如何实现登录、URL和页面按钮的访问控制？

正文

用户权限管理一般是对用户页面、按钮的访问权限管理。Shiro框架是一个强大且易用的Java安全框架，执行身份验证、授权、密码和会话管理，对于Shiro的介绍这里就不多说。本篇博客主要是了解Shiro的基础使用方法，在权限管理系统中集成Shiro实现登录、url和页面按钮的访问控制。

一、引入依赖

使用SpringBoot集成Shiro时，在pom.xml中可以引入shiro-spring-boot-web-starter。由于使用的是thymeleaf框架，thymeleaf与Shiro结合需要 引入thymeleaf-extras-shiro。

<!-- https://mvnrepository.com/artifact/org.apache.shiro/shiro-spring-boot-web-starter -->
 <dependency>
 <groupId>org.apache.shiro</groupId>
 <artifactId>shiro-spring-boot-web-starter</artifactId>
 <version>1.4.0</version>
</dependency>
<!-- https://mvnrepository.com/artifact/com.github.theborakompanioni/thymeleaf-extras-shiro -->
<dependency>
 <groupId>com.github.theborakompanioni</groupId>
 <artifactId>thymeleaf-extras-shiro</artifactId>
 <version>2.0.0</version>
</dependency>

二、增加Shiro配置

有哪些url是需要拦截的，哪些是不需要拦截的，登录页面、登录成功页面的url、自定义的Realm等这些信息需要设置到Shiro中，所以创建Configuration文件ShiroConfig。

package com.example.config;
@Configuration
public class ShiroConfig {
 @Bean("shiroFilterFactoryBean")
 public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager) {
 System.out.println("ShiroConfiguration.shirFilter()");
 ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
 shiroFilterFactoryBean.setSecurityManager(securityManager);
 //拦截器.
 Map<String,String> filterChainDefinitionMap = new LinkedHashMap<String,String>();
 // 配置不会被拦截的链接 顺序判断
 filterChainDefinitionMap.put("/static/**", "anon");
 //配置退出 过滤器,其中的具体的退出代码Shiro已经替我们实现了
 filterChainDefinitionMap.put("/logout", "logout");
 //<!-- 过滤链定义，从上向下顺序执行，一般将/**放在最为下边 -->:这是一个坑呢，一不小心代码就不好使了;
 //<!-- authc:所有url都必须认证通过才可以访问; anon:所有url都都可以匿名访问-->
 filterChainDefinitionMap.put("/**", "authc");
 // 如果不设置默认会自动寻找Web工程根目录下的"/login.jsp"页面
 shiroFilterFactoryBean.setLoginUrl("/login");
 // 登录成功后要跳转的链接
 shiroFilterFactoryBean.setSuccessUrl("/index");
 //未授权界面;
 shiroFilterFactoryBean.setUnauthorizedUrl("/403");
 shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
 return shiroFilterFactoryBean;
 }
 @Bean(name="defaultWebSecurityManager") //创建DefaultWebSecurityManager 
 public DefaultWebSecurityManager getDefaultWebSecurityManager(@Qualifier("userRealm")MyShiroRealm userRealm){ 
 DefaultWebSecurityManager defaultWebSecurityManager = new DefaultWebSecurityManager(); 
 defaultWebSecurityManager.setRealm(userRealm); 
 return defaultWebSecurityManager;
 
 } 
 //创建Realm 
 @Bean(name="userRealm") 
 public MyShiroRealm getUserRealm(){ 
 return new MyShiroRealm(); 
 }
 
 @Bean
 public ShiroDialect shiroDialect() {
 return new ShiroDialect();
 }
}

ShiroDialect这个bean对象是在thymeleaf与Shiro结合，前端html访问Shiro时使用。

三、自定义Realm

在自定义的Realm中继承了AuthorizingRealm抽象类，重写了两个方法：doGetAuthorizationInfo和doGetAuthenticationInfo。doGetAuthorizationInfo主要是用来处理权限配置，doGetAuthenticationInfo主要处理身份认证。这里在doGetAuthorizationInfo中，将role表的id和permission表的code分别设置到SimpleAuthorizationInfo对象中的role和permission中。还有一个地方需要注意：@Component("authorizer")，刚开始我没设置，但报错提示需要一个authorizer的bean，查看AuthorizingRealm可以发现它implements了Authorizer，所以在自定义的realm上添加@Component("authorizer")就可以了。

package com.example.config;
@Component("authorizer")
public class MyShiroRealm extends AuthorizingRealm {
 
 @Autowired
 private UserService userService;
 
 @Autowired
 private RoleService roleService;
 
 @Override
 protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
 System.out.println("权限配置-->MyShiroRealm.doGetAuthorizationInfo()");
 SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
 User user = (User)principals.getPrimaryPrincipal();
 System.out.println("User:"+user.toString()+" roles count:"+user.getRoles().size());
 for(Role role:user.getRoles()){
 authorizationInfo.addRole(role.getId());
 role=roleService.getRoleById(role.getId());
 System.out.println("Role:"+role.toString());
 for(Permission p:role.getPermissions()){
 System.out.println("Permission:"+p.toString());
 authorizationInfo.addStringPermission(p.getCode());
 }
 }
 System.out.println("权限配置-->authorizationInfo"+authorizationInfo.toString());
 return authorizationInfo;
 }
 
