备案控制台
探索云世界
开发者社区 安全 文章 正文

shiro安全框架扩展教程--如何动态控制页面节点元素的权限

2014-09-29 1030
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介:          上些章节我们都学习了shiro中的各种实际应用技巧,今天我想讲的是如何动态控制页面节点权限,相信这个控制对于很多玩权限的人来说都是一个比较头痛的, 因为这实在不怎么好统...

         上些章节我们都学习了shiro中的各种实际应用技巧,今天我想讲的是如何动态控制页面节点权限,相信这个控制对于很多玩权限的人来说都是一个比较头痛的,

因为这实在不怎么好统一控制的,现在我来展示下我通过shiro是如何实现的,算是抛砖引玉,希望大家有更好的解决方案,可以相互学习;下面就直接进入主题不啰嗦了


之前我们已经学习了如何在项目启动的时候加载所有的资源角色,包括第三方资源,下面我再帖上加长加粗版的代码方便说明


package com.silvery.security.shiro.service.impl;

import java.text.MessageFormat;
import java.util.HashMap;
import java.util.HashSet;
import java.util.List;
import java.util.Map;
import java.util.Set;

import org.apache.shiro.cache.Cache;
import org.springframework.beans.factory.annotation.Autowired;

import com.silvery.project.cms.model.Authority;
import com.silvery.project.cms.model.Permission;
import com.silvery.project.cms.service.PermissionService;
import com.silvery.project.cms.vo.PermissionVo;
import com.silvery.security.shiro.cache.SimpleMapCache;
import com.silvery.security.shiro.cache.extend.SimpleCacheManager;
import com.silvery.security.variable.Const;

/**
 * 
 * 加载第三方角色资源配置服务类
 * 
 * @author shadow
 * 
 */
public class SimpleFilterChainDefinitionsService extends AbstractFilterChainDefinitionsService {

	@Autowired
	private SimpleCacheManager simpleCacheManager;

	@Autowired
	private PermissionService permissionService;

	@Override
	public Map<String, String> initOtherPermission() {
		return converResultMap(initOperation());
	}

	@SuppressWarnings("unchecked")
	private Map<Object, Object> initOperation() {

		Map<Object, Object> resultMap = new HashMap<Object, Object>();

		// 加载数据库所有资源
		PermissionVo vo = new PermissionVo();
		List<Permission> permissions = (List<Permission>) permissionService.query(vo).getValue();

		List<Authority> authorities = null;

		for (Permission permission : permissions) {

			// 遍历查询当前资源的配置角色
			vo.setId(permission.getId());
			authorities = (List<Authority>) permissionService.query4authority(vo).getValue();

			// 组装角色集合
			Set<String> authoritySet = getPermissionSet(authorities);

			if (authoritySet.isEmpty()) {
				continue;
			}
			if (permission.getType() == 1) {
				// 请求路径资源处理
				resultMap.put(permission.getContent(), MessageFormat.format(SHIRO_AUTHORITY_FORMAT, authoritySet));
			} else {
				// 元素资源处理
				Map<Object, Object> map = new HashMap<Object, Object>(1);
				map.put(Const.OTHER_PERMISSSION_CACHE_NAME, authoritySet);
				Cache<Object, Object> cache = new SimpleMapCache(Const.OTHER_PERMISSSION_CACHE_NAME, map);
				simpleCacheManager.createCache(Const.OTHER_PERMISSSION_CACHE_NAME + "_" + permission.getId(), cache);
			}
		}

		return resultMap;
	}

	/** 获取角色名称集合 */
	private Set<String> getPermissionSet(List<Authority> authorities) {
		Set<String> authoritieSet = new HashSet<String>(authorities.size());
		for (Authority authority : authorities) {
			authoritieSet.add(authority.getContent());
		}
		return authoritieSet;
	}

	/** 泛型Object转换String */
	private Map<String, String> converResultMap(Map<Object, Object> map) {
		Map<String, String> resultMap = new HashMap<String, String>(map.size());
		for (Map.Entry<Object, Object> entry : map.entrySet()) {
			resultMap.put(entry.getKey().toString(), entry.getValue().toString());
		}
		return resultMap;
	}

}

1. 加载所有资源,包括请求URL,元素节点等数据,我这里为了演示,没有分那么细就只有两种

2. 请求URL的直接放到框架中,形式如/user/list.do*=role[root,user],跟我们shiro.xml配置的一样

3. 元素节点则相应放到以键值对的形式放到缓存,以节点的编号组合成key保证可以找到这个缓存对,值是相应的角色集合


我们的缓存就存在各个资源所需要的角色集合, 加载数据步骤已经完毕了下面看看我们是怎么应用的


首先我是使用springMVC+freemarker作为展现层,具体怎么配置整合我也不说,百度一堆,直接看我帖代码说明


<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<title>欢迎主页</title>
</head>
<body>
	${username!"游客"}, 欢迎您的访问! <br />
	<hr />
	可选操作:
	<#if username??>
		<@sec id="2" body="<a href='/cms/user/page.do'>用户列表</a> " /><a href="/cms/authority/page.do">权限列表</a> <a href="/cms/permission/page.do">资源列表</a> <a href="/cms/logout.do">注销退出</a> 
	<#else>
		<a href="#" onclick="top.location.href='/cms/logout.do';">前往登录</a> 
	</#if>
	<hr />
</body>
</html>

很明显看到我的页面有一个@sec的标签,然后有两个参数,一个id,一个是body,至于id则是你资源的编号,body是需要元素节点内容


然后我们怎么通过这个标签来判定是否在页面渲染body的节点内容呢?


