• SpringBoot整合Shiro

    引入依赖

    2.    org.apache.shiro
    3.    shiro-spring-boot-web-starter
    4.    1.9.0
    7.    org.springframework.boot
    8.    spring-boot-starter-thymeleaf

    配置文件

    配置文件 yml或properties,添加基础配置 
    1. shiro:
    2.  loginUrl: /myController/login
    3.  
    4. 或者
    5.  
    6. shiro.loginUrl=/myController/login

    登录认证

    访问数据库获取用户信息,实现登录认证

    后端接口服务实现

    创建库表

    1. CREATE DATABASE IF NOT EXISTS `shirodb` CHARACTER SET utf8mb4;
    2. USE `shirodb`;
    3. CREATE TABLE `user` (
    4.  `id` BIGINT(20) NOT NULL AUTO_INCREMENT COMMENT '编号',
    5.  `name` VARCHAR(30) DEFAULT NULL COMMENT '用户名',
    6.  `pwd` VARCHAR(50) DEFAULT NULL COMMENT '密码',
    7.  `rid` BIGINT(20) DEFAULT NULL COMMENT '角色编号',
    8.  PRIMARY KEY (`id`)
    9. ) ENGINE=INNODB AUTO_INCREMENT=2 DEFAULT CHARSET=utf8 COMMENT='用户表';

    创建实体

    1. import lombok.AllArgsConstructor;
    2. import lombok.Data;
    3. import lombok.NoArgsConstructor;
    4.  
    5. @Data
    6. @NoArgsConstructor
    7. @AllArgsConstructor
    8. public class User {
    9.     private Integer id;
    10.     private String name;
    11.     private String pwd;
    12.     private Integer rid;
    13. }

    创建 mapper 

    1. import com.baomidou.mybatisplus.core.mapper.BaseMapper;
    2. import com.example.demo.model.User;
    3. import org.springframework.stereotype.Repository;
    4.  
    5. @Repository
    6. public interface UserMapper extends BaseMapper<User> {
    7. }

    创建service接口

    1. import com.example.demo.model.User;
    2.  
    3. public interface UserService {
    4.  //用户登录
    5.  User getUserInfoByName(String name);
    6. }

    创建实现类 

    1. import com.baomidou.mybatisplus.core.conditions.query.QueryWrapper;
    2. import com.example.demo.mapper.UserMapper;
    3. import com.example.demo.model.User;
    4. import com.example.demo.service.UserService;
    5. import org.springframework.beans.factory.annotation.Autowired;
    6. import org.springframework.stereotype.Service;
    7.  
    8. @Service
    9. public class UserServiceImpl implements UserService {
    10.   @Autowired
    11.   private UserMapper userMapper;
    12.   @Override
    13.   public User getUserInfoByName(String name) {
    14.      QueryWrapper wrapper = new QueryWrapper<>();
    15.      wrapper.eq("name",name);
    16.      User user = userMapper.selectOne(wrapper);
    17.      return user;
    18.   }
    19. }

    自定义realm

    1. import com.example.demo.model.User;
    2. import com.example.demo.service.UserService;
    3. import org.apache.shiro.authc.AuthenticationException;
    4. import org.apache.shiro.authc.AuthenticationInfo;
    5. import org.apache.shiro.authc.AuthenticationToken;
    6. import org.apache.shiro.authc.SimpleAuthenticationInfo;
    7. import org.apache.shiro.authz.AuthorizationInfo;
    8. import org.apache.shiro.realm.AuthorizingRealm;
    9. import org.apache.shiro.subject.PrincipalCollection;
    10. import org.apache.shiro.util.ByteSource;
    11. import org.springframework.beans.factory.annotation.Autowired;
    12. import org.springframework.stereotype.Component;
    13.  
    14. @Component
    15. public class MyRealm extends AuthorizingRealm {
    16.      @Autowired
    17.      private UserService userService;
    18.      //自定义授权方法
    19.      @Override
    20.      protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
    21.          return null;
    22.      }
    23.      //自定义登录认证方法
    24.      @Override
    25.      protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
    26.           //1 获取用户身份信息
    27.           String name = token.getPrincipal().toString();
    28.           //2 调用业务层获取用户信息(数据库中)
    29.           User user = userService.getUserInfoByName(name);
    30.           //3 判断并将数据完成封装
    31.           if(user!=null){
    32.           AuthenticationInfo info = new SimpleAuthenticationInfo(
    33.           token.getPrincipal(),
    34.           user.getPwd(),
    35.           ByteSource.Util.bytes("salt"),
    36.           token.getPrincipal().toString()
    37.           );
    38.           return info;
    39.           }
    40.           return null;
    41.      }
    42. }

