回顾

之前有ini文件的时候,我们的授权是在ini文件里面书写的,现在权限是在数据库里面,那么就需要在realm里面自己写授权的代码了,因为要操作数据库

授权

授权就是判断认证用户是否具有指定角色或指定权限。

Shiro可以和JSP整合也可以和Thymeleaf整合,我们讲解SpringBoot的视图技术Thymeleaf整合Shiro。

只要是授权就执行Realm的doGetAuthorizationInfo进行判断,而触发doGetAuthorizationInfo的方式,常用的就两种:

1、 在页面中通过shiro:xxxx 属性进行判断

2、 在java代码中通过注解@RequiresXXX

Thymeleaf整合shiro

因为要在页面使用shiro,所以需要这个依赖

1添加依赖

<dependency>
    <groupId>com.github.theborakompanioni</groupId>
    <artifactId>thymeleaf-extras-shiro</artifactId>
    <version>2.0.0</version>
</dependency>

 

修改配置类

在配置类中com.config.ShiroConfig中添加。

负责解析thymeleaf中shiro:相关属性。

也就是后端如何解析页面的写的shiro的标签,就是通过这个配置类来解析的

@Bean
public ShiroDialect shiroDialect() {
   
     
    return new ShiroDialect();
}

 

在realm里面写一个授权的方法

realm里面重写一个授权的方法:

里面的功能是: 根据当前用户从数据库里面查到对应的权限信息,保存到SimpleAuthorizationInfo对象里面。以后要验证权限的时候,之后从SimpleAuthorizationInfo对象里面拿出来进行验证。

//自定义授权策略
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {

 
    //1.从数据库中获取用户的权限信息
    //2.将数据库查询出来的权限信息存储到shiro授权对象中
    System.out.println("我是授权认证方法,我被执行了");
    SimpleAuthorizationInfo info=new SimpleAuthorizationInfo();
    info.addRole("role1");
    info.addRole("role2");
    info.addStringPermission("user:insert");
    info.addStringPermission("user:update");
    info.addStringPermission("sys:*");
    return info;
}

 

写页面

<!DOCTYPE html>
<html xmlns:th="http://www.thymeleaf.org" 

将shiro引入

xmlns:shiro="http://www.pollix.at/thymeleaf/shiro">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
    我是主页面
    <a href="/logout">退出</a>
    <hr>
    <span shiro:hasRole="role3">有角色</span><br>
    <span shiro:user="">shiro:user=””认证通过或已记住的用户</span><br>
    <span shiro:authenticated="">shiro:authenticated=””认证通过的用户。不包含记住的用户。</span><br>
    <hr>
    <a href="/demo">测试后台逻辑代码的授权</a>

</body>
</html>

thymeleaf中常用属性

需要在html页面中<html>添加属性
<html lang="en" xmlns:th="http://www.thymeleaf.org" xmlns:shiro="http://www.pollix.at/thymeleaf/shiro">

1.1shiro:user=””
认证通过或已记住的用户。
1.2shiro:authenticated=””
认证通过的用户。不包含记住的用户。
1.3shiro:principal
输出认证用户信息。<shiro:principal/>
1.4shiro:hasRole="admin"
判断是否具有指定角色。

1.5shiro:lacksRole="admin"
判断是否不是没有指定角色。

1.6shiro:hasAllRoles="role1,role2"
判断指定角色用户是否都具有。

1.7shiro:hasAnyRoles="role1,role2"
只要用户具有其中一个角色就表示判断通过。

1.8shiro:hasPermission="userInfo:add"
是否具有指定权限。

1.9shiro:lacksPermission="userInfo:del"
是否不具有指定权限

1.10shiro:hasAllPermissions="userInfo:view, userInfo:add"
是否全具有指定权限。

1.11shiro:hasAnyPermissions="userInfo:view, userInfo:del"
只要有其中任何一个权限即可。

在java代码中通过注解@RequiresXXX

通过注解实现权限的控制

使用注解判断方法是否具有权限执行
方法:可以用控制器方法,也可以是业务方法。常在控制器方法上添加注解进行判断。
常用注解:
(1)@RequiresPermissions("") 必须具有指定权限
(2)@RequiresAuthentication 必须已经认证
(3)@RequiresRoles("") 必须具有指定角色
(4)@RequiresUser 必须是已认证或记住用户
(5)@RequiresGuest 必须是访客

 
controller层代码为

 

//声明单元方法:
@RequiresPermissions("user:insert")
@ResponseBody
@RequestMapping("demo")
public  String demo(){

 
    return "ok";
}

以上就是只有用户有对应的权限在SimpleAuthorizationInfo授权对象里面,才可以访问到对应权限的接口中。

如果没有对应的权限,现在出现的界面是

 
没有权限不能给用户这个界面,所以我们自定义一个没有权限后跳转的页面

@ControllerAdvice
public class NoPermissionException {
   
     
    @ResponseBody
    @ExceptionHandler(UnauthorizedException.class)
    public String handleShiroException(Exception ex) {
   
     
        return "无权限";
    }
    @ResponseBody
    @ExceptionHandler(AuthorizationException.class)
    public String AuthorizationException(Exception ex) {
   
     
        return "权限认证失败";
    }
}