shiro教程系列
一、 權限管理
1.1 什麼是權限管理
基本上涉及到用戶參與的系統都要進行權限管理,權限管理屬於系統安全的範疇,權限管理實現對用戶訪問系統的控制,按照安全規則或者安全策略控制用戶可以訪問而且只能訪問自己被授權的資源。
權限管理包括用戶身份認證和授權兩部分,簡稱認證授權。對於需要訪問控制的資源用戶首先經過身份認證,認證通過後用戶具有該資源的訪問權限方可訪問。
1.2 用戶身份認證
1.2.1 概念
身份認證,就是判斷一個用戶是否爲合法用戶的處理過程。最常用的簡單身份認證方式是系統通過覈對用戶輸入的用戶名和口令,看其是否與系統中存儲的該用戶的用戶名和口令一致,來判斷用戶身份是否正確。對於採用指紋等系統,則出示指紋;對於硬件Key等刷卡系統,則需要刷卡。
1.2.2 用戶名密碼身份認證流程
1.2.3 關鍵對象
上邊的流程圖中需要理解以下關鍵對象:
Subject:主體
訪問系統的用戶,主體可以是用戶、程序等,進行認證的都稱爲主體;
Principal:身份信息
是主體(subject)進行身份認證的標識,標識必須具有唯一性,如用戶名、手機號、郵箱地址等,一個主體可以有多個身份,但是必須有一個主身份(PrimaryPrincipal)。
credential:憑證信息
是隻有主體自己知道的安全信息,如密碼、證書等。
1.3 授權
1.3.1 概念
授權,即訪問控制,控制誰能訪問哪些資源。主體進行身份認證後需要分配權限方可訪問系統的資源,對於某些資源沒有權限是無法訪問的。
1.3.2 授權流程
下圖中橙色爲授權流程。
1.3.3 關鍵對象
授權可簡單理解爲who對what(which)進行How操作:
Who,即主體(Subject),主體需要訪問系統中的資源。
What,即資源(Resource),如系統菜單、頁面、按鈕、類方法、系統商品信息等。資源包括資源類型和資源實例,比如商品信息爲資源類型,類型爲t01的商品爲資源實例,編號爲001的商品信息也屬於資源實例。
How,權限/許可(Permission),規定了主體對資源的操作許可,權限離開資源沒有意義,如用戶查詢權限、用戶添加權限、某個類方法的調用權限、編號爲001用戶的修改權限等,通過權限可知主體對哪些資源都有哪些操作許可。
權限分爲粗顆粒和細顆粒,粗顆粒權限是指對資源類型的權限,細顆粒權限是對資源實例的權限。
主體、資源、權限關係如下圖:
1.3.4 權限模型
對上節中的主體、資源、權限通過數據模型表示。
主體(賬號、密碼)
資源(資源名稱、訪問地址)
權限(權限名稱、資源id)
角色(角色名稱)
角色和權限關係(角色id、權限id)
主體和角色關係(主體id、角色id)
如下圖:
如下圖:
通常企業開發中將資源和權限表合併爲一張權限表,如下:
資源(資源名稱、訪問地址)
權限(權限名稱、資源id)
合併爲:
權限(權限名稱、資源名稱、資源訪問地址)
上圖常被稱爲權限管理的通用模型,不過企業在開發中根據系統自身的特點還會對上圖進行修改,但是用戶、角色、權限、用戶角色關係、角色權限關係是需要去理解的。
1.3.5 權限分配
對主體分配權限,主體只允許在權限範圍內對資源進行操作,比如:對u01用戶分配商品修改權限,u01用戶只能對商品進行修改。
權限分配的數據通常需要持久化,根據上邊的數據模型創建表並將用戶的權限信息存儲在數據庫中。
1.3.6 權限控制
用戶擁有了權限即可操作權限範圍內的資源,系統不知道主體是否具有訪問權限需要對用戶的訪問進行控制。
1.3.6.1 基於角色的訪問控制
RBAC基於角色的訪問控制(Role-Based Access Control)是以角色爲中心進行訪問控制,比如:主體的角色爲總經理可以查詢企業運營報表,查詢員工工資信息等,訪問控制流程如下:
上圖中的判斷邏輯代碼可以理解爲:
if(主體.hasRole("總經理角色id")){
查詢工資
}
缺點:以角色進行訪問控制粒度較粗,如果上圖中查詢工資所需要的角色變化爲總經理和部門經理,此時就需要修改判斷邏輯爲“判斷主體的角色是否是總經理或部門經理”,系統可擴展性差。
修改代碼如下:
if(主體.hasRole("總經理角色id") || 主體.hasRole("部門經理角色id")){