    编写配置类

    1. import com.example.demo.component.MyRealm;
    2. import org.apache.shiro.authc.credential.HashedCredentialsMatcher;
    3. import org.apache.shiro.spring.web.config.DefaultShiroFilterChainDefinition;
    4. import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
    5. import org.springframework.beans.factory.annotation.Autowired;
    6. import org.springframework.context.annotation.Bean;
    7. import org.springframework.context.annotation.Configuration;
    8.  
    9. @Configuration
    10. public class ShiroConfig {
    11.       @Autowired
    12.       private MyRealm myRealm;
    13.      
    14.       //配置 SecurityManager
    15.       @Bean
    16.       public DefaultWebSecurityManager defaultWebSecurityManager() {
    17.           //1 创建 defaultWebSecurityManager 对象
    18.           DefaultWebSecurityManager defaultWebSecurityManager = new
    19.                   DefaultWebSecurityManager();
    20.           //2 创建加密对象,并设置相关属性
    21.           HashedCredentialsMatcher matcher = new
    22.                   HashedCredentialsMatcher();
    23.           //2.1 采用 md5 加密
    24.           matcher.setHashAlgorithmName("md5");
    25.           //2.2 迭代加密次数
    26.           matcher.setHashIterations(3);
    27.           //3 将加密对象存储到 myRealm 中
    28.           myRealm.setCredentialsMatcher(matcher);
    29.           //4 将 myRealm 存入 defaultWebSecurityManager 对象
    30.           defaultWebSecurityManager.setRealm(myRealm);
    31.           //5 返回
    32.           return defaultWebSecurityManager;
    33.       }
    34.      
    35.       //配置 Shiro 内置过滤器拦截范围
    36.       @Bean
    37.       public DefaultShiroFilterChainDefinition shiroFilterChainDefinition() {
    38.           DefaultShiroFilterChainDefinition definition = new DefaultShiroFilterChainDefinition();
    39.           //设置不认证可以访问的资源
    40.           definition.addPathDefinition("/myController/userLogin", "anon");
    41.           definition.addPathDefinition("/login", "anon");
    42.           //设置需要进行登录认证的拦截范围
    43.           definition.addPathDefinition("/**", "authc");
    44.           return definition;
    45.       }
    46. }

    实现controller

    1. import org.apache.shiro.SecurityUtils;
    2. import org.apache.shiro.authc.AuthenticationException;
    3. import org.apache.shiro.authc.AuthenticationToken;
    4. import org.apache.shiro.authc.UsernamePasswordToken;
    5. import org.apache.shiro.subject.Subject;
    6. import org.springframework.stereotype.Controller;
    7. import org.springframework.web.bind.annotation.GetMapping;
    8. import org.springframework.web.bind.annotation.RequestMapping;
    9. import org.springframework.web.bind.annotation.ResponseBody;
    10.  
    11. @Controller
    12. @RequestMapping("myController")
    13. public class MyController {
    14.       @GetMapping("userLogin")
    15.       @ResponseBody
    16.       public String userLogin(String name,String pwd){
    17.            //1 获取 Subject 对象
    18.            Subject subject = SecurityUtils.getSubject();
    19.            //2 封装请求数据到 token 对象中
    20.            AuthenticationToken token = new UsernamePasswordToken(name,pwd);
    21.            //3 调用 login 方法进行登录认证
    22.            try {
    23.               subject.login(token);
    24.               return "登录成功";
    25.            } catch (AuthenticationException e) {
    26.               e.printStackTrace();
    27.               System.out.println("登录失败");
    28.               return "登录失败";
    29.            }
    30.       }
    31. }

