SpringBoot与Shrio(三)授权部分

最新推荐文章于 2022-08-24 03:22:38 发布
最新推荐文章于 2022-08-24 03:22:38 发布
阅读量345 收藏
点赞数
分类专栏: Java 安全框架 SpringBoot 文章标签: java shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/this_break/article/details/110225000
版权
本文详细介绍了使用Shiro进行权限管理的数据库设计,包括用户、角色和权限的多对多关系。通过User、Role和Permission实体类,以及对应的Mapper和服务,实现了用户角色查询和权限集合获取。在自定义Realm中,实现了授权和认证逻辑,对用户角色信息和权限字符串进行了控制。此外,还提供了Controller测试用例,展示了如何运用角色和权限控制访问。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

索引

简易版数据库设计

关于权限的数据库设计:
1.用户与角色绑定,角色与权限绑定,权限与资源绑定
2.不想基于权限字符串管理:用户与角色绑定
3.不想基于角色管理:用户与权限绑定
4.不想让角色和权限关联:用户与角色绑定,用户与权限绑定

这里使用第一种,用户与角色多对多,角色与权限多对多,权限与资源一对一

用户表
user在这里插入图片描述

角色表
角色在这里插入图片描述

权限表
权限在这里插入图片描述

用户角色表
用户角色在这里插入图片描述

角色权限表
角色权限在这里插入图片描述

实体类User

@Data
@AllArgsConstructor
@NoArgsConstructor
public class User {
    private long id;
    private String name;
    private String pass;
    private String salt;

    //用户角色
    private List<Role> roles;
}

mapper

//根据用户名查角色
    User findRolesByName(String name);

	<select id="findRolesByName" resultMap="userMap" >
        SELECT
            u.id,
            u. NAME,
            r.id rid,
            r.`name` rname
        FROM
            test u
        LEFT JOIN t_user_role ur ON u.id = ur.userid
        LEFT JOIN t_role r ON r.id = ur.roleid
        WHERE
            u. name = #{name}
    </select>
    
    <resultMap id="userMap" type="cn.xx.shiroboot.entity.User">
        <id column="id" property="id"/>
        <result column="name" property="name"/>

        <collection property="roles" javaType="list" ofType="cn.xx.shiroboot.entity.Role">
            <id column="rid" property="name"/>
            <result column="rname" property="name"></result>
        </collection>
    </resultMap>

service略

实体类Role

@Data
@NoArgsConstructor
@AllArgsConstructor
public class Role {
    private long id;
    private String name;

    //权限集合
    private List<Per> pers;
}

mapper

 //根据角色id查权限集合
    List<Per> findPersByRoleId(long id);

	<select id="findPersByRoleId" resultType="cn.xx.shiroboot.entity.Role">
        SELECT
            *
        FROM
            role r
        LEFT JOIN t_role_per rp ON r.id = rp.roleid
        LEFT JOIN t_per p ON p.id = rp.perid
        WHERE
            r.id = #{id}
    </select>

service略

全部的自定义realm(授权角色信息和字符串权限控制)

public class CustomerRealm extends AuthorizingRealm {
    @Autowired
    private UserService userService;
    @Autowired
    private RoleService roleService;

    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        //获取身份信息
        String primaryPrincipal = (String) principalCollection.getPrimaryPrincipal();
        //根据身份信息获取角色和授权信息
        User user = userService.findRolesByName(primaryPrincipal);
        //授权角色信息
        if (!CollectionUtils.isEmpty(user.getRoles())){
            SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
            //增加角色信息
            user.getRoles().forEach(role->{
                simpleAuthorizationInfo.addRole(role.getName());

                //权限信息
                List<Per> pers = roleService.findPersByRoleId(role.getId());
                if (!CollectionUtils.isEmpty(pers)){
                    pers.forEach(per->{
                        simpleAuthorizationInfo.addStringPermission(per.getName());
                    });
                }
            });

            return simpleAuthorizationInfo;
        }
        return null;
    }

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        String principal = (String) authenticationToken.getPrincipal();
        //在工厂中获取service对象
        /*UserService userService = (UserService) ApplicationContextUtil.getBean("userService");*/
        System.out.println(userService);
        User user = userService.findByName(principal);

        if (!ObjectUtils.isEmpty(user)){
            return new SimpleAuthenticationInfo(user.getName(),user.getPass(), ByteSource.Util.bytes(user.getSalt()),getName());
        }

        return null;
    }
}

controller测试

 /**
     * 权限控制
     */
    @RequestMapping("test")
    //@RequiresRoles("admin")
    @RequiresRoles(value = {"admin","user"})   //用来判断角色,同时具有
    //@RequiresPermissions("user:update:shop") //用来判断权限字符串
    public String test(){
       /* //获取主体对象
        Subject subject = SecurityUtils.getSubject();

