通过shiro进行按钮及页面访问url的权限控制

这篇具有很好参考价值的文章主要介绍了通过shiro进行按钮及页面访问url的权限控制。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

1.当面我们每次登录系统时,都会通过我们自己定义的继承AuthorizingRealm的ShiroRealm进行用户账号密码的确认以及拥有权限的查询:

(1)自定义shiroReam:

public class ShiroDbRealm extends AuthorizingRealm {
  
    @Autowired
	private UserService userService;
	@Autowired
	private SysUserService sysUserService ;
	@Autowired
	private SysUserResService sysUserResService ;
	public ShiroDbRealm() {
		super();
	}
 
	/**
	 * 验证登陆
	 */
	@Override
	protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authcToken)
			throws AuthenticationException {
		UsernamePasswordToken token = (UsernamePasswordToken) authcToken;
		SysUser sysUser = sysUserService.getUserByLoginName(token.getUsername()) ;
		//根据登录名获取用户信息
		if (sysUser != null) {
			return new SimpleAuthenticationInfo(sysUser.getUserNo(), sysUser.getUserPwd(), getName());
		} else {
			throw new AuthenticationException();
		}
	}
 
	/**
	 * 登陆成功之后,进行角色和权限验证
	 */
	@Override
	protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
 
		String userNo = (String) getAvailablePrincipal(principals);
		// 列举此用户所有的权限
		//List<Permission> permissions = userService.findUserPermissionByName(username);
		List<SysUserRes> listRes = sysUserResService.getPermissionByNo(userNo) ;
		Set<String> strs=new HashSet<String>();
		Iterator<SysUserRes> it = listRes.iterator();
		while (it.hasNext()) {
			SysUserRes re=it.next();
			strs.add(re.getResUrl());
		}
		SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
		authorizationInfo.addStringPermissions(strs);
		return authorizationInfo;
	}
 
	/**
	 * 清除所有用户授权信息缓存.
	 */
	public void clearCachedAuthorizationInfo(String principal) {
		SimplePrincipalCollection principals = new SimplePrincipalCollection(principal, getName());
		clearCachedAuthorizationInfo(principals);
	}
 
	/**
	 * 清除所有用户授权信息缓存.
	 */
	public void clearAllCachedAuthorizationInfo() {
		Cache<Object, AuthorizationInfo> cache = getAuthorizationCache();
		if (cache != null) {
			for (Object key : cache.keys()) {
				cache.remove(key);
			}
		}
	}
	/**
	 * 
	* @Title: clearAuthz 
	* @Description: TODO 清楚缓存的授权信息  
	* @return void    返回类型
	 */
	public void clearAuthz(){
		this.clearCachedAuthorizationInfo(SecurityUtils.getSubject().getPrincipals());
	}
}

(2)通过siro进行处理:shiro的配置文件

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
	xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
	xmlns:context="http://www.springframework.org/schema/context"
	xmlns:util="http://www.springframework.org/schema/util"
	xsi:schemaLocation="http://www.springframework.org/schema/beans classpath:org/springframework/beans/factory/xml/spring-beans-3.0.xsd 
				http://www.springframework.org/schema/context classpath:org/springframework/context/config/spring-context-3.0.xsd
				http://www.springframework.org/schema/aop classpath:org/springframework/aop/config/spring-aop-3.0.xsd
				http://www.springframework.org/schema/tx classpath:org/springframework/transaction/config/spring-tx-3.0.xsd
				http://www.springframework.org/schema/util classpath:org/springframework/beans/factory/xml/spring-util-3.0.xsd"
	default-lazy-init="true">
 
	<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
		<property name="realm" ref="shiroDbRealm" />
		<property name="cacheManager" ref="shiroCacheManager" />
	</bean>
 
	<!-- 項目自定义的Realm -->
	<bean id="shiroDbRealm" class="com.creidtsys.security.realm.ShiroDbRealm">
		 <!-- <property name="credentialsMatcher">
	        <bean class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">
	            <property name="hashAlgorithmName" value="MD5"/>
	        </bean>
    	</property>  -->
	</bean>
 
