一:权限管理简介
做系统时肯定遇到最常见的就是不同的用户的需求是不一样的,就拿登陆来说,一个办公管理系统,不同部门的人肯定要求的功能和权限都是不一样的,那你不可能对每一个部门都写一个登陆页面,给不同的url吧!亦或者在下边选择你是什么部门的人?那每个部门内还有等级呐!再继续选?然后给每个人写一个界面?那明显是不可能的,那我们到底要怎么实现呐?
最常用的方法就是划分不同的角色,赋予角色权限,然后再让用户去申请角色就好了,具体的实现慢慢说。
二:数据表的设计
根据角色授权的思想,我们需要涉及五张表(简单一写,没写约束,凑活看吧)
1)三张主表
a)用户表(user)
b) 角色表(role)
c) 资源表(module)[你也可以叫他权限表等等,反正就是代表着各种权限]
2)两张中间表
d)用户角色表(user_role)
e)角色资源表(permission)
1 CREATE TABLE `user` ( 2 `id` int(11) NOT NULL AUTO_INCREMENT COMMENT 'id', 3 `username` varchar(32) DEFAULT NULL COMMENT '用户名', 4 `password` varchar(32) DEFAULT NULL COMMENT '密码', 5 PRIMARY KEY (`id`) 6 ) ENGINE=InnoDB DEFAULT CHARSET=utf8 COMMENT='用户表'; 7 8 CREATE TABLE `role` ( 9 `id` int(11) NOT NULL AUTO_INCREMENT, 10 `name` varchar(32) DEFAULT NULL COMMENT '角色名', 11 `desc` varchar(32) DEFAULT NULL COMMENT '角色描述', 12 PRIMARY KEY (`id`) 13 ) ENGINE=InnoDB DEFAULT CHARSET=utf8 COMMENT='角色表'; 14 15 CREATE TABLE `resource` ( 16 `id` int(11) NOT NULL AUTO_INCREMENT COMMENT 'id', 17 `title` varchar(32) DEFAULT NULL COMMENT '资源标题', 18 `uri` varchar(32) DEFAULT NULL COMMENT '资源uri ', 19 PRIMARY KEY (`id`) 20 ) ENGINE=InnoDB DEFAULT CHARSET=utf8 COMMENT='资源表'; 21 22 CREATE TABLE `user_role` ( 23 `id` int(11) NOT NULL AUTO_INCREMENT COMMENT 'id', 24 `user_id` int(11) NOT NULL COMMENT '用户id', 25 `role_id` int(11) NOT NULL COMMENT '角色id', 26 PRIMARY KEY (`id`) 27 ) ENGINE=InnoDB DEFAULT CHARSET=utf8 COMMENT='用户角色表'; 28 29 CREATE TABLE `role_resource` ( 30 `id` int(11) NOT NULL AUTO_INCREMENT, 31 `role_id` int(11) DEFAULT NULL COMMENT '角色id', 32 `resource_id` int(11) DEFAULT NULL COMMENT '资源id', 33 PRIMARY KEY (`id`) 34 ) ENGINE=InnoDB DEFAULT CHARSET=utf8 COMMENT='角色资源表';
三:使用Shiro整合Spring进行管理权限
1:Shiro简介
Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码学和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。
Shiro 主要分为来个部分就是认证和授权,在个人感觉来看就是查询数据库做相应的判断而已。Shiro的主要框架图如下
是不是看到这张图,有点不想看了,有些混乱有些多,我就其中一些方法进行简要说明
1:Subject
Subject即主体,外部应用与subject进行交互,subject记录了当前操作用户,将用户的概念理解为当前操作的主体,可能是一个通过浏览器请求的用户,也可能是一个运行的程序。 Subject在shiro中是一个接口,接口中定义了很多认证授相关的方法,外部程序通过subject进行认证授,而subject是通过SecurityManager安全管理器进行认证授权。
2:SecurityManager
SecurityManager即安全管理器,对全部的subject进行安全管理,它是shiro的核心,负责对所有的subject进行安全管理。通过SecurityManager可以完成subject的认证、授权等,实质上SecurityManager是通过Authenticator进行认证,通过Authorizer进行授权,通过SessionManager进行会话管理等。
3:Authorizer
Authorizer即授权器,用户通过认证器认证通过,在访问功能时需要通过授权器判断用户是否有此功能的操作权限。
4:Realm
Realm即领域,相当于datasource数据源,securityManager进行安全认证需要通过Realm获取用户权限数据,比如:如果用户身份数据在数据库那么realm就需要从数据库获取用户身份信息。
5:sessionManager
sessionManager即会话管理,shiro框架定义了一套会话管理,它不依赖web容器的session,所以shiro可以使用在非web应用上,也可以将分布式应用的会话集中在一点管理,此特性可使它实现单点登录。
6:SessionDAO
SessionDAO即会话dao,是对session会话操作的一套接口,比如要将session存储到数据库,可以通过jdbc将会话存储到数据库。
7:CacheManager
CacheManager即缓存管理,将用户权限数据存储在缓存,这样可以提高性能。
8:Cryptography
Cryptography即密码管理,shiro提供了一套加密/解密的组件,方便开发。比如提供常用的散列、加/解密等功能。
2:Shiro认证过程
1):引入shiro的jar包
1 <dependency> 2 <groupId>org.apache.shiro</groupId> 3 <artifactId>shiro-core</artifactId> 4 <version>1.4.0</version> 5 </dependency>
2):创建类文件
2.1构建SecurityManager环境
