精华内容
下载资源
问答
  • Shiro - 权限控制

    2019-02-12 11:23:12
    在上一篇《Shiro – 登陆验证》中...这次我们继续实现另一个方法doGetAuthorizationInfo()来实现权限控制功能。 授权也称为访问控制,是管理资源访问的过程。即根据不同用户的权限判断其是否有访问相应资源的权限...
    
    

    在上一篇《Shiro – 登陆验证》中我们在自定义的UserRealm中继承了抽象类AuthorizingRealm,实现该类中的doGetAuthenticationInfo方法完成了登陆验证功能的实现。这次我们继续实现另一个方法doGetAuthorizationInfo()来实现权限控制功能。

    授权也称为访问控制,是管理资源访问的过程。即根据不同用户的权限判断其是否有访问相应资源的权限。

    在Shiro中,权限控制有三个核心的元素:权限,角色和用户。

    数据库相关表设计

    在这里,我们使用RBAC(Role-Based Access Control,基于角色的访问控制)模型设计用户,角色和权限间的关系。简单地说,一个用户拥有若干角色,每一个角色拥有若干权限。这样,就构造成“用户-角色-权限”的授权模型。
    在这种模型中,用户与角色之间,角色与权限之间,一般者是多对多的关系。
    根据以上模型设计如下简易表结构

    接下来我们来实现Realm的doGetAuthorizationInfo()方法。

    @Slf4j
    public class ShiroRealm extends AuthorizingRealm {
        @Autowired
        private UserMapper userMapper;
        @Autowired
        private UserRoleMapper userRoleMapper;
        @Autowired
        private UserPermissionMapper userPermissionMapper;
    
        /**
         * 获取用户角色和权限
         * @param principalCollection
         * @return
         */
        @Override
        protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
            User user = (User) SecurityUtils.getSubject().getPrincipal();
            String userName = user.getUserName();
    
            System.out.println("用户" + userName + "获取权限-----ShiroRealm.doGetAuthorizationInfo");
            SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
    
            // 获取用户角色集
            List<Role> roleList = userRoleMapper.findByUserName(userName);
            Set<String> roleSet = new HashSet<String>();
            for (Role r : roleList) {
                roleSet.add(r.getName());
            }
            simpleAuthorizationInfo.setRoles(roleSet);
    
            // 获取用户权限集
            List<Permission> permissionList = userPermissionMapper.findByUserName(userName);
            Set<String> permissionSet = new HashSet<String>();
            for (Permission p : permissionList) {
                permissionSet.add(p.getName());
            }
            simpleAuthorizationInfo.setStringPermissions(permissionSet);
            return simpleAuthorizationInfo;
        }
    }

    这里有两个比较重要的查询接口

    // 获取用户角色集
    List<Role> roleList = userRoleMapper.findByUserName(userName);
    Set<String> roleSet = new HashSet<String>();
    for (Role r : roleList) {
    	roleSet.add(r.getName());
    }
    simpleAuthorizationInfo.setRoles(roleSet);
    
    // 获取用户权限集
    List<Permission> permissionList = userPermissionMapper.findByUserName(userName);
    Set<String> permissionSet = new HashSet<String>();
    for (Permission p : permissionList) {
    	permissionSet.add(p.getName());
    }
    simpleAuthorizationInfo.setStringPermissions(permissionSet);
    return simpleAuthorizationInfo;

    将当前用户的角色集和权限集注入到Shiro中。

    接下来我们来看下ShiroConfig中的配置,有什么变化;

    shiro为我们提供了一些便利的权限注解

    // 表示当前Subject已经通过login进行了身份验证;即Subject.isAuthenticated()返回true。
    @RequiresAuthentication  
     
    // 表示当前Subject已经身份验证或者通过记住我登录的。
    @RequiresUser  
    
    // 表示当前Subject没有身份验证或通过记住我登录过,即是游客身份。
    @RequiresGuest  
    
    // 表示当前Subject需要角色admin和user。  
    @RequiresRoles(value={"admin", "user"}, logical= Logical.AND)  
    
    // 表示当前Subject需要权限user:a或user:b。
    @RequiresPermissions (value={"user:a", "user:b"}, logical= Logical.OR)

    要想使用这些注解,需要在ShiroConfig加上如下配置

    /**
     * Shiro 权限相关注解 使用
     * @return
     */
    @Bean
    @DependsOn({"lifecycleBeanPostProcessor"})
    public DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator() {
    	DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator = new DefaultAdvisorAutoProxyCreator();
    	advisorAutoProxyCreator.setProxyTargetClass(true);
    	return advisorAutoProxyCreator;
    }
    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager) {
    	AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();
    	authorizationAttributeSourceAdvisor.setSecurityManager(securityManager);
    	return authorizationAttributeSourceAdvisor;
    }

    配置完成之后我们就可以直接使用这些注解了。

    @Controller
    @RequestMapping("/user")
    public class UserController {
    
        @RequiresPermissions("user:user")
        @RequestMapping("list")
        public String userList(Model model) {
            model.addAttribute("value", "获取用户信息");
            return "user";
        }
        
        @RequiresPermissions("user:add")
        @RequestMapping("add")
        public String userAdd(Model model) {
            model.addAttribute("value", "新增用户");
            return "user";
        }
        
        @RequiresPermissions("user:delete")
        @RequestMapping("delete")
        public String userDelete(Model model) {
            model.addAttribute("value", "删除用户");
            return "user";
        }
    }

