要实现的目的:根据登录用户、查询出当前用户具有的所有权限、然后登录系统后、根据查询到的权限信息进行不同的操作。
以下的代码是在搭好的框架之下进行的编码。

请参考这个框架的搭建以及实现shiro用户登录的验证: https://blog.csdn.net/weixin_43304253/article/details/121111530

我直接贴代码、在关键的部分我会叙述一下。代码更具有说服力

编写的数据库表

用户表、用户角色关联表、角色表、角色权限关联表、权限表。(这个我就不贴代码了、就是简单的建表)

  • 一个用户可以对应一个角色、也可以对应多个角色(看自己的需求设计了)
  • 一个角色往往有不同的权限。


实体类

角色表

package com.zheng.pojo;

public class Role {

    private String Rid;

    private String Rname;

    public String getRid() {

        return Rid;

    }

    public void setRid(String rid) {

        Rid = rid;

    }

    public String getRname() {

        return Rname;

    }

    public void setRname(String rname) {

        Rname = rname;

    }

}

权限表

package com.zheng.pojo;

public class Perms {

    private String Pid;

    private String Pname;

    public String getPid() {

        return Pid;

    }

    public void setPid(String pid) {

        Pid = pid;

    }

    public String getPname() {

        return Pname;

    }

    public void setPname(String pname) {

        Pname = pname;

    }

}

controller层

package com.zheng.controller;

import org.apache.shiro.SecurityUtils;

import org.apache.shiro.authc.IncorrectCredentialsException;

import org.apache.shiro.authc.UnknownAccountException;

import org.apache.shiro.authc.UsernamePasswordToken;

import org.apache.shiro.subject.Subject;

import org.springframework.stereotype.Controller;

import org.springframework.ui.Model;

import org.springframework.web.bind.annotation.RequestMapping;

@Controller

public class UserController {

    @RequestMapping("/toLogin")

    public String index(){

        return "login";

    }

    //跳转到未授权界面

    @RequestMapping("/ungrant")

    public String ungrant(){

        return "ungrant";

    }

    //跳转到add

    @RequestMapping("/admin/add")

    public String addpPage(){

        return "add";

    }

    //跳转到show

    @RequestMapping("/admin/show")

    public String showPage(){

        return "show";

    }

    @RequestMapping("/admin/update")

    public String updatePage(){

        return "update";

    }

    @RequestMapping("/index")

    public String toIndex(){

        return "index";

    }

    @RequestMapping("/login")

    public String login(String username, String password, Model model){

        //获取当前的用户

        Subject subject= SecurityUtils.getSubject();

        //封装用户的登录数据

        UsernamePasswordToken token= new UsernamePasswordToken(username,password);

        try {

            subject.login(token);//执行登陆的方法,如果没有异常则是正确的

            return "index";//进入个人信息界面

        } catch (UnknownAccountException e) {

            model.addAttribute("msg","用户名错误");

            return "login";

        }catch (IncorrectCredentialsException e){

            model.addAttribute("msg","密码不存在");

            return "login";

        }

    }

}

srvice层

角色

package com.zheng.service;

import com.zheng.pojo.Role;

import java.util.Set;

public interface RoleService {

    //查询当前用户具有的角色

    Set<Role> queryRole(String name);

}

角色实现

package com.zheng.service.impl;

import com.zheng.mapper.RoleMapper;

import com.zheng.pojo.Role;

import com.zheng.service.RoleService;

import org.springframework.beans.factory.annotation.Autowired;

import org.springframework.stereotype.Service;

import java.util.Set;

@Service

public class RoleServiceImpl implements RoleService {

    @Autowired

    RoleMapper roleMapper;

    //查询当前用户具有的角色

    @Override

    public Set<Role> queryRole(String name) {

        Set<Role> Roleset = roleMapper.queryRole(name);

        int a=3;

        return Roleset ;

    }

}

权限

package com.zheng.service;

import com.zheng.pojo.Role;

import java.util.Set;

public interface RoleService {

    //查询当前用户具有的角色

    Set<Role> queryRole(String name);

}

权限实现

package com.zheng.service.impl;

import com.zheng.mapper.PermsMapper;

import com.zheng.pojo.Perms;

import com.zheng.service.PermService;

import org.springframework.beans.factory.annotation.Autowired;

import org.springframework.stereotype.Service;

import java.util.Set;

@Service

public class PermServiceImpl implements PermService {

    @Autowired

    PermsMapper permsMapper;

    //查询当前角色拥有的权限

    @Override

    public Set<Perms> queryPerms(String Rid) {

        return permsMapper.queryPerms(Rid);