 /*主要是用来进行身份认证的，也就是说验证用户输入的账号和密码是否正确。*/
 @Override
 protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token)
 throws AuthenticationException {
 System.out.println("MyShiroRealm.doGetAuthenticationInfo()");
 //获取用户的输入的账号.
 String username = (String)token.getPrincipal();
 System.out.println(token.getCredentials());
 //通过username从数据库中查找 User对象，如果找到，没找到.
 //实际项目中，这里可以根据实际情况做缓存，如果不做，Shiro自己也是有时间间隔机制，2分钟内不会重复执行该方法
 User user = userService.getUserById(username);
 System.out.println("----->>userInfo="+user);
 if(user == null){
 return null;
 }
 SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(
 user, //用户名
 "123456", //密码
 getName() //realm name
 );
 return authenticationInfo;
 }

四、登录认证

1.登录页面

这里做了一个非常丑的登录页面，主要是自己懒，不想在网上复制粘贴找登录页面了。

<!DOCTYPE html>
<head>
 <meta charset="utf-8">
 <title></title>
 <meta name="renderer" content="webkit">
 <meta http-equiv="X-UA-Compatible" content="IE=edge,chrome=1">
 <meta name="viewport" content="width=device-width, initial-scale=1, maximum-scale=1">
 <meta name="apple-mobile-web-app-status-bar-style" content="black">
 <meta name="apple-mobile-web-app-capable" content="yes">
 <meta name="format-detection" content="telephone=no">
</head>
<form action="/login" method="post"> 
 <label>用户名：</label><input type="text" name="id" id="id" ><br>
 <label >密码：</label><input type="text" name="pwd" id="pwd" ><br>
 <button type="submit">登录</button><button type="reset">取消</button>
</form>
</body>
</html>

2.处理登录请求

在LoginController中通过登录名、密码获取到token实现登录。

package com.example.controller;
@Controller
public class LoginController {
 //退出的时候是get请求，主要是用于退出
 @RequestMapping(value = "/login",method = RequestMethod.GET)
 public String login(){
 return "login";
 }
 //post登录
 @RequestMapping(value = "/login",method = RequestMethod.POST)
 public String login(Model model,String id,String pwd){
 //添加用户认证信息
 Subject subject = SecurityUtils.getSubject();
 UsernamePasswordToken usernamePasswordToken = new UsernamePasswordToken(
 id,
 "123456");
 try { 
 subject.login(usernamePasswordToken); 
 return "home"; 
 }
 catch (UnknownAccountException e) { 
 //用户名不存在 
 model.addAttribute("msg","用户名不存在"); 
 return "login"; 
 }catch (IncorrectCredentialsException e) { 
 //密码错误 
 model.addAttribute("msg","密码错误"); 
 return "login"; 
 }
 }
 @RequestMapping(value = "/index")
 public String index(){
 return "home";
 }
}

五、Controller层访问控制

1.首先来数据库的数据，两张图是用户角色、和角色权限的数据。

2.设置权限

这里在用户页面点击编辑按钮时设置需要有id=002的角色，在点击选择角色按钮时需要有code=002的权限。

@RequestMapping(value = "/edit",method = RequestMethod.GET)
 @RequiresRoles("002")//权限管理;
 public String editGet(Model model,@RequestParam(value="id") String id) {
 model.addAttribute("id", id);
 return "/user/edit";
 }
 @RequestMapping(value = "/selrole",method = RequestMethod.GET)
 @RequiresPermissions("002")//权限管理;
 public String selctRole(Model model,@RequestParam("id") String id,@RequestParam("type") Integer type) {
 model.addAttribute("id",id);
 model.addAttribute("type", type);
 return "/user/selrole";
 }

当使用用户001登录时，点击编辑，弹出框如下，提示没有002的角色

点击选择角色按钮时提示没有002的权限。

当使用用户002登录时，点击编辑按钮，显示正常，点击选择角色也是提示没002的权限，因为权限只有001。

六、前端页面层访问控制

有时为了不想像上面那样弹出错误页面，需要在按钮显示上进行不可见，这样用户也不会点击到。前面已经引入了依赖并配置了bean，这里测试下在html中使用shiro。

1.首先设置html标签引入shiro

<html xmlns:th="http://www.thymeleaf.org"
 xmlns:shiro="http://www.pollix.at/thymeleaf/shiro">

2.控制按钮可见

这里使用shiro:hasAnyRoles="002,003"判断用户角色是否是002或003，是则显示不是则不显示。

<div class="layui-inline">
 <a shiro:hasAnyRoles="002,003" class="layui-btn layui-btn-normal newsAdd_btn" onclick="addUser('')">添加用户</a>
 </div>
 <div class="layui-inline">
 <a shiro:hasAnyRoles="002,003" class="layui-btn layui-btn-danger batchDel" onclick="getDatas();">批量删除</a>
 </div>

当001用户登录时，添加用户、批量删除按钮都不显示，只显示查询按钮。

当002用户登录时，添加用户、批量删除按钮都显示

欢迎工作一到五年的Java工程师朋友们加入Java程序员开发： 854393687

群内提供免费的Java架构学习资料（里面有高可用、高并发、高性能及分布式、Jvm性能调优、Spring源码，MyBatis，Netty,Redis,Kafka,Mysql,Zookeeper,Tomcat,Docker,Dubbo,Nginx等多个知识点的架构资料）合理利用自己每一分每一秒的时间来学习提升自己，不要再用"没有时间“来掩饰自己思想上的懒惰！趁年轻，使劲拼，给未来的自己一个交代！