        //代码方式控制
        if (subject.hasRole("admin")){
            System.out.println("进去了");
        }else {
            System.out.println("没进去");
        }

        //权限字符串控制
        if (subject.isPermitted("user:update:shop")){
            System.out.println("进去了");
        }else{
            System.out.println("没进去");
        }*/

        return "redirect:/index.jsp";
    }
SpringBoot+shiro整合学习之登录认证和权限控制
qq_20954959的博客
02-13 8168
学习任务目标 用户必须要登陆之后才能访问定义链接,否则跳转到登录页面。 对链接进行权限控制,只有当当前登录用户有这个链接访问权限才可以访问,否则跳转到指定页面。 输入错误密码用户名或则用户被设置为静止登录,返回相应json串信息。 我是用的是之前搭建的一个springboot+mybatisplus+jsp的一个基础框架。在这之上进行shiro的整合。需要的同学可以去我的码云下载。 导入shiro
springboot整合shiro,redis缓存session
02-09
为实现Web应用的分布式集群部署,要解决登录session的统一。本文利用shiro权限控制,redis做session存储,结合spring boot快速配置实现session共享。
Spring Security ,Apache Shiro的对比及数据级权限实现
eya的博客
05-15 948
如题。     以前搞过一阵子的Spring security,现在看来,这个东西除了能和Spring更好的整合外,其它的没有什么太明显的优点。  现在的SpringSecurity显得太笨重了。 一大堆的Filter层层过滤,一个简单的请求,最少得经过它的8个Filter左右,让人很不爽。以及一大堆配置,虽然提供了简化配置,但是哪有完全符合自己需求的东西,最后还是得自己慢慢研究文档和...
八年开发程序员浅析SpringBootShiro Redis 多级缓存问题
weixin_34379433的博客
03-18 136
前言 来自不愿意透露姓名的小师弟的投稿。这篇主要讲了,项目中配置了多缓存遇到的坑,以及解决办法。 发现问题 在一次项目实践中有实现多级缓存其中有已经包括了 Shiro 的 Cache ,本以为开启 redis 的缓存是一件很简单的事情只需要在启动类上加上 @EnableCaching 注解就会启动缓存管理了,但是问题出现了。 重要错误日志截图 java.lang.IllegalStateExce...
springboot shiro redis缓存和session共享例子
05-17
实现springbootshiro 、redis缓存和session共享源码例子
Shiro过滤器配置(ShiroFilterFactoryBean)
热门推荐
霓虹深处
03-30 4万+
这篇博客就是记录一下shiro过滤器的配置和一些注意事项 /** * Shiro过滤器配置 */ @Bean(name = "shiroFilter") public ShiroFilterFactoryBean shiroFilter() { ShiroFilterFactoryBean shiroFilter = new Shir...
springboot-shiro
10-18
SpringBootShiro构建细粒度动态权限管理系统详解》 在现代Web开发中,权限管理是不可或缺的一部分,尤其对于企业级应用来说更是如此。SpringBoot以其轻量级、便捷的特性,已经成为Java开发的首选框架之一。而...
SpringBoot 集成 Shiro 实现动态uri权限
04-22
1. **配置Shiro**: 在SpringBoot项目中引入Shiro依赖,并配置Shiro的Realm,用于处理认证和授权。 Realm是Shiro应用程序的特定安全存储(如数据库)的桥梁。 2. **定义权限模型**: 设计权限、角色和用户的模型,...
springboot shiro安全框架的整合
08-05
SpringBootShiro是两个在Java开发中广泛使用的框架,SpringBoot简化了Spring应用的初始搭建以及开发过程,而Shiro则是一个强大的安全管理框架,负责处理认证、授权、会话管理和安全相关的过滤器。当我们把它们整合...
springboot+shiro+swagger2前后端分离整合
03-03
结合这些组件,开发者可以创建一个安全、文档化的Web服务,前端通过调用API后端进行通信,同时Shiro确保只有经过认证和授权用户才能访问特定资源。Swagger2使得API的接口清晰可见,便于测试和调试,也方便其他...