	<!-- Shiro Filter -->
	<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
		<property name="securityManager" ref="securityManager" />
		<property name="loginUrl" value="/page/login" />
		<property name="successUrl" value="/page/index" />
		<property name="unauthorizedUrl" value="/page/noPers" />
	<!-- 	<property name="filters">
         	<util:map>
             	 <entry key="authc">
                 	<bean class="org.apache.shiro.web.filter.authc.PassThruAuthenticationFilter"/>
            	 </entry>
       		 </util:map>
        </property> -->
		<property name="filterChainDefinitions">
			<value>
				/sysUser/checkLogin = anon
				/login = anon
				/index = anon
				/page/** = anon
				<!-- 要拦截的url -->
				<!-- 用户权限拦截 -->
				/sysUser/list= perms["user:serch"]
				/sysUser/toAdd = perms["user:add"]
				/sysUser/toEdit = perms["user:update"]
				<!-- 角色权限拦截 -->
				/sysRole/list=perms["role:serch"]
				/sysUser/toAdd = perms["role:add"]
				/sysUser/toEdit = perms["role:update"]
				<!-- 部门权限拦截 -->
				/sysDept/list = perms["dept:serch"]
				/sysDept/toAdd = perms["dpt:add"]
				/sysDept/toEdit = perms["dept:edit"]
				<!-- 资源权限拦截 -->
				/sysRes/list = perms["res:serch"]
				/sysRes/toAdd = perms["res:add"]
				/sysRest/toEdit = perms["res:edit"]
			</value>
		</property>
	</bean> 
 
	<!-- 用户授权信息Cache org.apache.shiro.cache.ehcache.EhCacheManager-->
	
 
	
	<bean id="shiroCacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager">
		<property name="cacheManager" ref="ehCacheManager" />
	</bean>
	<!-- 保证实现了Shiro内部lifecycle函数的bean执行 -->
	<bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor" />
 
	<!-- AOP式方法级权限检查 -->
	<bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator"
		depends-on="lifecycleBeanPostProcessor">
	</bean>
 
	<bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
		<property name="securityManager" ref="securityManager" />
	</bean>
	
</beans>

(3)拦截配置说明:

anon:例子/admins/**=anon 没有参数,表示可以匿名使用。

authc:例如/admins/user/**=authc表示需要认证(登录)才能使用,没有参数

roles:例子/admins/user/=roles[admin],参数可以写多个,多个时必须加上引号,并且参数之间用逗号分割,当有多个参数时,例如admins/user/=roles[“admin,guest”],每个参数通过才算通过,相当于hasAllRoles()方法。

perms:例子/admins/user/=perms[user:add:*],参数可以写多个,多个时必须加上引号,并且参数之间用逗号分割,例如/admins/user/=perms[“user:add:,user:modify:”],当有多个参数时必须每个参数都通过才通过,想当于isPermitedAll()方法。

rest:例子/admins/user/=rest[user],根据请求的方法,相当于/admins/user/=perms[user:method] ,其中method为post,get,delete等。

port:例子/admins/user/**=port[8081],当请求的url的端口不是8081是跳转到schemal://serverName:8081queryString,其中schmal是协议http或https等,serverName是你访问的host,8081是url配置里port的端口,queryString是你访问的url里的?后面的参数。

authcBasic:例如/admins/user/**=authcBasic没有参数表示httpBasic认证

ssl:例子/admins/user/**=ssl没有参数,表示安全的url请求,协议为https

user:例如/admins/user/**=user没有参数表示必须存在用户,当登入操作时不做检查
注:anon,authcBasic,auchc,user是认证过滤器,
perms,roles,ssl,rest,port是授权过滤器

(4)我的配置:

/sysRes/list = perms[“res:serch”]
/sysRes/toAdd = perms[“res:add”]
/sysRest/toEdit = perms[“res:edit”]

如果你想要访问主界面(/sysRes/list)就必修又有[“res:serch”]的权限

如果你想要跳转到添加界面(/sysRes/toAdd),就必须拥有[“res:add”]的权限

如果你想跳转到修改界面(/sysRest/toEdit),就必须拥有[“res:edit”]的权限

2.按钮权限的控制就显得简单了,只需要通过shiro的标签就轻而易举的解决了:

	<div data-options="region:'center'">
	    	<div id="tb" style="padding-bottom: 5px">
	    		<input id="queryName" class="easyui-textbox"/>
		     	<a id="querybtn" class="easyui-linkbutton" data-options="iconCls:'icon-search'">查询</a>
		     	<shiro:hasPermission name="res:add">
		     		<a id="addbtn" class="easyui-linkbutton" data-options="iconCls:'icon-add'">新增</a>
		     	</shiro:hasPermission>
		     	<shiro:hasPermission name="res:edit">
		     		<a id="editbtn" class="easyui-linkbutton" data-options="iconCls:'icon-edit'">修改</a> 
		     	</shiro:hasPermission>
		     	<shiro:hasPermission name="res:delete">
		     		<a id="delbtn" class="easyui-linkbutton" data-options="iconCls:'icon-remove'">删除 </a>
		     	</shiro:hasPermission>
				
	</div>

3.补充点:

身份验证相关的
通过shiro进行按钮及页面访问url的权限控制

授权相关的
通过shiro进行按钮及页面访问url的权限控制
其他
通过shiro进行按钮及页面访问url的权限控制

Shiro 标签

Shiro 提供了 JSTL 标签用于在 JSP 页面进行权限控制,如根据登录用户显示相应的页面按钮。
guest 标签:用户没有身份验证时显示相应信息,即游客访问信息:
通过shiro进行按钮及页面访问url的权限控制
user 标签:用户已经经过认证/记住我登录后显示相应的信息。

Shiro 标签

authenticated 标签:用户已经身份验证通过,即Subject.login登录成功,不是记住我登录的
通过shiro进行按钮及页面访问url的权限控制
notAuthenticated 标签:用户未进行身份验证,即没有调用Subject.login进行登录,包括记住我自动登录的也属于
未进行身份验证。
通过shiro进行按钮及页面访问url的权限控制
pincipal 标签:显示用户身份信息,默认调用Subject.getPrincipal() 获取,即 Primary Principal。
通过shiro进行按钮及页面访问url的权限控制
hasRole 标签:如果当前 Subject 有角色将显示 body 体内容:
通过shiro进行按钮及页面访问url的权限控制
hasAnyRoles 标签:如果当前Subject有任意一个角色(或的关系)将显示body体内容。
通过shiro进行按钮及页面访问url的权限控制
lacksRole:如果当前 Subject 没有角色将显示 body 体内容
通过shiro进行按钮及页面访问url的权限控制
hasPermission:如果当前 Subject 有权限将显示 body 体内容
通过shiro进行按钮及页面访问url的权限控制
lacksPermission:如果当前Subject没有权限将显示body体内容。
通过shiro进行按钮及页面访问url的权限控制

权限注解

@RequiresAuthentication:表示当前Subject已经通过login进行了身份验证;即 Subject. isAuthenticated() 返回 true
@RequiresUser:表示当前 Subject 已经身份验证或者通过记住我登录的。
@RequiresGuest:表示当前Subject没有身份验证或通过记住我登录过,即是游客身份。
@RequiresRoles(value={“admin”, “user”}, logical=Logical.AND):表示当前 Subject 需要角色 admin 和user
@RequiresPermissions (value={“user:a”, “user:b”},logical= Logical.OR):表示当前 Subject 需要权限 user:a 或user:b。

自定义拦截器

通过自定义拦截器可以扩展功能,例如:动态url-角色/权限访问控制的实现、根据 Subject 身份信息获取用户信息绑定到 Request(即设置通用数据)、验证码验证、在线用户信息的保存等

会话相关的 API

Subject.getSession():即可获取会话;其等价于Subject.getSession(true),即如果当前没有创建 Session 对象会创建
一个;Subject.getSession(false),如果当前没有创建 Session 则返回null
session.getId():获取当前会话的唯一标识
session.getHost():获取当前Subject的主机地址
session.getTimeout() & session.setTimeout(毫秒):获取/设置当前Session的过期时间
session.getStartTimestamp() & session.getLastAccessTime():获取会话的启动时间及最后访问时间;如果是 JavaSE 应用需要自己定期调用 session.touch() 去更新最后访问时间;如果是Web 应用,每次进入 ShiroFilter 都会自动调用 session.touch() 来更新最后访问时间。
session.touch() & session.stop():更新会话最后访问时间及销毁会话;当Subject.logout()时会自动调用 stop 方法来销毁会话。如果在web中,调用 HttpSession. invalidate()也会自动调用Shiro Session.stop 方法进行销毁Shiro 的会话
session.setAttribute(key, val) &session.getAttribute(key) &session.removeAttribute(key):设置/获取/删除会话属性;在整个会话范围内都可以对这些属性进行操作文章来源地址https://www.toymoban.com/news/detail-400149.html