    本以为在ShiroConfig中配置了shiroFilterFactoryBean.setUnauthorizedUrl("/403");,当访问的时候,没有权限的访问会自动重定向到/403,结果证明并不是这样。后来研究发现,该设置只对filterChain起作用,比如在filterChain中设置了filterChainDefinitionMap.put("/user/update", "perms[user:update]");,如果用户没有user:update权限,那么当其访问/user/update的时候,页面会被重定向到/403。

    相关解释可参考:https://www.cnblogs.com/qlong8807/p/5524381.html

    针对以上问题,我们可以定义一个全局异常捕获类

    @ControllerAdvice
    @Order(value = Ordered.HIGHEST_PRECEDENCE)
    public class GlobalExceptionHandler {
        @ExceptionHandler(value = AuthorizationException.class)
        public String handleAuthorizationException() {
            return "403";
        }
    }

    参考:https://mrbird.cc/Spring-Boot-Shiro%20Authorization.html

    展开全文
  • shiro-权限控制与RBAC分配表 注:  所有shiro使用方法都是围绕springrain项目进行的. 具体的springrain项目demo可以在之前的博客中找到. 经典权限五张表指的是:  ①用户表  ②用户-角色表  ③角色表  ④角色权限...

    shiro-权限控制与RBAC分配表

    注:
     所有shiro使用方法都是围绕springrain项目进行的. 具体的springrain项目demo可以在之前的博客中找到.

    经典权限五张表指的是:
     ①用户表
     ②用户-角色表
     ③角色表
     ④角色权限表
     ⑤权限表

    ER图:
    在这里插入图片描述

    这里写图片描述

    t_org是部门表,考虑到员工兼职,所以有t_user_org 中间表.

    t_menu是菜单表,字段 type 是标示是菜单资源还是普通资源 菜单资源的意义就是导航菜单,会显示到左侧导航,普通资源就是菜单内的按钮或者提交路径,这个时候 pid的意义就比较重要了,pid就是上级菜单的id,对于页面普通资源来说,就是相应的导航菜单的url,这样在管理界面能够树形显示出来.

    用户正常登陆后,根据用户的角色查询角色拥有的菜单权限,通过树形菜单显示导航,示例效果图如下:
    这里写图片描述
    在这里插入图片描述

    每个菜单下一般拥有增删改查导入导出等普通资源,这些也是有权限控制的,后台分配权限示例如下图:
    这里写图片描述

    图中 博客管理 是一个导航菜单,其中包含删除博客等动作的普通资源url. 通过 t_menu表中 type 字段进行标示菜单资源或者普通资源,pid字段标示这些普通资源属于 博客管理 这个菜单下.
    在这里插入图片描述

    删除,批量删除等其实就是前台操作的按钮,通过shiro的标签,可以控制按钮是否显示,shiro官方提供了jstl的标签库,springrain是使用了freemarker标签.

    以博客管理为例代码截图如下:
    这里写图片描述
    在这里插入图片描述

    就此 就能灵活分配和管理每个操作的权限.

    对于通用的url拦截权限来说,这几张表足够用了.

    展开全文
  • shiro权限控制

    千次阅读 2016-04-03 00:21:12
    shiro 是一个权限管理框架,可以用来做权限的管理与控制,这个shiro框架可以对权限做控制,他的权限管理,大到role,小到权限,在权限控制上,可以通过shiro标记做资源权限管理。  简单记录一下这个shiro的使用:...

            shiro 是一个权限管理框架,可以用来做权限的管理与控制,这个shiro框架可以对权限做控制,他的权限管理,大到role,小到权限,在权限控制上,可以通过shiro标记做资源权限管理。

           简单记录一下这个shiro的使用:自身是做web的,所以就说shiro在web中的使用。在web.xml中加shiro过滤器:

    <!-- apache shiro权限 -->
    <filter>
    <filter-name>shiroFilter</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
    <init-param>
    <param-name>targetFilterLifecycle</param-name>
    <param-value>true</param-value>
    </init-param>
    </filter>


    <filter-mapping>
    <filter-name>shiroFilter</filter-name>
    <url-pattern>*.do</url-pattern>
    </filter-mapping>
    <filter-mapping>
    <filter-name>shiroFilter</filter-name>
    <url-pattern>*.jsp</url-pattern>
    </filter-mapping>
    这个是说过滤.jsp和.do的请求。

            在applicationContext.xml中:

           <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
    <property name="securityManager" ref="securityManager" />
    <property name="loginUrl" value="/login.jsp" />
    <property name="successUrl" value="/login.jsp" />
    <property name="unauthorizedUrl" value="/error/noperms.jsp" />
    <property name="filterChainDefinitions">
    <value>
    /login.jsp* = anon
    /login.do* = anon
    /index.jsp*= anon
    /error/noperms.jsp*= anon
    /*.jsp* = authc
    /*.do* = authc
    </value>
    </property>
    </bean>


    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
    <!--设置自定义realm -->
    <property name="realm" ref="monitorRealm" />
    </bean>


    <bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor" />


    <!--自定义Realm 继承自AuthorizingRealm -->
    <bean id="monitorRealm" class="com.ha.shiro.MonitorRealm"></bean>
    <!-- securityManager -->
    <bean
    class="org.springframework.beans.factory.config.MethodInvokingFactoryBean">
    <property name="staticMethod"
    value="org.apache.shiro.SecurityUtils.setSecurityManager" />
    <property name="arguments" ref="securityManager" />
    </bean>


