上次说到我们直接开整myatis和spring shiro
话不多说直接上文章?
建议先看上一篇文章,这是续集🔰
springboot shiro【上篇】
关于本文的所有注解,有模糊的可以查看以往的文章
springboot的常用注解
springboot shiro+mybatis
老规矩先导入依赖
1. 先查看mybatis的依赖
<dependencies>
<dependency>
<groupId>org.projectlombok</groupId>
<artifactId>lombok</artifactId>
</dependency>
<dependency>
<groupId>mysql</groupId>
<artifactId>mysql-connector-java</artifactId>
</dependency>
<dependency>
<groupId>log4j</groupId>
<artifactId>log4j</artifactId>
<version>1.2.17</version>
</dependency>
<dependency>
<groupId>com.alibaba</groupId>
<artifactId>druid</artifactId>
<version>1.2.8</version>
</dependency>
<dependency>
<groupId>org.mybatis.spring.boot</groupId>
<artifactId>mybatis-spring-boot-starter</artifactId>
<version>2.2.0</version>
</dependency>
关于为什么使用lombok的依赖就是简单的懒??💦
为什么使用druid的数据库连接池,Druid为监控而生的数据库连接池,它是阿里巴巴开源平台上的一个项目。Druid是Java语言中最好的数据库连接池,Druid能够提供强大的监控和扩展功能.它可以替换DBCP和C3P0连接池。Druid提供了一个高效、功能强大、可扩展性好的数据库连接池。
2. 看一下的目录结构心里有点数 ?
3. 查看所有的依赖(毕竟是整合你要知道用了哪些东西)
<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd">
<modelVersion>4.0.0</modelVersion>
<parent>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-parent</artifactId>
<version>2.6.0</version>
<relativePath/> <!-- lookup parent from repository -->
</parent>
<groupId>com.gql</groupId>
<artifactId>spring-shrio</artifactId>
<version>0.0.1-SNAPSHOT</version>
<name>spring-shiro</name>
<description>spring-shiro</description>
<properties>
<java.version>11</java.version>
</properties>
<dependencies>
<dependency>
<groupId>org.projectlombok</groupId>
<artifactId>lombok</artifactId>
</dependency>
<dependency>
<groupId>mysql</groupId>
<artifactId>mysql-connector-java</artifactId>
</dependency>
<dependency>
<groupId>log4j</groupId>
<artifactId>log4j</artifactId>
<version>1.2.17</version>
</dependency>
<dependency>
<groupId>com.alibaba</groupId>
<artifactId>druid</artifactId>
<version>1.2.8</version>
</dependency>
<dependency>
<groupId>org.thymeleaf</groupId>
<artifactId>thymeleaf</artifactId>
</dependency>
<dependency>
<groupId>org.thymeleaf</groupId>
<artifactId>thymeleaf-spring5</artifactId>
</dependency>
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-spring</artifactId>
<version>1.7.1</version>
</dependency>
<dependency>
<groupId>org.thymeleaf.extras</groupId>
<artifactId>thymeleaf-extras-java8time</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-test</artifactId>
<scope>test</scope>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
</dependency>
<dependency>
<groupId>org.mybatis.spring.boot</groupId>
<artifactId>mybatis-spring-boot-starter</artifactId>
<version>2.2.0</version>
</dependency>
</dependencies>
<build>
<plugins>
<plugin>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-maven-plugin</artifactId>
</plugin>
</plugins>
</build>
</project>
建立UserMapper(Dao)
@Repository
@Mapper
public interface UserMapper {
User queryUserByName( String name);
}
创建实体类User.java(pojo)
@Data
@AllArgsConstructor
@NoArgsConstructor
public class User {
private int id;
private String name;
private String pwd;
}
lombok的好处舒服了
我们有了UserMapper就要想到对应的UserMapper.xml
<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE mapper
PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN"
"http://mybatis.org/dtd/mybatis-3-mapper.dtd">
<mapper namespace="com.gql.mapper.UserMapper">
<select id="queryUserByName" parameterType="String" resultType="User">
select *from mybatis.user where name=#{name}
</select>
</mapper>
添加数据库信息
| name | pwd | id |
|---|---|---|
| gql | 2222 | 1 |
| admin | 123456 | 2 |
修改ShiroConfig的配置
@Bean
public ShiroFilterFactoryBean shiroFilterFactoryBean( @Qualifier("securityManager") DefaultWebSecurityManager defaultWebSecurityManager){
ShiroFilterFactoryBean bean=new ShiroFilterFactoryBean();
//设置安全管理器
bean.setSecurityManager(defaultWebSecurityManager);
//添加shiro的内置过滤器
/*
* anon:无需认证就可以访问
* authc:必须认证才能访问
* user:必须拥有 记住我 功能才能用
* perms:拥有对某个资源的访问权限才能访问
* role:拥有某个角色权限才能访问.
