shiro教程（1)：基於url權限管理

1、 權限管理

1.1 什麼是權限管理

基本上涉及到用戶參與的系統都要進行權限管理，權限管理屬於系統安全的範疇，權限管理實現對用戶訪問系統的控制，按照安全規則或者安全策略控制用戶能夠訪問並且只能訪問本身被受權的資源。

權限管理包括用戶身份認證和受權兩部分，簡稱認證受權。對於須要訪問控制的資源用戶首先通過身份認證，認證經過後用戶具備該資源的訪問權限方可訪問。

1.2 用戶身份認證

1.2.1 概念

身份認證，就是判斷一個用戶是否爲合法用戶的處理過程。最經常使用的簡單身份認證方式是系統經過覈對用戶輸入的用戶名和口令，看其是否與系統中存儲的該用戶的用戶名和口令一致，來判斷用戶身份是否正確。對於採用指紋等系統，則出示指紋；對於硬件Key等刷卡系統，則須要刷卡。

1.2.2 用戶名密碼身份認證流程

1.2.3 關鍵對象

上邊的流程圖中須要理解如下關鍵對象：

Subject：主體

訪問系統的用戶，主體能夠是用戶、程序等，進行認證的都稱爲主體；

Principal：身份信息

是主體（subject）進行身份認證的標識，標識必須具備惟一性，如用戶名、手機號、郵箱地址等，一個主體能夠有多個身份，可是必須有一個主身份（PrimaryPrincipal）。

credential：憑證信息

是隻有主體本身知道的安全信息，如密碼、證書等。

1.3 受權

1.3.1 概念

受權，即訪問控制，控制誰能訪問哪些資源。主體進行身份認證後須要分配權限方可訪問系統的資源，對於某些資源沒有權限是沒法訪問的。

1.3.2 受權流程

下圖中橙色爲受權流程。

1.3.3 關鍵對象

受權可簡單理解爲who對what(which)進行How操做：

Who，即主體（Subject），主體須要訪問系統中的資源。

What，即資源（Resource），如系統菜單、頁面、按鈕、類方法、系統商品信息等。資源包括資源類型和資源實例，好比商品信息爲資源類型，類型爲t01的商品爲資源實例，編號爲001的商品信息也屬於資源實例。

How，權限/許可（Permission），規定了主體對資源的操做許可，權限離開資源沒有意義，如用戶查詢權限、用戶添加權限、某個類方法的調用權限、編號爲001用戶的修改權限等，經過權限可知主體對哪些資源都有哪些操做許可。

權限分爲粗顆粒和細顆粒，粗顆粒權限是指對資源類型的權限，細顆粒權限是對資源實例的權限。

主體、資源、權限關係以下圖：

1.3.4 權限模型

對上節中的主體、資源、權限經過數據模型表示。

主體（帳號、密碼）

資源（資源名稱、訪問地址）

權限（權限名稱、資源id）

角色（角色名稱）

角色和權限關係（角色id、權限id）

主體和角色關係（主體id、角色id）

以下圖：

以下圖：

一般企業開發中將資源和權限表合併爲一張權限表，以下：

資源（資源名稱、訪問地址）

權限（權限名稱、資源id）

合併爲：

權限（權限名稱、資源名稱、資源訪問地址）

上圖常被稱爲權限管理的通用模型，不過企業在開發中根據系統自身的特色還會對上圖進行修改，可是用戶、角色、權限、用戶角色關係、角色權限關係是須要去理解的。

1.3.5 權限分配

對主體分配權限，主體只容許在權限範圍內對資源進行操做，好比：對u01用戶分配商品修改權限，u01用戶只能對商品進行修改。

權限分配的數據一般須要持久化，根據上邊的數據模型建立表並將用戶的權限信息存儲在數據庫中。

1.3.6 權限控制

用戶擁有了權限便可操做權限範圍內的資源，系統不知道主體是否具備訪問權限須要對用戶的訪問進行控制。

1.3.6.1 基於角色的訪問控制

RBAC基於角色的訪問控制（Role-Based Access Control）是以角色爲中心進行訪問控制，好比：主體的角色爲總經理能夠查詢企業運營報表，查詢員工工資信息等，訪問控制流程以下：

上圖中的判斷邏輯代碼能夠理解爲：

if(主體.hasRole("總經理角色id")){

查詢工資

}

缺點：以角色進行訪問控制粒度較粗，若是上圖中查詢工資所須要的角色變化爲總經理和部門經理，此時就須要修改判斷邏輯爲「判斷主體的角色是不是總經理或部門經理」，系統可擴展性差。