    <!-- Enable Shiro Annotations for Spring-configured beans. Only run after -->
    <!-- the lifecycleBeanProcessor has run: -->
    <bean
    class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator"
    depends-on="lifecycleBeanPostProcessor" />
    <bean
    class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
    <property name="securityManager" ref="securityManager" />


    </bean>
           这样就配好了:

          还要自定义一个realm:

          这个realm要继承AuthorizingRealm,重写:doGetAuthorizationInfo和doGetAuthenticationInfo。

          doGetAuthorizationInfo这个是获取权限和角色。

           doGetAuthenticationInfo是做登录验证,登录验证的方法:subject.login()这个就是用这个方法来检验的。

    展开全文
  • Shiro权限控制

    2018-06-12 12:40:49
    认证和授权为权限控制的核心,简单来说,“认证”就是证明“你是谁?” Web 应用程序一般做法是通过表单提交的用户名及密码达到认证目的。“授权”即是"你能做什么?",很多系统通过资源表的形式来完成...

    一 shiro简介

    apache shiro 是功能强大并且容易集成的开源权限框架,它能够完成认证、授权、加密、会话管理等功能。认证和授权为权限控制的核心,简单来说,“认证”就是证明“你是谁?” Web 应用程序一般做法是通过表单提交的用户名及密码达到认证目的。“授权”即是"你能做什么?",很多系统通过资源表的形式来完成用户能做什么



    二 shiro和spring集成

    我这里用的是 SpringMvc + Mybatis + Shiro 集成,  

    SpringMvc+ Mybatis的集成可参见: SpringMvc+Mybatis整合

    shiro实现过程中的权限等信息会查询数据库, 使用的是Mybatis查询, 实现方式参照上面连接,不再赘述

    直接介绍Shiro和 Spring的集成

    1 web.xml 配置

        

    <filter>
        <filter-name>shiroFilter</filter-name>
        <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
        <init-param>
          <param-name>targetFilterLifecycle</param-name>
          <param-value>true</param-value>
        </init-param>
      </filter>
      <filter-mapping>
        <filter-name>shiroFilter</filter-name>
        <url-pattern>/*</url-pattern>
      </filter-mapping>


    2 在Spring配置文件中添加Shiro的配置

    我在springApplication.xml引入了shiro的单独配置文件

    <import resource="classpath:config/aC-shiro.xml" />

    shiro的配置文件如下:

    <?xml version="1.0" encoding="UTF-8"?>
    <beans xmlns="http://www.springframework.org/schema/beans" 
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xmlns:util="http://www.springframework.org/schema/util"
       xmlns:aop="http://www.springframework.org/schema/aop" 
       xsi:schemaLocation="http://www.springframework.org/schema/beans 
                           http://www.springframework.org/schema/beans/spring-beans-3.2.xsd
                           http://www.springframework.org/schema/aop 
       http://www.springframework.org/schema/aop/spring-aop.xsd
       http://www.springframework.org/schema/util http://www.springframework.org/schema/util/spring-util.xsd"
                           
    default-lazy-init="true">
    <description>Shiro安全配置</description>
    <!-- 使用默认的WebSecurityManager -->
    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
    <property name="realm" ref="MyShiroDbRealm" />
     <!-- cacheManager,集合spring缓存工厂 -->
    <!--  <property name="cacheManager" ref="shiroEhcacheManager" />-->
    </bean>
    <!-- 項目自定义的Realm, 所有accountService依赖的dao都需要用depends-on声明 -->
    <bean id="MyShiroDbRealm" class="com.ass.shiro.service.MyShiroDbRealm">
    <!-- 
    <property name="accountService" ref="accountService"/>
     -->
    </bean>
    <!-- Shiro Filter 
       提示: org.apache.shiro.spring.web.ShiroFilterFactoryBean 的 id 名称必须和 web.xml 的 filter-name 一致
    -->
    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
    <!-- shiro的核心安全接口  -->
    <property name="securityManager" ref="securityManager" />
    <!-- 要求登录时的链接 -->
    <property name="loginUrl" value="/login.do" />
    <!-- 登陆成功后要跳转的连接 -->
    <property name="successUrl" value="/"/>
    <!-- 没有权限要跳转的链接 -->
        <property name="unauthorizedUrl" value="/unauthorized.do" />
        
        <!-- shiro连接约束配置,在这里使用自定义的 从数据库中动态获取资源 -->
        
        <property name="filterChainDefinitionMap" ref="chainDefinitionSectionMetaSource" /> 
          
         <!-- 上面的标签从数据库中取权限信息, 下面的标签的权限信息就卸载xml文件里面,选择一种使用即可 -->
          
         <!-- [上行的配置的覆盖下行的配置的] 
         <property name="filterChainDefinitions">
            <value>
               /login.do = authc 
                /favicon.ico = anon
                /logout.do = logout
                /images/** = anon
                /css/** = anon
                /common/system/index.jsp = authc
                /common/ueditor/** = anon
                /common/** = anon
                /door/** = anon 
                /dwr/** = anon
                / = anon
                /core/** = anon
                /push/** = anon
           
                /** = anon
               </value>
        </property> -->
    </bean>
    <!-- 自定义对 shiro的连接约束,结合shiroSecurityFilter实现从数据库中动态获取资源,  默认的连接配置 -->
    <bean id="chainDefinitionSectionMetaSource" class="com.ass.shiro.service.ChainDefinitionSectionMetaSource">
           
