权限管理框架Shiro renren-security权限管理结构

权限管理框架Shiro：

一直在做项目，由于是二次开发的项目，今天才发现自己连权限控制都没有搞懂。二次开发的是基于renren开源的一个项目。
链接：https://gitee.com/renrenio/renren-security
这个项目主要使用shiro权限管理框架来进行权限管理

shiro主要概念：

• Subject: 正如我们在教程中提到的，该Subject本质上是当前执行用户的安全特定“视图”。虽然“用户”一词通常意味着一个人，但Subject可以是人，但它也可以代表第三方服务、守护进程帐户、cron作业或任何类似的东西——基本上是目前与软件交互的任何东西。Subject实例都绑定（并需要）SecurityManager。当您与Subject交互时，这些交互将转换为与SecurityManager的特定主题交互。

• SecurityManager: SecurityManager是Shiro架构的核心，它充当一种“雨伞”对象，协调其内部安全组件，这些组件一起形成一个对象图。然而，一旦SecurityManager及其内部对象图为应用程序配置，它通常就会被单独使用，应用程序开发人员几乎所有的时间都花在Subject API上。

  我们稍后将详细讨论SecurityManager，但重要的是要意识到，当您与Subject互动时，实际上是SecurityManager在幕后为任何Subject安全操作做了所有繁重的工作。这反映在上面的基本流程图中。

• Realms: Realms充当Shiro和应用程序安全数据之间的“桥梁”或“连接器”。当需要实际与用户帐户等安全相关数据进行交互以执行身份验证（登录）和授权（访问控制）时，Shiro会从为应用程序配置的一个或多个Realms查找其中许多内容。

  从这个意义上讲，Realms本质上是一个特定于安全的DAO：它封装了数据源的连接详细信息，并根据需要向Shiro提供相关数据。在配置Shiro时，您必须指定至少一个用于身份验证和/或授权的Realms。SecurityManager可以配置多个Realms，但至少需要一个领域。

• Subject : 当前与软件交互的实体（用户、第三方服务、cron作业等）的安全特定“视图”。
• SecurityManager: 如上所述，SecurityManager是Shiro架构的核心。它主要是一个“雨伞”对象，负责协调其托管组件，以确保它们平稳地一起工作。它还管理Shiro对每个应用程序用户的视图，因此它知道如何为每个用户执行安全操作。
• Authenticator: 身份验证器是负责执行和响应用户身份验证（登录）尝试的组件。当用户尝试登录时，该逻辑由身份验证器执行。身份验证器知道如何与一个或多个存储相关用户/帐户信息的Realms进行协调。从这些Realms获得的数据用于验证用户的身份，以保证用户真的是他们所说的自己。
  • Authentication Strategy : 如果配置了多个Realms，身份验证策略将协调Realms，以确定身份验证尝试成功或失败的条件（例如，如果一个领域成功，而其他领域失败，则尝试是否成功？所有领域都必须成功吗？只有第一个？）。
• Authorizer: Authorizer 是负责确定应用程序中用户访问控制的组件。它最终表明用户是否被允许做某事的机制。与身份 Authenticator一样， Authorizer 也知道如何与多个后端数据源协调以访问角色和权限信息。 Authorizer 使用此信息来准确确定是否允许用户执行给定操作。
• SessionManager : SessionManager 知道如何创建和管理用户会话生命周期，以便在所有环境中为用户提供强大的会话体验。这是安全框架世界中的一项独特功能-Shiro有能力在任何环境中原生管理用户会话，即使没有可用的Web/Servlet或EJB容器。默认情况下，Shiro将使用现有的会话机制（例如Servlet容器），但如果没有，例如在独立应用程序或非Web环境中，它将使用其内置的企业会话管理来提供相同的编程体验。SessionDAO的存在是为了允许使用任何数据源来持久化会话。
  • SessionDAO : SessionDAO代表SessionManager执行会话持久性（CRUD）操作。这允许将任何数据存储插入 SessionManager.基础架构。
• CacheManager: CacheManager 创建和管理其他Shiro组件使用的Cache实例生命周期。由于Shiro可以访问许多后端数据源进行身份验证、授权和会话管理，因此缓存一直是框架中一流的架构功能，以提高使用这些数据源时的性能。任何现代开源和/或企业缓存产品都可以插入Shiro，以提供快速高效的用户体验。
• Cryptography: Cryptography(密码学)是企业安全框架的自然补充。Shiro的加密包包含易于使用和理解的冷冻密码、散列（又名摘要）和不同编解码器实现的表示。此软件包中的所有类都经过精心设计，非常易于使用和理解。任何使用过Java原生密码学支持的人都知道，驯服它可能是一种具有挑战性的动物。Shiro的加密API简化了复杂的Java机制，使密码学易于普通凡人使用。
• Realms: 如上所述，Realms充当Shiro和应用程序安全数据之间的“桥梁”或“连接器”。当需要实际与用户帐户等安全相关数据进行交互以执行身份验证（登录）和授权（访问控制）时，Shiro会从为应用程序配置的一个或多个Realms查找其中许多内容。您可以根据需要配置尽可能多的Realms（通常每个数据源一个），Shiro将在身份验证和授权方面根据需要与他们协调。

renren-security 总体权限的表结构：

renren-security 主要的配置文件：

renren-security 登录流程：

1. 获取用户名和密码：SysUserDTO user = sysUserService.getByUsername(login.getUsername());
2. 如果用户存在，并且密码正确返回token，否则返回登录失败。
3. 返回token：sysUserTokenService.createToken(user.getId());

   1. 根据id获取token，查看以前是否生成过token SysUserTokenEntity tokenEntity = baseDao.getByUserId(userId);，生成过了token的用户都会将信息存储到数据库的表sys_user_token中

   2. 需要注意的是这个token只是一个随机字符串，真正存储了有效时间的是在这个表中。

   3. 

   4. 如果以前没有生成过token，则会生产新的token，并插入到这个表中，expire_date的时间为12个小时之后。

   5. 如果以前有生成过token，则会把这个数据库中的信息取出来，

renren-security 授权流程：

    @GetMapping("{id}")
    @ApiOperation("信息")
    @RequiresPermissions("sys:dict:info")
    public Result<SysDictDataDTO> get(@PathVariable("id") Long id){
        SysDictDataDTO data = sysDictDataService.get(id);

        return new Result<SysDictDataDTO>().ok(data);
    }

权限：

1. 在controller层里面加上权限认证：@RequiresPermissions("sys:dict:info")
2. 如果有请求发送到这个方法上面，则会调用Realm里面的doGetAuthorizationInfo权限验证方法。
3. 通过传进来的参数获取到用户信息：UserDetail user = (UserDetail)principals.getPrimaryPrincipal();
4. 通过用户信息查询权限列表：Set<String> permsSet = shiroService.getUserPermissions(user);
   1. 这里需要注意：permissionsList = sysMenuDao.getPermissionsList(); 在sys_menu表里面查询权限。
5. 将权限列表设置到SimpleAuthorizationInfo里面即可，info.setStringPermissions(permsSet); 如果没有相应的权限就会报错。如果有权限即可执行方法。

角色：

1. 将上面的第四步改成查询角色即可。info.setRoles(roles);

参考文章链接：

• https://gitee.com/renrenio/renren-security
• https://shiro.apache.org
• https://www.renren.io/guide/security

var code = “f3ea8c01-1073-4ae8-8517-df08b0a91d4d”