Springboot shiro认证授权实现原理及实例

网友投稿 461 2023-05-25

Springboot shiro认证授权实现原理及实例

Springboot shiro认证授权实现原理及实例

关于认证授权,需要的数据表有:用户表,角色表,用户角色关联表,权限表,角色权限关联表,一次如下

之前写过了shiro的登录认证,在自定义的realm中,我们实现AuthorizingRealm接口中的方法:package com.zs.springboot.realm;

import com.zs.springboot.model.User;

import com.zs.springboot.service.UserService;

import com.zs.springboot.util.ResultUtil;

import org.apache.shiro.SecurityUtils;

import org.apache.shiro.authc.*;

import org.apache.shiro.authz.AuthorizationInfo;

import org.apache.shiro.authz.SimpleAuthorizationInfo;

import org.apache.shiro.realm.AuthorizingRealm;

import org.apache.shiro.session.Session;

import org.apache.shiro.subject.PrincipalCollection;

import org.apache.shiro.util.ByteSource;

import org.springframework.beans.factory.annotation.Autowired;

import java.util.List;

import java.util.Map;

/**

* @author zs

* 登录realm

*/

public class LoginRealm exthttp://ends AuthorizingRealm {

@Autowired

private UserService userService;

/**

* 授权方法,只有页面出现关于权限标签的时候或者项目中关于授权注解的时候,才可以被使用

* @param principal

* @return

*/

@Override

protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principal) { 

User user = (User) principal.getPrimaryPrincipal();

Map resultMap1 = userService.getRoleByUid(user.getUid());

//获取角色,通过多表查询获取用户对应的角色

List roleList = (List) ResultUtil.getResult(resultMap1);

SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();

info.addRoles(roleList);

//获取权限,通过关联中间表,多表查询出该用户对应的角色所拥有的权限

Map resultMap2 = userService.getPromessionByUid(user.getUid());

List permissionList = (List) ResultUtil.getResult(resultMap2);

info.addStringPermissions(permissionList);

return info;

}

/**

* 认证方法

* @param token

* @return

* @throws AuthenticationException

*/

@Override

protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {

//获取当前登录的用户名

String username = (String) token.getPrincipal();

//根据用户到数据库搜索用户信息

Map login = userService.login(username);

//如果用户不存在则抛出异常

if ((Integer) login.get("code") == 404) {

throw new UnknownAccountException("用户不存在");

}

//如果用户存在,获取用户信息

User user = (User) login.get("result");

//进行认证

SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(usehttp://r,http:// user.getPassword(), ByteSource.Util.bytes(user.getSalt()), this.getName());

//将用户信息放入session中,密码制空

Session session = SecurityUtils.getSubject().getSession();

user.setPassword(null);

session.setAttribute("user", user);

return info;

}

}

注意,在授权方法中,principal.getPrimaryPrincipal()方法;如果在认证方法中,simpleAuthenticationInfo对象中传递的第一个参数如果为obj对象,则返回值为对象(可以强转为User对象),如果传递的时username字符串,则返回的是username字符串,字符串是不能强转为User对象的。

版权声明:本文内容由网络用户投稿,版权归原作者所有,本站不拥有其著作权,亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容,请联系我们jiasou666@gmail.com 处理,核实后本网站将在24小时内删除侵权内容。

上一篇:SpringMVC拦截器配置及运行流程解析
下一篇:如何在springBoot下搭建日志框架
相关文章

 发表评论

暂时没有评论,来抢沙发吧~