JAVA实现用户的权限管理

一：写在前面

前两天有个同学问我，那个系统不同的用户登陆不同的页面不同，要写很多个页面啊！而每个用户的在系统中拥有不同的权限，可以访问不同的页面是怎么实现的？？那低权限的在浏览器输入高权限的人的url是不是就可以访问了？不能又怎么拦截的呢？我当时欺负他不是学后台开发的，就给他简单说了一下什么分角色赋予不同的权利啦！分角色回显不同的信息啦！什么什么的也不知道他听懂多少，可是现在想想自己还真有点拆，特意写篇博客证明我真会   /呲牙/呲牙

二：权限管理简介

    做系统时肯定遇到最常见的就是不同的用户的需求是不一样的，就拿登陆来说，一个办公管理系统，不同部门的人肯定要求的功能和权限都是不一样的，那你不可能对每一个部门都写一个登陆页面，给不同的url吧！亦或者在下边选择你是什么部门的人？那每个部门内还有等级呐！再继续选？然后给每个人写一个界面？那明显是不可能的，那我们到底要怎么实现呐？

    最常用的方法就是划分不同的角色，赋予角色权限，然后再让用户去申请角色就好了，具体的实现慢慢说。

三：数据表的设计

根据角色授权的思想，我们需要涉及五张表(简单一写，没写约束，凑活看吧)

1）三张主表

a）用户表（user）

b） 角色表（role）

c） 资源表（module）[你也可以叫他权限表等等，反正就是代表着各种权限]

2）两张中间表

d）用户角色表（user_role）

e）角色资源表（permission)

 1 CREATE TABLE `user` (
 2   `id` int(11) NOT NULL AUTO_INCREMENT COMMENT 'id',
 3   `username` varchar(32) DEFAULT NULL COMMENT '用户名',
 4   `password` varchar(32) DEFAULT NULL COMMENT '密码',
 5   PRIMARY KEY (`id`)
 6 ) ENGINE=InnoDB DEFAULT CHARSET=utf8 COMMENT='用户表';
 7 
 8 CREATE TABLE `role` (
 9   `id` int(11) NOT NULL AUTO_INCREMENT,
10   `name` varchar(32) DEFAULT NULL COMMENT '角色名',
11   `desc` varchar(32) DEFAULT NULL COMMENT '角色描述',
12   PRIMARY KEY (`id`)
13 ) ENGINE=InnoDB DEFAULT CHARSET=utf8 COMMENT='角色表';
14 
15 CREATE TABLE `resource` (
16   `id` int(11) NOT NULL AUTO_INCREMENT COMMENT 'id',
17   `title` varchar(32) DEFAULT NULL COMMENT '资源标题',
18   `uri` varchar(32) DEFAULT NULL COMMENT '资源uri  ',
19   PRIMARY KEY (`id`)
20 ) ENGINE=InnoDB DEFAULT CHARSET=utf8 COMMENT='资源表';
21 
22 CREATE TABLE `user_role` (
23   `id` int(11) NOT NULL AUTO_INCREMENT COMMENT 'id',
24   `user_id` int(11) NOT NULL COMMENT '用户id',
25   `role_id` int(11) NOT NULL COMMENT '角色id',
26   PRIMARY KEY (`id`)
27 ) ENGINE=InnoDB DEFAULT CHARSET=utf8 COMMENT='用户角色表';
28 
29 CREATE TABLE `role_resource` (
30   `id` int(11) NOT NULL AUTO_INCREMENT,
31   `role_id` int(11) DEFAULT NULL COMMENT '角色id',
32   `resource_id` int(11) DEFAULT NULL COMMENT '资源id',
33   PRIMARY KEY (`id`)
34 ) ENGINE=InnoDB DEFAULT CHARSET=utf8 COMMENT='角色资源表';

db.sql

四：使用Shiro整合Spring进行管理权限

1：Shiro简介

　　Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码学和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。

　　Shiro 主要分为来个部分就是认证和授权，在个人感觉来看就是查询数据库做相应的判断而已。Shiro的主要框架图如下

是不是看到这张图，有点不想看了，有些混乱有些多，我就其中一些方法进行简要说明

1：Subject

　　Subject即主体，外部应用与subject进行交互，subject记录了当前操作用户，将用户的概念理解为当前操作的主体，可能是一个通过浏览器请求的用户，也可能是一个运行的程序。 Subject在shiro中是一个接口，接口中定义了很多认证授相关的方法，外部程序通过subject进行认证授，而subject是通过SecurityManager安全管理器进行认证授权。

2：SecurityManager

　　SecurityManager即安全管理器，对全部的subject进行安全管理，它是shiro的核心，负责对所有的subject进行安全管理。通过SecurityManager可以完成subject的认证、授权等，实质上SecurityManager是通过Authenticator进行认证，通过Authorizer进行授权，通过SessionManager进行会话管理等。

3：Authorizer

　　Authorizer即授权器，用户通过认证器认证通过，在访问功能时需要通过授权器判断用户是否有此功能的操作权限。

4：Realm

　　Realm即领域，相当于datasource数据源，securityManager进行安全认证需要通过Realm获取用户权限数据，比如：如果用户身份数据在数据库那么realm就需要从数据库获取用户身份信息。

5：sessionManager

　　sessionManager即会话管理，shiro框架定义了一套会话管理，它不依赖web容器的session，所以shiro可以使用在非web应用上，也可以将分布式应用的会话集中在一点管理，此特性可使它实现单点登录。

6：SessionDAO

　　SessionDAO即会话dao，是对session会话操作的一套接口，比如要将session存储到数据库，可以通过jdbc将会话存储到数据库。

7：CacheManager

　　CacheManager即缓存管理，将用户权限数据存储在缓存，这样可以提高性能。

8：Cryptography

　　Cryptography即密码管理，shiro提供了一套加密/解密的组件，方便开发。比如提供常用的散列、加/解密等功能。

2：Shiro认证过程

1）：引入shiro的jar包

1 <dependency>
2      <groupId>org.apache.shiro</groupId>
3      <artifactId>shiro-core</artifactId>
4      <version>1.4.0</version>
5 </dependency>

shiro坐标

2）：创建类文件

　　2.1构建SecurityManager环境