    }

}

dao层

角色

package com.zheng.mapper;

import com.zheng.pojo.Role;

import org.apache.ibatis.annotations.Mapper;

import org.springframework.stereotype.Repository;

import java.util.Set;

@Mapper    //这个注解表示这个是mybatis的mapeper

@Repository

public interface RoleMapper {

    //查询当前用户具有的角色

    Set<Role> queryRole(String name);

}

权限

package com.zheng.mapper;

import com.zheng.pojo.Perms;

import org.apache.ibatis.annotations.Mapper;

import org.springframework.stereotype.Repository;

import java.util.Set;

@Mapper    //这个注解表示这个是mybatis的mapeper

@Repository

public interface PermsMapper {

    //查询当前角色拥有的权限

    Set<Perms> queryPerms(String Rid);

}

编写的mapper

角色

<?xml version="1.0" encoding="UTF8"?>

<!DOCTYPE mapper

        PUBLIC "-//mybatis.org//DTD Config 3.0//EN"

        "http://mybatis.org/dtd/mybatis-3-mapper.dtd">

<mapper namespace="com.zheng.mapper.RoleMapper">

    <!--查询某一个用户的信息-->

    <select id="queryRole" resultType="com.zheng.pojo.Role" >

    select role.Rid

    from user,role,us_ro

    where us_ro.name=user.name and us_ro.Rid=role.Rid and user.name=#{name}

    </select>

</mapper>

权限

<?xml version="1.0" encoding="UTF8"?>

<!DOCTYPE mapper

        PUBLIC "-//mybatis.org//DTD Config 3.0//EN"

        "http://mybatis.org/dtd/mybatis-3-mapper.dtd">

<mapper namespace="com.zheng.mapper.PermsMapper">

    <!--查询某一个用户的信息-->

    <select id="queryPerms" resultType="com.zheng.pojo.Perms" >

       select perms.Pname

       from perms,rop,role

       where rop.Pid=perms.Pid and rop.Rid=role.Rid and role.Rid=#{Rid}

    </select>

</mapper>

看一下实现的效果:

1、第一种情况、还未授权就访问首页里的内容





2、第二种情况、验证登录后的情况。根据当前用户的权限进行跟踪操作。
这里的admin:add和admin:show是来自两个不同角色的

1、add权限来自角色 1 2、show权限来自角色2。这里就实现了一个用户对应多个角色、然后不同的角色对应不同的权限。

来看效果






有兴趣的小伙伴可以看一下debug模式下的权限

当点击add选项时的debug

点击show链接的时候

核心实现部分。

第一种是将用户表和角色表进行一次查询、角色表和权限表进行一次查询。

这边是过滤权限

package com.zheng.config;

import at.pollux.thymeleaf.shiro.dialect.ShiroDialect;

import org.apache.shiro.spring.web.ShiroFilterFactoryBean;

import org.apache.shiro.web.mgt.DefaultWebSecurityManager;

import org.springframework.beans.factory.annotation.Qualifier;

import org.springframework.context.annotation.Bean;

import org.springframework.context.annotation.Configuration;

import java.util.LinkedHashMap;

import java.util.Map;

@Configuration

public class ShiroConfig {

    //ShiroFilterFactoryBean

    @Bean

    public ShiroFilterFactoryBean getShiroFilterFactoryBean(@Qualifier("securitymanager") DefaultWebSecurityManager defaultWebSecurityManager) {

        ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();

        //设置安全管理器

        bean.setSecurityManager(defaultWebSecurityManager);

        //添加shiro的内置过滤器

        /**

         *  anon:无需认证就可访问  *  authc:必须认证才能访问*  User:必须拥有 记住我 功能才能用

         *  perms:拥有对某个资源的权限才能访问*  role:拥有某个角色权限才能访问

         */

        Map<String, String> filterMap = new LinkedHashMap<>();

        //授权,正常的情况下,没有授权会跳转到未授权页面

//        filterMap.put("/admin/*","authc");//admin请求下的都需要认证

        filterMap.put("/admin/add", "perms[admin:add]");

        filterMap.put("/admin/show","perms[admin:show]");

        filterMap.put("/admin/update", "perms[user:update]");

        bean.setFilterChainDefinitionMap(filterMap);

        //如果没有认证、设置登录的请求

        bean.setLoginUrl("/toLogin");

        //如果没有授权,跳转到未收取页面

        bean.setUnauthorizedUrl("/ungrant");

        return bean;

