Shiro框架验证用户拥有的权限并设置对应的权限给用户角色------Shiro框架

已于 2024-06-13 12:31:40 修改
阅读量1.4k 收藏 13
点赞数 11
CC 4.0 BY-SA版权
分类专栏: # Shiro框架 JAVA # Spring-Boot框架 文章标签: spring boot java mybatis 微服务 web安全 安全 后端
于 2024-06-13 00:04:58 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2201_75960169/article/details/139628920 
package com.alatus.shiro.realm;

import com.alatus.shiro.entity.User;
import com.alatus.shiro.service.UserService;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.util.ByteSource;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Component;
import org.springframework.util.ObjectUtils;
import java.util.List;

@Component
public class MyRealm extends AuthorizingRealm {
    @Autowired
    private UserService userService;
//    自定义授权方法
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
//        获取用户身份信息
        String name = principalCollection.getPrimaryPrincipal().toString();
//        获取授权角色列表
        List<String> roles = userService.getUserRoleInfo(name);
//        获取角色权限信息
        List<String> userPermission = userService.getUserPermissionInfo(roles);
//        创建对象封装当前用户的角色和权限信息
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
//        存储角色
        info.addRoles(roles);
//        储存角色权限信息
        info.addStringPermissions(userPermission);
//        返回角色信息
        return info;
    }

//    自定义登录认证方法
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
//        获取用户身份信息
        String name = authenticationToken.getPrincipal().toString();
//        调用业务层提供的用户信息
        User user = userService.getUserInfoByName(name);
//        非空判断,完成封装
        if(!ObjectUtils.isEmpty(user)){
            AuthenticationInfo info = new SimpleAuthenticationInfo(
                    authenticationToken.getPrincipal(),
                    user.getPwd(),
                    ByteSource.Util.bytes("salt"),
                    authenticationToken.getPrincipal().toString()
            );
            return info;
        }
        return null;
    }
}

package com.alatus.shiro.realm;

import com.alatus.shiro.entity.User;
import com.alatus.shiro.service.UserService;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.util.ByteSource;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Component;
import org.springframework.util.ObjectUtils;
import java.util.List;

@Component
public class MyRealm extends AuthorizingRealm {
    @Autowired
    private UserService userService;
//    自定义授权方法
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
//        获取用户身份信息
        String name = principalCollection.getPrimaryPrincipal().toString();
//        获取授权角色列表
        List<String> roles = userService.getUserRoleInfo(name);
//        获取角色权限信息
        List<String> userPermission = userService.getUserPermissionInfo(roles);
//        创建对象封装当前用户的角色和权限信息
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
//        存储角色
        info.addRoles(roles);
//        储存角色权限信息
        info.addStringPermissions(userPermission);
//        返回角色信息
        return info;
    }

//    自定义登录认证方法
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
//        获取用户身份信息
        String name = authenticationToken.getPrincipal().toString();
//        调用业务层提供的用户信息
        User user = userService.getUserInfoByName(name);
//        非空判断,完成封装
        if(!ObjectUtils.isEmpty(user)){
            AuthenticationInfo info = new SimpleAuthenticationInfo(
                    authenticationToken.getPrincipal(),
                    user.getPwd(),
                    ByteSource.Util.bytes("salt"),
                    authenticationToken.getPrincipal().toString()
            );
            return info;
        }
        return null;
    }
}

package com.alatus.shiro.controller;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.authz.annotation.RequiresPermissions;
import org.apache.shiro.authz.annotation.RequiresRoles;
import org.apache.shiro.subject.Subject;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestParam;
import org.springframework.web.bind.annotation.ResponseBody;
import javax.servlet.http.HttpSession;