1 DefaultSecurityManager defaultSecurityManager = new DefaultSecrityManager();
2
3 defaultSecurityManager.setRealm(simpleAccountRealm);
2.2主体提交认证请求
1 SecurityUtils.setSecurityManager(defaultSecurityManager);
2
3 Subject subject = SecurityUtils.getSubject();
4
5 UsernamePasswordToKen token = new UsernamePassword(username : "小明",password :“123456”):
6
7 subject.login(token);
8
9 system.out.println("isAuthenticated:" + subject.isAuthenticated());
10
11 subject.logout();
12
13 system.out.println("isAuthenticated:" + subject.isAuthenticated());
2:Shiro授权过程
1)类文件
1.1构建SecurityManager环境
1 DefaultSecurityManager defaultSecurityManager = new DefaultSecrityManager();
2
3 defaultSecurityManager.setRealm(simpleAccountRealm);
1.2主体提交认证请求
1 SecurityUtils.setSecurityManager(defaultSecurityManager);
2
3 Subject subject = SecurityUtils.getSubject();
4
5 UsernamePasswordToKen token = new UsernamePassword(username : "小明",password :“123456”):
6
7 subject.login(token);
8
9 system.out.println("isAuthenticated:" + subject.isAuthenticated());
10
11 subject.checkRole(s:"admin");
12
13 subject.checkRoles(...string:"admin","user");
14
15 subject.logout();
16
17 system.out.println("isAuthenticated:" + subject.isAuthenticated());
3:关于Realm
Realm一般有三种,分别是,一般都使用自定义
1)IniRealm控制 .Ini 文件。
2)jdbcRealm控制 数据库文件
引入Mysql驱动包,引入数据源文件,设置jdbcurl以及用户名和密码
1 JdbcRealm.jdbcRealm = new JdbcRealm();
2
3 jdbcRealm.setDataSource(dataSource);
4
5 jdbcRealm.setPermisssionsLookupEnabled(true);
主体提交验证
1 subject.checkRole(s:"admin");
2
3 subject.checkRoles(...string:"admin","user");
4
5 subject.checkPermission(s:"user:select");
3)自定义realm
1 package com.fuwh.realm; 2 3 import java.sql.Connection; 4 import java.sql.PreparedStatement; 5 import java.sql.ResultSet; 6 import java.sql.SQLException; 7 8 import org.apache.shiro.authc.AuthenticationException; 9 import org.apache.shiro.authc.AuthenticationInfo; 10 import org.apache.shiro.authc.AuthenticationToken; 11 import org.apache.shiro.authc.SimpleAuthenticationInfo; 12 import org.apache.shiro.authz.AuthorizationInfo; 13 import org.apache.shiro.realm.AuthorizingRealm; 14 import org.apache.shiro.subject.PrincipalCollection; 15 16 import com.fuwh.util.DbUtil; 17 18 public class MyJdbcRealm extends AuthorizingRealm{ 19 20 @Override 21 protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { 22 // TODO Auto-generated method stub 23 return null; 24 } 25 26 @Override 27 protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException { 28 // TODO Auto-generated method stub 29 Connection conn=DbUtil.getConnection(); 30 String sql="select * from members2 where username=?"; 31 try { 32 PreparedStatement ps=conn.prepareStatement(sql); 33 ps.setString(1, token.getPrincipal().toString()); 34 ResultSet rs=ps.executeQuery(); 35 while(rs.next()) { 36 AuthenticationInfo info=new SimpleAuthenticationInfo(rs.getString("username"),rs.getString("password"),"salt"); 37 return info; 38 } 39 } catch (SQLException e) { 40 // TODO Auto-generated catch block 41 e.printStackTrace(); 42 } 43 44 return null; 45 } 46 47 }
