作者 | 低调的旋律d
链接 | https://www.jianshu.com/p/50fc0427689d
系统安全一直是在系统开发中不可规避的问题,而权限控制又跟系统安全密不可分,大到用户的访问,小到一个页面的按钮,都有可能涉及到权限的控制。
而renren-security便给我们提供了一套权限系统开发的解决方案。
renren-security是"人人社区"社区开源的轻量级权限管理系统。
系统采用SprinBoot、Mybatis、Shiro框架进行开发,极低门槛,拿来即用,支持分布式部署、Quartz分布式集群调度、部门管理、数据权限、云存储等功能。
项目特点
- 灵活的权限控制,可控制到页面或按钮,满足绝大部分的权限需求
- 完善的部门管理及数据权限,通过注解实现数据权限的控制
- 完善的XSS防范及脚本过滤,彻底杜绝XSS攻击支持MySQL、Oracle、SQL Server、PostgreSQL等主流数据库
Subject subject = SecurityUtils.getSubject();UsernamePasswordToken token = new UsernamePasswordToken(username, password);//提交认证subject.login(token);
//Shiro进行认证@Overrideprotected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authcToken) throws AuthenticationException { UsernamePasswordToken token = (UsernamePasswordToken)authcToken; //获取用户信息 SysUserEntity user = new SysUserEntity(); user.setUsername(token.getUsername()); user = sysUserDao.selectOne(user); //账号不存在 if(user == null) { throw new UnknownAccountException("账号或密码不正确"); } SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(user, user.getPassword(), ByteSource.Util.bytes(user.getSalt()), getName()); return info;}
如果认证成功,那么在系统的任何地方通过SecurityUtils.getSubject()方法就可以获取认证通过的信息。
我们也可以借助它的这点特性,实现用户的自动登录。
这里需要补充一点,系统把权限化成了一个个的标签保存在数据库中,用户的权限中持有对应的标签则表示拥有对应的操作权限。
而对于Shiro的授权,在doGetAuthorizationInfo中需要获取用户的所有权限列表,通过权限列表筛选出是否拥有操作权限。
//Shiro进行授权@Overrideprotected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { //获取认证时候添加到SimpleAuthenticationInfo中的实例 SysUserEntity user = (SysUserEntity)principals.getPrimaryPrincipal(); Long userId = user.getUserId(); //查询用户所有权限 Set<String> permsSet = new HashSet<String>(); List<String> permsList = sysUserDao.queryAllPerms(userId); for(String perms : permsList){ if(StringUtils.isBlank(perms)){ continue; } permsSet.addAll(Arrays.asList(perms.trim().split(","))); } SimpleAuthorizationInfo info = new SimpleAuthorizationInfo(); info.setStringPermissions(permsSet); return info;}
Shiro的授权是被动的,只有被相应的条件触发才会进行用户授权,方式有以下几种:
1、作用于页面。
页面里如果遇到#if>,Shiro会调用自定义Realm获取权限信息,看"sys:del"是否在权限数据中存在,存在则授权通过,不存在则拒绝访问,可应用于对一些按钮和标签的特定开放。
<#if shiro.hasPermission("sys:add")> 新增#if><#if shiro.hasPermission("sys:del")> class=#if>
2、通过注解的方式作用于接口。
在controller中,方法如果加了@RequiresPermissions("sys:del")注解,Shiro同样会调用自定义Realm获取权限信息,看"sys:del"是否在权限数据中存在,存在则授权通过,不存在则拒绝访问,从而实现对接口的权限校验。
@RequestMapping("/delete")@RequiresPermissions("sys:del")public R delete(long deptId){ //判断是否有子部门 List<Long> deptList = sysDeptService.queryDetpIdList(deptId); if(deptList.size() > 0){ return R.error("请先删除子部门"); } sysDeptService.deleteById(deptId); return R.ok();}
到此,基本上便实现了Shiro在页面和接口的权限控制。
当然,Shiro更多是作用于表现层的一个控制,而出于系统安全考虑也应该增加对数据的校验。
因此在数据层面,则可通过Sql过滤和Xss过滤的方式实现过滤。
项目中已经为其封装成工具,原理都是正则匹配和字符串替换,感兴趣的伙伴可以直接到项目里查看,这里就不再累述了。
系统除了实现权限控制外,也实现了很多后台管理系统开发中常用到的一些功能,像Quartz分布式集群调度、多数据源动态切换以及集群部署下Session管理,感兴趣的伙伴也可以查看源码。
项目地址:
https://gitee.com/renrenio/renren-security
本文完~