        <property name="filterChainDefinitions">
            <value>
            <!-- -->
                /login.do = authc 
                /favicon.ico = anon
                /logout.do = logout
                /images/** = anon
                /css/** = anon
                /common/js/jquery-1.10.2.min.js = anon
                
                
                /selectOption.do = roles[index]
                /index.jsp = perms[index:index]
                
                <!-- /** = authc  --> 
                <!-- authc必须是验证过的,不能是"remember me",
                而user可以是"remember me",只要Subject包含principal就行。 -->
                
                <!-- 
                anon:  例子/admins/**=anon 没有参数,表示可以匿名使用。
                authc: 例如/admins/user/**=authc表示需要认证(登录)才能使用,没有参数
                authcBasic:例如/admins/user/**=authcBasic没有参数表示httpBasic认证
                user:例如/admins/user/**=user没有参数表示必须存在用户,当登入操作时不做检查
                
                roles:例子/admins/user/**=roles[admin],参数可以写多个,多个时必须加上引号,并且参数之间用逗号分割,当有多个参数时,例如admins/user/**=roles["admin,guest"],每个参数通过才算通过,相当于hasAllRoles()方法。
                perms:例子/admins/user/**=perms[user:add:*],参数可以写多个,多个时必须加上引号,并且参数之间用逗号分割,例如/admins/user/**=perms["user:add:*,user:modify:*"],当有多个参数时必须每个参数都通过才通过,想当于isPermitedAll()方法。
                rest:  例子/admins/user/**=rest[user],根据请求的方法,相当于/admins/user/**=perms[user:method] ,其中method为post,get,delete等。
    ssl:例子/admins/user/**=ssl没有参数,表示安全的url请求,协议为https
    port:  例子/admins/user/**=port[8081],当请求的url的端口不是8081是跳转到schemal://serverName:8081?queryString,其中schmal是协议http或https等,serverName是你访问的host,8081是url配置里port的端口,queryString
    是你访问的url里的?后面的参数。
                            注:anon,authcBasic,auchc,user是认证过滤器,
    perms,roles,ssl,rest,port是授权过滤器
                 -->
            </value>
        </property>
    </bean> 
    <!-- 用户授权信息Cache, 采用EhCache
    <bean id="shiroEhcacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager">
    <property name="cacheManagerConfigFile"  value="/WEB-INF/config/ehcache/ehcache-shiro.xml"/>
    </bean> 
    -->
    <!-- 保证实现了Shiro内部lifecycle函数的bean执行 -->
    <bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>
    <!-- 注解 使用方式,暂时为用到。下面方式没有验证。
    <aop:aspectj-autoproxy proxy-target-class="true" />
    <bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
        <property name="securityManager" ref="securityManager"/>
    </bean>
     -->
    </beans>


    上面配置文件中 的配置:

    <bean id="chainDefinitionSectionMetaSource" class="com.ass.shiro.service.ChainDefinitionSectionMetaSource">

    会在项目启动的时候从数据库中加载权限信息.

    权限:

    一个人拥有多个角色, 一个角色包含多个权限, 

    人和角色1对多, 角色和权限1对多

    对应数据库表:


    t_user:用户表

    t_user_role:用户 角色中间表

    t_role: 角色表

    t:role_permission: 角色权限中间表

    t_permission: 权限表


    com.ass.shiro.service.ChainDefinitionSectionMetaSource

    3类自动读取数据库中权限信息的实现方式如下

    package com.ass.shiro.service;
    import java.util.HashMap;
    import java.util.List;
    import java.util.Map;
    import javax.annotation.Resource;
    import org.apache.shiro.config.Ini;
    import org.apache.shiro.config.Ini.Section;
    import org.apache.shiro.util.CollectionUtils;
    import org.apache.shiro.web.config.IniFilterChainResolverFactory;
    import org.springframework.beans.BeansException;
    import org.springframework.beans.factory.FactoryBean;
    import org.springframework.beans.factory.annotation.Autowired;
    import org.springframework.stereotype.Component;
    import com.ass.common.generated.dao.TPermissionMapper;
    import com.ass.common.generated.model.TPermission;
    import com.ass.common.generated.model.TPermissionExample;
    import com.ass.common.utils.StringUtil;
    /**
     * 借助spring {@link FactoryBean} 对apache shiro的premission进行动态创建 动态的从数据库中读取权限信息
     * 
     * @author wangt
     * 
     */
    @Component
    public class ChainDefinitionSectionMetaSource implements
    FactoryBean<Ini.Section{
    public static int i;
    // shiro默认的链接定义 写在xml上的。
    private String filterChainDefinitions;
    @Resource
    private TPermissionMapper tPermissionMapper;
    /**
     * 通过filterChainDefinitions对默认的链接过滤定义
     * 
     * @param filterChainDefinitions
     *            默认的接过滤定义
     */
    public void setFilterChainDefinitions(String filterChainDefinitions) {
    this.filterChainDefinitions = filterChainDefinitions;
    }
    @Override
    public Section getObject() throws BeansException {
    Ini ini = new Ini();
    // 加载默认的url
    ini.load(filterChainDefinitions);
    System.out.println(filterChainDefinitions);
    /*1加载类似以下的信息
      /login.do = authc 
            /favicon.ico = anon
            /logout.do = logout
            /selectOption.do = roles[index]
            /index.jsp = perms[index:index]
    /testDwr.jsp = perms[index:testdwr]
              
