SpringBoot整合Shiro 四:认证+授权
搭建环境见: SpringBoot整合Shiro 一:搭建环境
shiro配置类见: SpringBoot整合Shiro 二:Shiro配置类
shiro整合Mybatis见:SpringBoot整合Shiro 三:整合Mybatis
未授权时
ShiroConfig中添加授权访问
如果用户没有拥有 user:add 就无法访问add页面
filterMap.put("/user/add","perms[user:add]");
如果用户没有拥有 user:update 就无法访问 update 页面
filterMap.put("/user/update","perms[user:update]");
跳转到一个未授权的页面
bean.setUnauthorizedUrl("/noauth");
@Bean(name = "shiroFilterFactoryBean") public ShiroFilterFactoryBean shiroFilterFactoryBean(@Qualifier("defaultWebSecurityManager")DefaultWebSecurityManager defaultWebSecurityManager){ ShiroFilterFactoryBean bean=new ShiroFilterFactoryBean(); bean.setSecurityManager(defaultWebSecurityManager); Map<String ,String> filterMap = new LinkedHashMap<>(); //授权 filterMap.put("/user/add","perms[user:add]"); filterMap.put("/user/update","perms[user:update]"); filterMap.put("/user/*","authc"); bean.setFilterChainDefinitionMap(filterMap); //未授权页面 bean.setUnauthorizedUrl("/noauth"); bean.setLoginUrl("/toLogin"); return bean; }
Controller中添加未授权页面
使用 @ResponseBody 直接显示字符串
@RequestMapping("/noauth") @ResponseBody public String unauthorized(){ return "未授权无法访问"; }
测试未授权的访问
登录root用户,开始访问2个页面
add
update
授权
数据库添加权限字段
添加 perms(varchar)
对应实体类pojo
使用了Lombok
package com.zy.pojo; import lombok.AllArgsConstructor; import lombok.Data; import lombok.NoArgsConstructor; @Data @AllArgsConstructor @NoArgsConstructor public class User { private int id; private String name; private String pwd; private String perms; }
授权操作
UserRealm 中 AuthorizationInfo(授权)
授权的对象 SimpleAuthorizationInfo
SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
添加权限的方法 addStringPermission
info.addStringPermission("user:add");
拿到当前登录的对象(认证成功之后,可以获取到)
Subject subject = SecurityUtils.getSubject();
获取到User
User currentUser = (User) subject.getPrincipal();
设置当前用户的权限
info.addStringPermission(currentUser.getPerms());
//授权 @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) { System.out.println("执行了=>授权doGetAuthorizationInfo"); SimpleAuthorizationInfo info = new SimpleAuthorizationInfo(); info.addStringPermission("user:add"); //拿到当前登录的对象 Subject subject = SecurityUtils.getSubject(); //获取到User User currentUser = (User) subject.getPrincipal(); //设置当前用户的权限 info.addStringPermission(currentUser.getPerms()); return info; }
测试
root(初始没有权限)
可以访问add页面了,因为被授权了
update仍然不行,因为没有权限
张三(本身有add权限)
可以访问add页面
update不行
王五(本身有update)
add
update
都可以访问了
· 用 C# 插值字符串处理器写一个 sscanf
· Java 中堆内存和栈内存上的数据分布和特点
· 开发中对象命名的一点思考
· .NET Core内存结构体系(Windows环境)底层原理浅谈
· C# 深度学习:对抗生成网络(GAN)训练头像生成模型
· 手把手教你更优雅的享受 DeepSeek
· AI工具推荐:领先的开源 AI 代码助手——Continue
· 探秘Transformer系列之(2)---总体架构
· V-Control:一个基于 .NET MAUI 的开箱即用的UI组件库
· 乌龟冬眠箱湿度监控系统和AI辅助建议功能的实现