    测试

    确认数据库密码是加盐 3 次加密密码

    启动服务通过浏览器访问http://localhost:8080/myController/userLogin?name=张三&pwd=z3

    实现前端页面

    添加 login 页面 

    2. "en">
    4.     "UTF-8">
    5.     Title
    8. Shiro 登录认证

    10. "/myController/userLogin">
    11.     
      用户名:"text" name="name" value="">
    12.     
      密码:"password" name="pwd" value="">
    13.     
      "submit" value="登录">

    添加 main 页面

    2. "en" xmlns:th="http://www.thymeleaf.org">
    4.   "UTF-8">
    5.   Title
    8. Shiro 登录认证后主页面

    10. 登录用户为:"${session.user}">

    添加 controller 方法

    1. //跳转登录页面
    2.     @GetMapping("login")
    3.     public String login(){
    4.         return "login";
    5.     }
    6.     //登录认证
    7.     @GetMapping("userLogin")
    8.     public String userLogin(String name, String pwd, HttpSession session){
    9.         //1 获取 Subject 对象
    10.         Subject subject = SecurityUtils.getSubject();
    11.         //2 封装请求数据到 token 对象中
    12.         AuthenticationToken token = new UsernamePasswordToken(name,pwd);
    13.         //3 调用 login 方法进行登录认证
    14.         try {
    15.             subject.login(token);
    16.             session.setAttribute("user",token.getPrincipal().toString());
    17.             return "main";
    18.         } catch (AuthenticationException e) {
    19.             e.printStackTrace();
    20.             System.out.println("登录失败");
    21.             return "登录失败";
    22.         }
    23.     }

    修改配置类

    测试

    启动访问测试 localhost:8080/myController/login

    多个 realm 的认证策略设置 

    多个realm实现原理

    当应用程序配置多个 Realm 时,例如:用户名密码校验、手机号验证码校验等等。Shiro 的 ModularRealmAuthenticator 会使用内部的 AuthenticationStrategy 组件判断认证是成功还是失败。
    AuthenticationStrategy 是一个无状态的组件,它在身份验证尝试中被询问 4 次(这4 次交互所需的任何必要的状态将被作为方法参数):
    • 在所有 Realm 被调用之前
    • 在调用 Realm 的 getAuthenticationInfo 方法之前
    • 在调用 Realm 的 getAuthenticationInfo 方法之后
    • 在所有 Realm 被调用之后
    认证策略的另外一项工作就是聚合所有 Realm 的结果信息封装至一个AuthenticationInfo 实例中,并将此信息返回,以此作为 Subject 的身份信息。 Shiro 中定义了 3 种认证策略的实现:
    AuthenticationStrategy class
    描述
    AtLeastOneSuccessfulStrategy
    只要有一个(或更多)的 Realm 验证成功,那么认证将视为成功
    FirstSuccessfulStrategy
    第一个 Realm 验证成功,整体认证将视为成功,且后续 Realm 将被忽略
    AllSuccessfulStrategy
    所有 Realm 成功,认证才视为成功
    ModularRealmAuthenticator 内置的认证策略默认实现是AtLeastOneSuccessfulStrategy 方式。可以通过配置修改策略

    多个realm代码实现

    1.     //配置 SecurityManager
    2.      @Bean
    3.      public DefaultWebSecurityManager defaultWebSecurityManager(){
    4.           //1 创建 defaultWebSecurityManager 对象
    5.           DefaultWebSecurityManager defaultWebSecurityManager = new
    6.                   DefaultWebSecurityManager();
    7.           //2 创建认证对象,并设置认证策略
    8.           ModularRealmAuthenticator modularRealmAuthenticator = new
    9.                   ModularRealmAuthenticator();
    10.           modularRealmAuthenticator.setAuthenticationStrategy(new
    11.                   AllSuccessfulStrategy());
    12.  
    13.           defaultWebSecurityManager.setAuthenticator(modularRealmAuthenticator)
    14.           ;
    15.           //3 封装 myRealm 集合
    16.           List list = new ArrayList<>();
    17.           list.add(myRealm);
    18.           list.add(myRealm2);
    19.  
    20.           //4 将 myRealm 存入 defaultWebSecurityManager 对象
    21.           defaultWebSecurityManager.setRealms(list);
    22.           //5 返回
    23.           return defaultWebSecurityManager;
    24.      }