@Controller
@RequestMapping("myController")
public class MyController {
    @GetMapping("userLogin")
    public String userLogin(String name, String pwd,@RequestParam(defaultValue = "false")boolean rememberMe, HttpSession session){
//        获取subject对象
        Subject subject = SecurityUtils.getSubject();
//        封装对象到token
        AuthenticationToken token = new UsernamePasswordToken(name,pwd,rememberMe);
//        调用login方法进行认证
        try{
            subject.login(token);
            session.setAttribute("user",token.getPrincipal().toString());
            return "main";
        }
        catch (AuthenticationException e){
            e.printStackTrace();
            return "登陆失败";
        }
    }
    @GetMapping("userLoginRm")
    public String userLogin(HttpSession session){
        session.setAttribute("user","rememberMe");
        return "main";
    }

//    跳转登陆页面
    @GetMapping("login")
    public String login(){
        return "login";
    }

//    登录认证验证角色
    @RequestMapping("userLoginRoles")
    @RequiresRoles("admin")
    @ResponseBody
    public String userLoginRoles(){
        return "验证角色成功";
    }

//    登陆验证权限
    @RequestMapping("userLoginPermission")
    @RequiresPermissions("user:add")
    @ResponseBody
    public String userPermission(){
        return "验证权限成功";
    }
}

package com.alatus.shiro.controller;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.authz.annotation.RequiresPermissions;
import org.apache.shiro.authz.annotation.RequiresRoles;
import org.apache.shiro.subject.Subject;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestParam;
import org.springframework.web.bind.annotation.ResponseBody;
import javax.servlet.http.HttpSession;

@Controller
@RequestMapping("myController")
public class MyController {
    @GetMapping("userLogin")
    public String userLogin(String name, String pwd,@RequestParam(defaultValue = "false")boolean rememberMe, HttpSession session){
//        获取subject对象
        Subject subject = SecurityUtils.getSubject();
//        封装对象到token
        AuthenticationToken token = new UsernamePasswordToken(name,pwd,rememberMe);
//        调用login方法进行认证
        try{
            subject.login(token);
            session.setAttribute("user",token.getPrincipal().toString());
            return "main";
        }
        catch (AuthenticationException e){
            e.printStackTrace();
            return "登陆失败";
        }
    }
    @GetMapping("userLoginRm")
    public String userLogin(HttpSession session){
        session.setAttribute("user","rememberMe");
        return "main";
    }

//    跳转登陆页面
    @GetMapping("login")
    public String login(){
        return "login";
    }

//    登录认证验证角色
    @RequestMapping("userLoginRoles")
    @RequiresRoles("admin")
    @ResponseBody
    public String userLoginRoles(){
        return "验证角色成功";
    }

//    登陆验证权限
    @RequestMapping("userLoginPermission")
    @RequiresPermissions("user:add")
    @ResponseBody
    public String userPermission(){
        return "验证权限成功";
    }
}

package com.alatus.shiro.service;

import com.alatus.shiro.entity.User;

import java.util.List;

public interface UserService {
//    用户登录
    User getUserInfoByName(String name);
//    根据用户查询角色信息
    List<String> getUserRoleInfo(String principal);
//    获取用户的角色权限信息
    List<String> getUserPermissionInfo(List<String> roles);
}

package com.alatus.shiro.service;

import com.alatus.shiro.entity.User;

import java.util.List;

public interface UserService {
//    用户登录
    User getUserInfoByName(String name);
//    根据用户查询角色信息
    List<String> getUserRoleInfo(String principal);
//    获取用户的角色权限信息
    List<String> getUserPermissionInfo(List<String> roles);
}

package com.alatus.shiro.service.impl;

import com.alatus.shiro.entity.User;
import com.alatus.shiro.mapper.UserMapper;
import com.alatus.shiro.service.UserService;
import com.baomidou.mybatisplus.core.conditions.query.QueryWrapper;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Service;

import java.util.List;

@Service
public class UserServiceImpl implements UserService {
    @Autowired
    private UserMapper userMapper;
    @Override
    public User getUserInfoByName(String name) {
        QueryWrapper<User> wrapper = new QueryWrapper<>();
        wrapper.eq("name",name);
        User user = userMapper.selectOne(wrapper);
        return user;
    }

