shiro - 前后端权限控制详细做法

最新推荐文章于 2024-04-12 13:23:07 发布
最新推荐文章于 2024-04-12 13:23:07 发布
阅读量633 收藏 3
点赞数
分类专栏: Vue springboot 实战 文章标签: shiro spring boot vue.js mybatis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ws6afa88/article/details/109680453
版权
springboot 同时被 3 个专栏收录
25 篇文章 1 订阅
订阅专栏
Vue
16 篇文章 0 订阅
订阅专栏
实战
14 篇文章 0 订阅
订阅专栏

之前的博文已经对shiro在springboot中的使用做了详细说明,这里继续说明如何具体实施,由于我一直在完善自已编写的博客,这里做一个笔记。

1. 创建表

我创建了4个表来对不同身份的用户进行权限管理,主要是通过用户->角色->权限进行管理
在这里插入图片描述
各个表的样子如下:
在这里插入图片描述

2. 定义Perm类

这里的类与之前创建的perm表相对应

@Data
@AllArgsConstructor
@NoArgsConstructor
public class Perm implements Serializable {
    private Long permId;
    private String permission;
}

同时在User类中增加roleId属性
在这里插入图片描述

3.创建PermService进行管理

这里主要创建了两个方法

public interface PermService {
    //根据permId查询perm
    public Perm queryById(Long id);

    //根据username查询所有permission
    public List<Perm> queryByUserName(String username);

}

主要的对应的sql语句如下,相关的PermDao,PermServcieImpl这里就不再赘述:

<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE mapper
        PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN"
        "http://mybatis.org/dtd/mybatis-3-mapper.dtd">
<!--查官网https://mybatis.org/mybatis-3/zh/getting-started.html-->
<!--映射到Dao文件-->
<mapper namespace="com.xinxin.dao.PermDao">
    <!--    开启二级缓存-->
    <cache />

    <select id="queryByUserName" parameterType="String" resultType="Perm">
    	<!--这里一次性连接了四个表-->
        SELECT permission FROM users,roles,role_perm,perms WHERE
            users.user_id = roles.role_id AND
            roles.role_id = role_perm.role_id AND
            role_perm.perm_id = perms.perm_id AND
            username= #{username}
    </select>

    <select id="queryById" resultType="Perm">
        select * from perms where perm_id = #{permId}
    </select>

</mapper>

4. 登录时直接获取权限

    @PostMapping("/api/login")
    public Object toLogin(@RequestBody JSONObject param) {
		
        //取出content
        String username = param.getString("username");
        String password=param.getString("password");
		
		
        //从SecurityUtils里边创建一个subject
        Subject subject = SecurityUtils.getSubject();
        //在认证提交前准备token(令牌)
        UsernamePasswordToken token = new UsernamePasswordToken(username, password);
        //自定义返加的token,登录后自动分配一个线程Id
        String token_res = subject.getSession().getId().toString();



        Map<String,Object> map=new HashMap<>();
        map.put("token",token_res);

        //获取权限List
        List<Perm> perms = permService.queryByUserName(username);

        if(perms.size()>0){
            //过滤掉Perm类中的permId  
            List<String> list = perms.stream().map(perm -> perm.getPermission()).distinct().collect(Collectors.toList());

            map.put("perm",list);
        }else{
            map.put("perm",null);
        }



        //执行shiro认证登陆,抛出的异常在GlobalExceptionHandler中处理
        subject.login(token);
        if (subject.isAuthenticated()) {
            return ApiResult.succ(map);

        } else {
            token.clear();
            return new ResponseEntity<>("登录失败", HttpStatus.NOT_FOUND);
        }


    }

关于shiro登录验证的操作,我之前的博客已经讲得非常详细,这里主要是将获取到的权限返回给前端。
通过Postman进行测试
在这里插入图片描述
可以看到成功取到了admin对应的权限。

5. 将权限保存在Vuex的state中

Vuex的操作方法见https://www.jianshu.com/p/a804606ad8e9,这里不再赘述。

5.1 让state持久化

我想把用户登录获得的权限保存在Vuex的state中,但是只要刷新页面,之前存入state中的数值就会消失,为了解决这个问题我参考了这位网友的做法,引入vuex-persistedstate插件

  1. 安装
npm install vuex-persistedstate --save
  1. store/index.js中将persistedstate引入
import Vue from "vue";
import Vuex from "vuex";
//引入vuex-persistedstate插件
import createPersistedState from "vuex-persistedstate"

