SpringBoot:集成Shiro之INI授权篇

前言

图片描述(最多50字)
前面说到如何使用INI文件进行登录认证,但是这一篇博客主要讲的是Shiro的另外一个重要功能就是授权操作,这里简单说明一下,授权操作就是来定义合法用户的权限操作.这一篇我们仍然使用INI文件的形式,看一下,我们如何来进行授权操作.

RBAC简单阐述
基于角色的权限访问控制(Role-Based Access Control)作为传统访问控制(自主访问,强制访问)的有前景的代替受到广泛的关注。在RBAC中,权限与角色相关联,用户通过成为适当角色的成员而得到这些角色的权限。这就极大地简化了权限的管理。在一个组织中,角色是为了完成各种工作而创造,用户则依据它的责任和资格来被指派相应的角色,用户可以很容易地从一个角色被指派到另一个角色。角色可依新的需求和系统的合并而赋予新的权限,而权限也可根据需要而从某角色中回收。角色与角色的关系可以建立起来以囊括更广泛的客观情况。(选自百度百科.)

上面所说的可以用一句话来简单阐述什么样的用户是怎样的角色.拥有什么的权限.在Shiro的授权方面就是遵循这一规则.下面我们就基于前面的一篇博客Shiro认证篇来编写我们的授权代码.来看一下使用INI文件如何实现用户授权的.

编写INI文件,实现授权
上一篇博客中我们的INI文件,定义了用户名称以及密码,如下所示.

[users]
root=123456
admin=admin
下面我们来分不同情况说一下我们如何给用户添加角色和权限.

最常见的就是某个用户拥有一个角色和一种权限,假设root是role1角色.拥有权限permission1.那么,在INI文件中我们首先要编写[roles]标签,和[users]标签类似.然后我们添加用户的角色以及标签,代码如下所示.
[users]
root=123456,role1
[roles]
roles = permission1
那么,一个用户是否可以拥有多个角色和多个权限呢?答案是肯定的,下面我就直接举例说明了,假设admin用户是role1,role2角色.同时,role2角色拥有permission2和permission3的权限,那么综合第一种情况,我们就可以如下编写代码.
[users]
root=123456,role1
admin=admin,role1,role2
[roles]
role1 = permission1
role2 = permission2,permission3

查询用户是否拥有角色
上面我们编写了什么样的用户对应什么样的角色和权限(其实已经完成了授权的操作),下面我们来看一下如何查询某个用户是否拥有某个角色.当然了,这个操作必须要在用户已经登录认证完成之后才能进行操作.我们首先把我们所需要的三个认证方法.具体方法和使用情景如下所示.

hasRole用于单一角色判断,参数为角色名称,返回值类型是布尔值.true表示拥有该角色,false表示未拥有该角色.
boolean hasRole(String var1);
hasAllRoles用于判断是否拥有某些角色,参数为角色数组,返回值类型是布尔值.true表示全部拥有,false表示未全部拥有.
boolean hasAllRoles(Collection<String> var1);
hasRoles用于判断是否拥有某些角色,,参数为角色数组,返回值是布尔值的数组.
boolean[] hasRoles(List<String> var1);
现在我们就接着上一篇文章中的MyShiro来进行一下逻辑代码的编写,MyShiro中的原始代码如下所示.

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.util.Factory;
import org.springframework.stereotype.Component;
import java.util.HashMap;
import java.util.Map;br/>@Component
public class MyShiro {
public Map<String,Object> userLoginAction (String userName,String passWord){
Map<String,Object> resultMap = new HashMap<>();
//初始化SecurityManager对象
Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini");
//通过SecurityManager工厂对象,获取SecurityManager实例对象.
SecurityManager securityManager = factory.getInstance();
// 把 securityManager 实例 绑定到 SecurityUtils
SecurityUtils.setSecurityManager(securityManager);
//组建Subject主体.
Subject subject = SecurityUtils.getSubject();
//创建 token 令×××
UsernamePasswordToken token = new UsernamePasswordToken(userName,passWord);
//用户登录操作.
try{
subject.login(token);
resultMap.put("code","200");
resultMap.put("msg","用户登录成功");
}catch (AuthenticationException e){
//登录失败原因 1 用户不存在 2 用户密码不正确
resultMap.put("code","-1");
resultMap.put("msg","用户登录失败");
}
return resultMap;
}
}
由于,用户必须通过认证操作,所以在登录失败的情况下我们无法进行角色的判断.我们只能在用户登录成功的情况下进行角色是否含有的操作.所以我们就只在try成功的情况下进行验证操作.如下图所示.

图片描述(最多50字)

代码比较简单,我就直接把三个方法直接使用进行代码的编写.如下所示.

    //用户登录操作.
    try{
        subject.login(token);
        resultMap.put("code","200");
        resultMap.put("msg","用户登录成功");
        if (subject.hasRole("role1")){
            resultMap.put("roleMsg1","用户拥有角色1");
        }else {
            resultMap.put("roleMsg1","用户未拥有角色1");
        }
        if (subject.hasAllRoles(Arrays.asList("role1","role2"))){
            resultMap.put("roleMsg2","用户同时拥有角色1和角色2");
        }else {
            resultMap.put("roleMsg2","用户未同时拥有角色1和角色2");
        }
        //这里就不返回第三种方法了,直接打印了
        System.out.println(Arrays.asList(subject.hasRoles(Arrays.asList("role1","role2"))));
    }catch (AuthenticationException e){
        //登录失败原因 1 用户不存在 2 用户密码不正确
        resultMap.put("code","-1");
        resultMap.put("msg","用户登录失败");
    }

我们启动下程序,然后使用接口登录一下查看是否正确.验证结果如下所示.

用户 root

图片描述(最多50字)

用户 admin

图片描述(最多50字)

查询用户是否拥有权限
查询用户是否含有某种权限的大致过程和用户是否含有某种角色的大致过程是大体相同的.方法如下所示.

boolean isPermitted(String var1);
boolean isPermittedAll(String... var1);
boolean[] isPermitted(String... var1);
具体实现代码如下所示.

        if (subject.isPermitted("permission1")){
            resultMap.put("PermittedMsg1","用户拥有权限1");
        }else {
            resultMap.put("PermittedMsg1","用户未拥有权限1");
        }
        if (subject.isPermittedAll("permission2","permission3")){
            resultMap.put("PermittedMsg2","用户同时拥有权限1和权限2");
        }else {
            resultMap.put("PermittedMsg2","用户未同时拥有权限1和权限2");
        }

接下来我们依然验证正确性,然后使用接口登录一下查看是否正确.验证结果如下所示.

用户 root

图片描述(最多50字)

用户 admin

图片描述(最多50字)

结语
本篇集成Shiro之INI授权篇到此就结束了,这里做一个简单的总结,使用INI文件的方式虽然简单,但是由于使用硬编码的方式,所以可维护性比较差,大家酌情使用! 好了,今天就到这里了.如果有任何问题欢迎在评论区留言.希望大家继续关注.谢谢喽~

SpringBoot:集成Shiro之INI授权篇

原文地址:http://blog.51cto.com/13952953/2172963

时间: 2024-10-14 00:22:25

SpringBoot:集成Shiro之INI授权篇的相关文章

Springboot集成Shiro和Cas实现单点登录(服务端篇CAS5)

什么是单点登录? 先说一个需求场景,比如:一个企业的内部有N多个子系统,每个子系统都有一套自己的用户名和密码,那么企业的员工要登录N个子系统,这样一个员工 就要记住N个用户名和密码,就算各个子系统的用户名和密码都是统一的,登录每个子系统都要输入用户名和密码进行登录也是一个繁琐的操作过程,那么单点登录功能由此便应运而生了.单点登录(Single Sign On),简称为 SSO,是目前比较流行的企业业务整合的解决方案之一.SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应

SpringBoot集成Shiro 实现动态加载权限

一.前言 本文小编将基于 SpringBoot 集成 Shiro 实现动态uri权限,由前端vue在页面配置uri,Java后端动态刷新权限,不用重启项目,以及在页面分配给用户 角色 . 按钮 .uri 权限后,后端动态分配权限,用户无需在页面重新登录才能获取最新权限,一切权限动态加载,灵活配置 基本环境 spring-boot 2.1.7 mybatis-plus 2.1.0 mysql 5.7.24 redis 5.0.5 温馨小提示:案例demo源码附文章末尾,有需要的小伙伴们可参考哦 ~

springboot 集成shiro

首先看下shiro configuration 的配置,重要部分用红色标出了 package cn.xiaojf.today.shiro.configuration; import at.pollux.thymeleaf.shiro.dialect.ShiroDialect; import cn.xiaojf.today.sys.security.credentials.RetryLimitHashedCredentialsMatcher; import cn.xiaojf.today.sys.

SpringBoot 集成 Shiro:使用Shiro的权限管理(六)

上一章使用了Shiro的角色管理,现在加入粒度更小的权限管理,即根据用户角色分配的权限来判断用户能否访问页面 准备实体类和修改数据源 @Getter @Setter public class Role implements Serializable { private String name; private Set<Permission> permissions; public Role(String name) { this.name = name; this.permissions =

SpringBoot 集成 Shiro:使用Shiro的角色管理(五)

Shiro的角色管理,可以根据 添加Role实体类,修改User类,修改数据源 @Getter @Setter @AllArgsConstructor public class Role implements Serializable { private String name; } Role.java @Getter @Setter public class User implements Serializable { private String id; private String use

SpringBoot集成Shiro

Shiro是一个安全框架,控制登陆,角色权限管理(身份认证.授权.回话管理.加密) Shiro不会去维护用户,维护权限:这些需要通过realm让开发人员自己注入 1.在pom.xml中引入shiro的jar包 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.4.0</version&

springboot集成shiro实现权限缓存和记住我

到这节为止,我们已经实现了身份验证和权限验证.但是,如果我们登录之后多次访问http://localhost:8080/userInfo/userDel的话,会发现权限验证会每次都执行一次.这是有问题的,因为像用户的权限这些我们提供给shiro一次就够了. 下面,我们开始给shiro添加缓存支持: 1.添加依赖 <!-- shiro ehcache --> <dependency> <groupId>org.apache.shiro</groupId> &l

springboot集成shiro集成mybatis-plus、redis、quartz定时任务

完整项目代码位于码云上,点击获取:Git地址 主要介绍一下重点配置地方: 一.application.yml文件 server: port: 8084 servlet: context-path: /testspring: ## quartz定时任务,采用数据库方式 quartz: job-store-type: jdbc #json 时间戳统一转换 jackson: date-format: yyyy-MM-dd HH:mm:ss time-zone: GMT+8 aop: proxy-tar

springboot集成shiro的权限中cors跨域问题

@Configurationpublic class CorsConfig { private CorsConfiguration buildConfig() { CorsConfiguration corsConfiguration = new CorsConfiguration(); corsConfiguration.addAllowedOrigin("*"); corsConfiguration.addAllowedHeader("*"); corsConf