查詢工資
}
1.3.6.2 基於資源的訪問控制
RBAC基於資源的訪問控制(Resource-Based Access Control)是以資源爲中心進行訪問控制,比如:主體必須具有查詢工資權限纔可以查詢員工工資信息等,訪問控制流程如下:
上圖中的判斷邏輯代碼可以理解爲:
if(主體.hasPermission("查詢工資權限標識")){
查詢工資
}
優點:系統設計時定義好查詢工資的權限標識,即使查詢工資所需要的角色變化爲總經理和部門經理也只需要將“查詢工資信息權限”添加到“部門經理角色”的權限列表中,判斷邏輯不用修改,系統可擴展性強。
2 權限管理解決方案
2.1 粗顆粒度和細顆粒度
2.1.1 什麼是粗顆粒度和細顆粒度
對資源類型的管理稱爲粗顆粒度權限管理,即只控制到菜單、按鈕、方法,粗粒度的例子比如:用戶具有用戶管理的權限,具有導出訂單明細的權限。對資源實例的控制稱爲細顆粒度權限管理,即控制到數據級別的權限,比如:用戶只允許修改本部門的員工信息,用戶只允許導出自己創建的訂單明細。
2.1.2 如何實現粗顆粒度和細顆粒度
對於粗顆粒度的權限管理可以很容易做系統架構級別的功能,即系統功能操作使用統一的粗顆粒度的權限管理。
對於細顆粒度的權限管理不建議做成系統架構級別的功能,因爲對數據級別的控制是系統的業務需求,隨着業務需求的變更業務功能變化的可能性很大,建議對數據級別的權限控制在業務層個性化開發,比如:用戶只允許修改自己創建的商品信息可以在service接口添加校驗實現,service接口需要傳入當前操作人的標識,與商品信息創建人標識對比,不一致則不允許修改商品信息。
2.2 基於url攔截
基於url攔截是企業中常用的權限管理方法,實現思路是:將系統操作的每個url配置在權限表中,將權限對應到角色,將角色分配給用戶,用戶訪問系統功能通過Filter進行過慮,過慮器獲取到用戶訪問的url,只要訪問的url是用戶分配角色中的url則放行繼續訪問。
如下圖:
2.3 使用權限管理框架
對於權限管理基本上每個系統都有,使用權限管理框架完成權限管理功能的開發可以節省系統開發時間,並且權限管理框架提供了完善的認證和授權功能有利於系統擴展維護,但是學習權限管理框架是需要成本的,所以選擇一款簡單高效的權限管理框架顯得非常重要。
3 基於url攔截實現
3.1 環境準備
jdk:1.7.0_72
web容器:tomcat7
系統框架:springmvc3.2.0+mybatis3.2.7(詳細參考springmvc教案)
前臺UI:jQuery easyUI1.2.2
3.2 數據庫
創建mysql5.1數據庫
創建用戶表、角色表、權限表、角色權限關係表、用戶角色關係表。
導入腳本,先導入shiro_sql_talbe.sql再導入shiro-sql_table_data.sql
3.3 activeUser用戶身份類
用戶登陸成功記錄activeUser信息並將activeUser存入session。
[java] view plain copy print?
public class ActiveUser implements java.io.Serializable {
private String userid;//用戶id
private String usercode;// 用戶賬號
private String username;// 用戶名稱
private List<SysPermission> menus;// 菜單
private List<SysPermission> permissions;// 權限
3.4 anonymousURL.properties
anonymousURL.properties公開訪問地址,無需身份認證即可訪問。
3.5 commonURL.properties
commonURL.properties公共訪問地址,身份認證通過無需分配權限即可訪問。
3.6 用戶身份認證攔截器
使用springmvc攔截器對用戶身份認證進行攔截,如果用戶沒有登陸則跳轉到登陸頁面,本功能也可以使用filter實現 。
[java] view plain copy print?