4:关于md5加密
4.1环境搭建及使用
1 CustomRealm customRealm = new CustomRealm(); 2 3 //1.构建SecurityManager 环境 4 5 DefaultSecurityManager defaultSecurityManager = new DefaultSecrityManager(); 6 7 defalultSecurityManager.setRealm(customRealm); 8 9 HashedCredentialsMatcher matcher = new HashedCredentialsMatcher(); 10 11 matcher.setHashAlgorithmName("md5"); 12 13 matcher.setHashIterations(1); 14 15 customRealm.setCredentialsMatcher(matcher); 16 17 //2.主体提交认证请求 18 19 SecurityUtils.setSecurityManager(defaultSecurityManager); 20 21 Subject subject = SecurityUtils.getSubject(); 22 23 UsernamePasswordToken token = new UsernamePassowrdToken(username:"xiaoming",password:"123456"); 24 25 subject.login(token); 26 27 System.out.println("isAuthenticated:" + subject.isAuthenticated())
4.2 MD5加密
1 @Override 2 3 protected AuthenticationInfo doGetAuthenticationInfo(AuthticationToken authenticationToken) throws AuthenticationRxception { 4 5 //1.从主体传过来的认证信息中,获取用户名 6 7 String userName = (String)authenticationToken.getPrincipal(); 8 9 //2.通过用户名到数据库获取凭证 10 11 String password = getPasswordByUserName(userName); 12 13 if(password == null){ 14 15 return null; 16 17 } 18 19 SimpleAuthenticationInfo authticationInfo = new SimpleAuthenticationInfo (principal:“xiaoming”,password,realmName:"customRealm"); 20 21 authenticationInfo.setCredentialsSaltSalt(ByteSource.Util.bytes(string:"XQC")); 22 23 return authenticationInfo; 24 25 }
四:Shiro在Web项目中的使用
实战中shiro的应用很多,几乎都要用到,这里举一个Blog的登陆的例子,更好的理解和使用。本博客是采用spring+springMVC+Mybatis实现的。
1:执行流程
2:登录页面 login.jsp
1 <!--只截取form表单部分--> 2 <form action="${pageContext.request.contextPath}/blogger/login.do" method="post" onsubmit="return checkForm()"> 3 <DIV style="background: rgb(255, 255, 255); margin: -100px auto auto; border: 1px solid rgb(231, 231, 231); border-image: none; 400px; height: 200px; text-align: center;"> 4 <DIV style=" 165px; height: 96px; position: absolute;"> 5 <DIV class="tou"> 6 </DIV> 7 <DIV class="initial_left_hand" id="left_hand"> 8 </DIV> 9 <DIV class="initial_right_hand" id="right_hand"> 10 </DIV> 11 </DIV> 12 <P style="padding: 30px 0px 10px; position: relative;"> 13 <SPAN class="u_logo"></SPAN> 14 <INPUT id="userName" name="userName" class="ipt" type="text" placeholder="请输入用户名" value="${blogger.userName }"> 15 </P> 16 <P style="position: relative;"> 17 <SPAN class="p_logo"></SPAN> 18 <INPUT id="password" name="password" class="ipt" type="password" placeholder="请输入密码" value="${blogger.password }"> 19 </P> 20 <DIV style="height: 50px; line-height: 50px; margin-top: 30px; border-top-color: rgb(231, 231, 231); border-top- 1px; border-top-style: solid;"> 21 <P style="margin: 0px 35px 20px 45px;"> 23 <span><font color="red" id="error">${errorInfo }</font></span> 24 <SPAN style="float: right;"> 25 <input type="submit" style="background: rgb(0, 142, 173); padding: 7px 10px; border-radius: 4px; border: 1px solid rgb(26, 117, 152); border-image: none; color: rgb(255, 255, 255); font-weight: bold;" value="登录"/> 26 </SPAN> 27 </P> 28 </DIV> 29 </DIV> 30 </form>