Vue.use(Vuex);

export default new Vuex.Store({
  state: {
  	//测试初始值
    products: 'haha'
  },
  mutations: {
  	//通过调用minusPrice将state中products值替换为payload
    minusPrice (state, payload ) {
      state.products=payload
    }
  },
  actions: {},
  modules: {},
  //这里是将state持久化到localstorage,也就是本地
  plugins: [createPersistedState()]
});

在Vue页面中操作

//调用该命令改变state的值,将products改变为2
 this.$store.commit('minusPrice', 2);

//通过调用该命令直接获取state的值
this.msg=this.$store.state.products

5.2 测试

编写了一个测试页面验证刷新页面是否对state有影响,改变state之前:
在这里插入图片描述

点击按钮触发minusPrice()改变state为2
在这里插入图片描述
说明state已经持久化到了本地。

6.总结

这里将后端获取的用户权限持久化到了Vuex中的state中,就可以在任何一个页面取到state值,从而可以利用Vue中的v-if操作决定用户能够访问的页面元素了,这样前端与后端都实现了权限控制。

Lydia的IT世界是橙色的
关注
专栏目录
前后端分离的项目中,后台使用shiro框架时,怎样使用它的会话管理系统(session),从而实现权限控制
palerock的博客
06-19 6万+
前后端分离的项目中,ajax跨域和保存用户信息是其中的重点和难点。 如果在后台使用shiro框架来进行权限控制,就需要用到cookie+session的模式来保存用户的信息。 在前一篇文章中,我具体写了怎样在ajax跨域的情况下携带cookie,使用该方法使跨域请求携带cookie便可以在前后端分离的项目中使用shrio的session(会话管理系统)。 但是由于那种方法近乎与取巧的将Access-Control-Allow-Origin由*改为"null"不是所有的前端ajax框架所公认的,我们需要一种更
SpringBoot-Shiro-Vue:提供一套基于Spring Boot-Shiro-Vue的权限管理思路.前后端都加以控制,做到按钮接口级别的权限
05-11
前后端都加以控制,做到按钮/接口级别的权限 DEMO admin/123456 管理员身份登录,可以新增用户,角色. 角色可以分配权限 控制菜单是否显示,新增/删除按钮是否显示 更新记录 v2.0.0 2021.05.09 支持一个用户多个角色 ...
shiro授权时前端js如何拿到数据库查到的权限字符串
di917348的博客
01-07 428
---恢复内容开始--- 思路:数据库查询权限表,将权限存入session作用域,前台定义js变量获取,js分割字符串,拿到权限字符串 代码 后台查数据库存入session package com.baizhi.shiro; import com.baizhi.entity.Admin; import com.baizhi.entity.Authority; imp...
shiro权限控制前端页面资源显示
m0_67393157的博客
04-22 1383
下面代码就是判断如果当前用户角色为 administrator ,则前端页面显示div标签和里面的内容 @if(shiro.hasRole("administrator")){ <div class="layui-inline"> <select id="lrr" name="lrr" lay-filter="lrr" lay-search=""></select> </div> @} 如果要控制多个角色资源,则使用 @if(shir
shiro 后端服务接口注解
weixin_62239596的博客
04-03 258
subject必须同时拥有"file:read" 和"wite:aFile.txt"权限才能访问someMethod()方法。通过给接口服务方法添加注解可以实现权限校检,可以加在控制器方法上,也可以加在业务方法上,一般加在控制器方法上。例如:@RequiresPermissions("file:read" ,"wite:aFile.txt")验证subject是否有相应的角色,有角色访问方法,没有的话则会抛出异常。验证subject是否有相应的权限,有权限访问方法,没有则会抛出异常。验证用户是否被记忆;
Spring Boot-Shiro-Vue的权限管理思路.前后端都加以控制
06-14
3. **接口权限控制**:在Spring Boot中,使用Shiro的注解如`@RequiresPermissions`来标记需要特定权限才能访问的API。Shiro会检查请求携带的token中的权限信息,只有当用户拥有相应权限时才允许访问。 4. **按钮...
Springboot+Vue+shiro实现前后端分离、权限控制的示例代码
08-18