             2
             循环数据库资源的url
            for (Resource resource : resourceDao.getAll()) {
    if(StringUtils.isNotEmpty(resource.getValue()) && StringUtils.isNotEmpty(resource.getPermission())) {
            section.put(resource.getValue(), resource.getPermission());
            }
            }
    加载数据库t_permission 的 value 和 permission组成类似1的格式 ,
    若要这样使用, permission 需要--->  perms[permission]
     */
    Ini.Section section = ini.getSection(Ini.DEFAULT_SECTION_NAME);
    //查询数据库中所有的  路径对应需要的权限.
    TPermissionExample example = new TPermissionExample();
    example.createCriteria().andPermissionIsNotNull().andValueIsNotNull().andNameIsNotNull();
    List<TPermission> lst = tPermissionMapper.selectByExample(example);
    for(TPermission per : lst){
    //访问某一路径,需要对应的权限
    if(StringUtil.isNotEmpty(per.getValue())&&StringUtil.isNotEmpty(per.getPermission()))
    section.put(per.getValue(), "perms["+per.getPermission()+"]");
    }
    //section.put("/testDwr.jsp", "perms[index:testdwr]");///testDwr.jsp = perms[index:testdwr]
    /*//因为顺序原因, 把/**放到最后
     *   [上面的配置覆盖下面的配置]
     *  把("/**", "authc") 放在  ("/testDwr.jsp", "perms[index:testdwr]")  上面,
     *  /testDwr.jsp 就只需要登录, 不需要perms[index:testdwr]权限了
     */
    section.put("/**""anon");
    for(String s : section.keySet()){
    System.out.println(s + "----"+ section.get(s)+"-----------section");
    }
    return section;
    }
    @Override
    public Class<?> getObjectType() {
    return Section.class;
    }
    @Override
    public boolean isSingleton() {
    return true;
    }
    }

    t_permission表的数据格式:



    4 Shiro 认证 授权

    在shiro的xml配置文件有配置,认证授权的类:MyShiroDbRealm


    package com.ass.shiro.service;
    import java.util.HashSet;
    import java.util.List;
    import java.util.Set;
    import javax.annotation.PostConstruct;
    import javax.annotation.Resource;
    import org.apache.commons.logging.Log;
    import org.apache.commons.logging.LogFactory;
    import org.apache.shiro.authc.AuthenticationException;
    import org.apache.shiro.authc.AuthenticationInfo;
    import org.apache.shiro.authc.AuthenticationToken;
    import org.apache.shiro.authc.SimpleAuthenticationInfo;
    import org.apache.shiro.authc.UsernamePasswordToken;
    import org.apache.shiro.authc.credential.HashedCredentialsMatcher;
    import org.apache.shiro.authz.AuthorizationInfo;
    import org.apache.shiro.authz.SimpleAuthorizationInfo;
    import org.apache.shiro.realm.AuthorizingRealm;
    import org.apache.shiro.subject.PrincipalCollection;
    import org.apache.shiro.util.ByteSource;
    import org.springframework.stereotype.Component;
    import org.springside.modules.utils.Encodes;
    import com.ass.common.generated.model.TUser;
    import com.ass.common.service.AccountService;
    import com.ass.common.service.AccountServiceImpl;
    import com.ass.common.utils.StringUtil;
    import com.ass.shiro.dto.CurUser;
    /**
     * 
     * @author wangt 2014年11月17日 下午6:06:41 
     */
    @Component
    public class MyShiroDbRealm extends AuthorizingRealm {
    protected final Log logger = LogFactory.getLog(getClass());
    @Resource
    protected AccountService accountService;
    /**
     * 认证回调函数,登录时调用. 获取认证信息added by wangt
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authcToken) throws AuthenticationException {
    UsernamePasswordToken token = (UsernamePasswordToken) authcToken;
    TUser tUser = accountService.findUserByLoginName(token.getUsername());
    if (tUser != null) {
    byte[] salt = Encodes.decodeHex(tUser.getSalt());
    //设置同级,下级查询权限
    boolean siblingQuery = accountService.haveSiblingQuery(tUser.getId());
    boolean lowerQuery = accountService.haveLowerQuery(tUser.getId());
    String queryLevel = "none";
    if(siblingQuery == true && lowerQuery == true){
    queryLevel = "all";
    }
    if(siblingQuery == true && lowerQuery == false){
    queryLevel = "sibling";
    }
    if(siblingQuery == false && lowerQuery == true){
    queryLevel = "lower";
    }
    SimpleAuthenticationInfo s = new SimpleAuthenticationInfo(new CurUser(tUser,queryLevel),tUser.getPassword(), ByteSource.Util.bytes(salt), getName());
    return s;
    } else {
    return null;
    }
    }
    /**
     * 授权查询回调函数, 进行鉴权但缓存中无用户的授权信息时调用. 获取授权信息 added by wangt
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
    CurUser curUser = (CurUser) principals.getPrimaryPrincipal();
    //此处获取用户权限的List
    List<String> lst = accountService.getPermissionsByUserid(curUser.getId());
    SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
    // 设置用户的权限
    info.addStringPermissions(lst);
    //获得用户所有的角色
    Set<String> roles = new HashSet<String>();
    for(String str : lst){
    if(StringUtil.isNotBlank(str)){
    roles.add(StringUtil.split(str,":")[0]);
    }
    }
    //设置角色       实际使用尽量用权限。
    info.addRoles(roles);
    logger.info(curUser.getLoginName());
    for(String s : roles){
    logger.info("包含的role-->"+s);
    }
    for(String s : lst){
    logger.info("包含的permission-->"+s);
    }
    return info;
    }
    /**
     * 设定Password校验的Hash算法与迭代次数.
     */
    @PostConstruct
    public void initCredentialsMatcher() {
    HashedCredentialsMatcher matcher = new HashedCredentialsMatcher(AccountServiceImpl.HASH_ALGORITHM);
    matcher.setHashIterations(AccountServiceImpl.HASH_INTERATIONS);
    setCredentialsMatcher(matcher);
    }
    }