下面我们看看这个@sec的实现


package com.silvery.core.freemarker;

import java.io.IOException;
import java.util.Map;
import java.util.Set;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.cache.Cache;
import org.apache.shiro.subject.Subject;
import org.springframework.beans.factory.annotation.Autowired;

import com.silvery.security.shiro.cache.extend.SimpleCacheManager;
import com.silvery.security.variable.Const;

import freemarker.core.Environment;
import freemarker.template.TemplateDirectiveBody;
import freemarker.template.TemplateDirectiveModel;
import freemarker.template.TemplateException;
import freemarker.template.TemplateModel;

/**
 * 
 * FreeMarker自定义标签,节点权限控制
 * 
 * @author shadow
 * 
 */
public class SecurityTag implements TemplateDirectiveModel {

	@Autowired
	private SimpleCacheManager simpleCacheManager;

	@SuppressWarnings("unchecked")
	public void execute(Environment env, Map params, TemplateModel[] loopVars, TemplateDirectiveBody directiveBody)
			throws TemplateException, IOException {

		Object id = params.get("id");
		Object body = params.get("body");

		validate(id, body);

		if (hasRole(id)) {
			env.getOut().write(body.toString());
		} else {
			env.getOut().write("");
		}

	}

	private void validate(Object id, Object body) throws TemplateException {
		if (id == null || id.toString().trim().equals("")) {
			throw new TemplateException("参数[id]不能为空", null);
		}
		if (body == null) {
			throw new TemplateException("参数[body]不能为空", null);
		}
	}

	@SuppressWarnings("unchecked")
	private boolean hasRole(Object id) {
		Cache<Object, Object> cache = simpleCacheManager.getCache(Const.OTHER_PERMISSSION_CACHE_NAME + "_" + id);
		if (cache == null) {
			return false;
		} else {
			Object obj = cache.get(Const.OTHER_PERMISSSION_CACHE_NAME);
			if (obj == null) {
				return false;
			}
			Set<String> authoritySet = (Set<String>) obj;
			Subject subject = SecurityUtils.getSubject();
			for (String authority : authoritySet) {
				if (subject.hasRole(authority)) {
					return true;
				}
			}
		}
		return false;
	}

}

很清晰地看到,我们是用到之前的那个资源角色缓存,通过判定缓存中存在的角色与当前shiro认证用户拥有的角色匹配,如存在任意相同角色则渲染相应节点


如Subject拥有角色[root,user],而x编号资源拥有[user,test]角色,很明显有交集会认证通过,反之则直接渲染空字符


大概流程就是这样,有的人可能会问,如何配置这个tag实现类呢?我帖下spring-mvc.xml的freemarker配置


<!-- FreeMarker配置 -->
	<bean id="freemarkerConfig"
		class="org.springframework.web.servlet.view.freemarker.FreeMarkerConfigurer">
		<property name="templateLoaderPath" value="/WEB-INF/ftl/" />
		<property name="defaultEncoding" value="UTF-8" />
		<property name="freemarkerVariables">
			<map>
				<entry key="sec">
					<bean class="com.silvery.core.freemarker.SecurityTag">
					</bean>
				</entry>
			</map>
		</property>
		<property name="freemarkerSettings">
			<props>
				<prop key="template_update_delay">10</prop>
				<prop key="locale">zh_CN</prop>
				<prop key="datetime_format">yyyy-MM-dd HH:mm:ss</prop>
				<prop key="date_format">yyyy-MM-dd</prop>
				<prop key="number_format">#.####</prop>
			</props>
		</property>
	</bean>

