1、使用shiro内置过滤器拦截资源
(1)在ShiroConfig中加入必须得到资源权限才可以访问的页面
/*必须得到资源权限才可以访问*/
/*必须得到资源权限才可以访问*/
filterMap.put( "/gowrite","perms[admin:add]" );
(2)当前授权拦截后,shiro会自动跳转到未授权页面(报401错误)
需要我们设置一个带有未授权提示的页面。setUnauthorizedUrl()
/授权被拦截后跳转到-未授权页面/
shiroFilterFactoryBean.setUnauthorizedUrl( "/noauth" );
2、编写shiro资源授权逻辑
在UserRealm资源授权方法中 doGetAuthenticationInfo进行资源授权
1、创建授权对象
2、授权在ShiroConfig中添加的授权字符串(授权字符串双方需保持一致)
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
System.out.println("执行授权逻辑");
/*进行资源授权*/
/*1、创建授权对象*/
SimpleAuthorizationInfo info=new SimpleAuthorizationInfo( );
/*2、添加资源授权字符串,注意:授权字符串需要与UserRealm里的保持一致*/
info.addStringPermission( "admin:add" );
return info;
}
解决的需求是:当用户未登录时,无法访问该功能,登录后即可访问;
3、连接数据库实现授权
(1)数据库中添加一个perms的权限字段
image.png
image.png
(2)编写model .xml dao service service impl
model
package com.bookkeeping.cj.model;
public class Admin {
private Long id;
private String uname;
private String pword;
private String perms;
public Long getId() {
return id;
}
public void setId(Long id) {
this.id = id;
}
public String getUname() {
return uname;
}
public void setUname(String uname) {
this.uname = uname;
}
public String getPword() {
return pword;
}
public void setPword(String pword) {
this.pword = pword;
}
public String getPerms() {
return perms;
}
public void setPerms(String perms) {
this.perms = perms;
}
}
xml
<!--通过id查询用户-->
<select id="selectAdminById" parameterType="java.lang.Integer" resultType="com.bookkeeping.cj.model.Admin" resultMap="BaseResultMap">
select
<include refid="Base_Column_List" />
from
admin
where id = #{id,jdbcType=DECIMAL}
</select>
dao
/*通过id查询用户*/
Admin selectAdminById(@Param( "id" ) Integer id);
service
/*通过id查询用户*/
Admin getAdminById(Integer id);
serviceimpl
/*通过id查询用户*/
@Override
public Admin getAdminById(Integer id) {
return adminMapper.selectAdminById( id );
}
UserRealm
token.getUsername():获取前端输入的用户名
user.getPword():获取数据库中的密码
admin.getId():当前登录人的id
返回null时shiro底层会抛出-UnknownAccountException:用户名不存在
返回SimpleAuthenticationInfo时,该类是AuthorizationInfo的一个子类,要接收三个参数
参数1:返回login方法的一些数据(可为空)
参数2:数据库的密码
参数3:shiro的名字(可为空)
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
System.out.println("执行授权逻辑");
/*进行资源授权*/
/*1、创建授权对象*/
SimpleAuthorizationInfo info=new SimpleAuthorizationInfo( );
/*2、添加资源授权字符串,注意:授权字符串需要与UserRealm里的保持一致*/
/* info.addStringPermission( "admin:add" );*/
/*2.1、到数据库中当前登录用户的授权字符串*/
/*2.1.1、获取当前登录用户*/
Subject subject= SecurityUtils.getSubject();
/*user是SimpleAuthenticationInfo传过来的*/
Admin admin=(Admin) subject.getPrincipal();
Admin user=adminService.getAdminById( admin.getId() );
/*获取数据库中的授权字符串*/
info.addStringPermission( user.getPerms() );
return info;
}
需求:根据不同用户的perms权限来判断是否可访问某些页面
二、整合thymleaf+shiro
1、导入依赖
<!--thymeleaf对shiro的扩展坐标-->
<dependency>
<groupId>com.github.theborakompanioni</groupId>
<artifactId>thymeleaf-extras-shiro</artifactId>
<version>2.0.0</version>
</dependency>
2、在ShiroConfig配置ShiroDialect的,用于thymeleaf和shiro标签配合使用
/*
* 配置`ShiroDialect`的,用于thymeleaf和shiro标签配合使用
*
* */
@Bean
public ShiroDialect getShiroDialect(){
return new ShiroDialect();
}
3、配置前端页面的标签内容
image.png