    remember me 功能

    Shiro 提供了记住我(RememberMe)的功能,比如访问一些网站时,关闭了浏览器, 下次再打开时还是能记住你是谁, 下次访问时无需再登录即可访问。

    基本流程

    1. 首先在登录页面选中 RememberMe 然后登录成功;如果是浏览器登录,一般会把 RememberMe 的 Cookie 写到客户端并保存下来;
    2. 关闭浏览器再重新打开;会发现浏览器还是记住你的;
    3. 访问一般的网页服务器端,仍然知道你是谁,且能正常访问;
    4. 但是,如果我们访问电商平台时,如果要查看我的订单或进行支付时,此时还是需要再进行身份认证的,以确保当前用户还是你。

    代码实现 

    修改配置类 
    1. import com.example.demo.component.MyRealm;
    2. import org.apache.shiro.authc.credential.HashedCredentialsMatcher;
    3.  
    4. import org.apache.shiro.spring.web.config.DefaultShiroFilterChainDefinition;
    5. import org.apache.shiro.web.mgt.CookieRememberMeManager;
    6. import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
    7. import org.apache.shiro.web.servlet.SimpleCookie;
    8. import org.springframework.beans.factory.annotation.Autowired;
    9. import org.springframework.context.annotation.Bean;
    10. import org.springframework.context.annotation.Configuration;
    11.  
    12. @Configuration
    13. public class ShiroConfig {
    14.       @Autowired
    15.       private MyRealm myRealm;
    16.  
    17.       //配置 SecurityManager
    18.       @Bean
    19.       public DefaultWebSecurityManager defaultWebSecurityManager() {
    20.           //1 创建 defaultWebSecurityManager 对象
    21.           DefaultWebSecurityManager defaultWebSecurityManager = new
    22.                   DefaultWebSecurityManager();
    23.           //2 创建加密对象,并设置相关属性
    24.           HashedCredentialsMatcher matcher = new
    25.                   HashedCredentialsMatcher();
    26.           //2.1 采用 md5 加密
    27.           matcher.setHashAlgorithmName("md5");
    28.           //2.2 迭代加密次数
    29.           matcher.setHashIterations(3);
    30.           //3 将加密对象存储到 myRealm 中
    31.           myRealm.setCredentialsMatcher(matcher);
    32.           //4 将 myRealm 存入 defaultWebSecurityManager 对象
    33.           defaultWebSecurityManager.setRealm(myRealm);
    34.           //4.5 设置 rememberMe
    35.           defaultWebSecurityManager.setRememberMeManager(rememberMeManager());
    36.           //5 返回
    37.           return defaultWebSecurityManager;
    38.       }
    39.     //cookie 属性设置
    40.     public SimpleCookie rememberMeCookie(){
    41.         SimpleCookie cookie = new SimpleCookie("rememberMe");
    42.         //设置跨域
    43.         //cookie.setDomain(domain);
    44.         cookie.setPath("/");
    45.         cookie.setHttpOnly(true);
    46.         cookie.setMaxAge(30*24*60*60);
    47.         return cookie;
    48.     }
    49.     //创建 Shiro 的 cookie 管理对象
    50.     public CookieRememberMeManager rememberMeManager(){
    51.         CookieRememberMeManager cookieRememberMeManager = new
    52.                 CookieRememberMeManager();
    53.         cookieRememberMeManager.setCookie(rememberMeCookie());
    54.  
    55.         cookieRememberMeManager.setCipherKey("1234567890987654".getBytes());
    56.         return cookieRememberMeManager;
    57.     }
    58.  
    59.  
    60.       //配置 Shiro 内置过滤器拦截范围
    61.       @Bean
    62.       public DefaultShiroFilterChainDefinition shiroFilterChainDefinition() {
    63.           DefaultShiroFilterChainDefinition definition = new DefaultShiroFilterChainDefinition();
    64.           //设置不认证可以访问的资源
    65.           definition.addPathDefinition("/myController/userLogin", "anon");
    66.           definition.addPathDefinition("/myController/login", "anon");
    67.           definition.addPathDefinition("/login", "anon");
    68.           //设置需要进行登录认证的拦截范围
    69.           definition.addPathDefinition("/**", "authc");
    70.           //添加存在用户的过滤器(rememberMe)
    71.           definition.addPathDefinition("/**","user");
    72.           return definition;
    73.       }
    74.  
    75. }
    修改 controller 
    1. //登录认证
    2.     @GetMapping("userLogin")
    3.     public String userLogin(String name, String pwd,@RequestParam(defaultValue =
    4.             "false")boolean rememberMe, HttpSession session){
    5.         //1 获取 Subject 对象
    6.         Subject subject = SecurityUtils.getSubject();
    7.         //2 封装请求数据到 token 对象中
    8.         AuthenticationToken token = new UsernamePasswordToken(name,pwd,rememberMe);
    9.         //3 调用 login 方法进行登录认证
    10.         try {
    11.             subject.login(token);
    12.             session.setAttribute("user",token.getPrincipal().toString());
    13.             return "main";
    14.         } catch (AuthenticationException e) {
    15.             e.printStackTrace();
    16.             System.out.println("登录失败");
    17.             return "登录失败";
    18.         }
    19.     }
    20.     //登录认证验证 rememberMe
    21.     @GetMapping("userLoginRm")
    22.     public String userLogin(HttpSession session) {
    23.         session.setAttribute("user","rememberMe");
    24.         return "main";
    25.     }
    改造页面 login.html 
    2.  
      Shiro 登录认证
    3.  
    4.  
      "/myController/userLogin">
    5.  
      用户名:"text" name="name" value="">
    6.  
      密码:"password" name="pwd" value="">
    7.  
      记住用户:"checkbox" name="rememberMe" 
    8. value="true">
  • "submit" value="登录">

