权限管理(一)
权限概述:
- 控制用户只可以访问且只能访问自己被授权的资源
认证:
就是用户登录, 系统验证用户额合法性, 常用的方式: 用户名密码, 指纹打卡, 证书验证
- subject主体: 相当于用户, 或者是程序, 就是对系统资源的访问者
- principal身份信息: 主身份信息是唯一的, 一个主体有多个身份信息
- credential 凭证信息: 密码 . 证书. 指纹 等验证身份信息的凭证
授权:
就是新建账号的时候, 为用户授予对应的角色权限, 登录的时候 该用户只有对应角色的权限
- 资源的分类:
- 资源类型: java类
- 资源实例: java类实例化的对象
常见的权限控制方式
url拦截权限控制(基于过滤器实现)
当页面点击菜单和按钮的时候, 发起请求, 进入拦截器或者过滤器, 在拦截器或者过滤器中进行权限的控制, 在拦截器或者过滤器检查用户的session是否存在, 如果存在, 说明用户已经登录, 则放行, 如果不存在, 说明没有登录
- 对于文本系统来说通过过滤器来实现url的拦截
- 对于spring等框架来说就是基于拦截器实现的
方法注解权限控制
在service层方法上加注解@RequirePremission(“delect”), 如果要访问该方法就必须有这个权限
当页面点击菜单和按钮的时候, 发起请求进入service层, 在service层方法上加了权限注解方法, 为这个类创建了代理对象, 通过这个代理进行权限校验, 如果成功就放行, 同过java的反射技术调用目标方法继续执行业务功能 , 失败就抛出异常, action层要捕获异常返回页面告知没有权限访问
权限模块建表
权限管理的模型:
- 主体(账号、密码)
- 资源(资源名称、访问地址)
- 权限(权限名称、资源id)
- 角色(角色名称)
- 角色和权限关系(角色id、权限id)
- 主体和角色关系(主体id、角色id)
依赖权限相关表
- 用户表, 角色表, 用户觉得关系表, (多对多)
- 权限表, 角色表, 角色权限关系表, (多对多)
- 菜单表, 角色表, 角色菜单关系表, (多对多)
一般给用户分配了权限之后会将权限的信息持久化
权限的访问控制
- 基于角色的访问控制
- 扩展性不强, 不利于系统维护
- 基于资源的访问控制
- 建议使用
粗粒度和细粒度权限
细粒度权限管理:
- 对资源实例的权限的管理 , 具体的实现类, 细粒度权限管理就是数据级别的权限管理。
- 细粒度的权限管理就是系统业务逻辑的一部分, 在业务层去处理相对比较简单
粗粒度权限管理:
- 超级管理员可以访问户添加页面、用户信息等全部页面。部门管理员可以访问用户信息页面包括 页面中所有按钮。
- 粗粒度权限管理的实现一般是通过框架的拦截器来实现具体的授权
Shiro框架介绍
- shiro是apache的一个开源框架,是一个权限管理的框架,实现 用户认证、用户授权。
Shiro的相关配置
- 在web.xml中配置spring框架提供的过滤器,用于整合shiro框架
<!-- 拦截请求 进行权限控制 spring提供的过滤器进行拦截 整合shiro框架 注意:配置需要放在struts2前面-->
<filter>
<filter-name>shiroFilter</filter-name>
<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
<filter-mapping>
<filter-name>shiroFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
- 在spring配置文件中注册shiroFilter
<!-- 配置shiro权限控制 -->
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
<!-- 配置安全管理器 -->
<property name="securityManager" ref="securityManager"></property>
<!-- 配置权限相关页面
private String loginUrl; //登录页面
private String successUrl;//登录成功后页面
private String unauthorizedUrl;//没有权限的页面
-->
<property name="loginUrl" value="/login.html"></property>
<property name="successUrl" value="/index.html"></property>
<property name="unauthorizedUrl" value="/unauthorized.html"></property>
<!-- 权限规则相关配置
authc:只要认证才可以访问功能
anon:匿名过滤器 (不需要权限访问功能)
注意:有顺序问题
-->
<property name="filterChainDefinitions">
<value>
/css/** = anon
/images/** = anon
/js/** = anon
/validatecode.jsp* = anon
/userAction_login.action = anon
/**=authc
</value>
</property>
</bean>
<!-- 注册安全管理器 -->
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
<!-- 注入bosRealm -->
<bean id="bosRealm" class="cn.lyric.bos.realm.BosRealm"></bean>
<!-- 注册安全管理器 -->
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
<property name="realm" ref="bosRealm"></property>
</bean>
</bean>
- action示例:
public String login(){
//1.接收前台页面参数 用户名 密码 验证码 获取session中验证码
String sessionCheckcode = (String)ServletActionContext.getRequest().getSession().getAttribute("key");//session验证码
//判断验证码是否为空 以及 页面输入的验证码是否跟session一致
if(StringUtils.isNotBlank(sessionCheckcode)&&StringUtils.isNotBlank(checkcode) && sessionCheckcode.equals(checkcode)){
//如果验证码一致去登录
Subject subject = SecurityUtils.getSubject();//当前用户对象
UsernamePasswordToken userpasswordToken = new UsernamePasswordToken(getModel().getUsername(),getModel().getPassword());
try {
subject.login(userpasswordToken);//如果账户不存在 会抛出账户不存在异常 如果密码不对会抛出认证失败
//如果用户存在存放session
User user = (User)subject.getPrincipal();//获取用户对象
if(user == null){
return "home";
}
ServletActionContext.getRequest().getSession().setAttribute("loginUser", user);
} catch (Exception e) {
e.printStackTrace();
return "home";
}
return SUCCESS;
}
//如果不存在跳转登录
return "home";
}
- 自定义realm:
public class BosRealm extends AuthorizingRealm {
@Resource
private IUserDao userDao;
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
// TODO Auto-generated method stub
return null;
}
//认证
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
//取出当前用户的token,
UsernamePasswordToken userpasswordToken = (UsernamePasswordToken)token;
//通过用户名到数据库中查询这个用户是否存在
String username = userpasswordToken.getUsername();
//String password = userpasswordToken.getPassword();
User user = userDao.findByUsername(username);
//如果不存在则直接返回null
if(user == null ){
return null;
}
//通过shiro框架本身自带的认证方法去进行密码校验 user:当前从数据库查询用户对象 凭证:密码(后台数据库查询的密码) getNeme:当前自定义realm对象
//根据用户名到数据库只查询用户对象 通过SimpleAuthenticationInfo对象进行封装传给shiro框架进行认证
return new SimpleAuthenticationInfo(user,user.getPassword(),this.getName());
}
}