Springboot+Vue+shiro实现前后端分离、权限控制】 在现代Web开发中,前后端分离是一种常见的架构模式,它可以提高开发效率并优化用户体验。SpringbootVue.js的结合,加上Shiro的安全框架,可以构建出高效、安全...
Spring Boot-Shiro-Vue的权限管理思路.前后端都加以控制,做到按钮/接口级别的权限
10-17
通常我们的权限设计都是 用户--角色--权限 ,其中角色是我们写代码的人没法控制的,它可以有多条权限,每个用户又可以设计为拥有多个角色.因此如果从角色着手进行权限验证,系统都必须根据用户的配置动起来,非常复杂. ...
提供一套基于Spring Boot-Shiro-Vue的权限管理思路.前后端都加以控制,做到按钮/接口级别的权限 (当前新版本已
最新发布
06-25
前后端都加以控制,做到按钮/接口级别的权限。(当前新版本已移除shiro依赖,简化了配置) 核心 每个登录用户拥有各自的N条权限,比如 文章:查看/编辑/发布/删除 后端 基于 RBAC新解 . 通常我们的权限设计都是 用户--...
Shiro根据用户权限显示不同的菜单.Shiro根据权限显示指定菜单
01-06
Shiro根据用户权限显示不同的菜单.Shiro根据权限显示指定菜单
2021年你还不会Shiro?----8.使用Shiro实现权限管理(前后端
初心不忘、始终方得
03-29 1406
shiro实现权限管理,简单易学
Shiro权限管理
zzhhenggg的博客
08-26 148
Shiro权限管理 一.权限管理的四张核心的表关系 用户用户-角色-关系表 角色表 角色-权限-关系表 权限表 角色-菜单-关系表 菜单表 二.权限的控件 粗粒度 配置文件配置 细粒度 通过注解实现 三.了解认证和授权的流程 前端发起登录请求---访问shiro的subjec...
SpringBoot整合系列】SpringBoot整合Shiro——权限控制
低调做人,低调编码,神码都是浮云
04-12 1713
SpringBoot整合Shiro权限控制
Shiro:有关于shiro权限控制
CSDN新星计划JAVA赛道TOP5、CSDN内容合伙人、JAVA领域优质创作者、资深JAVA开发深耕JAVA领域。
06-29 789
在我们日常开发项目中,会涉及到很多不同角色拥有不同的功能,新的项目一般用shiro作为权限控制本人也非常推荐用shiro,一个强大的权限控制框架强大的权限控制框架:Shiro1.shiro的一个拦截,可以自定义package com.oneinlet.component.shiro; import org.apache.shiro.web.filter.authz.AuthorizationFi...
String Boot+Vue实现登录权限设置前后端实现
Alisa的博客
09-12 301
1.功能描述:用户登录成功后根据用户Id查找确定该用户的角色,根据用户获取该用户菜单列表,列表以层级的形式返回给前端,前端将得到的采用循环的方式显示在菜单栏。 2.时序图 3.流程: (1)用户输入用户名、密码进行登录 (2)登录成功后显示首页, (3)后端根据用户id获取菜单列表 <select id="getMenus" resultMap="BaseResultMap"> ...
shiro的使用freemark实现前端控制权限
健康平安的活着的专栏
06-16 741
一 思路 freemark实现控制前端的操作的入口(控制了其显示与否),shiro把控了后端的操作入口。 二 操作配置 2.1 配置application 2.2 配置文件 package com.debug.pmp.server.config; import com.debug.pmp.server.shiro.ShiroVariable; import org.springframework.context.annotation.Bean; import org.springframe
Shiro安全框架10:springboot整合shiro与thymeleaf实现前端权限动态展示(继上一篇)
06-21 503
第一步:引入依赖 <!--thymeleaf与shiro的标签联合扩展--> <dependency> <groupId>com.github.theborakompanioni</groupId> <artifactId>thymeleaf-extras-shiro&l...
如何使用shiro权限控制
qq_33012981的博客
11-07 2833
如何使用shiro权限控制 shiro不适合与jwt整合,它的最佳实现应该是将session存入redis中 1 简单案例 shiro官网有一个简单案例,按照这个案例可以很容易理解shiro的用法,地址是http://shiro.apache.org/tutorial.html 1.1 包 <parent> <groupId>org.springframework.boot</groupId> <artifactId>spring-boo
shiro前后端分离权限认证
05-31
对于前后端分离的项目,通常使用 JWT(JSON Web Token) 来进行权限认证。...以上是使用 shiro 进行前后端分离权限认证的大致流程。需要注意的是,JWT 的安全性依赖于密钥的保密性,因此需要注意密钥的存储和保护。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值