    另外说明:

    如果在jsp页面上使用shiro的标签,每一个标签都会访问一次shiro的授权函数,所以建议shiro的授权函数查询的时候做一下缓存,自己写一个map就好.


    getPermissionsByUserid(String id) 查询权限的方法

    缓存实现方式如下:

    package com.ass.common.service;
    import java.util.ArrayList;
    import java.util.HashMap;
    import java.util.List;
    import java.util.Map;
    import javax.annotation.Resource;
    import org.springframework.stereotype.Component;
    import org.springframework.stereotype.Service;
    import org.springframework.transaction.annotation.Transactional;
    import org.springside.modules.security.utils.Digests;
    import org.springside.modules.utils.Encodes;
    import com.ass.base.service.BaseServiceImpl;
    import com.ass.common.generated.dao.TUserMapper;
    import com.ass.common.generated.model.TUser;
    import com.ass.common.generated.model.TUserExample;
    import com.ass.common.utils.StringUtil;
    import com.ass.log.service.UserLogService;
    //Spring Service Bean的标识.
    @Service
    public class AccountServiceImpl extends BaseServiceImpl implements AccountService{
    //@Resource
    //private AuthorityService authorityService;
    @Resource
    private TUserMapper tUserMapper;
    @Resource
    private CommonService commonService;
    @Resource
    private UserLogService userLogService;
    /** 加密策略 */
    public static final String HASH_ALGORITHM = "SHA-1";
    /** 迭代次数 */
    public static final int HASH_INTERATIONS = 1024;
    /** 盐长 */
    private static final int SALT_SIZE = 8;
    /**
     * 保存新建用户以及其角色
     * @param tUser
     * @param roles
     * @author wangt 2014年11月27日 下午5:32:19 
     */
    public void saveUser(TUser tUser, String[] roles) {
    // 设定安全的密码,生成随机的salt并经过1024次 sha-1 hash
    if (StringUtil.isNotEmpty(tUser.getPassword())) {
    encryptPassword(tUser);
    }
    //设置t_organization_code
    String sql2 = "select code from t_organization where id = "+tUser.gettOrganizationId();
    Map<String, Object> mp = commonService.selectOneBySql(sql2);
    tUser.settOrganizationCode(StringUtil.getString(mp.get("code")));
    tUserMapper.insertSelective(tUser);
    //设置角色
    if(null != roles){
    for(String s : roles){
    String sql = "insert into t_user_role set t_user_id = "+tUser.getId()+", t_role_id = "+ s;
    commonService.insertBySql(sql);
    }
    }
    //记录日志,暂不使用 TODO
    //userLogService.addUser(tUser);
    }
    //更新密码
    @Override
    public void updatePassword(TUser u){
    if (StringUtil.isNotEmpty(u.getPassword())) {
    encryptPassword(u);
    }
    tUserMapper.updateByPrimaryKeySelective(u);
    }
    /**
     * 保存编辑后的用户信息以及角色
     * @param tUser
     * @param roles
     * @author wangt 2014年11月27日 下午5:32:44 
     */
    public void editUser(TUser tUser, String[] roles){
    if (StringUtil.isNotEmpty(tUser.getPassword())) {
    encryptPassword(tUser);
    }
    //记录日志 暂不使用 TODO
    //userLogService.editUser(tUser);
    //设置t_organization_code
    String sql2 = "select code from t_organization where id = "+tUser.gettOrganizationId();
    Map<String, Object> mp = commonService.selectOneBySql(sql2);
    tUser.settOrganizationCode(StringUtil.getString(mp.get("code")));
    tUserMapper.updateByPrimaryKeySelective(tUser);
    String sqld = "delete from t_user_role where t_user_id = "+tUser.getId();
    commonService.deleteBySql(sqld);
    //设置角色
    if(null !=roles){
    for(String s : roles){
    String sql = "insert into t_user_role set t_user_id = "+tUser.getId()+", t_role_id = "+ s;
    commonService.insertBySql(sql);
    }
    }
    }
    private HashMap<Long, List<String>> permissionMaps = new HashMap<Long, List<String>>();
    /**
     * 获得用户的所有权限 的permission
     * 传null为当前登录人
     * @param id
     * @return List<String>
     */
    public List<String> getPermissionsByUserid(Long id) {
    if(id == null){
    id = this.getUser().getId();
    }
    //防止每次访问这个方法都要查询数据库
    if (!permissionMaps.containsKey(id) || permissionMaps.get(id) == null ) {
    this.reloadPermissionMaps(id);
    }
    return this.permissionMaps.get(id);
    }
    private void reloadPermissionMaps(Long id){
    //数据库中存 admin:add,
    String sql = "select distinct p.permission permission_ from t_user u "" left join t_user_role ur on ur.t_user_id=u.id "" left join t_role_permission rp on rp.t_role_id=ur.t_role_id "" left join t_permission p on p.id = rp.t_permission_id "" where p.pid!=0 and u.id = "+id;
    List<Map<String, Object>> lst = commonService.selectBySql(sql);
    List<String> ls = new ArrayList<String>();
    for(int i=0; i<lst.size(); i++){
    ls.add(StringUtil.getString(lst.get(i).get("permission_")));
    }
    this.permissionMaps.put(id, ls);
    }
    /**
     * 获得用户的所有权限 的id
     * 传null为当前登录人
     * @param id
     * @return
     * @author wangt 2014年11月27日 下午9:44:03 
     */
    public List<String> getPermissionIdsByUserid(Long id) {
    if(id == null){
    id = this.getUser().getId();
    }
    String sql = "select distinct p.id id_ from t_user u "" left join t_user_role ur on ur.t_user_id=u.id "" left join t_role_permission rp on rp.t_role_id=ur.t_role_id "" left join t_permission p on p.id = rp.t_permission_id "" where p.pid!=0 and u.id = "+id;
    List<Map<String, Object>> lst = commonService.selectBySql(sql);
    List<String> ls = new ArrayList<String>();
    for(int i=0; i<lst.size(); i++){
    ls.add(StringUtil.getString(lst.get(i).get("id_")));
    }
    return ls;
    }
    /**
     * 判断是否是管理员
     * 传null为当前登录人
     * @param id
     * @return
     * @author wangt 2014年11月27日 下午9:50:15 
     */
    public boolean isAdmin(Long id){
    if(id == null){
    id = this.getUser().getId();
    }
    List<String> allPermissionId = this.getPermissionIdsByUserid(id);
    if(allPermissionId.contains(this.getProp("admin_permission"))){
    return true;
    }
    return false;
    }
    /**
     * 判断是否有同级查询权限
     * 传null为当前登录人
     * @param id
     * @return
     * @author wangt 2014年11月27日 下午9:50:15 
     */
    public boolean haveSiblingQuery(Long id){
    if(id == null){
    id = this.getUser().getId();
    }
    List<String> allPermissionId = this.getPermissionIdsByUserid(id);
    if(allPermissionId.contains(this.getProp("query_the_sibling"))){
    return true;
    }
    return false;
    }
    /**
     * 判断是否有查询下级的权限
     * 传null为当前登录人
     * @param id
     * @return
     * @author wangt 2014年11月27日 下午9:53:12 
     */
    public boolean haveLowerQuery(Long id){
    if(id == null){
    id = this.getUser().getId();
    }
    List<String> allPermissionId = this.getPermissionIdsByUserid(id);
    if(allPermissionId.contains(this.getProp("query_the_lower"))){
    return true;
    }
    return false;
    }
    /**
     * 通过登录名获得用户
     * @param LoginName
     * @return
     * @author wangt 2014年11月27日 下午5:33:06 
     */
    public TUser findUserByLoginName(String LoginName) {
    //适用于所用的单表操作
    //比如在业务层里面是
    TUserExample example = new TUserExample();
    //未删除的用户
    example.createCriteria().andLoginNameEqualTo(LoginName).andIsdeleteEqualTo(0);
    List<TUser> userList = tUserMapper.selectByExample(example);
    if(userList.size() > 0){
    return userList.get(0);
    }else{
    return null;
    }
    }
    /**
     * 设定安全的密码,生成随机的salt并经过1024次 sha-1 hash
     */
    private void encryptPassword(TUser TUser) {
    byte[] salt = Digests.generateSalt(SALT_SIZE);
    TUser.setSalt(Encodes.encodeHex(salt));
    byte[] hashPassword = Digests.sha1(TUser.getPassword().getBytes(),salt, HASH_INTERATIONS);
    TUser.setPassword(Encodes.encodeHex(hashPassword));
    }
    }


