shiro利用mysql动态授权_续上篇---shiro从数据库获取动态权限-cjq

最新推荐文章于 2024-07-05 21:43:20 发布
最新推荐文章于 2024-07-05 21:43:20 发布
阅读量222 收藏 1
点赞数 1
文章标签: shiro利用mysql动态授权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39809140/article/details/113692539
版权

个人觉得,上篇中讲到的注解的方式来控制方法的访问权限并没有那么灵活,且需要在代码中硬编码,复用性不高,移植会很麻烦,故研究了下从数据库中动态加载权限

即shiro.xml中的ShiroFilterFactoryBean,之前是直接加载apache源码的bean:

现在做出以下自定义shiro的filter   该bean继承ShiroPermissionFactory,重写父类的setFilterChainDefinitions(java.lang.String definitions)方法

首先来看ShiroPermissionFactory源码,配置文件中的property 都是在为ShiroPermissionFactory属性赋值

源码部分:

------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

// IntelliJ API Decompiler stub source generated from a class file

// Implementation of methods is not available

package org.apache.shiro.spring.web;

public class ShiroFilterFactoryBean implements org.springframework.beans.factory.FactoryBean, org.springframework.beans.factory.config.BeanPostProcessor {

private static final transient org.slf4j.Logger log;

private org.apache.shiro.mgt.SecurityManager securityManager;

private java.util.Map filters;

private java.util.Map filterChainDefinitionMap;

private java.lang.String loginUrl;

private java.lang.String successUrl;

private java.lang.String unauthorizedUrl;

private org.apache.shiro.web.servlet.AbstractShiroFilter instance;

public ShiroFilterFactoryBean() { /* compiled code */ }

public org.apache.shiro.mgt.SecurityManager getSecurityManager() { /* compiled code */ }

public void setSecurityManager(org.apache.shiro.mgt.SecurityManager securityManager) { /* compiled code */ }

public java.lang.String getLoginUrl() { /* compiled code */ }

public void setLoginUrl(java.lang.String loginUrl) { /* compiled code */ }

public java.lang.String getSuccessUrl() { /* compiled code */ }

public void setSuccessUrl(java.lang.String successUrl) { /* compiled code */ }

public java.lang.String getUnauthorizedUrl() { /* compiled code */ }

public void setUnauthorizedUrl(java.lang.String unauthorizedUrl) { /* compiled code */ }

public java.util.Map getFilters() { /* compiled code */ }

public void setFilters(java.util.Map filters) { /* compiled code */ }

public java.util.Map getFilterChainDefinitionMap() { /* compiled code */ }

public void setFilterChainDefinitionMap(java.util.Map filterChainDefinitionMap) { /* compiled code */ }

public void setFilterChainDefinitions(java.lang.String definitions) { /* compiled code */ }

public java.lang.Object getObject() throws java.lang.Exception { /* compiled code */ }

public java.lang.Class getObjectType() { /* compiled code */ }

public boolean isSingleton() { /* compiled code */ }

protected org.apache.shiro.web.filter.mgt.FilterChainManager createFilterChainManager() { /* compiled code */ }

protected org.apache.shiro.web.servlet.AbstractShiroFilter createInstance() throws java.lang.Exception { /* compiled code */ }

private void applyLoginUrlIfNecessary(javax.servlet.Filter filter) { /* compiled code */ }

private void applySuccessUrlIfNecessary(javax.servlet.Filter filter) { /* compiled code */ }

private void applyUnauthorizedUrlIfNecessary(javax.servlet.Filter filter) { /* compiled code */ }

private void applyGlobalPropertiesIfNecessary(javax.servlet.Filter filter) { /* compiled code */ }

public java.lang.Object postProcessBeforeInitialization(java.lang.Object bean, java.lang.String beanName) throws org.springframework.beans.BeansException { /* compiled code */ }

public java.lang.Object postProcessAfterInitialization(java.lang.Object bean, java.lang.String beanName) throws org.springframework.beans.BeansException { /* compiled code */ }

private static final class SpringShiroFilter extends org.apache.shiro.web.servlet.AbstractShiroFilter {

protected SpringShiroFilter(org.apache.shiro.web.mgt.WebSecurityManager webSecurityManager, org.apache.shiro.web.filter.mgt.FilterChainResolver resolver) { /* compiled code */ }

}

}------------------------------------------------------------------------------------------------------------------------------------------------

shiro.xml配置部分内容

//该部分的值被重写,部分数据从数据库加载

/login/**=anon

/api/** = authc

/main.do = authc

------------------------------------------------------------------------------------------------------------------------------------