相信懂freemarker的人都能看明白,我也不累赘说明;最后再说一句,谢谢大家支持.
文章标签:
安全
Java
缓存
aielves
目录
相关文章
童小纯
|
3月前
|
SQL XML Java
若依框架 --- 使用数据权限功能
若依框架 --- 使用数据权限功能
童小纯
317 0
童小纯
|
2月前
|
缓存 算法 Java
Shiro【散列算法、Shiro会话、退出登录 、权限表设计、注解配置鉴权 】(五)-全面详解(学习总结---从入门到深化)
Shiro【散列算法、Shiro会话、退出登录 、权限表设计、注解配置鉴权 】(五)-全面详解(学习总结---从入门到深化)
童小纯
46 0
Shiro【散列算法、Shiro会话、退出登录 、权限表设计、注解配置鉴权 】(五)-全面详解(学习总结---从入门到深化)
童小纯
|
3月前
|
算法 Java BI
Shiro【散列算法、Shiro会话、退出登录 、权限表设计、注解配置鉴权 】(五)-全面详解(学习总结---从入门到深化)(上)
Shiro【散列算法、Shiro会话、退出登录 、权限表设计、注解配置鉴权 】(五)-全面详解(学习总结---从入门到深化)
童小纯
35 0
童小纯
|
3月前
|
存储 缓存 算法
Shiro【散列算法、Shiro会话、退出登录 、权限表设计、注解配置鉴权 】(五)-全面详解(学习总结---从入门到深化)(下)
Shiro【散列算法、Shiro会话、退出登录 、权限表设计、注解配置鉴权 】(五)-全面详解(学习总结---从入门到深化)
童小纯
27 0
童小纯
|
3月前
|
算法 安全 Java
Shiro【散列算法、过滤器 、Shiro会话、会话管理器、权限表设计】(三)-全面详解(学习总结---从入门到深化)
Shiro【散列算法、过滤器 、Shiro会话、会话管理器、权限表设计】(三)-全面详解(学习总结---从入门到深化)
童小纯
42 1
lady_killer9
|
4月前
|
Kubernetes API 数据安全/隐私保护
k8s学习-基于角色的权限控制RBAC(概念,模版,创建,删除等)
k8s学习-基于角色的权限控制RBAC(概念,模版,创建,删除等)
lady_killer9
56 0
我在学前端
|
8月前
|
Web App开发 JavaScript 前端开发
Web组件规范和自定义元素
Web组件规范和自定义元素
我在学前端
91 0
bqospzg5rfs7g
|
安全 前端开发 Java
权限控制之开启动态权限注解支持|学习笔记
快速学习权限控制之开启动态权限注解支持
bqospzg5rfs7g
102 0
权限控制之开启动态权限注解支持|学习笔记
bqospzg5rfs7g
|
安全 Java 数据安全/隐私保护
权限控制之动态权限注解使用说明|学习笔记
快速学习权限控制之动态权限注解使用说明
bqospzg5rfs7g
74 0
权限控制之动态权限注解使用说明|学习笔记
金色海洋
|
Web App开发
【自然框架】通用权限的视频演示(一):添加角色,权限到功能节点和按钮
写了几个关于权限的东东,好像大家都不大理解,也不太清楚我的权限到底能做什么,所以想来想去还是弄点视频吧,就是屏幕录像,这样大家看起来就方便了吧。      为了大家便于观看视频,我先说一下视频的步骤。
金色海洋
1152 0

热门文章

最新文章

  • 1
    理解事务的4种隔离级别
  • 2
    疑犯追踪第一季/全集Person Of Interest迅雷下载
  • 3
    简单实用的数据建模工具PDManer
  • 4
    详细讲解!Canal+Kafka实现MySQL与Redis数据同步!
  • 5
    71.7. Script for automatic startup on boot
  • 6
    关于Oracle客户端显示乱码问题
  • 7
    PHPWAMP站点管理的“域名模式”和“端口模式”详解、均支持自定义
  • 8
    jsHelper
  • 9
    学校里学不到的东西(一)
  • 10
    Python 3 教程一:入门
  • 1
    Python的装饰器
    32
  • 2
    R语言用潜类别混合效应模型(Latent Class Mixed Model ,LCMM)分析老年痴呆年龄数据
    20
  • 3
    数据分享|R语言用logistic逻辑回归和AFRIMA、ARIMA时间序列模型预测世界人口
    15
  • 4
    【视频】马尔可夫链蒙特卡罗方法MCMC原理与R语言实现|数据分享(下)
    20
  • 5
    【视频】马尔可夫链蒙特卡罗方法MCMC原理与R语言实现|数据分享(上)
    26
  • 6
    数据分享|数据探索电商平台用户行为流失可视化分析
    28
  • 7
    电商平台数据可视化分析网红零食销量
    18
  • 8
    R语言线性回归模型拟合诊断异常值分析家庭燃气消耗量和卡路里实例带自测题
    16
  • 9
    数据分享|R语言GLM广义线性模型:逻辑回归、泊松回归拟合小鼠临床试验数据(剂量和反应)示例和自测题
    12
  • 10
    数据分享|R语言逻辑回归、线性判别分析LDA、GAM、MARS、KNN、QDA、决策树、随机森林、SVM分类葡萄酒交叉验证ROC(下)
    16

    • 相关电子书

    更多
  • 《用管控策略设定多账号组织全局访问边界》
  • 动态、高效,蚂蚁动态卡片的内核逻辑
  • 低代码开发师(初级)实战教程
    • 下一篇
    部署LAMP环境(Alibaba Cloud Linux 3)