授权 5. 总结 项目地址 1. 用户角色权限需要解决的问题及shiro的解决方案 灵活配置需要和不需要拦截的页面 shiro提供了过滤器可以灵活配置需要和不需要拦截的页面 实现用户认证 shiro整合了HttpSession(web应用)可以保存用户登录的信息。 根据当前认证用户加载不同的菜单权限 这个和shiro无关,直接展示用户具有的菜单权
Shiro学习笔记(3)——授权(Authorization)
热门推荐
君君的专栏
05-28 1万+
什么是授权 授权三要素 Shiro的三种授权方式 1 编码方式授权 2 基于注解的授权 3 JSP标签授权1.什么是授权授权,就是访问控制,控制某个用户在应用程序中是否有权限做某件事2.授权三要素 权限 请看Shiro学习笔记(1)——shiro入门中权限部分内容角色 通常代表一组行为或职责.这些行为演化为你在一个软件应用中能或者不能做的事情。角色通常是分配给用户帐户的,因此,通过分配,用户
使用Shiro实现权限验证
m0_61083409的博客
08-28 1870
@Override//根据自己的需求编写获取授权信息,这里简化代码获取了用户对应的所有权限= null) {if (perms!= null &&!//将权限资源添加到用户信息中}}}}@Override// 通过表单接收的用户名,调用currentUser.login的时候执行= null &&!//查询密码= null) {}}}}...
Shiro教程详解:身份验证授权Web集成
Shiro教程PDF版是一份详尽的指南,旨在帮助读者深入了解Apache Shiro,一个强大的安全框架,用于实现Web应用中的身份验证授权和会话管理等功能。该教程分为多个章节,内容涵盖以下几个关键部分: 1. **第一章:...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值