shiro之shiro授权

1、添加角色和权限的授权方法
表设计如下:

用户表:
shiro之shiro授权

角色表:

shiro之shiro授权
用户-角色中间表:
shiro之shiro授权
权限表:
shiro之shiro授权
权限-角色中间表:
shiro之shiro授权

根据username查询该用户的所有角色的方法,用于角色验证:

/**
 * 根据用户名查询角色
 * @author LJ
 * @Date 2019/1/4
 * @Time 11:16
 * @param username
 * @return java.util.Set<java.lang.String>
 */
Set<String> queryRolesByName(String username);
select a.rolename from t_shiro_role a,t_shiro_user b,t_shiro_user_role c where a.roleid=c.roleid and b.userid=c.userid and b.username=#{username} 根据username查询他所拥有的权限信息的方法,用于权限判断: 
/**
 * 根据用户名查询权限
 * @author LJ
 * @Date 2019/1/4
 * @Time 11:20
 * @param username
 * @return java.util.Set<java.lang.String>
 */
Set<String> queryPermissionsByName(String username);
select a.permission from t_shiro_permission a,t_shiro_user b,t_shiro_user_role c,t_shiro_role_permission d where b.userid=c.userid and c.roleid=d.roleid and a.perid=d.perid and b.username=#{username} 2、在自定义Realm中配置Shiro授权认证 (1) 获取验证身份(用户名) (2) 根据身份(用户名)获取角色和权限信息 (3) 将角色和权限信息设置到SimpleAuthorizationInfo 
/**
 * @author LJ
 * @Date 2019/1/3
 * @Time 17:11
 * @param principals
 * @return org.apache.shiro.authz.AuthorizationInfo
 */
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
    System.out.println("授权.....");
    String username = principals.getPrimaryPrincipal().toString();
    Set<String> roles = this.userService.queryRolesByName(username);
    Set<String> permissions = this.userService.queryPermissionsByName(username);
    SimpleAuthorizationInfo info=new SimpleAuthorizationInfo();
    info.setRoles(roles);
    info.setStringPermissions(permissions);
    return info;
}

3、使用Shiro标签实现权限验证
(1)导入Shiro标签库

<%@taglib prefix=“shiro” uri=“http://shiro.apache.org/tags” %>
(2)使用Shiro标签库

guest标签 :验证当前用户是否为“访客”,即未认证(包含未记住)的用户
user标签 :认证通过或已记住的用户
authenticated标签 :已认证通过的用户。不包含已记住的用户,这是与user标签的区别所在
notAuthenticated标签 :未认证通过用户,与authenticated标签相对应。与guest标签的区别是,该标签包含已记住用户
principal 标签 :输出当前用户信息,通常为登录帐号信息
hasRole标签 :验证当前用户是否属于该角色
lacksRole标签 :与hasRole标签逻辑相反,当用户不属于该角色时验证通过
hasAnyRole标签 :验证当前用户是否属于以下任意一个角色
hasPermission标签 :验证当前用户是否拥有指定权限
lacksPermission标签 :与hasPermission标签逻辑相反,当前用户没有制定权限时,验证通过

4、使用配置注解实现权限验证
(1)常用Shiro注解

@RequiresAuthenthentication:表示当前Subject已经通过login进行身份验证;即 Subject.isAuthenticated()返回 true
@RequiresUser:表示当前Subject已经身份验证或者通过记住我登录的
@RequiresGuest:表示当前Subject没有身份验证或者通过记住我登录过,即是游客身份
@RequiresRoles(value = {“admin”,“user”},logical = Logical.AND):表示当前Subject需要角色admin和user
@RequiresPermissions(value = {“user:delete”,“user:b”},logical = Logical.OR):表示当前Subject需要权限user:delete或者user:b

(2)开启注解

注:
必须将Shiro注解的开启放置到spring-mvc.xml中(即放在springMVC容器中加载),不然Shiro注解开启无效!!!
必须将Shiro注解的开启放置到spring-mvc.xml中(即放在springMVC容器中加载),不然Shiro注解开启无效!!!
必须将Shiro注解的开启放置到spring-mvc.xml中(即放在springMVC容器中加载),不然Shiro注解开启无效!!!







(3)注解权限验证失败不跳转路径问题

问题原因:由于我们架构是用springmvc框架来搭建的所以项目的路径跳转是由springmvc 来控制的,也就是说我们在shiro里面的配置没有用,如:

//没有用,达不到预期效果

//没有用,达不到预期效果
解决方案:

springmvc中有一个org.springframework.web.servlet.handler.SimpleMappingExceptionResolver类就可以解决这个问题,在spring-mvc.xml中进行配置即可

unauthorized

相关文章:

  • 2022-12-23
  • 2022-01-13
  • 2021-07-20
猜你喜欢
  • 2021-09-23
  • 2021-05-18
  • 2021-07-12
  • 2021-11-20
  • 2021-05-25
相关资源
相似解决方案
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode