springboot+mybatis+shiro项目中使用shiro实现登录用户的权限验证。权限表、角色表、用户表。从不同的表中收集用户的权限、

简介: 这篇文章介绍了在Spring Boot + MyBatis + Shiro项目中,如何使用Shiro框架实现登录用户的权限验证,包括用户、角色和权限表的设计,以及通过多个表查询来收集和验证用户权限的方法和代码实现。

要实现的目的:根据登录用户、查询出当前用户具有的所有权限、然后登录系统后、根据查询到的权限信息进行不同的操作。
以下的代码是在搭好的框架之下进行的编码。

文章目录

  • 核心实现部分。
  • 第一种是将用户表和角色表进行一次查询、角色表和权限表进行一次查询。
  • 第二种实现权限的查询(只需要一条sql语句)耦合性太大了

请参考这个框架的搭建以及实现shiro用户登录的验证: https://blog.csdn.net/weixin_43304253/article/details/121111530

我直接贴代码、在关键的部分我会叙述一下。代码更具有说服力

编写的数据库表

用户表、用户角色关联表、角色表、角色权限关联表、权限表。(这个我就不贴代码了、就是简单的建表)

  • 一个用户可以对应一个角色、也可以对应多个角色(看自己的需求设计了)
  • 一个角色往往有不同的权限。

在这里插入图片描述
实体类
在这里插入图片描述
角色表

package com.zheng.pojo;

public class Role {
    private String Rid;
    private String Rname;

    public String getRid() {
        return Rid;
    }

    public void setRid(String rid) {
        Rid = rid;
    }

    public String getRname() {
        return Rname;
    }

    public void setRname(String rname) {
        Rname = rname;
    }
}
AI 代码解读

权限表

package com.zheng.pojo;

public class Perms {
    private String Pid;
    private String Pname;

    public String getPid() {
        return Pid;
    }

    public void setPid(String pid) {
        Pid = pid;
    }

    public String getPname() {
        return Pname;
    }

    public void setPname(String pname) {
        Pname = pname;
    }
}
AI 代码解读

controller层

package com.zheng.controller;


import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.IncorrectCredentialsException;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.subject.Subject;
import org.springframework.stereotype.Controller;
import org.springframework.ui.Model;
import org.springframework.web.bind.annotation.RequestMapping;

@Controller

public class UserController {


    @RequestMapping("/toLogin")
    public String index(){
        return "login";
    }

    //跳转到未授权界面
    @RequestMapping("/ungrant")
    public String ungrant(){
        return "ungrant";
    }

    //跳转到add
    @RequestMapping("/admin/add")
    public String addpPage(){
        return "add";
    }

    //跳转到show
    @RequestMapping("/admin/show")
    public String showPage(){
        return "show";
    }

    @RequestMapping("/admin/update")
    public String updatePage(){
        return "update";
    }

    @RequestMapping("/index")
    public String toIndex(){
        return "index";
    }





    @RequestMapping("/login")
    public String login(String username, String password, Model model){
        //获取当前的用户
        Subject subject= SecurityUtils.getSubject();

        //封装用户的登录数据
        UsernamePasswordToken token= new UsernamePasswordToken(username,password);
        try {
            subject.login(token);//执行登陆的方法,如果没有异常则是正确的
            return "index";//进入个人信息界面
        } catch (UnknownAccountException e) {
            model.addAttribute("msg","用户名错误");
            return "login";
        }catch (IncorrectCredentialsException e){
            model.addAttribute("msg","密码不存在");
            return "login";

        }


    }
}
AI 代码解读

srvice层
在这里插入图片描述

角色

package com.zheng.service;

import com.zheng.pojo.Role;

import java.util.Set;

public interface RoleService {

    //查询当前用户具有的角色
    Set<Role> queryRole(String name);
}
AI 代码解读

角色实现

package com.zheng.service.impl;

import com.zheng.mapper.RoleMapper;
import com.zheng.pojo.Role;
import com.zheng.service.RoleService;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Service;

import java.util.Set;

@Service
public class RoleServiceImpl implements RoleService {

    @Autowired
    RoleMapper roleMapper;

    //查询当前用户具有的角色
    @Override
    public Set<Role> queryRole(String name) {
        Set<Role> Roleset = roleMapper.queryRole(name);
        int a=3;
        return Roleset ;
    }
}
AI 代码解读

权限

package com.zheng.service;

import com.zheng.pojo.Role;

import java.util.Set;

public interface RoleService {

    //查询当前用户具有的角色
    Set<Role> queryRole(String name);
}
AI 代码解读

权限实现

package com.zheng.service.impl;

import com.zheng.mapper.PermsMapper;
import com.zheng.pojo.Perms;
import com.zheng.service.PermService;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Service;

import java.util.Set;

@Service
public class PermServiceImpl implements PermService {
    @Autowired
    PermsMapper permsMapper;

    //查询当前角色拥有的权限
    @Override
    public Set<Perms> queryPerms(String Rid) {
        return permsMapper.queryPerms(Rid);
    }
}
AI 代码解读

dao层
在这里插入图片描述
角色

package com.zheng.mapper;

import com.zheng.pojo.Role;
import org.apache.ibatis.annotations.Mapper;
import org.springframework.stereotype.Repository;

import java.util.Set;
@Mapper    //这个注解表示这个是mybatis的mapeper
@Repository
public interface RoleMapper {

    //查询当前用户具有的角色
    Set<Role> queryRole(String name);
}
AI 代码解读

权限

package com.zheng.mapper;

import com.zheng.pojo.Perms;
import org.apache.ibatis.annotations.Mapper;
import org.springframework.stereotype.Repository;

import java.util.Set;

@Mapper    //这个注解表示这个是mybatis的mapeper
@Repository
public interface PermsMapper {

    //查询当前角色拥有的权限
    Set<Perms> queryPerms(String Rid);
}
AI 代码解读

编写的mapper
在这里插入图片描述

角色

<?xml version="1.0" encoding="UTF8"?>
<!DOCTYPE mapper
        PUBLIC "-//mybatis.org//DTD Config 3.0//EN"
        "http://mybatis.org/dtd/mybatis-3-mapper.dtd">
<mapper namespace="com.zheng.mapper.RoleMapper">

    <!--查询某一个用户的信息-->
    <select id="queryRole" resultType="com.zheng.pojo.Role" >
    select role.Rid
    from user,role,us_ro
    where us_ro.name=user.name and us_ro.Rid=role.Rid and user.name=#{name}
    </select>


</mapper>
AI 代码解读

权限

<?xml version="1.0" encoding="UTF8"?>
<!DOCTYPE mapper
        PUBLIC "-//mybatis.org//DTD Config 3.0//EN"
        "http://mybatis.org/dtd/mybatis-3-mapper.dtd">
<mapper namespace="com.zheng.mapper.PermsMapper">

    <!--查询某一个用户的信息-->
    <select id="queryPerms" resultType="com.zheng.pojo.Perms" >
       select perms.Pname
       from perms,rop,role
       where rop.Pid=perms.Pid and rop.Rid=role.Rid and role.Rid=#{Rid}
    </select>


</mapper>
AI 代码解读

看一下实现的效果:

1、第一种情况、还未授权就访问首页里的内容
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

2、第二种情况、验证登录后的情况。根据当前用户的权限进行跟踪操作。
这里的admin:add和admin:show是来自两个不同角色的
在这里插入图片描述
1、add权限来自角色 1 2、show权限来自角色2。这里就实现了一个用户对应多个角色、然后不同的角色对应不同的权限。

来看效果
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
有兴趣的小伙伴可以看一下debug模式下的权限

当点击add选项时的debug
在这里插入图片描述
点击show链接的时候
在这里插入图片描述

核心实现部分。

第一种是将用户表和角色表进行一次查询、角色表和权限表进行一次查询。

这边是过滤权限

package com.zheng.config;

import at.pollux.thymeleaf.shiro.dialect.ShiroDialect;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.beans.factory.annotation.Qualifier;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

import java.util.LinkedHashMap;
import java.util.Map;

@Configuration
public class ShiroConfig {
    //ShiroFilterFactoryBean
    @Bean
    public ShiroFilterFactoryBean getShiroFilterFactoryBean(@Qualifier("securitymanager") DefaultWebSecurityManager defaultWebSecurityManager) {
        ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();
        //设置安全管理器
        bean.setSecurityManager(defaultWebSecurityManager);
        //添加shiro的内置过滤器
        /**
         *  anon:无需认证就可访问  *  authc:必须认证才能访问*  User:必须拥有 记住我 功能才能用
         *  perms:拥有对某个资源的权限才能访问*  role:拥有某个角色权限才能访问
         */
        Map<String, String> filterMap = new LinkedHashMap<>();
        //授权,正常的情况下,没有授权会跳转到未授权页面
//        filterMap.put("/admin/*","authc");//admin请求下的都需要认证
        filterMap.put("/admin/add", "perms[admin:add]");
        filterMap.put("/admin/show","perms[admin:show]");
        filterMap.put("/admin/update", "perms[user:update]");

        bean.setFilterChainDefinitionMap(filterMap);
        //如果没有认证、设置登录的请求
        bean.setLoginUrl("/toLogin");
        //如果没有授权,跳转到未收取页面
        bean.setUnauthorizedUrl("/ungrant");
        return bean;

    }

    //DefaultWebSecurityManager
    @Bean(name = "securitymanager")
    public DefaultWebSecurityManager getDefaultWebSecurityManager(@Qualifier("userRealm") UserRealm userRealm) {
        DefaultWebSecurityManager securitymanager = new DefaultWebSecurityManager();
        //关联UserRealm
        securitymanager.setRealm(userRealm);
        return securitymanager;


    }

    //创建realm对象,需要自定义安装
    @Bean
    public UserRealm userRealm() {

        return new UserRealm();
    }


    //整合ShiroDialect:用来整合shiro thymeleaf
    @Bean
    public ShiroDialect getShiroDialect() {
        return new ShiroDialect();
    }


}
AI 代码解读

这边是认证和授权

package com.zheng.config;

import com.zheng.pojo.Perms;
import com.zheng.pojo.Role;
import com.zheng.pojo.User;
import com.zheng.service.PermService;
import com.zheng.service.RoleService;
import com.zheng.service.UserService;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.subject.Subject;
import org.springframework.beans.factory.annotation.Autowired;

import java.util.Collection;
import java.util.HashSet;
import java.util.Iterator;
import java.util.Set;


//自定义的UserRealm

public class UserRealm extends AuthorizingRealm {

    @Autowired
    UserService userService;

    @Autowired
    RoleService roleServic;

    @Autowired
    PermService permService;

    //授权
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {

        System.out.println("执行了授权");
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();

        //拿到当前的登录对象
        Subject subject = SecurityUtils.getSubject();
        User user = (User)subject.getPrincipal();
        //设置当前用户的权限
        Collection<String> perms = new HashSet<String>();//设置集合
        //查询当前用户的角色
        Set<Role> roleSet =roleServic.queryRole(user.getName());
        //迭代器迭代集合元素 遍历
        Iterator<Role> iterator = roleSet.iterator();
        while(iterator.hasNext()){
            Role role1 =iterator.next();
            Set<Perms> permsSet=permService.queryPerms(role1.getRid());//查询当前角色具有的权限
            for(Perms perm : permsSet){
                perms.add(perm.getPname());//将每一个当前用户的权限加入
            }
        }

        info.addStringPermissions(perms);
        return info;

    }

    //认证
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        // 第一种方式
        // 获取用户输入的账号和密码(一般只需要获取账号就可以)
        System.out.println("执行了认证");
        UsernamePasswordToken userToken = (UsernamePasswordToken) token;
        //连接真实的数据库
        User user = userService.login(userToken.getUsername());
        //1、思路:在用户表中新增加一个权限字段、然后再次查询数据库获得该用户所具有的权限(该权限为要给集合??????
        if(user == null){
            //没有这个人
            return null;
        }
        //密码认证
        return  new SimpleAuthenticationInfo(user,user.getPassword(),"");

    }
}
AI 代码解读

两次分开查询
在这里插入图片描述

第二种实现权限的查询(只需要一条sql语句)耦合性太大了

这个是我之前写的用一条语句写的、我不想在重复写一次了、看的快吐了。直接贴以前的代码了、操作步骤和上边的一模一样。
在这里插入图片描述
这里是sql、看的头晕、写的也头晕

    <select id="perms" resultType="com.zheng.pojo.Perms">
      select perms.Pname from
      user,us_ro,role,rop,perms
      where us_ro.name=user.name and us_ro.Rid=role.Rid and rop.Rid=role.Rid and rop.Pid=perms.Pid and user.name=#{name}
    </select>
AI 代码解读
目录
打赏
0
0
0
0
228
分享
相关文章
在SpringBoot项目中使用Netty实现远程调用
本文介绍了使用Netty解决网络连接性能问题的方法,重点讲解了Netty的NIO特性及其在SpringBoot中的应用。Netty作为高效的NIO框架,支持非阻塞IO,能通过单线程管理多个客户端连接,简化TCP/UDP套接字服务器开发。文章详细展示了Netty在SpringBoot中实现远程调用的过程,包括服务端与客户端代码实现、依赖配置及测试验证。通过示例代码,如`NettyServer`、`NettyClientUtil`等,清晰说明了Netty的工作原理和实际应用,解决了半包等问题,并提供了完整的测试结果。
129 3
Shiro简介及SpringBoot集成Shiro(狂神说视频简易版)
Shiro简介及SpringBoot集成Shiro(狂神说视频简易版)
92 6
深入理解 Spring Boot 项目中的分页与排序功能
本文深入讲解了在Spring Boot项目中实现分页与排序功能的完整流程。通过实际案例,从Service层接口设计到Mapper层SQL动态生成,再到Controller层参数传递及前端页面交互,逐一剖析每个环节的核心逻辑与实现细节。重点包括分页计算、排序参数校验、动态SQL处理以及前后端联动,确保数据展示高效且安全。适合希望掌握分页排序实现原理的开发者参考学习。
147 4
Spring Boot 便利店销售系统项目分包设计解析
本文深入解析了基于Spring Boot的便利店销售系统分包设计,通过清晰的分层架构(表现层、业务逻辑层、数据访问层等)和模块化设计,提升了代码的可维护性、复用性和扩展性。具体分包结构包括`controller`、`service`、`repository`、`entity`、`dto`、`config`和`util`等模块,职责分明,便于团队协作与功能迭代。该设计为复杂企业级应用开发提供了实践参考。
136 0
Spring Boot 项目中触发 Circular View Path 错误的原理与解决方案
在Spring Boot开发中,**Circular View Path**错误常因视图解析与Controller路径重名引发。当视图名称(如`login`)与请求路径相同,Spring MVC无法区分,导致无限循环调用。解决方法包括:1) 明确指定视图路径,避免重名;2) 将视图文件移至子目录;3) 确保Spring Security配置与Controller路径一致。通过合理设定视图和路径,可有效避免该问题,确保系统稳定运行。
193 0
两种Spring Boot 项目启动自动执行方法的实现方式
在Spring Boot项目启动后执行特定代码的实际应用场景中,可通过实现`ApplicationRunner`或`CommandLineRunner`接口完成初始化操作,如系统常量或配置加载。两者均支持通过`@Order`注解控制执行顺序,值越小优先级越高。区别在于参数接收方式:`CommandLineRunner`使用字符串数组,而`ApplicationRunner`采用`ApplicationArguments`对象。注意,`@Order`仅影响Bean执行顺序,不影响加载顺序。
136 2
|
4月前
|
微服务——SpringBoot使用归纳——Spring Boot中集成 Shiro——Shiro 身份和权限认证
本文介绍了 Apache Shiro 的身份认证与权限认证机制。在身份认证部分,分析了 Shiro 的认证流程,包括应用程序调用 `Subject.login(token)` 方法、SecurityManager 接管认证以及通过 Realm 进行具体的安全验证。权限认证部分阐述了权限(permission)、角色(role)和用户(user)三者的关系,其中用户可拥有多个角色,角色则对应不同的权限组合,例如普通用户仅能查看或添加信息,而管理员可执行所有操作。
151 0
Spring boot 使用mybatis generator 自动生成代码插件
本文介绍了在Spring Boot项目中使用MyBatis Generator插件自动生成代码的详细步骤。首先创建一个新的Spring Boot项目,接着引入MyBatis Generator插件并配置`pom.xml`文件。然后删除默认的`application.properties`文件,创建`application.yml`进行相关配置,如设置Mapper路径和实体类包名。重点在于配置`generatorConfig.xml`文件,包括数据库驱动、连接信息、生成模型、映射文件及DAO的包名和位置。最后通过IDE配置运行插件生成代码,并在主类添加`@MapperScan`注解完成整合
Spring boot 使用mybatis generator 自动生成代码插件
微服务——SpringBoot使用归纳——Spring Boot集成MyBatis——基于注解的整合
本文介绍了Spring Boot集成MyBatis的两种方式:基于XML和注解的形式。重点讲解了注解方式,包括@Select、@Insert、@Update、@Delete等常用注解的使用方法,以及多参数时@Param注解的应用。同时,针对字段映射不一致的问题,提供了@Results和@ResultMap的解决方案。文章还提到实际项目中常结合XML与注解的优点,灵活使用两者以提高开发效率,并附带课程源码供下载学习。
98 0
Java后端开发-使用springboot进行Mybatis连接数据库步骤
本文介绍了使用Java和IDEA进行数据库操作的详细步骤,涵盖从数据库准备到测试类编写及运行的全过程。主要内容包括: 1. **数据库准备**:创建数据库和表。 2. **查询数据库**:验证数据库是否可用。 3. **IDEA代码配置**:构建实体类并配置数据库连接。 4. **测试类编写**:编写并运行测试类以确保一切正常。
235 2
AI助理

你好,我是AI助理

可以解答问题、推荐解决方案等