    • 测试

    通过地址访问 userLoginRm http://localhost:8080/myController/userLoginRm

登录勾选记住用户

重新访问 userLoginRm http://localhost:8080/myController/userLoginRm

用户登录认证后登出 

用户登录后,配套的有登出操作。直接通过Shiro过滤器即可实现登出

代码实现

修改登录后的 main.html 
  2.  
    Shiro 登录认证后主页面
  3.  
  4.  登录用户为:"${session.user}">
  5.  
  6.  "/logout">登出
修改配置类,添加 logout 过滤器 
  1. //配置 Shiro 内置过滤器拦截范围
  2. @Bean
  3. public DefaultShiroFilterChainDefinition shiroFilterChainDefinition(){
  4.  DefaultShiroFilterChainDefinition definition = new 
  5. DefaultShiroFilterChainDefinition();
  6.  //设置不认证可以访问的资源
  7.  definition.addPathDefinition("/myController/userLogin","anon");
  8.  definition.addPathDefinition("/myController/login","anon");
  9.  //配置登出过滤器
  10.  definition.addPathDefinition("/logout","logout");
  11.  //设置需要进行登录认证的拦截范围
  12.  definition.addPathDefinition("/**","authc");
  13.  //添加存在用户的过滤器(rememberMe)
  14.  definition.addPathDefinition("/**","user");
  15.  return definition;
  16. }

测试

点击“登出”登出系统

角色授权

授权

用户登录后,需要验证是否具有指定角色指定权限。Shiro也提供了方便的工具进行判断。 这个工具就是Realm的doGetAuthorizationInfo方法进行判断。触发权限判断的有两种方式:

后端接口服务注解 

通过给接口服务方法添加注解可以实现权限校验,可以加在控制器方法上,也可以加在业务方法上,一般加在控制器方法上。常用注解如下:
@RequiresAuthentication
验证用户是否登录,等同于方法subject.isAuthenticated()
@RequiresUser
验证用户是否被记忆:
登录认证成功subject.isAuthenticated()为true
登录后被记忆subject.isRemembered()为true
@RequiresGuest
验证是否是一个guest的请求,是否是游客的请求此时subject.getPrincipal()为null
@RequiresRoles
验证subject是否有相应角色,有角色访问方法,没有则会抛出异常 AuthorizationException。
@RequiresPermissions
验证subject是否有相应权限,有权限访问方法,没有则会抛出异常
AuthorizationException。

授权验证-没有角色无法访问

添加验证角色注解 

  1. //登录认证验证角色
  2. @RequiresRoles("admin")
  3. @GetMapping("userLoginRoles")
  4. @ResponseBody
  5. public String userLoginRoles() {
  6.  System.out.println("登录认证验证角色");
  7.  return "验证角色成功";
  8. }

修改 main.html

  2.  
    Shiro 登录认证后主页面
  3.  
  4.  登录用户为:"${session.user}">
  5.  
  6.  "/logout">登出

  8.  "/myController/userLoginRoles">测试授权

修改 MyRealm 方法

  1. //自定义授权方法:获取当前登录用户权限信息,返回给 Shiro 用来进行授权对比
  2. @Override
  3. protected AuthorizationInfo 
  4. doGetAuthorizationInfo(PrincipalCollection principalCollection) {
  5.  System.out.println("进入自定义授权方法");
  6.  return null;
  7. }

测试

授权验证-获取角色进行验证  

修改 MyRealm 方法

  1.  //自定义授权方法:获取当前登录用户权限信息,返回给 Shiro 用来进行授权对比
  2.      @Override
  3.      protected AuthorizationInfo
  4.      doGetAuthorizationInfo(PrincipalCollection principalCollection) {
  5.           SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
  6.           //2 存储角色
  7.           info.addRole("admin");
  8.           //返回
  9.           return info;
  10.      }

运行测试

 确认库表

  1. CREATE TABLE `role` (
  2. `id` BIGINT(20) NOT NULL AUTO_INCREMENT COMMENT '编号',
  3.  `name` VARCHAR(30) DEFAULT NULL COMMENT '角色名',
  4.  `desc` VARCHAR(50) DEFAULT NULL COMMENT '描述',
  5.  `realname` VARCHAR(20) DEFAULT NULL COMMENT '角色显示名',
  6.  PRIMARY KEY (`id`)
  7. ) ENGINE=INNODB AUTO_INCREMENT=2 DEFAULT CHARSET=utf8 COMMENT='角色表';

  1. CREATE TABLE `role_user` (
  2.  `id` BIGINT(20) NOT NULL AUTO_INCREMENT COMMENT '编号',
  3.  `uid` BIGINT(20) DEFAULT NULL COMMENT '用户 id',
  4.  `rid` BIGINT(20) DEFAULT NULL COMMENT '角色 id',
  5.  PRIMARY KEY (`id`)
  6. ) ENGINE=INNODB AUTO_INCREMENT=2 DEFAULT CHARSET=utf8 COMMENT='角色用户映射表';

查询 sql 

根据用户名查询对应角色信息 
  1. SELECT NAME FROM role WHERE id IN (SELECT rid FROM role_user WHERE 
  2. uid=(SELECT id FROM USER WHERE NAME='张三'));

mapper 方法

  1.  @Select("SELECT NAME FROM role WHERE id IN (SELECT rid FROM role_user WHERE uid=(SELECT id FROM USER WHERE NAME=#{principal}))")
  2.     List getUserRoleInfoMapper(@Param("principal") String principal);

service 实现

  1. //获取用户的角色信息
  2.     @Override
  3.     public List getUserRoleInfo(String principal) {
  4.         return userMapper.getUserRoleInfoMapper(principal);
  5.     }