    @Override
    public List<String> getUserRoleInfo(String principal) {
        return userMapper.getUserRoleInfoMapper(principal);
    }

    @Override
    public List<String> getUserPermissionInfo(List<String> roles) {
        return userMapper.getUserPermissionInfoMapper(roles);
    }
}

package com.alatus.shiro.service.impl;

import com.alatus.shiro.entity.User;
import com.alatus.shiro.mapper.UserMapper;
import com.alatus.shiro.service.UserService;
import com.baomidou.mybatisplus.core.conditions.query.QueryWrapper;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Service;

import java.util.List;

@Service
public class UserServiceImpl implements UserService {
    @Autowired
    private UserMapper userMapper;
    @Override
    public User getUserInfoByName(String name) {
        QueryWrapper<User> wrapper = new QueryWrapper<>();
        wrapper.eq("name",name);
        User user = userMapper.selectOne(wrapper);
        return user;
    }

    @Override
    public List<String> getUserRoleInfo(String principal) {
        return userMapper.getUserRoleInfoMapper(principal);
    }

    @Override
    public List<String> getUserPermissionInfo(List<String> roles) {
        return userMapper.getUserPermissionInfoMapper(roles);
    }
}

package com.alatus.shiro.mapper;

import com.alatus.shiro.entity.User;
import com.baomidou.mybatisplus.core.mapper.BaseMapper;
import org.apache.ibatis.annotations.Param;
import org.apache.ibatis.annotations.Select;
import org.springframework.stereotype.Repository;
import java.util.List;

@Repository
public interface UserMapper extends BaseMapper<User> {
    @Select("SELECT `name` FROM role " +
            "WHERE id IN (" +
            "   SELECT rid FROM role_user " +
            "   WHERE uid = (" +
            "       SELECT id FROM `user` " +
            "       WHERE `name` = #{principal}" +
            "   )" +
            ");")
    List<String> getUserRoleInfoMapper(@Param("principal") String principal);

    @Select({
            "<script>",
            "SELECT info FROM permissions WHERE id IN (",
            "SELECT pid FROM role_ps WHERE rid IN (",
            "SELECT id FROM role WHERE name IN",
            "<foreach collection='roles' item='name' open='(' separator=',' close=')'>#{name}</foreach>",
            " )", // 加上关闭IN子句的括号
            ")",
            "</script>"
    })
    List<String> getUserPermissionInfoMapper(@Param("roles") List<String> roles);
}

package com.alatus.shiro.mapper;

import com.alatus.shiro.entity.User;
import com.baomidou.mybatisplus.core.mapper.BaseMapper;
import org.apache.ibatis.annotations.Param;
import org.apache.ibatis.annotations.Select;
import org.springframework.stereotype.Repository;
import java.util.List;

@Repository
public interface UserMapper extends BaseMapper<User> {
    @Select("SELECT `name` FROM role " +
            "WHERE id IN (" +
            "   SELECT rid FROM role_user " +
            "   WHERE uid = (" +
            "       SELECT id FROM `user` " +
            "       WHERE `name` = #{principal}" +
            "   )" +
            ");")
    List<String> getUserRoleInfoMapper(@Param("principal") String principal);