基于JavaSpringBootShiro权限认证授权整合实践源码
最新发布
09-28
本项目“基于JavaSpringBootShiro权限认证授权整合实践源码”,通过Java语言编写,并基于SpringBoot框架实现了Shiro的整合。该项目不仅展示了如何将Shiro集成到SpringBoot应用中,还通过具体的代码示例,为...
Shiro学习笔记(四)——shiro实现授权
驼君的小小博客园
02-07 422
授权概述 授权,也叫访问控制,即在应用中控制谁能访问哪些资源(如访问页面/编辑数据/页面操作等)。 在授权中需了解的几个关键对象:主体(Subject)、资源(Resource)、权限(Permission)、 角色(Role) 主体 主体,即访问应用的用户,在Shiro中使用Subject代表该用户用户只有授权后才允许访问相应的资源资源 在应用中用户可以访问的任何东西,比如访问JS...
Shiro学习笔记(四):Shiro中的授权
m0_67402731的博客
08-24 287
授权:即访问控制,控制谁能够访问哪些资源。主体进行身份认证后需要分配权限方可访问系统的资源,对于没有授权资源则是无法访问的。
java获取authorization_Java SimpleAuthorizationInfo.addRole方法代码示例
weixin_39610468的博客
12-19 2154
本文整理汇总了Java中org.apache.shiro.authz.SimpleAuthorizationInfo.addRole方法的典型用法代码示例。如果您正苦于以下问题:Java SimpleAuthorizationInfo.addRole方法的具体用法?Java SimpleAuthorizationInfo.addRole怎么用?Java SimpleAuthorizationInf...
Shiro中的授权问题()
江南一点雨的专栏
03-21 5789
上篇博客(Shiro中的授权问题 )我们介绍了Shiro中最最基本的授权问题,以及常见的权限字符的匹配问题。但是这里边还有许多细节需要我们继续介绍,本节我们就来看看Shiro授权的一些细节问题。验证流程首先我们要搞明白整个的验证流程是什么样子的。 在上篇博客(Shiro中的授权问题 )中,我们验证Subject是否具备某项权限的时候使用的是isPermitted方法,但是在上上篇博客(初识Shi
(六)授权(下):自定义permission
weixin_33733810的博客
11-15 429
一、Authorizer、PermissionResolver及RolePermissionResolver Authorizer的职责是进行授权(访问控制),是Shiro API中授权核心的入口点,其提供了相应的角色/权限判断接口,具体请参考其Javadoc。SecurityManager继承了Authorizer接口,且提供了ModularRealmAuthorizer用于多Realm时的授...
Shiro学习笔记——(7)实战之认证授权
星_陨的博客
04-06 532
一、登录认证(1)原理使用FormAuthenticationFilter过虑器实现将用户没有认证时,请求loginurl进行认证,用户身份和用户密码提交数据到loginurl,FormAuthenticationFilter拦截住取出request中的username和password(两个参数名称是可以配置的),FormAuthenticationFilter调用realm传入一个token(...
shiro进行权限控制的四种方式
m0_67402026的博客
04-07 6602
我们使用shiro进行权限控制 有以下几种方式 1. URL拦截权限控制:基于filter过滤器实现 我们在spring配置文件中配置shiroFilter时配置 /css/ = anon /js/ = anon /images/ = anon /validatecode.jsp = anon /login.jsp = anon /userActionlogin.action = anon /pagebasestaff.action = perms\["staff-
shiro自定义Realm入门
wangminjava的专栏
01-16 98
package com.example.springdemo.shiro; import org.apache.shiro.authc.*; import org.apache.shiro.authz.AuthorizationInfo; import org.apache.shiro.authz.SimpleAuthorizationInfo; import org.apache.shiro.realm.AuthorizingRealm; import org.apache.shiro.subject.
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值