修改代碼以下：

if(主體.hasRole("總經理角色id") || 主體.hasRole("部門經理角色id")){

查詢工資

}

1.3.6.2 基於資源的訪問控制

RBAC基於資源的訪問控制（Resource-Based Access Control）是以資源爲中心進行訪問控制，好比：主體必須具備查詢工資權限才能夠查詢員工工資信息等，訪問控制流程以下：

上圖中的判斷邏輯代碼能夠理解爲：

if(主體.hasPermission("查詢工資權限標識")){

查詢工資

}

優勢：系統設計時定義好查詢工資的權限標識，即便查詢工資所須要的角色變化爲總經理和部門經理也只須要將「查詢工資信息權限」添加到「部門經理角色」的權限列表中，判斷邏輯不用修改，系統可擴展性強。

2 權限管理解決方案

2.1 粗顆粒度和細顆粒度

2.1.1 什麼是粗顆粒度和細顆粒度

對資源類型的管理稱爲粗顆粒度權限管理，即只控制到菜單、按鈕、方法，粗粒度的例子好比：用戶具備用戶管理的權限，具備導出訂單明細的權限。對資源實例的控制稱爲細顆粒度權限管理，即控制到數據級別的權限，好比：用戶只容許修改本部門的員工信息，用戶只容許導出本身建立的訂單明細。

2.1.2 如何實現粗顆粒度和細顆粒度

對於粗顆粒度的權限管理能夠很容易作系統架構級別的功能，即系統功能操做使用統一的粗顆粒度的權限管理。

對於細顆粒度的權限管理不建議作成系統架構級別的功能，由於對數據級別的控制是系統的業務需求，隨着業務需求的變動業務功能變化的可能性很大，建議對數據級別的權限控制在業務層個性化開發，好比：用戶只容許修改本身建立的商品信息能夠在service接口添加校驗實現，service接口須要傳入當前操做人的標識，與商品信息建立人標識對比，不一致則不容許修改商品信息。

2.2 基於url攔截

基於url攔截是企業中經常使用的權限管理方法，實現思路是：將系統操做的每一個url配置在權限表中，將權限對應到角色，將角色分配給用戶，用戶訪問系統功能經過Filter進行過慮，過慮器獲取到用戶訪問的url，只要訪問的url是用戶分配角色中的url則放行繼續訪問。

以下圖：

2.3 使用權限管理框架

對於權限管理基本上每一個系統都有，使用權限管理框架完成權限管理功能的開發能夠節省系統開發時間，而且權限管理框架提供了完善的認證和受權功能有利於系統擴展維護，可是學習權限管理框架是須要成本的，因此選擇一款簡單高效的權限管理框架顯得很是重要。

3 基於url攔截實現

3.1 環境準備

jdk：1.7.0_72

web容器：tomcat7

系統框架：springmvc3.2.0+mybatis3.2.7（詳細參考springmvc教案）

前臺UI：jquery easyUI1.2.2

3.2 數據庫

建立mysql5.1數據庫

建立用戶表、角色表、權限表、角色權限關係表、用戶角色關係表。

導入腳本，先導入shiro_sql_talbe.sql再導入shiro-sql_table_data.sql

3.3 activeUser用戶身份類

用戶登錄成功記錄activeUser信息並將activeUser存入session。

public class ActiveUser implements java.io.Serializable {

private String userid;//用戶id

private String usercode;// 用戶帳號

private String username;// 用戶名稱

 

private List<SysPermission> menus;// 菜單

private List<SysPermission> permissions;// 權限複製代碼

3.4 anonymousURL.properties

anonymousURL.properties公開訪問地址，無需身份認證便可訪問。

3.5 commonURL.properties

commonURL.properties公共訪問地址，身份認證經過無需分配權限便可訪問。

3.6 用戶身份認證攔截器

使用springmvc攔截器對用戶身份認證進行攔截，若是用戶沒有登錄則跳轉到登錄頁面，本功能也可使用filter實現 。

public class LoginInterceptor implements HandlerInterceptor {

 

// 在進入controller方法以前執行

// 使用場景：好比身份認證校驗攔截，用戶權限攔截，若是攔截不放行，controller方法再也不執行

@Override

public boolean preHandle(HttpServletRequest request,

HttpServletResponse response, Object handler) throws Exception {

 

// 校驗用戶訪問是不是公開資源地址(無需認證便可訪問)