    }

    //DefaultWebSecurityManager

    @Bean(name = "securitymanager")

    public DefaultWebSecurityManager getDefaultWebSecurityManager(@Qualifier("userRealm") UserRealm userRealm) {

        DefaultWebSecurityManager securitymanager = new DefaultWebSecurityManager();

        //关联UserRealm

        securitymanager.setRealm(userRealm);

        return securitymanager;

    }

    //创建realm对象,需要自定义安装

    @Bean

    public UserRealm userRealm() {

        return new UserRealm();

    }

    //整合ShiroDialect:用来整合shiro thymeleaf

    @Bean

    public ShiroDialect getShiroDialect() {

        return new ShiroDialect();

    }

}

这边是认证和授权

package com.zheng.config;

import com.zheng.pojo.Perms;

import com.zheng.pojo.Role;

import com.zheng.pojo.User;

import com.zheng.service.PermService;

import com.zheng.service.RoleService;

import com.zheng.service.UserService;

import org.apache.shiro.SecurityUtils;

import org.apache.shiro.authc.*;

import org.apache.shiro.authz.AuthorizationInfo;

import org.apache.shiro.authz.SimpleAuthorizationInfo;

import org.apache.shiro.realm.AuthorizingRealm;

import org.apache.shiro.subject.PrincipalCollection;

import org.apache.shiro.subject.Subject;

import org.springframework.beans.factory.annotation.Autowired;

import java.util.Collection;

import java.util.HashSet;

import java.util.Iterator;

import java.util.Set;

//自定义的UserRealm

public class UserRealm extends AuthorizingRealm {

    @Autowired

    UserService userService;

    @Autowired

    RoleService roleServic;

    @Autowired

    PermService permService;

    //授权

    @Override

    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {

        System.out.println("执行了授权");

        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();

        //拿到当前的登录对象

        Subject subject = SecurityUtils.getSubject();

        User user = (User)subject.getPrincipal();

        //设置当前用户的权限

        Collection<String> perms = new HashSet<String>();//设置集合

        //查询当前用户的角色

        Set<Role> roleSet =roleServic.queryRole(user.getName());

        //迭代器迭代集合元素 遍历

        Iterator<Role> iterator = roleSet.iterator();

        while(iterator.hasNext()){

            Role role1 =iterator.next();

            Set<Perms> permsSet=permService.queryPerms(role1.getRid());//查询当前角色具有的权限

            for(Perms perm : permsSet){

                perms.add(perm.getPname());//将每一个当前用户的权限加入

            }

        }

        info.addStringPermissions(perms);

        return info;

    }

    //认证

    @Override

    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {

        // 第一种方式

        // 获取用户输入的账号和密码(一般只需要获取账号就可以)

        System.out.println("执行了认证");

        UsernamePasswordToken userToken = (UsernamePasswordToken) token;

        //连接真实的数据库

        User user = userService.login(userToken.getUsername());

        //1、思路:在用户表中新增加一个权限字段、然后再次查询数据库获得该用户所具有的权限(该权限为要给集合??????

        if(user == null){

            //没有这个人

            return null;

        }

        //密码认证

        return  new SimpleAuthenticationInfo(user,user.getPassword(),"");

    }

}

两次分开查询

第二种实现权限的查询(只需要一条sql语句)耦合性太大了

这个是我之前写的用一条语句写的、我不想在重复写一次了、看的快吐了。直接贴以前的代码了、操作步骤和上边的一模一样。

这里是sql、看的头晕、写的也头晕

    <select id="perms" resultType="com.zheng.pojo.Perms">

      select perms.Pname from

      user,us_ro,role,rop,perms

      where us_ro.name=user.name and us_ro.Rid=role.Rid and rop.Rid=role.Rid and rop.Pid=perms.Pid and user.name=#{name}

    </select>

springboot+mybatis+shiro项目中使用shiro实现登录用户的权限验证。权限表、角色表、用户表。从不同的表中收集用户的权限、的更多相关文章

  1. springboot + mybatis 的项目,实现简单的CRUD

    以前都是用Springboot+jdbcTemplate实现CRUD 但是趋势是用mybatis,今天稍微修改,创建springboot + mybatis 的项目,实现简单的CRUD  上图是项目的 ...

  2. springboot+mybatis+thymeleaf项目搭建及前后端交互

    前言 spring boot简化了spring的开发, 开发人员在开发过程中省去了大量的配置, 方便开发人员后期维护. 使用spring boot可以快速的开发出restful风格微服务架构. 本文将 ...

