新闻后台管理系统
本次项目内容
- 本次项目开发是在新闻后台管理系统7.0的基础上进行的
- 这大概是最后一次开发新闻后台管理系统了,整个系统已经基本完善了,接下来做的也就是锦上添花,这次开发我们给整个后台系统增加管理员的权限控制,并使用shiro进行权限管理。
项目开发过程
-
新增实体类Role、Permisson,我们在po包下创建这两个类,这两个类主要用于控制User权限。代码太长,直接放链接。
链接:实体类 -
User类中新增属性和方法
@ManyToMany(fetch = FetchType.EAGER)
private Set<Role> roles = new HashSet<>(0);
public Set<Role> getRoles() {
return roles;
}
public void setRoles(Set<Role> roles) {
this.roles = roles;
}
- pom.xml添加依赖,导入shiro包
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-core</artifactId>
<version>1.3.2</version>
</dependency>
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-spring</artifactId>
<version>1.3.2</version>
</dependency>
-
创建realm包,realm意为领域,它是与数据打交道的,它负责存储一个安全的数据源,我们可以将用户数据存放在这里面。
-
在realm包下创建NewsRealm类
public class NewsRealm extends AuthorizingRealm {
@Autowired
private UserService userService;
public void setName(String name){
super.setName("newsRealm");
}
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
//获得认证的用户数据
User user = (User) principalCollection.getPrimaryPrincipal();
//构造认证数据
SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
Set<Role> roles = user.getRoles();
for(Role role: roles){
//添加角色信息
info.addRole(role.getName());
for(Permission permission: role.getPermissions()){
//添加权限信息
info.addStringPermission(permission.getCode());
}
}
return info;
}
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
UsernamePasswordToken upToken = (UsernamePasswordToken)authenticationToken;
String username = upToken.getUsername();
String password = new String(upToken.getPassword());
User user = userService.checkUser(username, password);
if(user != null){
return new SimpleAuthenticationInfo(user,user.getPassword(),this.getName());
}
return null;
}
}
- 在news包下创建ShiroConfiguration类,我们将在这个类中配置Shiro以实现权限管理
@Configuration
public class ShiroConfiguration {
//创建realm
@Bean
public NewsRealm getRealm(){
return new NewsRealm();
}
//创建安全管理器
@Bean
public SecurityManager securityManager(NewsRealm realm){
//使用默认的安全管理器
DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager(realm);
//将自定义realm交给安全管理器统一调度管理
return securityManager;
}
//配置shiro过滤器工厂
@Bean
public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager){
ShiroFilterFactoryBean shiroFilterFactory = new ShiroFilterFactoryBean();
shiroFilterFactory.setSecurityManager(securityManager);
//通用配置
shiroFilterFactory.setLoginUrl("/admin");
shiroFilterFactory.setUnauthorizedUrl("/admin");
/**
* key:请求路径
* value:过滤器类型
*/
Map<String, String> filterMap = new LinkedHashMap<>();
filterMap.put("/admin/login", "anon");
filterMap.put("/admin/**", "authc");
//设置过滤器
shiroFilterFactory.setFilterChainDefinitionMap(filterMap);
return shiroFilterFactory;
}
//开启shiro注解支持
@Bean
public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager){
AuthorizationAttributeSourceAdvisor advisor = new AuthorizationAttributeSourceAdvisor();
advisor.setSecurityManager(securityManager);
return advisor;
}
}
- 修改LoginController的login方法,之前我们是用拦截器的方式进行登录拦截的,这次我们使用shira进行过滤,这并不是说拦截器的方法就不行,而是使用集成的shira的功能更多,拦截对象多时也不冗余。
@PostMapping("/login")
public String login(@RequestParam String username, @RequestParam String password,
HttpSession session, RedirectAttributes attributes){
try{
//构造登录令牌
UsernamePasswordToken uptoken = new UsernamePasswordToken(username, password);
//获取subject
Subject subject = SecurityUtils.getSubject();
subject.login(uptoken);
User user = (User) subject.getPrincipal();
session.setAttribute("user", user);
return "admin/index";
}catch (Exception e){
attributes.addFlashAttribute("message", "用户名或密码错误");
return "redirect:/admin";
}
}
-
以上操作已经实现了用户登录拦截的功能,读者可以尝试使用一下。我们已经使用shira实现登录拦截了,但是这还不够,下一步我们将使用shira实现权限控制,实现新闻管理、类别管理、标签管理三种权限的划分。
-
在数据库的表中新增数据,为了接下来对权限管理功能的测试,我们需要在各表中新增一些信息。
-
在ShiroConfiguration类的shiroFilterFactoryBean方法中新增过滤条件
@Bean
public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager){
ShiroFilterFactoryBean shiroFilterFactory = new ShiroFilterFactoryBean();
shiroFilterFactory.setSecurityManager(securityManager);
//通用配置
shiroFilterFactory.setLoginUrl("/admin");
shiroFilterFactory.setUnauthorizedUrl("/admin");
/**
* key:请求路径
* value:过滤器类型
*/
Map<String, String> filterMap = new LinkedHashMap<>();
filterMap.put("/admin/news", "perms[user-news]");
filterMap.put("/admin/types", "perms[user-type]");
filterMap.put("/admin/tags", "perms[user-tag]");
filterMap.put("/admin/login", "anon");
filterMap.put("/admin/**", "authc");
//设置过滤器
shiroFilterFactory.setFilterChainDefinitionMap(filterMap);
return shiroFilterFactory;
}
-
以上操作已实现权限管理,我们设置了新闻编辑、类别管理、标签管理这三种权限,不同角色的管理员拥有着不同的权限。
-
运行程序
项目下载
- 链接:news8