springboot shiro+mybatis上次说到我们直接开整myatis和spring shiro
话不多说直接上文章✍
建议先看上一篇文章,这是续集
springboot shiro【上篇】
关于本文的所有注解,有模糊的可以查看以往的文章
springboot的常用注解
org.projectlombok lombok mysql mysql-connector-java log4j log4j 1.2.17 com.alibaba druid 1.2.8 org.mybatis.spring.boot mybatis-spring-boot-starter 2.2.0
关于为什么使用lombok的依赖就是简单的懒❗❗
2. 看一下的目录结构心里有点数 ❤ 3. 查看所有的依赖(毕竟是整合你要知道用了哪些东西)为什么使用druid的数据库连接池,Druid为监控而生的数据库连接池,它是阿里巴巴开源平台上的一个项目。Druid是Java语言中最好的数据库连接池,Druid能够提供强大的监控和扩展功能.它可以替换DBCP和C3P0连接池。Druid提供了一个高效、功能强大、可扩展性好的数据库连接池。
建立UserMapper(Dao)4.0.0 org.springframework.boot spring-boot-starter-parent 2.6.0 com.gql spring-shrio 0.0.1-SNAPSHOT spring-shiro spring-shiro 11 org.projectlombok lombok mysql mysql-connector-java log4j log4j 1.2.17 com.alibaba druid 1.2.8 org.thymeleaf thymeleaf org.thymeleaf thymeleaf-spring5 org.apache.shiro shiro-spring 1.7.1 org.thymeleaf.extras thymeleaf-extras-java8time org.springframework.boot spring-boot-starter org.springframework.boot spring-boot-starter-test test org.springframework.boot spring-boot-starter-web org.mybatis.spring.boot mybatis-spring-boot-starter 2.2.0 org.springframework.boot spring-boot-maven-plugin
@Repository
@Mapper
public interface UserMapper {
User queryUserByName( String name);
}
创建实体类User.java(pojo)
@Data
@AllArgsConstructor
@NoArgsConstructor
public class User {
private int id;
private String name;
private String pwd;
}
lombok的好处舒服了
我们有了UserMapper就要想到对应的UserMapper.xml
select *from mybatis.user where name=#{name}
添加数据库信息
| name | pwd | id |
|---|---|---|
| gql | 2222 | 1 |
| admin | 123456 | 2 |
@Bean
public ShiroFilterFactoryBean shiroFilterFactoryBean( @Qualifier("securityManager") DefaultWebSecurityManager defaultWebSecurityManager){
ShiroFilterFactoryBean bean=new ShiroFilterFactoryBean();
//设置安全管理器
bean.setSecurityManager(defaultWebSecurityManager);
//添加shiro的内置过滤器
//拦截
Map filterMap=new linkedHashMap<>();
// filterMap.put("/user/add","anon");//anon:无需认证就可以访问
filterMap.put("/user/update","authc");//authc:必须认证才能访问
//授权
filterMap.put("/user/add","perms[user:add]");
//设置登录的请求
bean.setLoginUrl("/tologin");//被拦截以后跳转到首页
bean.setFilterChainDefinitionMap(filterMap);
return bean;
}
查看我们的UserRealm.java
package com.gql.config;
import com.gql.pojo.User;
import com.gql.service.UserService;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.subject.Subject;
import org.springframework.beans.factory.annotation.Autowired;
public class UserRealm extends AuthorizingRealm {
//授权
@Autowired
UserService userService;
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
System.out.println("执行了授权=》doGetAuthorizationInfo");
return null;
}
//认证
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
System.out.println("执行了认证=》doGetAuthenticationInfo");
//连接真实数据库
//用户名,密码~自己设置的
// String name="gql";
// String password="123456";
UsernamePasswordToken userToken=(UsernamePasswordToken) token;
User user = userService.queryUserByName(userToken.getUsername());
if (user == null) {
return null;//自己会报异常,不用我们自己定义
}
//抛出异常,这里的异常就是我们之前写的,用户名不存在
//第一个参数principal:获取当前用户认证
//第二个参数credentials:要传入密码的对象
//第二个参数realmName:认证名
//密码认证,shiro做
return new SimpleAuthenticationInfo("",user.getPwd(),"");
}
}
User user = userService.queryUserByName(userToken.getUsername());
SimpleAuthenticationInfo("",user.getPwd(),"");
这两段代码表示直接从前端接受用户名和密码,然后和数据库的内容进行对比
按照以下顺序访问
localhost:8080/访问首页=》点击update跳转到登录页login.html=》然后输入username里面输入gql,password里面输入随便输入2222=》跳转到首页=》点击add你就会进入爆出一个401的错误
这里之所以显示401,还有Unauthorized就是说明未授权,为什么没授权
因为我们在前面写了这样的代码
filterMap.put("/user/add","perms[user:add]");
// filterMap.put("/user/add","anon");//anon:无需认证就可以访问
这段代码表示必须是User用户,并且要有访问add的这个权限
仔细看之前的代码,上面也有,我给他注释掉了,所以现在我们没有权限访问
不知道能不能听懂
但是正常情况下,我们没有授权肯定不想就给我们显示一个401,用户体验极差
老板看到估计直接让我们回家了
@RequestMapping("/noauth")
@ResponseBody
public String unauthorized(){
return "未授权页面,静止访问!!";
2. 添加未授权的请求到(ShiroConfig)
bean.setUnauthorizedUrl("/noauth");
所以当我们再去访问首页的add时
这样对用户来说,简单明了
(快去充值了,你的等级不够)
不知道你发现没有,当我们进入页面的时候它会进行认证
(和数据库数据进行对比,正确的你可以进入,认证成功,错误了,认证失败)
当我访问页面的时候他会进行授权
(我们有权限,我们就可以进去,没有权限你就不能进去这个页面)
刚刚我们说到,因为下面这句代码,导致我们无法进入add方法
filterMap.put("/user/add","perms[user:add]");
但是有些人,就像进去,又不想充钱怎么办,那我给你开放一下,让你先看看
这时候我们就要去授权了
public class UserRealm extends AuthorizingRealm {
//授权
@Autowired
UserService userService;
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
System.out.println("执行了授权=》doGetAuthorizationInfo");
SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
info.addStringPermission("user:add");
return info;
}
啊哈,我们又能访问了!!
但是,我们这样的话代码就写死了,为什么那,因为我们不管登录那个用户,只要执行到了,授权的功能就会添加 "user:add"这段代码。所以我们不管是那个用户登录都能访问add页面。这肯定是不行可
加紧修改
那我们从数据库开始进行角色权限,说白了就是加个角色字段
数据库权限 1. 添加表字段角色
数据库的表发生改变,自然我们的pojo实体类也应该发生改变
@Data
@AllArgsConstructor
@NoArgsConstructor
public class User {
private int id;
private String name;
private String pwd;
private String perms;
}
3.修改ShiroConfig.java