  3. springboot + mybatis + 多数据源

    此文已由作者赵计刚薪授权网易云社区发布. 欢迎访问网易云社区,了解更多网易技术产品运营经验 在实际开发中,我们一个项目可能会用到多个数据库,通常一个数据库对应一个数据源. 代码结构: 简要原理: 1) ...

  4. 2_MVC+EF+Autofac(dbfirst)轻型项目框架_用户权限验证

    前言 接上面两篇 0_MVC+EF+Autofac(dbfirst)轻型项目框架_基本框架 与 1_MVC+EF+Autofac(dbfirst)轻型项目框架_core层(以登陆为例) .在第一篇中介 ...

  5. Thinkphp3.2.3中的RBAC权限验证

    最近在用TP的RBAC权限控制,在这里记录学习一下.先来看看相关的概念 一.相关概念 访问控制与RBAC模型1.访问控制:        通常的多用户系统都会涉及到访问控制,所谓访问控制,是指通过某种 ...

  6. 在前后端分离的SpringBoot项目中集成Shiro权限框架

    参考[1].在前后端分离的SpringBoot项目中集成Shiro权限框架 参考[2]. Springboot + Vue + shiro 实现前后端分离.权限控制   以及跨域的问题也有涉及

  7. springboot项目中使用shiro实现用户登录以及权限的验证

    欢迎大家加入我的社区:http://t.csdn.cn/Q52km 社区中不定时发红包 更加高级的验证用户权限:用户表.角色表.权限表.多表联合:https://blog.csdn.net/weixi ...

  8. SpringBoot系列: SpringBoot Web项目中使用Shiro 之二

    ==================================Shiro 的加深理解:==================================1. Shiro 和 Spring 系组 ...

  9. SpringBoot系列: SpringBoot Web项目中使用Shiro

    注意点有:1. 不要启用 spring-boot-devtools, 如果启用 devtools 后, 不管是热启动还是手工重启, devtools总是试图重新恢复之前的session数据, 很有可能 ...

随机推荐

  1. 客户流失?来看看大厂如何基于spark+机器学习构建千万数据规模上的用户留存模型 ⛵

    作者:韩信子@ShowMeAI 大数据技术 ◉ 技能提升系列:https://www.showmeai.tech/tutorials/84 行业名企应用系列:https://www.showmeai. ...

  2. Oracle-视图,约束

    试图:试图是数据库对象之一视图在sql语句中体现的角色与表一致,但它不是一张真是存在的表,只是对应了一个查询语句的结果集当试图对应的子查询中含有函数或者表达式时,那么必须指定别名试图根据对应的子查询分 ...

  3. java学习第一天.day03

    运行程序数据存储 ASCII Unicode(万国码) A在码表的顺序是65,a在码表的顺序是97,1代表49 变量 定义一个变量声明数据类型是开辟一个空间存储数据,java对数据的定义比较严格,比如 ...

  4. CCF NOI Online 2021 提高组 T3 岛屿探险(CDQ 分治,Trie 树)

    题面 凇睦是一个喜欢探险的女孩子,这天她到一片海域上来探险了. 在这片海域上一共有 n 座岛屿排成一排,标号为 1, 2, 3, . . . , n.每座岛屿有两个权值,分别为劳累度 ai 和有趣度 ...

  5. 【JAVA】学习路径36-写到硬盘FileOutputStream Write的三种方法

    import java.io.FileOutputStream;import java.io.FileReader;import java.io.IOException;import java.nio ...

  6. python随机值生成的常用方法

    一.随机整数1.包含上下限:[a, b] import random #1.随机整数:包含上下限:[a, b] for i in range(10): print(random.randint(0,5 ...

  7. Spark 读 Hbase

    package com.grady import org.apache.hadoop.hbase.HBaseConfiguration import org.apache.hadoop.hbase.c ...

  8. HDFS 高可用分布式环境搭建

    HDFS 高可用分布式环境搭建 作者:Grey 原文地址: 博客园:HDFS 高可用分布式环境搭建 CSDN:HDFS 高可用分布式环境搭建 首先,一定要先完成分布式环境搭建 并验证成功 然后在 no ...

  9. URL slug是什么?

    URL slug是什么? URL slug是 URL 中最后一个反斜杠之后的部分. 为什么slug 对 SEO 很重要? slug 对于关键字 SEO 来说非常强大.如果用户要在 Google 搜索& ...

  10. SSTI服务端模板注入漏洞原理详解及利用姿势集锦

    目录 基本概念 模板引擎 SSTI Jinja2 Python基础 漏洞原理 代码复现 Payload解析 常规绕过姿势 其他Payload 过滤关键字 过滤中括号 过滤下划线 过滤点.(适用于Fla ...