自定义的shiro拦截器ShiroPermissionFactory

package cn.cjq.util.shiro;

import cn.cjq.entity.Menu;

import cn.cjq.service.user.UserService;

import org.apache.shiro.config.Ini;

import org.apache.shiro.spring.web.ShiroFilterFactoryBean;

import org.apache.shiro.util.CollectionUtils;

import org.apache.shiro.web.config.IniFilterChainResolverFactory;

import javax.annotation.Resource;

import java.util.List;

public class ShiroPermissionFactory extends ShiroFilterFactoryBean {

/**配置中的过滤链*/

public static String definitions;

/**权限service*/

@Resource

private UserService userServiceImpl;

/**

* 从数据库动态读取权限

*/

@Override

public void setFilterChainDefinitions(String definitions) {

ShiroPermissionFactory.definitions = definitions;

//数据库动态权限

List

try {

Menulist = userServiceImpl.ListMenu();

} catch (Exception e) {

e.printStackTrace();

}

//拼接所有请求(即url)所需要的权限(认证,权限ID),拼接时必须加入\n用来换行,否则无效。

for(Menu menu : Menulist){

//字符串拼接权限

definitions = definitions+menu.getUrl() + " = "+"authc,perms["+menu.getMenuid()+"]\n";

}

//从配置文件加载权限配置

Ini ini = new Ini();

ini.load(definitions);

Ini.Section section = ini.getSection(IniFilterChainResolverFactory.URLS);

if (CollectionUtils.isEmpty(section)) {

section = ini.getSection(Ini.DEFAULT_SECTION_NAME);

}

//加入权限集合

setFilterChainDefinitionMap(section);

}

/**

* 从数据库动态加载权限

*/

// public ShiroFilterFactoryBean getShiroFilterFactoryBean() {

// ShiroFilterFactoryBean shiroFilterFactoryBean=null;

// try {

// shiroFilterFactoryBean = new MyShiroFilterFactoryBean();

// //下列属性在配置文件中已配置

shiroFilterFactoryBean.setSecurityManager(getDefaultWebSecurityManager());

shiroFilterFactoryBean.setLoginUrl("/login");

shiroFilterFactoryBean.setSuccessUrl("/index.html");

shiroFilterFactoryBean.setUnauthorizedUrl("/403");

// loadShiroFilterChain(shiroFilterFactoryBean);

// } catch (Exception e) {

// e.printStackTrace();

// }

// return shiroFilterFactoryBean;

// }

//

// private void loadShiroFilterChain(ShiroFilterFactoryBean shiroFilterFactoryBean) throws Exception {

// List

// Map filterChainDefinitionMap = new LinkedHashMap();

// for (Menu menu : Menulist) {

// filterChainDefinitionMap.put(menu.getUrl(),"authc,perms["+menu.getMenuid()+"]");

// }

// //配置文件中已配置

filterChainDefinitionMap.put("/login", "anon");

// shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);

// }

}

-------------------------------------------------------------------------------------------------------------------------------

上述列出的是所有url所需的相对应权限ID,下面是自定义realm中的授权信息,列出当前用户所有的权限ID,通过比较是否存在权限问题。(也可通过角色去比较,暂不做说明)

/**

* 授权信息

*/

@Override

protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {

String username = (String)principals.getPrimaryPrincipal();

SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();

// UserService userService = (UserService) SpringContextUtil.getBean("userServiceImpl");

try {

authorizationInfo.setRoles(userMapper.findUserRoles(username));

authorizationInfo.setStringPermissions(userMapper.findUserPermissions(username));

} catch (Exception e) {

e.printStackTrace();

}

return authorizationInfo;

}

------------------------------------------------------------------------------------------------------------------------------------------

根据当前用户获取所有权限ID:也可以不根据权限ID,使用别的也可,但必须统一,既然是使用了权限ID,所有查询结果返回权限ID即可

SELECT

m.menuId

FROM mif_user u

LEFT JOIN mif_role_user_ref ur ON u.uerId=ur.userId

LEFT JOIN mif_role r ON r.roleId=ur.roleId

LEFT JOIN mif_role_authority_ref ar ON ar.roleId=r.roleId

LEFT JOIN mif_authority a ON a.authorityId=ar.authorityId

LEFT JOIN mif_authotity_menu_ref mr ON mr.authorityId=ar.authorityId

LEFT JOIN mif_menu m ON m.menuId=mr.menuId

WHERE u.isdelete = 0 AND r.isdelete=0 AND a.isdelete=0 AND m.isdelete=0 AND u.userName = #{0}

