该篇博客主要内容:以yml配置文件的方式,动态注入需要配置的权限
接上一篇博客 > Springboot整合Shiro:详细的权限管理
*******转载请说明出处,谢谢 ********
上篇文章写到授权实现的两种方式(编程式和注解式),两者在使用时对权限的配置都是写死的,如果后期项目需要维护,更改权限配置,就无可避免的要进行代码的修改。
比如:现在需要将cat角色改为rabbit,那么编程式授权需要将subject.hasRole("cat")改为subject.hasRole("rabbit"),注解式授权需要将@RequiresRoles("cat")改为@RequiresRoles("rabbit"),使用起来很笨重。
这时候,动态配置权限便显得很有必要了,我们通过读取数据库或者权限的配置文件将权限注入,如果需要修改,我们只需要修改数据库或者修改相关的配置文件即可,无需重新部署项目。
如何操作?以yml配置文件为例:
1.定义关于权限的配置文件
我们在application.yml(这里将application.prpperties文件改为.yml文件,因为.yml文件用起来更简洁,当然.properties文件一样实现功能)中添加需要配置的权限
##动态权限配置文件
#List<Map<String, String>>
permission-config:
perms:
- url: /cat
permission: roles[cat]
- url: /dog
permission: roles[dog]
- url: /sing
permission: perms[sing]
- url: /jump
permission: perms[jump]
- url: /rap
permission: perms[rap]
- url: /basketball
permission: perms[basketball]
- 将配置文件信息的内容转化为
List<Map<String, String>>,注入到ShiroConfig中。
新建PermsMap类
/**
* @Description 权限Map 接受配置文件中的数据
* @Author 张小黑的猫
* @data 2019-05-27 11:19
*/
@Component
@ConfigurationProperties(prefix = "permission-config")
public class PermsMap {
private List<Map<String,String>> perms;
public List<Map<String, String>> getPerms() {
return perms;
}
public void setPerms(List<Map<String, String>> perms) {
this.perms = perms;
}
}
注意:prefix="permission-config"和perms要与.yml文件中的属性对应
- 修改
ShiroConfig.java
先使用@Autowired注入PermsMap,切记不能使用new PermsMap ()
@Autowired
PermsMap permsMap;
更改过滤链
/**
* 配置Shiro的Web过滤器,拦截浏览器请求并交给SecurityManager处理
* @return
*/
@Bean
public ShiroFilterFactoryBean webFilter(SecurityManager securityManager){
ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
//设置securityManager
shiroFilterFactoryBean.setSecurityManager(securityManager);
//配置拦截链 使用LinkedHashMap,因为LinkedHashMap是有序的,shiro会根据添加的顺序进行拦截
// Map<K,V> K指的是拦截的url V值的是该url是否拦截
Map<String,String> filterChainMap = new LinkedHashMap<String,String>(16);
//配置退出过滤器logout,由shiro实现
filterChainMap.put("/logout","logout");
//authc:所有url都必须认证通过才可以访问; anon:所有url都都可以匿名访问,先配置anon再配置authc。
filterChainMap.put("/login","anon");
// 未授权界面;
shiroFilterFactoryBean.setUnauthorizedUrl("/403");
// //权限注入
// filterChainMap.put("/cat","roles[cat]");
//动态权限注入
List<Map<String,String>> perms = permsMap.getPerms();
perms.forEach(perm->filterChainMap.put(perm.get("url"),perm.get("permission")));
filterChainMap.put("/**", "authc");
//设置默认登录的URL.
shiroFilterFactoryBean.setLoginUrl("/login");
System.out.println(filterChainMap);
shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainMap);
return shiroFilterFactoryBean;
}
动态注入要满足格式filterChainMap.put("/cat","roles[cat]");
这里面又额外配置了未授权界面shiroFilterFactoryBean.setUnauthorizedUrl("/403");对未通过权限验证的界面进行统一跳转403页面的操作,所以需要配置对应的页面跳转。
@GetMapping("/403")
public String page_403(){
return "403";
}
4.更改AuthorizationController
@RestController
public class AuthorizationController {
@GetMapping("/cat")
public String cat(){
return "cat";
}
@GetMapping("/dog")
public String dog(){
return "dog";
}
@GetMapping("/sing")
public String sing(){
return "sing";
}
@GetMapping("/jump")
public String jump(){
return "jump";
}
@GetMapping("/rap")
public String rap(){
return "rap";
}
@GetMapping("/basketball")
public String basketball(){
return "basketball";
}
}
5.测试结果:
共同学习,欢迎指正修改~ 喵喵喵❤
下一篇文章:Springboot整合Shiro: Redis缓存