public class LoginInterceptor implements HandlerInterceptor {
// 在進入controller方法之前執行
// 使用場景:比如身份認證校驗攔截,用戶權限攔截,如果攔截不放行,controller方法不再執行
@Override
public boolean preHandle(HttpServletRequest request,
HttpServletResponse response, Object handler) throws Exception {
// 校驗用戶訪問是否是公開資源地址(無需認證即可訪問)
List<String> open_urls = ResourcesUtil.gekeyList("anonymousURL");
// 用戶訪問的url
String url = request.getRequestURI();
for (String open_url : open_urls) {
if (url.indexOf(open_url) >= 0) {
// 如果訪問的是公開 地址則放行
return true;
}
}
// 校驗用戶身份是否認證通過
HttpSession session = request.getSession();
ActiveUser activeUser = (ActiveUser) session.getAttribute("activeUser");
if (activeUser != null) {
// 用戶已經登陸認證,放行
return true;
}
// 跳轉到登陸頁面
request.getRequestDispatcher("/WEB-INF/jsp/login.jsp").forward(request,
response);
return false;
}
3.7 用戶授權攔截器
使用springmvc攔截器對用戶訪問url進行攔截,如果用戶訪問的url沒有分配權限則跳轉到無權操作提示頁面(refuse.jsp),本功能也可以使用filter實現。
[java] view plain copy print?
public class PermissionInterceptor implements HandlerInterceptor {
// 在進入controller方法之前執行
// 使用場景:比如身份認證校驗攔截,用戶權限攔截,如果攔截不放行,controller方法不再執行
// 進入action方法前要執行
@Override
public boolean preHandle(HttpServletRequest request,
HttpServletResponse response, Object handler) throws Exception {
// TODO Auto-generated method stub
// 用戶訪問地址:
String url = request.getRequestURI();
// 校驗用戶訪問是否是公開資源地址(無需認證即可訪問)
List<String> open_urls = ResourcesUtil.gekeyList("anonymousURL");
// 用戶訪問的url
for (String open_url : open_urls) {
if (url.indexOf(open_url) >= 0) {
// 如果訪問的是公開 地址則放行
return true;
}
}
//從 session獲取用戶公共訪問地址(認證通過無需分配權限即可訪問)
List<String> common_urls = ResourcesUtil.gekeyList("commonURL");
// 用戶訪問的url
for (String common_url : common_urls) {
if (url.indexOf(common_url) >= 0) {
// 如果訪問的是公共地址則放行
return true;
}
}
// 從session獲取用戶權限信息
HttpSession session = request.getSession();
ActiveUser activeUser = (ActiveUser) session.getAttribute("activeUser");
// 取出session中權限url
// 獲取用戶操作權限
List<SysPermission> permission_list = activeUser.getPermissions();
// 校驗用戶訪問地址是否在用戶權限範圍內
for (SysPermission sysPermission : permission_list) {
String permission_url = sysPermission.getUrl();
if (url.contains(permission_url)) {
return true;
}
}
// 跳轉到頁面
request.getRequestDispatcher("/WEB-INF/jsp/refuse.jsp").forward(
request, response);
return false;
}
3.8 用戶登陸
用戶輸入用戶賬號和密碼登陸,登陸成功將用戶的身份信息(用戶賬號、密碼、權限菜單、權限url等)記入activeUser類,並寫入session。
3.8.1 controller
[java] view plain copy print?
//用戶登陸提交
@RequestMapping("/loginsubmit")
public String loginsubmit(HttpSession session,String usercode,String password,String randomcode) throws Exception{
//校驗驗證碼
//從session獲取正確的驗證碼
String validateCode = (String)session.getAttribute("validateCode");
if(!randomcode.equals(validateCode)){
//拋出異常:驗證碼錯誤
throw new CustomException("驗證碼 錯誤 !");
}
//用戶身份認證
ActiveUser activeUser = sysService.authenticat(usercode, password);
//記錄session
session.setAttribute("activeUser", activeUser);
return "redirect:first.action";
}
3.8.2 service接口
[java] view plain copy print?
/**
*
* <p>
* Title: authenticat
* </p>
* <p>
* Description:用戶認證
* </p>
*
* @param usercode
* 用戶賬號
* @param password
* 用戶密碼
* @return ActiveUser 用戶身份信息
* @throws Exception
*/
public ActiveUser authenticat(String usercode, String password)
throws Exception;
// 根據賬號查詢用戶
public SysUser findSysuserByUsercode(String usercode) throws Exception;
// 根據用戶id獲取權限
public List<SysPermission> findSysPermissionList(String userid)
throws Exception;
// 根據用戶id獲取菜單
public List<SysPermission> findMenuList(String userid) throws Exception;