您好,登錄后才能下訂單哦!
這篇文章主要介紹“如何使用spring-shiro權(quán)限控制realm”,在日常操作中,相信很多人在如何使用spring-shiro權(quán)限控制realm問題上存在疑惑,小編查閱了各式資料,整理出簡單好用的操作方法,希望對大家解答”如何使用spring-shiro權(quán)限控制realm”的疑惑有所幫助!接下來,請跟著小編一起來學(xué)習(xí)吧!
spring-shiro權(quán)限控制realm
用戶與角色實體
Realm類
Shiro 配置類
控制器
Service
shiro權(quán)限不生效原因分析
shiro遇到的坑
問題原因:權(quán)限標(biāo)簽定義問題
Role.java
@Data @Entity public class Role { @Id @GeneratedValue private Integer id; private Long userId; private String role; }
User.java
@Data @Entity public class User { @Id @GeneratedValue private Long id; private String username; private String password; }
首先建立 Realm 類,繼承自 AuthorizingRealm,自定義我們自己的授權(quán)和認(rèn)證的方法。Realm 是可以訪問特定于應(yīng)用程序的安全性數(shù)據(jù)(如用戶,角色和權(quán)限)的組件。
Realm.java
public class Realm extends AuthorizingRealm { @Autowired private UserService userService; //授權(quán) @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) { //從憑證中獲得用戶名 String username = (String) SecurityUtils.getSubject().getPrincipal(); //根據(jù)用戶名查詢用戶對象 User user = userService.getUserByUserName(username); //查詢用戶擁有的角色 List<Role> list = roleService.findByUserId(user.getId()); SimpleAuthorizationInfo info = new SimpleAuthorizationInfo(); for (Role role : list) { //賦予用戶角色 info.addStringPermission(role.getRole()); } return info; } //認(rèn)證 @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException { //獲得當(dāng)前用戶的用戶名 String username = (String) authenticationToken.getPrincipal(); //從數(shù)據(jù)庫中根據(jù)用戶名查找用戶 User user = userService.getUserByUserName(username); if (userService.getUserByUserName(username) == null) { throw new UnknownAccountException( "沒有在本系統(tǒng)中找到對應(yīng)的用戶信息。"); } SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(user.getUsername(), user.getPassword(),getName()); return info; } }
ShiroConfig.java
@Configuration public class ShiroConfig { @Bean public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager) { ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean(); shiroFilterFactoryBean.setSecurityManager(securityManager); Map<String, String> filterChainDefinitionMap = new LinkedHashMap<String, String>(); //以下是過濾鏈,按順序過濾,所以/**需要放最后 //開放的靜態(tài)資源 filterChainDefinitionMap.put("/favicon.ico", "anon");//網(wǎng)站圖標(biāo) filterChainDefinitionMap.put("/**", "authc"); shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap); return shiroFilterFactoryBean; } @Bean public DefaultWebSecurityManager securityManager() { DefaultWebSecurityManager defaultWebSecurityManager = new DefaultWebSecurityManager(myRealm()); return defaultWebSecurityManager; } @Bean public MyRealm myRealm() { MyRealm myRealm = new MyRealm(); return myRealm; } }
UserController.java
@Controller public class UserController { @Autowired private UserService userService; @GetMapping("/") public String index() { return "index"; } @GetMapping("/login") public String toLogin() { return "login"; } @GetMapping("/admin") public String admin() { return "admin"; } @PostMapping("/login") public String doLogin(String username, String password) { UsernamePasswordToken token = new UsernamePasswordToken(username, password); Subject subject = SecurityUtils.getSubject(); try { subject.login(token); } catch (Exception e) { e.printStackTrace(); } return "redirect:admin"; } @GetMapping("/home") public String home() { Subject subject = SecurityUtils.getSubject(); try { subject.checkPermission("admin"); } catch (UnauthorizedException exception) { System.out.println("沒有足夠的權(quán)限"); } return "home"; } @GetMapping("/logout") public String logout() { return "index"; } }
UserService.java
@Service public class UserService { @Autowired private UserDao userDao; public User getUserByUserName(String username) { return userDao.findByUsername(username); } @RequiresRoles("admin") public void send() { System.out.println("我現(xiàn)在擁有角色admin,可以執(zhí)行本條語句"); } }
-項目中使用shiro做登錄校驗和權(quán)限管理,在配置權(quán)限時遇到小坑,記錄一下。
環(huán)境:springboot+freemarker+shiro
場景:后臺管理,配置菜單以及按鈕權(quán)限,分為三個層級,一二級暫時只考慮是否查看權(quán)限,第三層級為頁面按鈕權(quán)限,分增刪改查。詳情看圖
問題:一二層級正常,第三層級權(quán)限不起作用!
權(quán)限標(biāo)簽定義如下:
標(biāo)簽定義 | 頁面一 | 頁面二 |
---|---|---|
第一層級 | one:view | two:view |
第二層級 | one:page1:view | two:page2:view |
第三層級 | one:page1:view:add | two:page2:view:add |
開始懷疑是數(shù)據(jù)庫沒有錄入,查看后權(quán)限標(biāo)簽與角色已對應(yīng),排除。
后面懷疑是頁面問題,后面把第三層級標(biāo)簽與第一二層級同一頁面,依然不起作用,排除。
后面懷疑是權(quán)限標(biāo)簽定義問題,把第三層級標(biāo)簽改為one:page1:data:add,奇跡出現(xiàn),權(quán)限生效。證實權(quán)限標(biāo)簽定義出了問題。
但是后來想想為什么會出現(xiàn)這種問題,每個標(biāo)簽都是獨一無二的,對此我對shiro對于權(quán)限標(biāo)簽的校驗產(chǎn)生了興趣,查看源碼,一路debug后最終在org.apache.shiro.authz.permission中看到了關(guān)鍵所在,核心代碼如下
//當(dāng)這個方法返回true時說明有此權(quán)限 //這個p是代表當(dāng)前循環(huán)匹配到的權(quán)限標(biāo)簽 public boolean implies(Permission p) { // By default only supports comparisons with other WildcardPermissions if (!(p instanceof WildcardPermission)) { return false; } WildcardPermission wp = (WildcardPermission) p; //把當(dāng)前標(biāo)簽轉(zhuǎn)分割成一個set集合(如one:page1:view:add 會分割成[[one], [page1], [view], [add]]) List<Set<String>> otherParts = wp.getParts(); int i = 0; //循環(huán)匹配權(quán)限標(biāo)簽 for (Set<String> otherPart : otherParts) { // If this permission has less parts than the other permission, everything after the number of parts contained // in this permission is automatically implied, so return true //當(dāng)全部循環(huán)匹配完沒有返回false,則返回true,這個getparts()方法是獲取當(dāng)前角色當(dāng)前循環(huán)的權(quán)限標(biāo)簽([[one], [page1], [view]]) if (getParts().size() - 1 < i) { return true; } else { Set<String> part = getParts().get(i); /*如果包含有‘*'而且不包含當(dāng)前分割后的標(biāo)簽則返回false, *當(dāng)用戶可以查看頁面,也就是說當(dāng)前角色擁有one:page1:view標(biāo)簽 *這里【!part.contains(WILDCARD_TOKEN)】返回true,第二個【part.containsAll(otherPart)】one會跟當(dāng)前標(biāo)簽匹**配one, *也就是說這里全部循環(huán)完返回的都是false,所以最后都沒true,于是在上面返回了一個true。 if (!part.contains(WILDCARD_TOKEN) && !part.containsAll(otherPart)) { return false; } i++; } }
小結(jié)一下:通過分析,我們看到了shiro在定義權(quán)限標(biāo)簽時,要主意匹配問題,不要存在包含問題,類似aaa 和aaab ,會導(dǎo)致后面標(biāo)簽失效。
到此,關(guān)于“如何使用spring-shiro權(quán)限控制realm”的學(xué)習(xí)就結(jié)束了,希望能夠解決大家的疑惑。理論與實踐的搭配能更好的幫助大家學(xué)習(xí),快去試試吧!若想繼續(xù)學(xué)習(xí)更多相關(guān)知識,請繼續(xù)關(guān)注億速云網(wǎng)站,小編會繼續(xù)努力為大家?guī)砀鄬嵱玫奈恼拢?/p>
免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點不代表本網(wǎng)站立場,如果涉及侵權(quán)請聯(lián)系站長郵箱:is@yisu.com進(jìn)行舉報,并提供相關(guān)證據(jù),一經(jīng)查實,將立刻刪除涉嫌侵權(quán)內(nèi)容。