aisell第5天
1.在项目添加权限
shiro处理权限流程:
(1)把所有的权限交给shiro管理 --ShiroMap可以体现处理
(2)在realm里面 就要查询当前用户的权限,如果这个权限在shiro管理返回之内,这个用户就有响应的权限
否则就没有
1.1 从数据库查询所有权限交个shiro管理
在ShiroMap中添加所以权限
List<Permission> permissions = permissionService.findAll();
for (Permission permission : permissions) {
map.put(permission.getUrl(), "perms["+permission.getSn()+"]");
}
1.2 查询当前用户具备权限
--sql查询当前用户的权限
select p.* from employee e
join employee_role er on e.id = er.employee_id
join role r on er.role_id = r.id
join role_permission rp on rp.role_id = r.id
join permission p on p.id = rp.permission_id
where e.id = 2
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
//授权方法
Employee employee =(Employee) principalCollection.getPrimaryPrincipal();
//根据用户名得到权限代码
//从数据库查询当前用户的所有的权限
// Set permissions = getPermissionsByUsername(employee.getUsername());
Set<String> permissionSet = permissionService.findPermissionByEmployeeId(employee.getId());
//shiro就会自己取进行权限的比较
SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
authorizationInfo.setStringPermissions(permissionSet);
return authorizationInfo;
}
1.3 权限出问题之后,ajax怎么返回
在角色操作中删除角色的权限再次使用这个权限是会报未定义的错误
原因是在shiro中有个PermissionsAuthorizationFilter类中的onAccessDenied方法在没有权限是是跳出页面而在jsp中这里要的Ajax数据
(1)写一个过滤器 覆写PermissionsAuthorizationFilter
(2)重写 onAccessDenied方法
方法里面 就判断如果是ajax请求 就直接返回json格式,
否则就走原来的格式,返回页面
public class AisellPermissionFilter extends PermissionsAuthorizationFilter {
@Override
protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws IOException {
Subject subject = this.getSubject(request, response);
if (subject.getPrincipal() == null) {
this.saveRequestAndRedirectToLogin(request, response);
} else {
//登录成功后没有权限的操作
//1.转成http的请求与响应操作
HttpServletRequest httpRequest = (HttpServletRequest) request;
HttpServletResponse httpResponse = (HttpServletResponse) response;
//2.根据请求确定是什么请求
String header = httpRequest.getHeader("X-Requested-With");
if (header!=null){
//3.在这里就代表是ajax请求
//表示ajax请求 {"success":false,"message":"没有权限"}
httpResponse.setContentType("text/json; charset=UTF-8");
httpResponse.getWriter().print("{\"success\":false,\"msg\":\"没有权限\"}");
}else {
String unauthorizedUrl = this.getUnauthorizedUrl();
if (StringUtils.hasText(unauthorizedUrl)) {
WebUtils.issueRedirect(request, response, unauthorizedUrl);
} else {
WebUtils.toHttp(response).sendError(401);
}
}
}
return false;
}
}
在applicationContext-shiro中添加过滤器路径
1.4 页面权限的按钮控制
添加标签来控制页面的按钮是否显示
删除
2 左侧树形菜单
现在菜单写死了,写到json文件里面,但是如果如果想添加一个菜单,还有修改的json文件,比较麻烦,所有把菜单存入数据库,读取数据库就OK
2.1 menu对象的确定
写了Menu domain对象
public class Menu extends BaseDomain {
private String name;//菜单名称
private String url; //路径
private String icon; //图标
@ManyToOne(fetch = FetchType.LAZY)
@JoinColumn(name="parent_id")
@JsonIgnore //忽略json 在展示json格式的 parent不会展示出来 会造成死循环因为角色带的都是子Menu在service层中需要查询所有的Menu,会出现重复调用
private Menu parent;
@Transient //这个是临时属性,不交给jpa管理 ,自己来维护 -- 手动添加子菜单
private List<Menu> children = new ArrayList();
//兼容esayui的菜单树[id:1,text:'xxx']
public String getText(){
return this.name;
}
//setget...
}
permission中添加
@ManyToOne(fetch = FetchType.LAZY)
@JoinColumn(name="menu_id")
private Menu menu;
2.2 service构造json的方法
public List<Menu> findMenuByLoginUser(Long employeeId) {
List<Menu> menus = new ArrayList();
//查询当前用户的所有的子菜单
List<Menu> subMenus = menuRepository.findByLoginUser(employeeId);
//循环子菜单 2,3,4,5 1 (7 8) 6
for (Menu subMenu : subMenus) {
//从子菜单里面拿到父菜单 6
Menu parentMenu = subMenu.getParent();
if(!menus.contains(parentMenu)) {
menus.add(parentMenu);
}
parentMenu.getChildren().add(subMenu);//[1,[2,3,4,5],6 [7,8]]
}
return menus;
}
修改main.jsp中的url路径
controller层多加
@RequestMapping("/findMenuByUserId")
@ResponseBody
public List<Menu> findMenuByUserId(){
Employee user = (Employee)UserContent.getUser();
return menuService.findMenuByUserId(user.getId());
}