List<String> open_urls = ResourcesUtil.gekeyList("anonymousURL");

 

// 用戶訪問的url

String url = request.getRequestURI();

for (String open_url : open_urls) {

if (url.indexOf(open_url) >= 0) {

// 若是訪問的是公開 地址則放行

return true;

}

}

 

// 校驗用戶身份是否定證經過

HttpSession session = request.getSession();

ActiveUser activeUser = (ActiveUser) session.getAttribute("activeUser");

if (activeUser != null) {

// 用戶已經登錄認證，放行

return true;

}

// 跳轉到登錄頁面

request.getRequestDispatcher("/WEB-INF/jsp/login.jsp").forward(request,

response);

return false;

}複製代碼

3.7 用戶受權攔截器

使用springmvc攔截器對用戶訪問url進行攔截，若是用戶訪問的url沒有分配權限則跳轉到無權操做提示頁面（refuse.jsp），本功能也可使用filter實現。

public class PermissionInterceptor implements HandlerInterceptor {

 

// 在進入controller方法以前執行

// 使用場景：好比身份認證校驗攔截，用戶權限攔截，若是攔截不放行，controller方法再也不執行

// 進入action方法前要執行

@Override

public boolean preHandle(HttpServletRequest request,

HttpServletResponse response, Object handler) throws Exception {

// TODO Auto-generated method stub

// 用戶訪問地址：

String url = request.getRequestURI();

 

// 校驗用戶訪問是不是公開資源地址(無需認證便可訪問)

List<String> open_urls = ResourcesUtil.gekeyList("anonymousURL");

// 用戶訪問的url

for (String open_url : open_urls) {

if (url.indexOf(open_url) >= 0) {

// 若是訪問的是公開 地址則放行

return true;

}

}

//從 session獲取用戶公共訪問地址（認證經過無需分配權限便可訪問）

List<String> common_urls = ResourcesUtil.gekeyList("commonURL");

// 用戶訪問的url

for (String common_url : common_urls) {

if (url.indexOf(common_url) >= 0) {

// 若是訪問的是公共地址則放行

return true;

}

}

// 從session獲取用戶權限信息

 

HttpSession session = request.getSession();

 

ActiveUser activeUser = (ActiveUser) session.getAttribute("activeUser");

 

// 取出session中權限url

// 獲取用戶操做權限

List<SysPermission> permission_list = activeUser.getPermissions();

// 校驗用戶訪問地址是否在用戶權限範圍內

for (SysPermission sysPermission : permission_list) {

String permission_url = sysPermission.getUrl();

if (url.contains(permission_url)) {

return true;

}

}

 

// 跳轉到頁面

request.getRequestDispatcher("/WEB-INF/jsp/refuse.jsp").forward(

request, response);

return false;

}

 複製代碼

3.8 用戶登錄

用戶輸入用戶帳號和密碼登錄，登錄成功將用戶的身份信息（用戶帳號、密碼、權限菜單、權限url等）記入activeUser類，並寫入session。

3.8.1 controller

//用戶登錄提交

@RequestMapping("/loginsubmit")

public String loginsubmit(HttpSession session,String usercode,String password,String randomcode) throws Exception{

 

//校驗驗證碼

//從session獲取正確的驗證碼

String validateCode = (String)session.getAttribute("validateCode");

if(!randomcode.equals(validateCode)){

//拋出異常：驗證碼錯誤

throw new CustomException("驗證碼 錯誤 ！");

}

//用戶身份認證

ActiveUser activeUser = sysService.authenticat(usercode, password);

//記錄session

session.setAttribute("activeUser", activeUser);

return "redirect:first.action";

}複製代碼

3.8.2 service接口

/**

 *

 * <p>

 * Title: authenticat

 * </p>

 * <p>

 * Description:用戶認證

 * </p>

 *

 * @param usercode

 *            用戶帳號

 * @param password

 *            用戶密碼

 * @return ActiveUser 用戶身份信息

 * @throws Exception

 */

public ActiveUser authenticat(String usercode, String password)

throws Exception;

 

// 根據帳號查詢用戶

public SysUser findSysuserByUsercode(String usercode) throws Exception;

 

// 根據用戶id獲取權限

public List<SysPermission> findSysPermissionList(String userid)

throws Exception;

 

// 根據用戶id獲取菜單

public List<SysPermission> findMenuList(String userid) throws Exception;

 複製代碼

文章有不當之處，歡迎指正，你也能夠關注個人微信公衆號：好好學java，獲取優質資源。