    <!-- 要求登录时的链接 -->
    <property name="loginUrl" value="/login.do" />
    <!-- 登陆成功后要跳转的连接 -->
    <property name="successUrl" value="/"/>
    <!-- 没有权限要跳转的链接 -->
        <property name="unauthorizedUrl" value="/unauthorized.do" />


    --------------------------------------------

    框架代码可以参见: SrpingMvc+Mybatis+shiro+Mysql的框架配置,实现业务系统基础功能

    展开全文
  • Shiro 权限控制

    2017-10-18 16:42:31
    权限认证,也就是访问控制,即在应用中控制谁能访问哪些资源。 在权限认证中,最核心的三个要素是:权限,角色和用户; 权限,即操作资源的权利,比如访问某个页面,以及对某个模块的数据的添加,修改,删除,查看的...
  • 接下来继续实现doGetAuthorizationInfo()方法完成Shiro权限控制功能。 授权也称为访问控制,是管理资源访问的过程。即根据不同用户的权限判断其是否有访问相应资源的权限。在Shiro中,权限控制有三个核心的元素:...
  • 下面代码就是判断如果当前用户角色为 administrator ,则前端页面显示div标签和里面的内容 @if(shiro.hasRole("administrator")){ <div class="layui-inline">...如果要控制多个角色资源,则使用 @if(shir
  • 前后端分离之shiro实现权限控制的一些问题

