springboot和shiro实现角色和权限认证

最新推荐文章于 2023-09-05 09:46:54 发布
最新推荐文章于 2023-09-05 09:46:54 发布
阅读量414 收藏 1
点赞数
分类专栏: spring
sxyuser
本文链接:https://blog.csdn.net/weixin_43897590/article/details/105994860
版权

首先,需要在MySQL数据库中创建五个表,分别为user、user_role、role、permission、role_permission表;
user表需要的基本字段:id, username, password, createtime;
在这里插入图片描述
user_role表需要的基本字段:user_id, role_id;
在这里插入图片描述
role表需要的基本字段:role_id, role_name, role_key(角色权限字符串,为admin或者common), remark;
在这里插入图片描述
permission表需要的基本字段:id, perms, url;
在这里插入图片描述
role_permission表需要的基本字段:id, role_id, permission_id

在这里插入图片描述
在user实体类中添加list类型的role使多表查询时候进行连接
在这里插入图片描述
在role实体类中添加list类型的permission使多表查询时候进行连接
在这里插入图片描述
查询角色授权和权限授权的sql语句

    <!--多表联查查询用户角色授权-->
   <select id="queryUserRoleById" parameterType="integer" resultMap="RoleMap">
        SELECT DISTINCT *
        FROM role r
        LEFT JOIN user_role ur ON ur.role_id = r.role_id
        LEFT JOIN user us ON us.id = ur.user_id
        WHERE us.id = #{userid}
    </select>

 <!--多表联查查询用户权限授权-->
    <select id="queryPermsByUserId" resultType="string" parameterType="integer">
        SELECT distinct pr.perms
        FROM permission pr
        LEFT JOIN role_permission rp ON pr.id = rp.permission_id
        LEFT JOIN role r ON rp.role_id = r.role_id
        LEFT JOIN user_role ur ON r.role_id = ur.role_id
        LEFT JOIN user us ON us.id = ur.user_id
        WHERE us.id = #{id}
    </select>

Service层的写法


   /**
     * 根据用户ID查询角色
     * 这个方法写在role的service层
     * @param userId 用户ID
     * @return 权限列表
     */
    Set<String> selectRoleKeys(Integer userId);

 /**
     * 根据用户ID查询权限
     * 这个方法写在permission的service层
     * @param userId 用户ID
     * @return 权限列表
     */
    Set<String> selectPermsByUserId(Integer userId);

impl的写法

    /**
     * 根据用户ID查询角色
     *这个方法写在role的impl层
     * @param userId 用户ID
     * @return 权限列表
     */
    @Override
    public Set<String> selectRoleKeys(Integer userId) {
        List<Role> perms = roleDao.queryUserRoleById(userId);
        Set<String> permsSet = new HashSet<>();
        for (Role perm : perms) {
            if (perm!=null) {
                permsSet.addAll(Arrays.asList(perm.getRoleKey().trim().split(",")));
            }
        }
        return permsSet;
    }

  /**
     * 根据用户ID查询权限
     * 这个方法写在permission的impl层
     * @param userId 用户ID
     * @return 权限列表
     */
    @Override
    public Set<String> selectPermsByUserId(Integer userId) {
        List<String> perms = permissionDao.queryPermsByUserId(userId);
        Set<String> permsSet = new HashSet<>();
        for (String perm : perms) {
            if (StringUtils.isNotEmpty(perm)) {
                permsSet.addAll(Arrays.asList(perm.trim().split(",")));
            }
        }
        return permsSet;
    }

在自定义的realm中的doGetAuthorizationInfo方法中进行角色和权限的授权

 /**
     * 执行授权逻辑
     *
     * @param principalCollection
     * @return
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        LOGGER.info("执行授权逻辑");
        // 角色列表
        Set<String> roles;
        // 权限列表
        Set<String> perms;
        //        给资源进行授权
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        //获取当前登录用户
        Subject subject = SecurityUtils.getSubject();
//        获取SimpleAuthenticationInfo方法的第一个参数的内容
        Object obj =subject.getPrincipal();
        User user;
        if(obj instanceof User) {
            user = (User) obj;
            LOGGER.info("登录成功后类型正确获取的用户信息:right-- {}",JSON.toJSONString(user));
        } else {
            user = JSON.parseObject(JSON.toJSON(obj).toString(), User.class);
            LOGGER.info("登录成功后类型错误获取的用户信息:worry-- {}",JSON.toJSONString(user));
        }
        subject.getSession().setAttribute("user",user);
        // 管理员拥有所有权限
        if (user.isAdmin()) {
            info.addRole("admin");
            info.addStringPermission("*:*:*");
        } else {
            roles = roleService.selectRoleKeys(user.getId());
            perms = permissionService.selectPermsByUserId(user.getId());
            LOGGER.info("用户角色信息:{}",roles);
            LOGGER.info("用户权限信息:{}",perms);
            // 角色加入AuthorizationInfo认证对象
            info.setRoles(roles);
            // 权限加入AuthorizationInfo认证对象
            info.setStringPermissions(perms);
        }
        return info;
    }