* */
//拦截
Map<String,String> filterMap=new LinkedHashMap<>();
// filterMap.put("/user/add","anon");//anon:无需认证就可以访问
filterMap.put("/user/update","authc");//authc:必须认证才能访问
//授权
filterMap.put("/user/add","perms[user:add]");
//设置登录的请求
bean.setLoginUrl("/tologin");//被拦截以后跳转到首页
bean.setFilterChainDefinitionMap(filterMap);
return bean;
}
查看我们的UserRealm.java
package com.gql.config;
import com.gql.pojo.User;
import com.gql.service.UserService;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.subject.Subject;
import org.springframework.beans.factory.annotation.Autowired;
/**
* @author gql
* @date 2021/11/24 - 17:15
*/
public class UserRealm extends AuthorizingRealm {
//授权
@Autowired
UserService userService;
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
System.out.println("执行了授权=》doGetAuthorizationInfo");
return null;
}
//认证
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
System.out.println("执行了认证=》doGetAuthenticationInfo");
//连接真实数据库
//用户名,密码~自己设置的
// String name="gql";
// String password="123456";
UsernamePasswordToken userToken=(UsernamePasswordToken) token;
User user = userService.queryUserByName(userToken.getUsername());
if (user == null) {
return null;//自己会报异常,不用我们自己定义
}
//抛出异常,这里的异常就是我们之前写的,用户名不存在
//第一个参数principal:获取当前用户认证
//第二个参数credentials:要传入密码的对象
//第二个参数realmName:认证名
//密码认证,shiro做
return new SimpleAuthenticationInfo("",user.getPwd(),"");
}
}
User user = userService.queryUserByName(userToken.getUsername());
SimpleAuthenticationInfo("",user.getPwd(),"");
这两段代码表示直接从前端接受用户名和密码,然后和数据库的内容进行对比
按照以下顺序访问
localhost:8080/访问首页=》点击update跳转到登录页login.html=》然后输入username里面输入gql,password里面输入随便输入2222=》跳转到首页=》点击add你就会进入爆出一个401的错误
这里之所以显示401,还有Unauthorized就是说明未授权,为什么没授权
因为我们在前面写了这样的代码
filterMap.put("/user/add","perms[user:add]");
// filterMap.put("/user/add","anon");//anon:无需认证就可以访问
这段代码表示必须是User用户,并且要有访问add的这个权限
仔细看之前的代码,上面也有,我给他注释掉了,所以现在我们没有权限访问
不知道能不能听懂
但是正常情况下,我们没有授权肯定不想就给我们显示一个401,用户体验极差
老板看到估计直接让我们回家了
连接未授权页面
1. 添加关于未登录页面的控制器映射(MyController.java)
@RequestMapping("/noauth")
@ResponseBody
public String unauthorized(){
return "未授权页面,静止访问!!";
2. 添加未授权的请求到(ShiroConfig)
bean.setUnauthorizedUrl("/noauth");
所以当我们再去访问首页的add时
这样对用户来说,简单明了
(快去充值了,你的等级不够)
不知道你发现没有,当我们进入页面的时候它会进行认证
(和数据库数据进行对比,正确的你可以进入,认证成功,错误了,认证失败)
当我访问页面的时候他会进行授权
(我们有权限,我们就可以进去,没有权限你就不能进去这个页面)
刚刚我们说到,因为下面这句代码,导致我们无法进入add方法
filterMap.put("/user/add","perms[user:add]");
但是有些人,就像进去,又不想充钱怎么办,那我给你开放一下,让你先看看
这时候我们就要去授权了
开启add的授权
public class UserRealm extends AuthorizingRealm {
//授权
@Autowired
UserService userService;
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
System.out.println("执行了授权=》doGetAuthorizationInfo");
SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
info.addStringPermission("user:add");
return info;
}
啊哈,我们又能访问了!!💯
但是,我们这样的话代码就写死了,为什么那,因为我们不管登录那个用户,只要执行到了,授权的功能就会添加 "user:add"这段代码。所以我们不管是那个用户登录都能访问add页面。这肯定是不行可
加紧修改
那我们从数据库开始进行角色权限,说白了就是加个角色字段
数据库权限
1. 添加表字段角色
数据库的表发生改变,自然我们的pojo实体类也应该发生改变
2. 修改pojo下的实体类
@Data
@AllArgsConstructor
@NoArgsConstructor
public class User {
private int id;
private String name;
private String pwd;
private String perms;
}
3.修改ShiroConfig.java
Map<String,String> filterMap=new LinkedHashMap<>();
// filterMap.put("/user/add","anon");//anon:无需认证就可以访问
filterMap.put("/user/update","perms[user:update]");
filterMap.put("/user/add","perms[user:add]");
filterMap.put("/user/update","authc");//authc:必须认证才能访问
//授权,正常情况下,没有授权会跳转到未授权页面
4.修改授权UserRealm.java
System.out.println("执行了授权=》doGetAuthorizationInfo");
SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
// info.addStringPermission("user:add");
//拿到当前登陆对象
Subject subject =SecurityUtils.getSubject();
User currentUser= (User)subject.getPrincipal();
//设置当前用户的权限
info.addStringPermission(currentUser.getPerms());
return info;
getPrincipal()这个方法拿到的Principal来自于下面代码
return new SimpleAuthenticationInfo("user",user.getPwd(),"");
里面的user
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
System.out.println("执行了认证=》doGetAuthenticationInfo");
//连接真实数据库
//用户名,密码~自己设置的
// String name="gql";
// String password="123456";
UsernamePasswordToken userToken=(UsernamePasswordToken) token;
User user = userService.queryUserByName(userToken.getUsername());
if (user == null) {
return null;//自己会报异常,不用我们自己定义
}
//抛出异常,这里的异常就是我们之前写的,用户名不存在
//第一个参数principal:获取当前用户认证
//第二个参数credentials:要传入密码的对象
//第二个参数realmName:认证名
//密码认证,shiro做
return new SimpleAuthenticationInfo("user",user.getPwd(),"");
}
}
所以我们假如用户名是gql密码2222成功登录
那么我们可以访问add页面
如果我们使用用户名是zhn密码12314成功登录
那么我们可以访问update页面
如果是另外的两个用户成功登录
那么我们可以访问所有页面(add和update)
🆗整合结束
🚗🚗下一篇整合thymeleaf