shiro的授权

于 2019-12-03 11:21:50 发布
阅读量161 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 权限 文章标签: shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/water_java/article/details/103361754
本文详细介绍如何在Shiro框架中实现用户权限和角色管理,包括数据库查询、自定义Realm授权方法及注解式开发。通过示例代码,读者可以了解如何在实际项目中应用Shiro进行权限控制。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

shiro的授权


结合我博文: https://blog.youkuaiyun.com/water_java/article/details/103329222查看

shiro的授权角色,权限

shiroUserMapper.xml添加

<!--查询用户对应角色-->
<select id="getRolesByUserId" resultType="java.lang.String" parameterType="java.lang.Integer">
  select r.roleid from t_shiro_user u,t_shiro_user_role ur,t_shiro_role r
    where u.userid = ur.userid and ur.roleid = r.roleid
    and u.userid = #{userid}
</select>
<!--查询用户对应权限-->
<select id="getPersByUserId" resultType="java.lang.String" parameterType="java.lang.Integer">
  select p.permission from t_shiro_user u,t_shiro_user_role ur,t_shiro_role_permission rp,t_shiro_permission p
  where u.userid = ur.userid and ur.roleid = rp.roleid and rp.perid = p.perid
  and u.userid = #{userid}
</select>

ShiroUserMapper.java添加

 /**
     * 查询某用户角色id集合
     * @param userid
     * @return
     */
    Set<String> getRolesByUserId(@Param("userid") Integer userid);

    /**
     * 查询某用户权限id集合
     * @param userid
     * @return
     */
    Set<String> getPersByUserId(@Param("userid") Integer userid);

用set集合去除重复数据
ShiroUserService.java添加

 Set<String> getRolesByUserId( Integer userid);
    
 Set<String> getPersByUserId( Integer userid);

实现类ShiroUserServiceImpl.java添加

@Override
    public Set<String> getRolesByUserId(Integer userid) {
        return shiroUserMapper.getRolesByUserId(userid);
    }

    @Override
    public Set<String> getPersByUserId(Integer userid) {
        return shiroUserMapper.getPersByUserId(userid);
    }

重写自定义MyRealm中的授权方法

    /**
     * 授权
     * @param principalCollection
     * @return
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
    //获得到登录的用户
        ShiroUser shiroUser = this.shiroUserService.queryByName(principalCollection.getPrimaryPrincipal().toString());
    //获得登录的用户的角色id
        Set<String> rolesByUserId = this.shiroUserService.getRolesByUserId(shiroUser.getUserid());
      //获得到登录的用户的权限id
        Set<String> persByUserId = this.shiroUserService.getPersByUserId(shiroUser.getUserid());

        AuthorizationInfo authorizationInfo=new SimpleAuthorizationInfo();
        //赋予角色
        ((SimpleAuthorizationInfo) authorizationInfo).setRoles(rolesByUserId);
        //赋予权限
        ((SimpleAuthorizationInfo) authorizationInfo).setStringPermissions(persByUserId);

        return authorizationInfo;
    }

因为我的applicationContext-shiro.xml里的授权配置与我的‘set<String>’不一致所以需要修改成如下(这是根据我自己的数据库表来修改的)

   /admin/*.jsp=roles[4]

shiro的安全系数高,我们每发一次请求,它都会进行一次认证,这是它的优点,同时是它的缺点,因为这样的操作会使它性能降低,若我们需要解决这个问题有两种方法,一个是用redis处理,把set<>放入redis,不去访问数据库;还有一个是用shiro的缓存管理。这些技术就需要朋友们自己去研究了。

shiro的注解式开发

为了使授权,认证更加方便灵活,我们使用注解式开发

常用注解介绍

  @RequiresAuthenthentication:表示当前Subject已经通过login进行身份验证;即 Subject.isAuthenticated()返回 true
  @RequiresUser:表示当前Subject已经身份验证或者通过记住我登录的
  @RequiresGuest:表示当前Subject没有身份验证或者通过记住我登录过,即是游客身份
  @RequiresRoles(value = {"admin","user"},logical = Logical.AND):表示当前Subject需要角色admin和user
  @RequiresPermissions(value = {"user:delete","user:b"},logical = Logical.OR):表示当前Subject需要权限user:delete或者user:b

直接用注解是不会生效的,我们需要配合一个拦截器

Springmvc-servlt.xml添加

<bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator"
      depends-on="lifecycleBeanPostProcessor">
    <property name="proxyTargetClass" value="true"></property>
</bean>
<bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
    <property name="securityManager" ref="securityManager"/>
</bean>

<bean id="exceptionResolver" class="org.springframework.web.servlet.handler.SimpleMappingExceptionResolver">
    <property name="exceptionMappings">
        <props>
            <prop key="org.apache.shiro.authz.UnauthorizedException">
                unauthorized
            </prop>
        </props>
    </property>
    <property name="defaultErrorView" value="unauthorized"/>
</bean>

controller层

/**
     * 用户身份认证
     * @param request
     * @return
     */
    @RequiresUser
    @RequestMapping("/passUser")
    public String passUser(HttpServletRequest request){
        System.out.println("用户通过认证");
        return "pass users...";
    }

    /**
     * 用户角色认证
     * @param request
     * @return
     */
    //若有2或4角色,则通过(把OR改成AND,必须同时满足俩个条件)
    @RequiresRoles(value = {"2","4"},logical = Logical.OR)
    @RequestMapping("/passRole")
    public String passRole(HttpServletRequest request){
        System.out.println("角色通过认证");
        return "pass roles...";
    }

    /**
     * 用户权限认证
     * @param request
     * @return
     */
    //若同时具备load,export权限,则通过(把AND改成OR,只需满足其中一个条件)
    @RequiresPermissions(value = {"user:load","user:export"},logical = Logical.AND)
    @RequestMapping("/passPer")
    public String passPer(HttpServletRequest request){
        System.out.println("权限通过认证");
        return "pass permissions...";
    }

测试结果我就不展示了

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值