因为将缓存存储到Redis中,取出的时候devtools热部署会提示类型转换错误,所有需要判断取出的类型是否正确,如果不正确需要将它强制类型转换成需要的数据格式。

判断是否是管理员的isAdmin()方法的写法,写在user的实体类中

 public static boolean isAdmin(Integer userId) {
        return userId != null && 1L == userId;
    }

    public boolean isAdmin() {
        return isAdmin(this.id);
    }

使用方法就是在controller层的方法上添加@RequiresPermissions(value = {“user:add”})注解或者 @RequiresRoles(value = “{admin}”)注解,让用户拥有value属性中的值得时候才能拥有权限访问该方法,否则没法访问。

为了让注解生效,需要在ShiroConfig的配置类中进行配置

  /**
     * 开启shiro 注解模式
     * 可以在controller中的方法前加上注解
     * 如 @RequiresPermissions("userInfo:add")
     * @return
     */
    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(){
        AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();
        authorizationAttributeSourceAdvisor.setSecurityManager(securityManager());
        return authorizationAttributeSourceAdvisor;
    }

本文参考若依后台网站的例子完成
网站地址

二十一克阳光!
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringBoot + Apache Shiro1.9.1 最新版本详细教程,基于RBAC角色访问、安全管理框架、用户角色权限
07-26
0、重点!重点!配套文档地址https://blog.csdn.net/qq_35867875/article/details/125998233?spm=1001.2014.3001.5502 1、本教程适用所有开发人员简单易懂,结合文章教程与demo示例。 2、技术选型(全部目前最新版本) springbootshiro、mybatis、mybatis plus、mysql、thymeleaf、 3、实现功能:登陆认证、密码加密、权限授权等 4、优点:快速上手、全面支持验证、授权、加密和会话、灵活自定义设计、支持web环境、可以无缝集成spring等优点。可以用来用户验证、用户授权、用户session管理、安全加密等 5、基于RBAC五张表:用户表 tb_user、角色表tb_role权限表tb_permission、用户角、表tb_user_role角色权限tb_role_permissio
SpringBoot.Shiro.Mybatis快速整合教程
06-19
课程目标 手把手教你整合SpringBoot+...课程讲解由浅入深,从静态权限到动态角色菜单的分配和维护。适用于开发企业管理后 台、oa系统等。 软件环境使用:jdk1.8+tomcat8.5+mysql+shiro1.2+spring4+mybatis3+easyui
python角色权限的设置_基于Python-Flask的权限管理9:角色管理
weixin_39783771的博客
12-06 303
#!/usr/bin/python3#-*- coding: utf-8 -*-"""@Author : Huguodong@Version :------------------------------------@File : role.py@Description : 角色管理@CreateTime : 2020/3/1...
springboot整合shiro实现简单权限控制
听钱塘信来的博客
10-03 6562
springboot整合shiro实现简单权限控制
【业务功能篇60】Springboot + Spring Security 权限管理 【终篇】
studyday1的博客
07-29 1989
我们也可以定义自己的权限校验方法,在@PreAuthorize注解中使用我们的方法。/*** 自定义权限校验方法**//*** 自定义 hasAuthority* @param authority 接口指定的访问权限限制*///获取当前用户的权限//判断集合中是否有authority使用SPEL表达式,引入自定义的权限校验。
jQuery Validate
crazy_tong的博客
12-12 177
引入js文件  src="http://static.runoob.com/assets/jquery-validation-1.14.0/lib/jquery.js">  src="http://static.runoob.com/assets/jquery-validation-1.14.0/dist/jquery.validate.min.js"> 实例: 角色名  
springBoot集成shiro进行角色权限认证
CEVERY的博客
01-07 471
文章目录一 、shiro简介1.1 官网和github1.2 概括1.3 核心组件介绍1.4 Shiro 运行机制二 、springBoot整合shiro2.1 ShiroConfig.java2.1 MyCustomRealm.java2.3 IndexController.java 提示:以下是本篇文章正文内容,下面案例可供参考 一 、shiro简介 1.1 官网和github shiro官网 shiro github 1.2 概括 Apache Shiro™是一个功能强大且易于使用的Java安全框架