MyRealm 

  1. //自定义授权方法:获取当前登录用户权限信息,返回给 Shiro 用来进行授权对比
  2.      @Override
  3.      protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
  4.           System.out.println("进入自定义授权方法");
  5.           //获取当前用户身份信息
  6.           String principal =
  7.                   principalCollection.getPrimaryPrincipal().toString();
  8.           //调用接口方法获取用户的角色信息
  9.           List roles = userService.getUserRoleInfo(principal);
  10.           System.out.println("当前用户角色信息:"+roles);
  11.           //创建对象,存储当前登录的用户的权限和角色
  12.           SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
  13.           //存储角色
  14.           info.addRoles(roles);
  15.           //返回
  16.           return info;
  17.      }

配置类

  1.     // 防止页面访问多次重定向
  2.     @Bean
  3.     public static DefaultAdvisorAutoProxyCreator getDefaultAdvisorAutoProxyCreator(){
  4.  
  5.         DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator=new DefaultAdvisorAutoProxyCreator();
  6.         defaultAdvisorAutoProxyCreator.setUsePrefix(true);
  7.  
  8.         return defaultAdvisorAutoProxyCreator;
  9.     }

测试

启动登录测试

授权验证-获取权限进行验证 

获取权限验证和获取角色相类似

确认库表

  1. CREATE TABLE `permissions` (
  2.  `id` BIGINT(20) NOT NULL AUTO_INCREMENT COMMENT '编号',
  3.  `name` VARCHAR(30) DEFAULT NULL COMMENT '权限名',
  4.  `info` VARCHAR(30) DEFAULT NULL COMMENT '权限信息',
  5.  `desc` VARCHAR(50) DEFAULT NULL COMMENT '描述',
  6.  PRIMARY KEY (`id`)
  7. ) ENGINE=INNODB AUTO_INCREMENT=2 DEFAULT CHARSET=utf8 COMMENT='权限表';

  1. CREATE TABLE `role_ps` (
  2.  `id` BIGINT(20) NOT NULL AUTO_INCREMENT COMMENT '编号',
  3.  `rid` BIGINT(20) DEFAULT NULL COMMENT '角色 id',
  4.  `pid` BIGINT(20) DEFAULT NULL COMMENT '权限 id',
  5.  PRIMARY KEY (`id`)
  6. ) ENGINE=INNODB AUTO_INCREMENT=2 DEFAULT CHARSET=utf8 COMMENT='角色权限映射表';

查询 sql 

根据角色名查询对应权限信息 
  1. SELECT info FROM permissions WHERE id IN (SELECT pid FROM role_ps WHERE rid 
  2. IN (SELECT id FROM role WHERE NAME IN('admin','userMag')));

mapper 方法

  1. @Select({
  2.             ""
  3.             })
  4.     List getUserPermissionInfoMapper(@Param("roles")List roles);

service 实现 

  1. //获取用户角色的权限信息
  2.     @Override
  3.     public List getUserPermissionInfo(List roles) {
  4.         return userMapper.getUserPermissionInfoMapper(roles);
  5.     }

MyRealm 方法

  1. //自定义授权方法:获取当前登录用户权限信息,返回给 Shiro 用来进行授权对比
  2.      @Override
  3.      protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
  4.           System.out.println("进入自定义授权方法");
  5.           //获取当前用户身份信息
  6.           String principal = principalCollection.getPrimaryPrincipal().toString();
  7.           //调用接口方法获取用户的角色信息
  8.           List roles = userService.getUserRoleInfo(principal);
  9.           System.out.println("当前用户角色信息:"+roles);
  10.           //调用接口方法获取用户角色的权限信息
  11.           List permissions =
  12.                   userService.getUserPermissionInfo(roles);
  13.           System.out.println("当前用户权限信息:"+permissions);
  14.           //创建对象,存储当前登录的用户的权限和角色
  15.           SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
  16.           //存储角色
  17.           info.addRoles(roles);
  18.           //存储权限信息
  19.           info.addStringPermissions(permissions);
  20.           //返回
  21.           return info;
  22.      }