--------------------------------------------------------------------------------------------------------------------------------------------

坑1:上述标红的\n未使用,无效果

坑2:在初始化静态拦截的时候存在初始值/person/**= authc,即/person下的所有方法只要通过认证即可请求。但是shiro权限中数据库的动态数据也包含了/person下的方法,是无效的,原因

是自定义的shiro的filter先加载配置文件中的数据,再加载数据库动态数据,存在/person/**= authc在前面时会让部分数据库/person下的url失效,注释掉/person/**= authc即可

//该部分的值被重写,部分数据从数据库加载

/login/**=anon

/api/** = authc

/main.do = authc

/person/**= authc

坑3:该bean只会在系统启动时加载一次,之后不会调用,所有存在任何权限上的变动时,需手动调用setFilterChainDefinitions()方法

PS:要记住在增删改权限数据库时记得调用setFilterChainDefinitions()方法重新加载

相关url:http://blog.csdn.net/u010351766/article/details/70432227

weixin_39809140
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
shiro利用mysql动态授权_shiro实现动态权限管理
weixin_34770855的博客
02-05 418
用到shiro框架实现权限控制时,根据实际要求,权限数据库增删改后都要把权限过滤链变化实时更新到服务器中。1、配置文件里配置的filterchains都是静态的,但实际开发中更多的是从数据库动态获取filterchains。我们都知道ShiroFilterFactoryBean中的setFilterChainDefinitions()是读取配置文件里默认的filterchains,所以我们的...
shiro-attack-4.7.0-SNAPSHOT-all.zip
10-24
为了有效地利用"shiro-attack-4.7.0-SNAPSHOT-all.zip",开发者需要了解Shiro的基本工作原理,包括身份验证流程、授权策略以及会话管理机制。同时,他们应该熟悉Java序列化的安全风险,比如CVE-2015-4852等著名漏洞...
shiro动态URL权限控制
01-16
1 / 10 shiro动态URL权限控制 用过Spring Security的朋友应该比较熟悉对URL进行全局的权限控制,即访问URL时进行权限匹配;如果没有权限直接跳到相应的错误页面。Shiro也支持类似的机制,不过需要稍微改造下来满足实际需求。不过在Shiro中,更多的是通过AOP进行分散的权限控制,即方法级别的;而通过URL进行权限控制是一种集中的权限控制。本章将介绍如何在Shiro中完成动态URL权限控制。
shiro学习--从数据库获取动态权限
u010351766的专栏
04-22 9874
新项目集成了shiro,但是发现原生的只支持在配置文件配置权限,就像这样 /js/** = anon /css/** = anon /img/** = anon /fonts/** = anon /scripts/
Springboot+Shiro+Mybatis+mysql实现权限安全认证
最新发布
架构师小吴的博客
07-05 1279
Subject代表了当前用户的安全操作SecurityManager:它是Shiro框架的核心,典型的Facade模式,Shiro通过SecurityManager来管理内部组件实例,并通过它来提供安全管理的各种服务。Authenticator即认证器,对用户身份进行认证,Authenticator是一个接口,shiro提供ModularRealmAuthenticator实现类,通过ModularRealmAuthenticator基本上可以满足大多数需求,也可以自定义认证器。
Shiro学习笔记——数据库读取权限信息(不使用硬编码的方式)
shen的博客
09-13 1063
ShiroFilterFactoryBean初始化的过程中,会执行一个setFilterChainDefinitionMap方法,传入了一个Map,该Map就是URL与权限的对应关系。 编写一个实例工厂方法 FilterChainDefinitionMapBuilder.java: public class FilterChainDefinitionMapBuilder { pub...
FEBS-Shiro-mysql.zip_FEBS-Shiro-mysql_FebsProperties_W9AP_shiro
09-20
综上所述,“FEBS-Shiro-mysql”项目提供了一个完整的基于Spring Boot的权限管理系统,利用Shiro的强大功能进行用户身份验证和权限控制,并借助MySQL数据库来持久化相关数据。对于开发者来说,理解并掌握这些技术,...
shiro_attack-2.2.jar
12-17
shiro_attack-2.2.jar
ssm-shiro-mysql.rar_JAVA SHIRO
09-21