    @Select({
            "<script>",
            "SELECT info FROM permissions WHERE id IN (",
            "SELECT pid FROM role_ps WHERE rid IN (",
            "SELECT id FROM role WHERE name IN",
            "<foreach collection='roles' item='name' open='(' separator=',' close=')'>#{name}</foreach>",
            " )", // 加上关闭IN子句的括号
            ")",
            "</script>"
    })
    List<String> getUserPermissionInfoMapper(@Param("roles") List<String> roles);
}
权限验证框架Shiro
小明同学的博客
08-21 913
总结起来,Realm、AuthenticationFilter和AuthorizationFilter需要进行定义或配置,由SecurityManager进行管理,以确保Shiro能够正确地进行身份验证和授权操作。将数据转换为不可读的形式,以保护数据的安全性。会话是指用户在与应用程序交互期间的一段时间。是整个Shiro安全体系的核心。因为它没有依赖于特定的框架。配置相应的加密算法和密钥。代表当前执行操作的用户。是所有安全操作的入口点。基于Cookie的会话。用于管理用户的会话信息。基于URL重写的会话。
shiroFilter权限验证
09-24
web.xml配置 因为我们是与spring进行集成的,而spring的基本就是web项目的xml文件。所以我们在web.xml中配置shiros的过滤拦截。正常情况下,我们需要将shiro的filter配置在所有的filter前面,当然和encodingFilter这个filter是不区分前后的。因为两者互相不影响的。spring-shiro.xml 这里我们将来看看spring-shiro.xml的配置,这里我采取倒叙的方式讲解,我觉的倒叙更加的有助于我们理解代码。首先我们还记得在web.xml中配置的那个filter吧,名字shiroFilter,对spring-shiro.xml配置文件就是通过这个filter展开的。首先我们在web.xml配置的过滤器实际上是配置ShiroFilterFactoryBean,所以在这里需要将ShiroFilterFactoryBean定义为shiroFilter <!-- Shiro的核心安全接口,这个属性是必须的 --> <!-- 要求登录时的链接(可根据项目的URL进行替换),非必须的属性,默认会自动寻找Web工程根目录下的"/login.html"页面 --> <!-- 登录成功后要跳转的连接 --> <!-- 用户访问未对其授权的资源时,所显示的连接 --> <!-- 若想更明显的测试此属性可以修改它的值,如unauthor.jsp,然后用[玄玉]登录后访问/admin/listUser.jsp就看见浏览器会显示unauthor.jsp --> <!-- Shiro连接约束配置,即过滤链的定义 --> <!-- 此处可配合我的这篇文章来理解各个过滤连的作用http://blog.csdn.net/jadyer/article/details/12172839 --> <!-- 下面value值的第一个'/'代表的路径是相对于HttpServletRequest.getContextPath()的值来的 --> <!-- anon:它对应的过滤器里面是空的,什么都没做,这里.do和.jsp后面的*表示参数,比方说login.jsp?main这种 --> <!-- authc:该过滤器下的页面必须验证后才能访问,它是Shiro内置的一个拦截器org.apache.shiro.web.filter.authc.FormAuthenticationFilter --> /statics/**=anon /login.html=anon /sys/schedule.html=perms[sys:schedule:save] /sys/login=anon /captcha.jpg=anon /**=authc
Shiro学习笔记(3)——授权(Authorization)
君君的专栏
05-28 1万+
什么是授权 授权三要素 Shiro的三种授权方式 1 编码方式授权 2 基于注解的授权 3 JSP标签授权1.什么是授权授权,就是访问控制,控制某个用户在应用程序中是否有权限做某件事2.授权三要素 权限 请看Shiro学习笔记(1)——shiro入门中权限部分内容角色 通常代表一组行为或职责.这些行为演化为你在一个软件应用中能或者不能做的事情。角色通常是分配给用户帐户的,因此,通过分配,用户
使用Shiro实现权限验证
热门推荐
YanMonarch博客
01-17 10万+
