Springboot shiro认证授权实现原理及实例

Springboot shiro认证授权实现原理及实例

关于认证授权，需要的数据表有：用户表，角色表，用户角色关联表，权限表，角色权限关联表，一次如下

之前写过了shiro的登录认证，在自定义的realm中，我们实现AuthorizingRealm接口中的方法：package com.zs.springboot.realm;

import com.zs.springboot.model.User;

import com.zs.springboot.service.UserService;

import com.zs.springboot.util.ResultUtil;

import org.apache.shiro.SecurityUtils;

import org.apache.shiro.authc.*;

import org.apache.shiro.authz.AuthorizationInfo;

import org.apache.shiro.authz.SimpleAuthorizationInfo;

import org.apache.shiro.realm.AuthorizingRealm;

import org.apache.shiro.session.Session;

import org.apache.shiro.subject.PrincipalCollection;

import org.apache.shiro.util.ByteSource;

import org.springframework.beans.factory.annotation.Autowired;

import java.util.List;

import java.util.Map;

/**

* @author zs

* 登录realm

*/

public class LoginRealm exthttp://ends AuthorizingRealm {

@Autowired

private UserService userService;

/**

* 授权方法，只有页面出现关于权限标签的时候或者项目中关于授权注解的时候，才可以被使用

* @param principal

* @return

*/

@Override

protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principal) {　

User user = (User) principal.getPrimaryPrincipal();

Map resultMap1 = userService.getRoleByUid(user.getUid());

//获取角色，通过多表查询获取用户对应的角色

List roleList = (List) ResultUtil.getResult(resultMap1);

SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();

info.addRoles(roleList);

//获取权限，通过关联中间表，多表查询出该用户对应的角色所拥有的权限

Map resultMap2 = userService.getPromessionByUid(user.getUid());

List permissionList = (List) ResultUtil.getResult(resultMap2);

info.addStringPermissions(permissionList);

return info;

}

/**

* 认证方法

* @param token

* @return

* @throws AuthenticationException

*/

@Override

protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {

//获取当前登录的用户名

String username = (String) token.getPrincipal();

//根据用户到数据库搜索用户信息

Map login = userService.login(username);

//如果用户不存在则抛出异常

if ((Integer) login.get("code") == 404) {

throw new UnknownAccountException("用户不存在");

}

//如果用户存在，获取用户信息

User user = (User) login.get("result");

//进行认证

SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(usehttp://r,http:// user.getPassword(), ByteSource.Util.bytes(user.getSalt()), this.getName());

//将用户信息放入session中，密码制空

Session session = SecurityUtils.getSubject().getSession();

user.setPassword(null);

session.setAttribute("user", user);

return info;

}

}

注意，在授权方法中，principal.getPrimaryPrincipal()方法;如果在认证方法中，simpleAuthenticationInfo对象中传递的第一个参数如果为obj对象，则返回值为对象（可以强转为User对象），如果传递的时username字符串，则返回的是username字符串，字符串是不能强转为User对象的。

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。