Springboot整合Shiro:动态权限配置（读取yml文件方式）

该篇博客主要内容：以yml配置文件的方式，动态注入需要配置的权限
接上一篇博客 > Springboot整合Shiro：详细的权限管理
*******转载请说明出处，谢谢 ********
上篇文章写到授权实现的两种方式（编程式和注解式），两者在使用时对权限的配置都是写死的，如果后期项目需要维护，更改权限配置，就无可避免的要进行代码的修改。
比如：现在需要将cat角色改为rabbit,那么编程式授权需要将subject.hasRole("cat")改为subject.hasRole("rabbit")，注解式授权需要将@RequiresRoles("cat")改为@RequiresRoles("rabbit")，使用起来很笨重。
这时候，动态配置权限便显得很有必要了，我们通过读取数据库或者权限的配置文件将权限注入，如果需要修改，我们只需要修改数据库或者修改相关的配置文件即可，无需重新部署项目。
如何操作？以yml配置文件为例：
1.定义关于权限的配置文件
我们在application.yml(这里将application.prpperties文件改为.yml文件，因为.yml文件用起来更简洁，当然.properties文件一样实现功能)中添加需要配置的权限

##动态权限配置文件
#List>
permission-config:
  perms:
    - url: /cat
      permission: roles[cat]
    - url: /dog
      permission: roles[dog]
    - url: /sing
      permission: perms[sing]
    - url: /jump
      permission: perms[jump]
    - url: /rap
      permission: perms[rap]
    - url: /basketball
      permission: perms[basketball]

2. 将配置文件信息的内容转化为List>，注入到ShiroConfig中。
   新建PermsMap类

/**
 * @Description 权限Map 接受配置文件中的数据
 * @Author 张小黑的猫
 * @data 2019-05-27 11:19
 */
@Component
@ConfigurationProperties(prefix = "permission-config")
public class PermsMap {

    private List> perms;

    public List> getPerms() {
        return perms;
    }

    public void setPerms(List> perms) {
        this.perms = perms;
    }
}

注意：prefix="permission-config"和perms要与.yml文件中的属性对应

3. 修改ShiroConfig.java
   先使用@Autowired注入PermsMap，切记不能使用new PermsMap ()

   @Autowired
    PermsMap permsMap;

更改过滤链

 /**
     * 配置Shiro的Web过滤器，拦截浏览器请求并交给SecurityManager处理
     * @return
     */
    @Bean
    public ShiroFilterFactoryBean webFilter(SecurityManager securityManager){

        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        //设置securityManager
        shiroFilterFactoryBean.setSecurityManager(securityManager);

        //配置拦截链 使用LinkedHashMap,因为LinkedHashMap是有序的，shiro会根据添加的顺序进行拦截
        // Map K指的是拦截的url V值的是该url是否拦截
        Map filterChainMap = new LinkedHashMap(16);
        //配置退出过滤器logout，由shiro实现
        filterChainMap.put("/logout","logout");
        //authc:所有url都必须认证通过才可以访问; anon:所有url都都可以匿名访问,先配置anon再配置authc。
        filterChainMap.put("/login","anon");
        // 未授权界面;
        shiroFilterFactoryBean.setUnauthorizedUrl("/403");

//        //权限注入
//        filterChainMap.put("/cat","roles[cat]");
        
        //动态权限注入
        List> perms = permsMap.getPerms();
        perms.forEach(perm->filterChainMap.put(perm.get("url"),perm.get("permission")));

        filterChainMap.put("/**", "authc");

        //设置默认登录的URL.
        shiroFilterFactoryBean.setLoginUrl("/login");
        System.out.println(filterChainMap);
        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainMap);
        return shiroFilterFactoryBean;
    }

动态注入要满足格式filterChainMap.put("/cat","roles[cat]");
这里面又额外配置了未授权界面shiroFilterFactoryBean.setUnauthorizedUrl("/403");对未通过权限验证的界面进行统一跳转403页面的操作,所以需要配置对应的页面跳转。

 @GetMapping("/403")
    public String page_403(){
     return "403";
    }

4.更改AuthorizationController

@RestController
public class AuthorizationController {

    @GetMapping("/cat")
    public String cat(){
        return "cat";
    }
    @GetMapping("/dog")
    public String dog(){
        return "dog";
    }
    @GetMapping("/sing")
    public String sing(){
        return "sing";
    }
    @GetMapping("/jump")
    public String jump(){
        return "jump";
    }
    @GetMapping("/rap")
    public String rap(){
        return "rap";
    }
    @GetMapping("/basketball")
    public String basketball(){
        return "basketball";
    }
}

5.测试结果：

authorization3.gif

共同学习，欢迎指正修改~ 喵喵喵❤
下一篇文章：Springboot整合Shiro: Redis缓存