结合上一篇的博客 授权就只需要在继承的那个类里写授权操作 其他不用进行修改
/**
* 授权
* @param principalCollection
* @return
*/
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection collection) {
System.out.println("用户登陆点击某个功能执行了授权。。");
//(概括:)方法上面拿到登陆的用户名 然后查出有哪些角色 有哪些权限 把它放到指定的授权管理器里
SimpleAuthorizationInfo info=new SimpleAuthorizationInfo();
String username = collection.getPrimaryPrincipal().toString();//拿到唯一主键 username名字
Set<String> roles = userService.UserRoleName(username);通过名字得到它对应角色
Set<String> permission = userService.UserPermission(username);还有权限
info.setRoles(roles);//授权管理器里设置查询到的值
info.setStringPermissions(permission);
return info;//最后返回出去授权
}
首先要在mapper那边写两个方法 一个根据用户查多个角色 根据用户名查对应多个权限
/**
* 根据用户查多个角色
*/
Set<String> UserRoleName(String username);
/**
* 根据用户查多个对应权限
*/
Set<String> UserPermission(String username);
<select id="UserRoleName" resultType="java.lang.String" parameterType="java.lang.String">
select r.roleid from t_shiro_user u,t_shiro_role r,t_shiro_user_role ur where u.userid=ur.userid
and r.roleid=ur.roleid and u.username= #{username}
</select>
<select id="UserPermission" resultType="java.lang.String" parameterType="java.lang.String">
select p.permission from t_shiro_user u,t_shiro_user_role ur,t_shiro_role_permission rs,t_shiro_permission p where u.userid=ur.userid
and ur.roleid=rs.roleid and rs.perid=p.perid and u.username= #{username}
</select>
然后写实现类 你懂的 就可调用service里的这两个方法即可。
方法参数拿到登陆的用户名 然后查出有哪些角色 有哪些权限 把它放到指定的授权管理器里 就可查出用户有的权限 登陆会展示不一样的界面
2.关于shiro方法的注解
主要有三个重要的注解 来进行用户登陆验证 在需要的方法上加上注解来进行验证
之前要在spring-servlet.xml里配置开启注解和错误映射界面
<!--开启shiro注解-->
<bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator"
depends-on="lifecycleBeanPostProcessor">
<property name="proxyTargetClass" value="true"></property>
</bean>
<bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
<property name="securityManager" ref="securityManager"/>
</bean>
<!--错误跳转页面-->
<bean id="exceptionResolver" class="org.springframework.web.servlet.handler.SimpleMappingExceptionResolver">
<property name="exceptionMappings">
<props>
<prop key="org.apache.shiro.authz.UnauthorizedException">
unauthorized
</prop>
</props>
</property>
<property name="defaultErrorView" value="unauthorized"/><!--这里要跟controller里页面配置一致-->
</bean>
controller层方法
/**
* 方法:在方法上加上注解 每个方法可进行验证 此前必须在springmvc-servlet.xml里配置开启注解和错误映射页面
* @RequiresAuthenthentication:表示当前Subject已经通过login进行身份验证 跟@RequiresUser是一样的效果
* @RequiresUser 用户认证(登陆才可以进去页面)
* @RequiresRoles(value = "4")此方法必须角色为4才能访问 角色认证(有对应角色的用户才能访问)
* 还有多个角色验证@RequiresRoles(value = {"1","4"},logical=Logical.AND) and是 登陆必须有这里面两个角色的才可访问
* 还有一个 or 有1或者4的角色都可访问此方法
* @RequiresPermissions(value = "user:update")用户必须有里面的这个权限才能访问 权限认证(该角色有这个权限才能访问) 这个也有多个权限验证的
*@RequiresPermissions(value = {"user:delete","user:b"},logical = Logical.OR)
* @param user
* @return
*/
@RequestMapping("/users")
public String users(User user){//如验证通过就跳页面 否则就跳回其他指定路径
System.out.println("用户登陆认证");
return "sessice";
}
//验证失败返回错误页面
@RequestMapping("/unauthor")
public String unauthor(User user){//如验证通过就跳页面 否则就跳回其他指定路径
System.out.println("用户登陆认证");
return "unauthorized";
}有关一点路径问题 如果是直接跳页面不能放在web_inf安全目录下 界面需要放webapp下 除非是跳转方法user/add之类的方法就可以 一般都是web_inf安全目录
3.使用Shiro标签实现权限验证
3.1 导入Shiro标签库
<%@taglib prefix="shiro" uri="http://shiro.apache.org/tags" %>
3.2 Shiro标签库
guest标签 :验证当前用户是否为“访客”,即未认证(包含未记住)的用户
user标签 :认证通过或已记住的用户
authenticated标签 :已认证通过的用户。不包含已记住的用户,这是与user标签的区别所在
notAuthenticated标签 :未认证通过用户,与authenticated标签相对应。与guest标签的区别是,该标签包含已记住用户
principal 标签 :输出当前用户信息,通常为登录帐号信息
hasRole标签 :验证当前用户是否属于该角色
lacksRole标签 :与hasRole标签逻辑相反,当用户不属于该角色时验证通过
hasAnyRole标签 :验证当前用户是否属于以下任意一个角色
hasPermission标签 :验证当前用户是否拥有指定权限
lacksPermission标签 :与hasPermission标签逻辑相反,当前用户没有制定权限时,验证通过
扫一扫
1109
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
