如何实现一个权限管理系统?(附源码)

  • 项目特点

  • Shiro的认证和授权


系统安全一直是在系统开发中不可规避的问题,而权限控制又跟系统安全密不可分,大到用户的访问,小到一个页面的按钮,都有可能涉及到权限的控制。而renren-security便给我们提供了一套权限系统开发的解决方案。

renren-security是"人人社区"社区开源的轻量级权限管理系统。系统采用SprinBoot、Mybatis、Shiro框架进行开发,极低门槛,拿来即用,支持分布式部署、Quartz分布式集群调度、部门管理、数据权限、云存储等功能。

项目特点

  • 灵活的权限控制,可控制到页面或按钮,满足绝大部分的权限需求

  • 完善的部门管理及数据权限,通过注解实现数据权限的控制

  • 完善的XSS防范及脚本过滤,彻底杜绝XSS攻击

  • 支持MySQL、Oracle、SQL Server、PostgreSQL等主流数据库

运行效果

系统结构的设计也比较清晰,由admin、api、common等几个模块组成,每个模块实现的功能大体如下:

common:公共模块,以jar包的形式被其他模块所依赖。实现了一些工具类和公共功能。包含时间处理、分页、Sql过滤、Xss过滤和Redis切面定义、自定义异常处理等功能。

admin:管理系统模块,以war包形式独立部署。基于前后端分离的思想,主要用来用来开发后台管理系统。包含用户管理、角色管理、部门管理、菜单管理、定时任务、文件上传、API校验,同时采用Redis进行数据缓存,支持单机和集群的部署。

api:API接口模块,以war包形式独立部署。模块主要提供给前端UI调用的一些业务接口,实现了用户注册、登录、接口权限认证和用户信息获取。同时整合了swagger2实现了API接口文档,方便了接口的查询和调试。

系统架构图

系统设计之初就特别注重安全性,基于Shiro在页面和接口都实现了权限校验。

用户登录时对用户的账号密码进行验证,获取用户的信息和role权限,页面显示的时候会根据用户拥有的权限显示对应的状态,接口请求的时候也会进行用户权限的校验,数据保存到数据库时候还进行Sql和Xss的过滤,整个过程的核心思路是Shiro对用户的认证和授权。具体流程如下图:

权限校验整体思路

Shiro的认证和授权

实现Shiro的认证和授权,需要自定义Realm继承于AuthorizingRealm,同时重写doGetAuthenticationInfo(认证)和doGetAuthorizationInfo(授权)这两个方法。这里对于系统与Shiro的整合就不再做多的说明。

用户登录的时候,将用户的账号和密码包装成一个UsernamePasswordToken后,再调用login提交账户认证,shiro会自动调用我们重写的doGetAuthenticationInfo方法。

Subject subject = SecurityUtils.getSubject();
UsernamePasswordToken token = new UsernamePasswordToken(username, password);
//提交认证
subject.login(token);
//Shiro进行认证
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authcToken) throws AuthenticationException {
    UsernamePasswordToken token = (UsernamePasswordToken)authcToken;
    //获取用户信息
    SysUserEntity user = new SysUserEntity();
    user.setUsername(token.getUsername());
    user = sysUserDao.selectOne(user);

    //账号不存在
    if(user == null) {
        throw new UnknownAccountException("账号或密码不正确");
    }
    SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(user, user.getPassword(), ByteSource.Util.bytes(user.getSalt()), getName());
    return info;
}

如果认证成功,那么在系统的任何地方通过SecurityUtils.getSubject()方法就可以获取认证通过的信息。我们也可以借助它的这点特性,实现用户的自动登录。

这里需要补充一点,系统把权限化成了一个个的标签保存在数据库中,用户的权限中持有对应的标签则表示拥有对应的操作权限。而对于Shiro的授权,在doGetAuthorizationInfo中需要获取用户的所有权限列表,通过权限列表筛选出是否拥有操作权限。