《使用Shiro实现权限验证》 1. Shiro入门 ApacheShiro是一个功能强大且易于使用的Java安全框架,提供了认证,授权,加密,和会话管理。 Shiro有三大核心组件: Subject:即当前用户,在权限管理的应用程序里往往需要知道谁能够操作什么,谁拥有操作该程序的权利,shiro中则需要通过Subject来提供基础的当前用户信息,Subject 不仅仅代表某个用户,与当前
SpringBoot + Apache Shiro1.9.1 最新版本详细教程,基于RBAC角色访问、安全管理框架用户角色权限
07-26
0、重点!重点!...1、本教程适用所有开发人员简单易懂,结合文章教程与demo示例。...5、基于RBAC五张表:用户表 tb_user、角色表tb_role、权限表tb_permission、用户角、表tb_user_role、角色权限tb_role_permissio
SpringBoot2.0整合Shiro框架实现用户权限管理的示例
08-25
6. 实现用户权限管理:使用Shiro框架可以实现用户权限管理,通过Realm域对象来定义访问数据的方式,通过SecurityManager来完成用户认证和授权。 7. 示例代码:通过详细的示例代码,展示了如何使用Shiro框架来实现...
springboot-shiro权限管理系统.zip
07-05
2. **Shiro框架** Apache Shiro提供了身份认证、授权、会话管理和安全相关的API,使得开发者能够轻松地实现权限控制。它的核心组件包括Subject(主体)、SecurityManager(安全管理器)、Realms(领域)和...
精品专题(2021-2022年收藏)shiro安全框架扩展教程如何动态控制页面节点元素的权限.doc
10-02
Subject代表当前操作用户,SecurityManager是整个Shiro框架的管控中心,它管理着Subject与Realms的关系,而Realms则负责从数据源获取验证和授权信息。Caches则用于存储权限角色信息,提高访问速度。 在Shiro中,...
Apache Shiro权限框架核心包shiro-all-1.2.3管理与应用
版本号1.2.3表示这个jar包对应的是Shiro框架的1.2.3版本,开发者可以在这一版本号的Shiro框架中使用所有安全相关的API,而无需引入其他额外的库文件。 描述中指出了该jar包是“apache权限框架的缓存管理器要用到的...
shiro 权限认证以及授权demo
09-10
shiro 权限认证以及授权demo
shirojava代码里判断此用户是否有此权限
m0_67393039的博客
08-24 467
【代码】shirojava代码里判断此用户是否有此权限
shiro 实现自己定义权限规则校验
weixin_33711647的博客
07-26 155
&lt;span style="font-family: Arial, Helvetica, sans-serif;"&gt;在系统中使用shiro进行权限管理,当用户訪问没有权限的资源时会跳转到指定的登录url。&lt;/span&gt; 可是假设系统中支持手机app。手机訪问时没有使用session进行登录凭证管理。而是使用token,有两种解决方法: 1:支持手机client訪问...
Shiro权限认证
Think In JAVA—Max
04-20 6500
一、权限认证核心要素 权限认证顾名思义,就是在应用系统中,控制谁能访问哪些资源。核心要素有仨:权限角色用户   权限:即操作资源的权利,如访问某个url,对某个模块数据进行增删改查   角色权限的集合,一种角色可以包含多种权限。例如操作员角色可查看系统账单、进行结账操作多种权限。   用户:也就是身份认证中提到的subject一角。  二、授权 shiro授权的方式通常有三种
shiro web 身份、权限验证流程
TheThirdMoon的博客
03-27 388
1. 权限验证更灵活的方式是使用aop和注解方式 2. 除了权限验证还有一个角色验证,流程和权限验证类似,使用了UserFilter, RolesAuthorizationFilter
权限认证框架---Shiro
最新发布
qq_60067835的博客
12-07 2213
带你从0到1开始学习安全认证框架,采用图文结合和案例分析的模式,实操体验认证全流程
shiro权限
weixin_46423748的博客
05-14 1790
shiro权限框架 什么是shiro Shiro是apache旗下一个开源框架,它将软件系统的安全认证相关的功能抽取出来,实现用户身份认证,权限授权、加密、会话管理等功能,组成了一个通用的安全认证框架shiro架构 Subject Subject即主体,外部应用与subject进行交互,subject记录了当前操作用户,将用户的概念理解为当前操作的主体,可能是一个通过浏览器请求的用户,也可能是一个运行的程序。 Subject在shiro中是一个接口接口中定义了很多认证授权相关的方法,外部程序通过su
Shiro自定义权限验证
w_xy999的博客
11-17 1084
/api/permission/find/{id} 和 /api/permission/find/1进行匹配
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值