到了这里,关于通过shiro进行按钮及页面访问url的权限控制的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 记录--按钮级别权限怎么控制

    最近的面试中有一个面试官问我按钮级别的权限怎么控制,我说直接 v-if 啊,他说不够好,我说我们项目中按钮级别的权限控制情况不多,所以 v-if 就够了,他说不够通用,最后他对我的评价是做过很多东西,但是都不够深入,好吧,那今天我们就来深入深入。 因为我自己没

    2024年02月06日
    浏览(36)
  • vue权限管理——按钮控制

    根据right中的数据对应增删改查按钮  initDynamicRoutes给用户对应的router中动态添加meta元数据后,permission.js中通过router.currentRoute就可以获取 directives/permission.js 获取路由元数据中的rights权限和按钮上的action记录权限做比较:如果包含则有该权限,否则无权限,进行删除元素或者

    2024年02月11日
    浏览(45)
  • selenium获取访问页面url

    但在原页面上点击按钮打开新页面,获取新页面地址使用current_url()获取到的地址还是原页面地址。  

    2024年02月11日
    浏览(43)
  • 超级实用!React-Router v6实现页面级按钮权限

    大家好,我是王天~ 今天咱们用 reac+reactRouter来实现页面级的按钮权限功能。这篇文章分三部分,实现思路、代码实现、踩坑记录。 嫌啰嗦的朋友,直接拖到第二章节看代码哦。 通常情况下,咱们为用户添加权限时,除了页面权限,还会细化到按钮级别,比如、新增、删除

    2024年02月08日
    浏览(41)
  • Python数据权限的管理通常涉及到几个关键组件:身份验证,、授权和访问控制。这通常是通过使用数据库、ORM(对象关系映射)框架、API框架和中间件

    在Python中,数据权限的管理通常涉及到几个关键组件:身份验证,、授权和访问控制。这通常是通过使用数据库、ORM(对象关系映射)框架、API框架和中间件等技术来实现的。以下是一些建议的步骤和工具,用于在Python项目中实施数据权限管理: 用户身份验证: 使用如Djan

    2024年04月26日
    浏览(45)
  • Vue自定义指令实现按钮级的权限控制

    提示:原文参考链接*且听风吟 提示:钩子函数: 自定义指令有五个生命周期(也叫钩子函数),分别是: bind,inserted,update,componentUpdated,unbind 。 bind :只调用一次,指令第一次绑定到元素时调用。用这个钩子函数可以定义一个绑定时执行一次的初始化设置。( bind 时父节点

    2024年02月10日
    浏览(47)
  • vue通过获取url中的信息登录页面

       

    2024年02月21日
    浏览(36)
  • Unity点击按钮进行页面跳转

    省流:完整代码在底部 1、导入命名空间 2、(1)切换场景后销毁前场景 (2)切换场景后不销毁前场景 3、将脚本挂载到按钮上,添加按钮单击事件。 完整代码

    2024年02月03日
    浏览(46)
  • unity——通过点击按钮进行场景切换

    前记 通过 点击鼠标 进行场景切换请参考: Unity——通过点击鼠标进行场景切换_行秋的博客-CSDN博客 通过点击按钮进行场景切换请参考:unity——通过点击按钮进行场景切换_行秋的博客-CSDN博客1.准备两个示例场景 2.点击File—Build Settings...,将场景添加到视图中,点击Build。选

    2024年01月25日
    浏览(60)
  • 配置SSl证书后,https访问,页面获取的url却是http,导致页面资源无法加载

    有个朋友来问,为什么我配置完ssl证书之后,https可以正常访问,但是页面中的资源却无法正常加载。 打开浏览器调试页报错如图: 废话不多说直接处理问题: 方式一: 这页面head标签内 添加 meta标签配置, 内容如下: 或者直接修改页面资源地址 加上 https:// 如果使用requ

    2024年02月09日
    浏览(62)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包