如何實現一個權限管理系統?(附源碼)
電話咨詢
15503299979
微信咨詢

如何實現一個權限管理系統?(附源碼)

發布時間:2019-6-18 8:51:41作者:總管理員

項目特點


Shiro的認證和授權


系統安全一直是在系統開發中不可規避的問題,而權限控制又跟系統安全密不可分,大到用戶的訪問,小到一個頁面的按鈕,都有可能涉及到權限的控制。而renren-security便給我們提供了一套權限系統


開發的解決方案。


renren-security是"人人社區"社區開源的輕量級權限管理系統。系統采用SprinBoot、Mybatis、Shiro框架進行開發,極低門檻,拿來即用,支持分布式部署、Quartz分布式集群調度、部門管理、數據權


限、云存儲等功能。


項目特點


靈活的權限控制,可控制到頁面或按鈕,滿足絕大部分的權限需求


完善的部門管理及數據權限,通過注解實現數據權限的控制


完善的XSS防范及腳本過濾,徹底杜絕XSS攻擊


支持MySQL、Oracle、SQL Server、PostgreSQL等主流數據庫


如何實現一個權限管理系統?(附源碼)


運行效果

系統結構的設計也比較清晰,由admin、api、common等幾個模塊組成,每個模塊實現的功能大體如下:

common:公共模塊,以jar包的形式被其他模塊所依賴。實現了一些工具類和公共功能。包含時間處理、分頁、Sql過濾、Xss過濾和Redis切面定義、自定義異常處理等功能。

admin:管理系統模塊,以war包形式獨立部署。基于前后端分離的思想,主要用來用來開發后臺管理系統。包含用戶管理、角色管理、部門管理、菜單管理、定時任務、文件上傳、API校驗,同時采用


Redis進行數據緩存,支持單機和集群的部署。


api:API接口模塊,以war包形式獨立部署。模塊主要提供給前端UI調用的一些業務接口,實現了用戶注冊、登錄、接口權限認證和用戶信息獲取。同時整合了swagger2實現了API接口文檔,方便了接口


的查詢和調試。


系統架構圖

系統設計之初就特別注重安全性,基于Shiro在頁面和接口都實現了權限校驗。

用戶登錄時對用戶的賬號密碼進行驗證,獲取用戶的信息和role權限,頁面顯示的時候會根據用戶擁有的權限顯示對應的狀態,接口請求的時候也會進行用戶權限的校驗,數據保存到數據庫時候還進行Sql


和Xss的過濾,整個過程的核心思路是Shiro對用戶的認證和授權。具體流程如下圖:


權限校驗整體思路

Shiro的認證和授權


實現Shiro的認證和授權,需要自定義Realm繼承于AuthorizingRealm,同時重寫doGetAuthenticationInfo(認證)和doGetAuthorizationInfo(授權)這兩個方法。這里對于系統與Shiro的整合就不再做多的


說明。


用戶登錄的時候,將用戶的賬號和密碼包裝成一個UsernamePasswordToken后,再調用login提交賬戶認證,shiro會自動調用我們重寫的doGetAuthenticationInfo方法。

Subject subject = SecurityUtils.getSubject();


UsernamePasswordToken token = new UsernamePasswordToken(username, password);


//提交認證


subject.login(token);


//Shiro進行認證


@Override


protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authcToken) throws AuthenticationException {


 UsernamePasswordToken token = (UsernamePasswordToken)authcToken;


 //獲取用戶信息


 SysUserEntity user = new SysUserEntity();


 user.setUsername(token.getUsername());


 user = sysUserDao.selectOne(user);


 //賬號不存在


 if(user == null) {


 throw new UnknownAccountException("賬號或密碼不正確");


 }


 SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(user, user.getPassword(), ByteSource.Util.bytes(user.getSalt()), getName());


 return info;


}


如果認證成功,那么在系統的任何地方通過SecurityUtils.getSubject()方法就可以獲取認證通過的信息。我們也可以借助它的這點特性,實現用戶的自動登錄。


這里需要補充一點,系統把權限化成了一個個的標簽保存在數據庫中,用戶的權限中持有對應的標簽則表示擁有對應的操作權限。而對于Shiro的授權,在doGetAuthorizationInfo中需要獲取用戶的所有權


限列表,通過權限列表篩選出是否擁有操作權限。


//Shiro進行授權


@Override


protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {


 //獲取認證時候添加到SimpleAuthenticationInfo中的實例


 SysUserEntity user = (SysUserEntity)principals.getPrimaryPrincipal();


 Long userId = user.getUserId();


 //查詢用戶所有權限


 Set<String> permsSet = new HashSet<String>();


 List<String> permsList = sysUserDao.queryAllPerms(userId);


 for(String perms : permsList){


 if(StringUtils.isBlank(perms)){


 continue;


 }


 permsSet.addAll(Arrays.asList(perms.trim().split(",")));


 }


 SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();


 info.setStringPermissions(permsSet);


 return info;


}


Shiro的授權是被動的,只有被相應的條件觸發才會進行用戶授權,方式有以下幾種:

1.作用于頁面。頁面里如果遇到<#if shiro.hasPermission("sys:del")>,Shiro會調用自定義Realm獲取權限信息,看"sys:del"是否在權限數據中存在,存在則授權通過,不存在則拒絕訪問,可應用于對一些


按鈕和標簽的特定開放。


<#if shiro.hasPermission("sys:add")>


 <a class="btn btn-primary" @click="add">新增</a>


</#if>


<#if shiro.hasPermission("sys:del")>


 <a class="btn btn-primary" @click="del">刪除</a>


</#if>


2.通過注解的方式作用于接口。在controller中,方法如果加了@RequiresPermissions("sys:del")注解,Shiro同樣會調用自定義Realm獲取權限信息,看"sys:del"是否在權限數據中存在,存在則授權通過,


不存在則拒絕訪問,從而實現對接口的權限校驗。


@RequestMapping("/delete")


@RequiresPermissions("sys:del")


public R delete(long deptId){


 //判斷是否有子部門


 List<Long> deptList = sysDeptService.queryDetpIdList(deptId);


 if(deptList.size() > 0){


 return R.error("請先刪除子部門");


 }


 sysDeptService.deleteById(deptId);


 return R.ok();


}


到此,基本上便實現了Shiro在頁面和接口的權限控制。當然,Shiro更多是作用于表現層的一個控制,而出于系統安全考慮也應該增加對數據的校驗。因此在數據層面,則可通過Sql過濾和Xss過濾的方式


實現過濾。項目中已經為其封裝成工具,原理都是正則匹配和字符串替換,感興趣的伙伴可以直接到項目里查看,這里就不再累述了。


系統除了實現權限控制外,也實現了很多后臺管理系統開發中常用到的一些功能,像Quartz分布式集群調度、多數據源動態切換以及集群部署下Session管理,感興趣的伙伴也可以查看源碼。

標簽:
六给彩平码是什么意思