作者:社会主义接班人
http://cnblogs.com/5ishare/p/10461073.html
用户权限管理一般是对用户页面、按钮的访问权限管理。Shiro框架是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理,对于Shiro的介绍这里就不多说。本篇博客主要是了解Shiro的基础使用方法,在权限管理系统中集成Shiro实现登录、url和页面按钮的访问控制。
一、引入依赖
使用SpringBoot集成Shiro时,在pom.xml中可以引入shiro-spring-boot-web-starter。由于使用的是thymeleaf框架,thymeleaf与Shiro结合需要 引入thymeleaf-extras-shiro。
<!--
二、增加Shiro配置
有哪些url是需要拦截的,哪些是不需要拦截的,登录页面、登录成功页面的url、自定义的Realm等这些信息需要设置到Shiro中,所以创建Configuration文件ShiroConfig。
package
ShiroDialect这个bean对象是在thymeleaf与Shiro结合,前端html访问Shiro时使用。
三、自定义Realm
在自定义的Realm中继承了AuthorizingRealm抽象类,重写了两个方法:doGetAuthorizationInfo和doGetAuthenticationInfo。doGetAuthorizationInfo主要是用来处理权限配置,doGetAuthenticationInfo主要处理身份认证。
这里在doGetAuthorizationInfo中,将role表的id和permission表的code分别设置到SimpleAuthorizationInfo对象中的role和permission中。
还有一个地方需要注意:@Component("authorizer"),刚开始我没设置,但报错提示需要一个authorizer的bean,查看AuthorizingRealm可以发现它implements了Authorizer,所以在自定义的realm上添加@Component("authorizer")就可以了。
package
四、登录认证
1.登录页面
这里做了一个非常丑的登录页面,主要是自己懒,不想在网上复制粘贴找登录页面了。
<!
2.处理登录请求
在LoginController中通过登录名、密码获取到token实现登录。
package
五、Controller层访问控制
1.首先来数据库的数据,两张图是用户角色、和角色权限的数据。
![368994b0dadbcb616d0897c7a45d862b.png](https://img-blog.csdnimg.cn/img_convert/368994b0dadbcb616d0897c7a45d862b.png)
![f42ffcb5c09700a6b644c6bf87a6d356.png](https://img-blog.csdnimg.cn/img_convert/f42ffcb5c09700a6b644c6bf87a6d356.png)
2.设置权限
这里在用户页面点击编辑按钮时设置需要有id=002的角色,在点击选择角色按钮时需要有code=002的权限。
@RequestMapping
@RequestMapping
当使用用户001登录时,点击编辑,弹出框如下,提示没有002的角色
![18a1ecae97b2c009521dd4f27e7d3b89.png](https://img-blog.csdnimg.cn/img_convert/18a1ecae97b2c009521dd4f27e7d3b89.png)
点击选择角色按钮时提示没有002的权限。
![c2740675889090f04143b00a979a54e8.png](https://img-blog.csdnimg.cn/img_convert/c2740675889090f04143b00a979a54e8.png)
当使用用户002登录时,点击编辑按钮,显示正常,点击选择角色也是提示没002的权限,因为权限只有001。
六、前端页面层访问控制
有时为了不想像上面那样弹出错误页面,需要在按钮显示上进行不可见,这样用户也不会点击到。前面已经引入了依赖并配置了bean,这里测试下在html中使用shiro。
1.首先设置html标签引入shiro
<
2.控制按钮可见
这里使用shiro:hasAnyRoles="002,003"判断用户角色是否是002或003,是则显示不是则不显示。
<
当001用户登录时,添加用户、批量删除按钮都不显示,只显示查询按钮。
![b153f04ff895dc83d845e48de717a4a5.png](https://img-blog.csdnimg.cn/img_convert/b153f04ff895dc83d845e48de717a4a5.png)
当002用户登录时,添加用户、批量删除按钮都显示
![c8866fa694efc983fb5190a37b914c66.png](https://img-blog.csdnimg.cn/img_convert/c8866fa694efc983fb5190a37b914c66.png)
七、小结
这里只是实现了Shiro的简单的功能,Shiro还有很多很强大的功能,比如session管理等,而且目前权限管理模块还有很多需要优化的功能,左侧导航栏的动态加载和权限控制、Shiro与Redis结合实现session共享、Shiro与Cas结合实现单点登录等。后续可以把项目做为开源项目,慢慢完善集成更多模块例如:Swagger2、Redis、Druid、RabbitMQ等供初学者参考。