添加 controller 方法

  1. //登录认证验证权限
  2.     @RequiresPermissions("user:delete")
  3.     @GetMapping("userPermissions")
  4.     @ResponseBody
  5.     public String userLoginPermissions() {
  6.         System.out.println("登录认证验证权限");
  7.         return "验证权限成功";
  8.     }

改造 main.html

  2. Shiro 登录认证后主页面

  4. 登录用户为:"${session.user}">

  6. "/logout">登出

  8. "/myController/userLoginRoles">测试授权-角色验证

  10. "/myController/userPermissions">测试授权-权限验证

测试

启动登录测试

授权验证-异常处理 

创建认证异常处理类,使用@ControllerAdvice 加@ExceptionHandler 实现特殊异常处理。 
  1. import org.apache.shiro.authz.AuthorizationException;
  2. import org.apache.shiro.authz.UnauthorizedException;
  3. import org.springframework.web.bind.annotation.ControllerAdvice;
  4. import org.springframework.web.bind.annotation.ExceptionHandler;
  5. import org.springframework.web.bind.annotation.ResponseBody;
  6.  
  7. @ControllerAdvice
  8. public class PermissionsException {
  9.    @ResponseBody
  10.    @ExceptionHandler(UnauthorizedException.class)
  11.    public String unauthorizedException(Exception ex){
  12.      return "无权限";
  13.    }
  14.    @ResponseBody
  15.    @ExceptionHandler(AuthorizationException.class)
  16.    public String authorizationException(Exception ex){
  17.      return "权限认证失败";
  18.    }
  19. }

测试

启动运行,用李四登录测试。

前端页面授权验证

引入依赖

  3.  com.github.theborakompanioni
  4.  thymeleaf-extras-shiro
  5.  2.0.0

配置类添加新配置

用于解析 thymeleaf 中的 shiro: 相关属性 
  1. @Bean
  2. public ShiroDialect shiroDialect(){
  3.  return new ShiroDialect();
  4. }
T hymeleaf 中常用的 shiro:属性:
guest 标签
用户没有身份验证时显示相应信息,即游客访问信息。
user 标签
user >
用户已经身份验证 / 记住我登录后显示相应的信息。
authenticated 标签
用户已经身份验证通过,即 Subject.login 登录成功,不是记住我登录的。
notAuthenticated 标签
用户已经身份验证通过,即没有调用 Subject.login 进行登录,包括记住我自动登录的也属于未进行身份验证。
principal 标签
相当于 ((User)Subject.getPrincipals()).getUsername()
lacksPermission 标签
如果当前 Subject 没有权限将显示 body 体内容。
hasRole 标签
如果当前 Subject 有角色将显示 body 体内容。
hasAnyRoles 标签
如果当前 Subject 有任意一个角色(或的关系)将显示 body 体内容。
lacksRole 标签
如果当前 Subject 没有角色将显示 body 体内容。
hasPermission 标签
如果当前 Subject 有权限将显示 body 体内容

改造 main.html 

  2. Shiro 登录认证后主页面

  4. 登录用户为:"${session.user}">

  6. "/logout">登出

  8. "admin" href="/myController/userLoginRoles">测试
  9.   授权-角色验证

  11. "user:delete"
  12.    href="/myController/userPermissions">测试授权-权限验证

测试

  • 相关阅读:
    5分钟自建数据库可视化平台,在线管理数据库也太方便了~
    3.1 OrCAD中怎么创建新的原理图工程文件?OrCAD中原理图的设计纸张大小应该怎么设置?
    react高阶成分(HOC)实践例子
    Redis(一)--Redis入门(2)--Redis数据类型
    linux 系统时间、时区、date、timedatectl
    chapter four in C primer plus
    Linux驱动开发-字符设备驱动开发
    通过requests库使用HTTP编写的爬虫程序
    Java基础面试-IOC
    企业电子期刊怎么做,用这个平台就对啦!
  • 原文地址:https://blog.csdn.net/qq_63431773/article/details/134049321