3:Controller层的控制
1 package com.xqc.controller; 2 3 /** 4 * 博主Controller层 5 * 6 */ 7 @Controller 8 @RequestMapping("/blogger") 9 public class BloggerController { 10 11 @Resource 12 private BloggerService bloggerService; 13 14 /** 15 * 用户登录 16 * @param blogger 17 * @param request 18 * @return 19 */ 20 @RequestMapping("/login") 21 public String login(Blogger blogger,HttpServletRequest request){ 22 Subject subject=SecurityUtils.getSubject(); 23 UsernamePasswordToken token=new UsernamePasswordToken(blogger.getUserName(), CryptographyUtil.md5(blogger.getPassword(), "xqc")); 24 try{ 25 subject.login(token); // 登录验证 26 return "redirect:/admin/main.jsp"; 27 }catch(Exception e){ 28 e.printStackTrace(); 29 request.setAttribute("blogger", blogger); 30 request.setAttribute("errorInfo", "用户名或密码错误!"); 31 return "login"; 32 } 33 } 34 35 36 }
4:在spring的配置文件中添加shiro的过滤器
1 <!-- Shiro过滤器 --> 2 <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean"> 3 <!-- Shiro的核心安全接口,这个属性是必须的 --> 4 <property name="securityManager" ref="securityManager"/> 5 <!-- 身份认证失败,则跳转到登录页面的配置 --> 6 <property name="loginUrl" value="/login.jsp"/> 7 <!-- Shiro连接约束配置,即过滤链的定义 --> 8 <property name="filterChainDefinitions"> 9 <value> 10 /login=anon 11 /admin/**=authc 12 </value> 13 </property> 14 </bean> 15
5:拦截后交给自定义Realm进行验证。
1 package com.xqc.realm; 2 3 import javax.annotation.Resource; 4 5 6 import org.apache.shiro.SecurityUtils; 7 import org.apache.shiro.authc.AuthenticationException; 8 import org.apache.shiro.authc.AuthenticationInfo; 9 import org.apache.shiro.authc.AuthenticationToken; 10 import org.apache.shiro.authc.SimpleAuthenticationInfo; 11 import org.apache.shiro.authz.AuthorizationInfo; 12 import org.apache.shiro.realm.AuthorizingRealm; 13 import org.apache.shiro.subject.PrincipalCollection; 14 15 import com.xqc.entity.Blogger; 16 import com.xqc.service.BloggerService; 17 18 /** 19 * 自定义Realm 20 * 21 */ 22 public class MyRealm extends AuthorizingRealm{ 23 24 @Resource 25 private BloggerService bloggerService; 26 27 /** 28 * 为当限前登录的用户授予角色和权 29 */ 30 @Override 31 protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { 32 return null; 33 } 34 35 /** 36 * 验证当前登录的用户 37 */ 38 @Override 39 protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException { 40 String userName=(String)token.getPrincipal(); 41 Blogger blogger=bloggerService.getByUserName(userName); 42 if(blogger!=null){ 43 SecurityUtils.getSubject().getSession().setAttribute("currentUser", blogger); // 当前用户信息存到session中 44 AuthenticationInfo authcInfo=new SimpleAuthenticationInfo(blogger.getUserName(),blogger.getPassword(),"xx"); 45 return authcInfo; 46 }else{ 47 return null; 48 } 49 } 50 51 }
6:并用工具类进行加盐
1 package com.xqc.util; 2 3 import org.apache.shiro.crypto.hash.Md5Hash; 4 5 /** 6 * 加密工具 7 * 8 */ 9 public class CryptographyUtil { 10 11 /** 12 * Md5加密 13 * @param str 14 * @param salt 15 * @return 16 */ 17 public static String md5(String str,String salt){ 18 return new Md5Hash(str,salt).toString(); 19 } 20 21 22 }
分角色赋予不同的权利啦!分角色回显不同的信息啦!