    万次阅读 热门讨论 2018-06-02 17:33:02
    前言 ...当shiro发现失效后的session时通常会将该请求重定向到loginUrl,或者是用户访问的某个资源权限不足时(会重定向到unAuthorizedUrl),这时Ajax请求基本都是出错的。 解决方案 ...
  • **我们使用shiro进行权限控制 有以下四种方式** **1. &amp;nbsp;URL拦截权限控制:基于filter过滤器实现** 我们在spring配置文件中配置shiroFilter时配置 &amp;lt;!--指定URL级别拦截策略 &amp;nbsp;...
  • 资源:作为开发者,主要考虑的是细粒度的资源,也就是对于系统的界面点击权限;例如查看列表的按钮 角色:不同的角色有不同的权限;同样,不同的用户有可能多个角色;这就相当于有多对多的关系 设计数据库时,我们会...
  • 2021-3-8 Shiro权限控制

    2021-03-08 11:23:19
    Shiro权限控制什么是Shiro权限控制Shiro 的架构 什么是Shiro权限控制 Shiro是Apache旗下的一个安全的Java框架 Authentication:身份认证 / 登录,验证用户是不是拥有相应的身份; Authorization:授权,即权限验证,...
  • SpringBoot-Shiro权限控制(2019.12.13) 在《Spring-Boot-shiro用户认证》中,我们通过继承AuthorizingRealm抽象类实现了doGetAuthenticationInfo()方法完成了用户认证操作。接下来继续实现doGetAuthorizationInfo()...
  • 一.Shiro 1.1 权限管理过滤器解释: Authentication :身份认证/登录,验证用户是不是拥有相应的身份;...或者细粒度的验证某个用户对某个资源是否具有某个权限; Session Manager :会话管理,即用户登录后就是...
  • Java语言的框架整合及权限的控制(粗粒度、细粒度) SSM(spring+springmvc+mybatis)的整合 SSM+shiro基于资源权限控制整合demo 配置文件原理的注释 shiro的认证、授权、及从数据库mysql获取的认证信息方法都有...
  • shiro笔记一:权限控制 权限控制 权限:用户和资源,让指定的用户,只能操作指定的资源。 javaweb通过doFilter过滤进行处理权限控制。 public void doFilter(ServletRequest request, ServletResponse ...
  • 权限控制,是管理资源访问的过程,用于对用户进行的操作授权,证明该用户是否允许进行当前操作,如访问某个链接,某个资源文件等 Apache Shiro 通过继承AuthorizingRealm自定义实现ShiroRealm类,实现...
  • Shiro登录权限

    2021-03-07 19:29:56
    Shiro登录权限 shiro是一个轻量级的安全框架,可以使用注解快速的实现权限管理。 权限管理 权限管理属于系统安全的范畴, 权限管理实现对用户访问系统的控制。按照安全规则或则是安全策略, 控制用户可以访问且只能...
  • 后台权限管理控制shiro-权限表设计

    千次阅读 2016-07-27 09:16:08
    权限表设计 资源菜单表-角色表-用户表
  • shiro动态控制url资源

    2018-04-09 11:43:00
    所谓动态控制url就是url的权限控制不是手动写死在配置文件中,而是根据数据库的变化而变化。 表结构: user2:用户表 t_role:角色表 t_user_role:用户角色表 t_privilege:权限资源表 t_r...
  • java权限控制框架shiro

    千次阅读 2017-12-15 19:45:25
    概念:权限控制框架就是控制用户登录时的用户认证和用户访问资源时的授权java常见权限控制框架: spring的security apache的shiro
  • Shiro安全权限

    2018-07-05 20:23:08
    只要有用户参与的系统一般都要权限管理,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源权限管理包括用户认证和用户授权两部分。 1.2用户认证 ...
  • 权限控制-Shiro

    2018-08-11 09:30:41
    一:问题的引入 前面虽然基本的功能都有了但是页面按钮的控制与url的控制还是没有处理。...就像下图这样:可以看出菜单中确实没有权限资源控制这个菜单,按道理是无法进去那个界面的。也做到了权限控制。 但是...
  • shiro权限控制时,shiro的权限RequiresPermissions都写在Controller的方法内,如果做动态的权限管理时,每个shiro的权限资源都要手动录入,太麻烦了。 有没有一种比较简单的方法,能实现权限资源的自动录入,而不...
  • shiro权限过滤

    千次阅读 2017-10-12 12:02:22
    RBAC基于资源的访问控制(Resource-BasedAccess Control)是以资源为中心进行访问控制,比如:主体必须具有查询工资权限才可以查询员工工资信息等,访问控制流程如下: 总经理 查所有员工的工资信息 董事长 添加...
  • Shiro权限

    千次阅读 2018-11-06 16:51:28
    角色是一组权限的集合,我们通常把一组权限绑定到一种角色上,再吧一个或者多个角色赋给一个用户,这样就是实现了权限控制Shiro授权核心概念 权限 : 即操作资源的权利,比如访问某个页面,以及对某个模块的...
  • 认证和授权为权限控制的核心,简单来说,“认证”就是证明你是谁? Web 应用程序一般做法通过表单提交用户名及密码达到认证目的。“授权”即是否允许已认证用户访问受保护资源。关于 Shiro 的一系列特征及优点,很多...
  • 权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。   权限管理包括用户身份认证和授权两部分,简称认证授权。对于需要...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 735
精华内容 294
关键字:

shiro资源权限控制