//Shiro进行授权
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
    //获取认证时候添加到SimpleAuthenticationInfo中的实例
    SysUserEntity user = (SysUserEntity)principals.getPrimaryPrincipal();
    Long userId = user.getUserId();
    //查询用户所有权限
    Set<String> permsSet = new HashSet<String>();
    List<String> permsList = sysUserDao.queryAllPerms(userId);
    for(String perms : permsList){
        if(StringUtils.isBlank(perms)){
            continue;
        }
        permsSet.addAll(Arrays.asList(perms.trim().split(",")));
    }
    SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
    info.setStringPermissions(permsSet);
    return info;
}

Shiro的授权是被动的,只有被相应的条件触发才会进行用户授权,方式有以下几种:

1.作用于页面。页面里如果遇到<#if shiro.hasPermission("sys:del")>,Shiro会调用自定义Realm获取权限信息,看"sys:del"是否在权限数据中存在,存在则授权通过,不存在则拒绝访问,可应用于对一些按钮和标签的特定开放。

<#if shiro.hasPermission("sys:add")>
    <a class="btn btn-primary" @click="add">新增</a>
</#if>
<#if shiro.hasPermission("sys:del")>
    <a class="btn btn-primary" @click="del">删除</a>
</#if>

2.通过注解的方式作用于接口。在controller中,方法如果加了@RequiresPermissions("sys:del")注解,Shiro同样会调用自定义Realm获取权限信息,看"sys:del"是否在权限数据中存在,存在则授权通过,不存在则拒绝访问,从而实现对接口的权限校验。

@RequestMapping("/delete")
@RequiresPermissions("sys:del")
public R delete(long deptId){
    //判断是否有子部门
    List<Long> deptList = sysDeptService.queryDetpIdList(deptId);
    if(deptList.size() > 0){
        return R.error("请先删除子部门");
    }
    sysDeptService.deleteById(deptId);
    return R.ok();
}

到此,基本上便实现了Shiro在页面和接口的权限控制。当然,Shiro更多是作用于表现层的一个控制,而出于系统安全考虑也应该增加对数据的校验。因此在数据层面,则可通过Sql过滤和Xss过滤的方式实现过滤。项目中已经为其封装成工具,原理都是正则匹配和字符串替换,感兴趣的伙伴可以直接到项目里查看,这里就不再累述了。

系统除了实现权限控制外,也实现了很多后台管理系统开发中常用到的一些功能,像Quartz分布式集群调度、多数据源动态切换以及集群部署下Session管理,感兴趣的伙伴也可以查看源码。

 

 

在此我向大家推荐一个架构学习交流群。交流学习群号:993070439 里面会分享一些资深架构师录制的视频录像:有Spring,MyBatis,Netty源码分析,高并发、高性能、分布式、微服务架构的原理,JVM性能优化、分布式架构等这些成为架构师必备的知识体系,还能领取免费的学习资源。

  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
功能介绍: 本系统通过对MVC4 Simplemembership默认数据库进行扩展实现了后台管理用户,角色和权限。通过角色的权限配置实现对前台Controller和Action的权限管理。 使用方法: 第一步:修改Web.config文件。 这个文件中只需要TYStudioUsersConnectionString中的用户名和密码,修改为你本地具有创建数据库的权限的用户名和密码。修改完成运行程序会系统会自动创建扩展后的Membership数据库。 第二步:建立系统管理员角色和用户。 考虑到手动添加系统管理员角色和用户比较麻烦,初始的程序都是可以匿名访问的,这时候你需要运行系统添加一个系统管理员角色,并添加一个用户赋给系统管理权限。再添加完系统管理员角色和用户之后你需要修改一下Controllers下面的各个Controller,注释掉[AllowAnonymous]并把//[Authorize(Roles = "系统管理员")]注释打开。编译重新运行程序,这时后台管理系统只能允许系统管理员角色的用户登陆了。 第三步:测试产品模块(ProductController) Controller下有一个ProductController是用来测试我们的权限管理是否成功的起作用了,同时也是对前台Controller和Action进行全线控制的方法。这里使用[TYStudioAuthorize("查询产品")]方式对Action进行访问控制。所有关于Membership的类都在Models/Membership文件夹下面。将来你需要把这些class移植到你的公共project中去,这样就可以使用MVC4 Simplemembership对你的前台进行权限控制了。 注意: 开发环境为Visual Studio 2012

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值