6. **Shiro配置**:`shiro.ini`或`ShiroFilter.java`,定义了用户的登录URL、登出URL、过滤链规则,以及 Realm 类,用于从数据库获取用户信息和权限。 7. **视图层**:可能使用JSP或Thymeleaf等模板引擎,提供...
ims_nacos_gateway+shiro完成认证权限、日志等-Nacos版.rar
06-09
开箱即用的微服务认证授权框架 基本功能: ...3.shiro+redis作为认证授权服务 oaa,提供为网关feign接口,用来验证权限 。 注意: 1.nacos1.1.4的安装包和naocs的配置文件也在压缩包内; 2.项目中有建表sql;
shiro动态权限认证系统
04-01
此demo使用ssm搭建而成,使用shiro进行动态权限认证,并加入redis进行权限以及认证信息的缓存,并添加了登录错误次数的限制
SpringBoot整合Shiro,实现从数据库加载权限权限动态更新、Session共享
04-05
SpringBoot整合Shiro,实现从数据库加载权限权限动态更新、Session共享 SpringBoot整合Shiro,实现从数据库加载权限权限动态更新、Session共享
Shiro动态权限(整合Spring Boot)
qq_53432338的博客
06-27 2124
1、说明 2、数据库 3、代码 4、测试 5、小结动态权限是程序运行期间,对用户的权限进行更改而不需要修改源码。在shiro中,实现动态权限只需要实现一个自定义的过滤器即可,这里使用的方法是继承。需要注意的是,任何的动态权限都会损耗服务器的资源,因为所谓的动态权限就是根据数据库的变化,实时的将情况反应到客户端,即每次请求都需要对数据库发送请求,因为需要的是实时的数据,所以没办法使用Redis解决这个问题,因为即使存储到Redis中,Redis也需要去向数据库发送请求来更新数据,甚至因为请求经过了Redis,
mysql获得当前用户_shiro——从MySQL得到当前执行的用户
weixin_33503998的博客
02-02 205
图片.pngjdbc_realm.ini:[main]jdbcRealm=org.apache.shiro.realm.jdbc.JdbcRealmdataSource=com.mchange.v2.c3p0.ComboPooledDataSourcedataSource.driverClass=com.mysql.jdbc.DriverdataSource.jdbcUrl=jdbc:mysql:...
shiro利用mysql动态授权_Shiro系列之Shiro+Mysql实现用户授权(Authorization)
weixin_33628316的博客
02-11 122
Android 与linux一样使用设备驱动来访问硬件设备,设备节点文件是设备驱动的逻辑文件,应用程序使用设备节点文件来访问设备驱动程序,linux使用mknod来创建设备昨天,我在《Shiro系列之Shiro+Mysql实现用户认证(Authentication)》中简单介绍了使用Shiro+Mysql实现用户认证的功能,今天我们继续使用其中的示例,讲解一下如何实现用户授权。所谓授权,就是判断当...
Springboot+Shiro 基于URL 动态控制权限
热门推荐
Joe_elena的博客
08-13 1万+
前言:    权限控制有 注解的方式,jsp shiro标签的方式,还有url 动态控制的方式。这里我使用最后一种方式来控制权限 思路: 0.利用  PathMatchingFilter 拦截器 1.根据用户名 来查询角色, 2.根据角色查询权限 3.获取请求的url  4判断 根据用户名查询权限 是否包括 请求的url 5.如果包括 则 放行,不包括重定向到 未授权界面 p...
shiro实现动态权限管理
weixin_34162401的博客
08-17 294
用到shiro框架实现权限控制时,根据实际要求,权限数据库增删改后都要把权限过滤链变化实时更新到服务器中。 1、配置文件里配置的filterchains都是静态的,但实际开发中更多的是从数据库动态获取filterchains。 我们都知道ShiroFilterFactoryBean中的setFilterChainDefinitions()是读取配置文件里默认的filterchains,所...
shiro 数据权限_SpringBoot集成Shiro 实现动态加载权限
weixin_39837352的博客
12-03 225
一、前言本文小编将基于 SpringBoot 集成 Shiro 实现动态uri权限,由前端vue在页面配置uri,Java后端动态刷新权限,不用重启项目,以及在页面分配给用户 角色 、 按钮 、uri 权限后,后端动态分配权限,用户无需在页面重新登录才能获取最新权限,一切权限动态加载,灵活配置基本环境spring-boot 2.1.7mybatis-plus 2.1.0mysql 5.7.24re...
Java私塾《深入浅出学Shiro》-权限管理精品教程
"深入浅出学Shiro - Java私塾的Shiro教程,涵盖Shiro的基础、配置、认证、授权、Realms、Session管理和与Spring的集成。" Apache Shiro 是一个强大且易用的Java安全框架,提供了身份认证、授权、会话管理和加密等...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值