基于springboot注解的shiro 授权及角色认证
一个菜鸡的博客
05-29 1778
验证用户是否被记忆: 登录认证成功subject.isAuthenticated()为true 登录后被记忆subject.isRemembered()为true。通过给接口服务方法添加注解可以实现权限校验,可以加在控制器方法上,也可以加 在业务方法上,一般加在控制器方法上。验证subject是否有相应角色,有角色访问方法,没有则会抛出异常 AuthorizationException。验证subject是否有相应权限,有权限访问方法,没有则会抛出异常 AuthorizationException。
SpringBoot注解及其作用
liyanfang0310的博客
07-01 739
@SpringBootApplication,替代@SpringBootConfiguration、@EnableAutoConfiguration、@ComponentScan @ImportAutoConfiguration,导入配置类,一般做测试的时候用,正常优先使用@EnableAutoConfiguration @SpringBootConfiguration,替代@Configuration @ImportResource,将资源导入容器中 @PropertySource,导入propertie
SpringBoot——安全管理(二)
qq_43070052的博客
02-28 4107
基于数据库的认证一、设计数据表 在真实项目中,用户的基本信息以及角色等都存储在数据库中,因此需要从数据库中获取数据进行认证。 一、设计数据表 首先需要设计一个基本的用户角色表。一共三张表,分别是用户表、角色表以及用户角色关联表。 角色名有一个默认的前缀“ROLE_” ...
Springboot权限管理
最新发布
zkk的博客
09-05 1272
现在鉴权模块已经非常成熟,以上仅为个人心得和实践,还有很多改进的地方欢迎评论,后续还会补充通过Shiro框架实现的鉴权这一模块。
springboot_shiro.rar
12-11
springboot使用shiro进行身份认证权限管理,其中DAO层使用mybatis,。其中分为三种角色:user、VIP和svip
Spring Boot+Maven+Spring Data JPA+apache Shiro+Easyui实现通用用户权限管理系统
11-26
实现上,基本实现了功能权限,包含了资源菜单的显示控制以及页面上按钮粒度的显示控制。并且附送了使用Springboot发送邮件的功能。数据库:链接:https://pan.baidu.com/s/1YoX3b7Zx4kFdSWLRGVC_kQ 密码:vi3l
bootshiro权限管理系统-其他
06-12
bootshiro是基于springboot+shiro+jwt的真正restful URL资源无状态认证权限管理系统的后端,前端usthe。区别于一般,提供页面可配置式的,动态的 restful api 安全管理支持。数据传输动态秘钥加密,jwt过期刷新,...
springboot集成swagger并统一返回json格式
二十一克阳光!的博客
05-16 5599
Swagger 是一个规范和完整的框架,用于生成、描述、调用和可视化 RESTful 风格的 Web 服务。总体目标是使客户端和文件系统作为服务器以同样的速度来更新。 作用: 接口的文档在线自动生成。 功能测试。 配置 添加依赖 <!--swagger 文档注释 https://mvnrepository.com/artifact/io.springfox/springfox-swagger2 --> <dependency> <g
springboot中使用SpringSecurity和ajax实现前后端的分离以及验证码的实现
二十一克阳光!的博客
07-08 516
基本思路 服务端通过 JSON字符串,告诉前端用户是否登录、认证;前端根据这些提示跳转对应的登录页、认证页。 实现代码 添加依赖: <!-- https://mvnrepository.com/artifact/org.springframework.boot/spring-boot-starter-security --> <dependency> <groupId>org.springframework.boot</gr
cookie实现记住上一次访问时间
二十一克阳光!的博客
07-31 217
httpServletResponse.setCharacterEncoding("UTF-8"); httpServletResponse.setContentType("application/json;charset=UTF-8"); boolean flag=false; //获取所有cookie Cookie[] cookies = httpServletRequest.getCookies(); //存在cookie值的处理 ...
SSM框架实现自定义解析器
二十一克阳光!的博客
08-16 212
首先需要继承org.springframework.web.servlet.ViewResolver;因为视图解析器比较多, InternalResourceViewResolver默认的优先级:private int order = Integer.MAX_VALUE;为了保证自定义解析器先执行,需要给它设置执行顺序,因此需要继承org.springframework.core.Ordered接口。 /** * 自定义视图解析器 */ public class MyViewResolver impl
springboot+shiro如何实现权限管理
05-28
在Spring Boot应用中,...需要注意的是,Shiro只提供了基础的安全功能,具体的权限管理实现需要根据具体的应用场景和需求进行设计和开发。同时,为了保证安全性,开发人员需要仔细阅读Shiro的文档,并遵循最佳实践。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值