搜索
shiro第一天基于url权限管理shiro基础1课程目标:1、了解基于资源的权限管理方式2、掌握权限数据模型3、掌握基于url的权限管理(不使用shiro实现权限管理)4、shiro实现用户认证5、shiro实现用户授权6、shiro与企业web项目整合开发的方法2课程安排整个课程是系统架构设计相关的课程。第一天:基于url权限管理shiro基础原理知识:对权限管理的理解什么是权限管理用户认证用户授权权限管理的解决方案基于url的权限管理开发实现(重点)shiro基础:shiro架构(重点)shiro进行用户认证的方法(重点)shiro进行用户授权的方法(重点)第二天:shiro应用shiro与企业web项目整合开发的方法3权限管理原理知识3.1什么是权限管理只要有用户参与的系统一般都要有权限管理,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。权限管理包括用户认证和授权两部分。3.2用户认证3.2.1概念用户认证,用户去访问系统,系统要验证用户身份的合法性。最常用的用户身份验证的方法:1、用户名密码方式、2、指纹打卡机、3、基于证书验证方法。。系统验证用户身份合法,用户方可访问系统的资源。3.2.2用户认证流程3.2.3关键对象subject:主体,理解为用户,可能是程序,都要去访问系统的资源,系统需要对subject进行身份认证。principal:身份信息,通常是唯一的,一个主体还有多个身份信息,但是都有一个主身份信息(primaryprincipal)credential:凭证信息,可以是密码、证书、指纹。总结:主体在进行身份认证时需要提供身份信息和凭证信息。3.3用户授权3.3.1概念用户授权,简单理解为访问控制,在用户认证通过后,系统对用户访问资源进行控制,用户具有资源的访问权限方可访问。3.3.2授权流程3.3.3关键对象授权的过程理解为:who对what(which)进行how操作。who:主体即subject,subject在认证通过后系统进行访问控制。what(which):资源(Resource),subject必须具备资源的访问权限才可访问该资源。资源比如:系统用户列表页面、商品修改菜单、商品id为001的商品信息。资源分为资源类型和资源实例:系统的用户信息就是资源类型,相当于java类。系统中id为001的用户就是资源实例,相当于new的java对象。how:权限/许可(permission),针对资源的权限或许可,subject具有permission访问资源,如何访问/操作需要定义permission,权限比如:用户添加、用户修改、商品删除。3.3.4权限模型主体(账号、密码)资源(资源名称、访问地址)权限(权限名称、资源id)角色(角色名称)角色和权限关系(角色id、权限id)主体和角色关系(主体id、角色id)如下图:角色用户权限资源多对一用户角色关系角色权限关系1*1*多对多**1*1*多对多*1**通常企业开发中将资源和权限表合并为一张权限表,如下:资源(资源名称、访问地址)权限(权限名称、资源id)合并为:权限(权限名称、资源名称、资源访问地址)角色用户权限用户角色关系角色权限关系1*1*多对多**1*1*多对多**上图常被称为权限管理的通用模型,不过企业在开发中根据系统自身的特点还会对上图进行修改,但是用户、角色、权限、用户角色关系、角色权限关系是需要去理解的。3.3.1分配权限用户需要分配相应的权限才可访问相应的资源。权限是对于资源的操作许可。通常给用户分配资源权限需要将权限信息持久化,比如存储在关系数据库中。把用户信息、权限管理、用户分配的权限信息写到数据库(权限数据模型)3.3.2权限控制(授权核心)3.3.2.1基于角色的访问控制RBAC(rolebasedaccesscontrol),基于角色的访问控制。比如:系统角色包括:部门经理、总经理。。(角色针对用户来划分)系统代码中实现://如果该user是部门经理则可以访问if中的代码if(user.hasRole('部门经理')){//系统资源内容//用户报表查看}问题:角色针对人划分的,人作为用户在系统中属于活动内容,如果该角色可以访问的资源出现变更,需要修改你的代码了,比如:需要变更为部门经理和总经理都可以进行用户报表查看,代码改为:if(user.hasRole('部门经理')||user.hasRole('总经理')){//系统资源内容//用户报表查看}基于角色的访问控制是不利于系统维护(可扩展性不强)。3.3.2.2基于资源的访问控制RBAC(Resourcebasedaccesscontrol),基于资源的访问控制。资源在系统中是不变的,比如资源有:类中的方法,页面中的按钮。对资源的访问需要具有permission权限,代码可以写为:if(user.hasPermission('用户报表查看(权限标识符)')){//系统资源内容//用户报表查看}上边的方法就可以解决用户角色变更不用修改上边权限控制的代码。如果需要变更权限只需要在分配权限模块去操作,给部门经理或总经理增或删除权限。建议使用基于资源的访问控制实现权限管理。4权限管理解决方案4.1什么是粗粒度和细粒度权限粗粒度权限管理,对资源类型的权限管理。资源类型比如:菜单、url连接、用户添加页面、用户信息、类方法、页面中按钮。。粗粒度权限管理比如:超级管理员可以访问户添加页面、用户信息等全部页面。部门管理员可以访问用户信息页面包括页面中所有按钮。细粒度权限管理,对资源实例的权限管理。资源实例就资源类型的具体化,比如:用户id为001的修改连接,1110班的用户信息、行政部的员工。细粒度权限管理就是数据级别的权限管理。细粒度权限管理比如:部门经理只可以访问本部门的员工信息,用户只可以看到自己的菜单,大区经理只能查看本辖区的销售订单。。粗粒度和细粒度例子:系统有一个用户列表查询页面,对用户列表查询分权限,如果粗颗粒管理,张三和李四都有用户列表查询的权限,张三和李四都可以访问用户列表查询。进一步进行细颗粒管理,张三(行政部)和李四(开发部)只可以查询自己本部门的用户信息。张三只能查看行政部的用户信息,李四只能查看开发部门的用户信息。细粒度权限管理就是数据级别的权限管理。4.2如何实现粗粒度和细粒度权限管理如何实现粗粒度权限管理?粗粒度权限管理比较容易将权限管理的代码抽取出来在系统架构级别统一处理。比如:通过springmvc的拦截器实现授权。如何实现细粒度权限管理?对细粒度权限管理在数据级别是没有共性可言,针对细粒度权限管理就是系统业务逻辑的一部分,如果在业务层去处理相对比较简单,如果将细粒度权限管理统一在系统架构级别去抽取,比较困难,即使抽取的功能可能也存在扩展不强。建议细粒度权限管理在业务层去控制。比如:部门经理只查询本部门员工信息,在service接口提供一个部门id的参数,controller中根据当前用户的信息得到该用户属于哪个部门,调用service时将部门id传入service,实现该用户只查询本部门的员工。4.3基于url拦截的方式实现基于url拦截的方式实现在实际开发中比较常用的一种方式。对于web系统,通过filter过虑器实现url拦截,也可以springmvc的拦截器实现基于url的拦截。4.1使用权限管理框架实现对于粗粒度权限管理,建议使用优秀权限管理框架来实现,节省开发成功,提高开发效率。shiro就是一个优秀权限管理框架。5基于url的权限管理5.1基于url权限管理流程访问系统的资源是否存在sessionYES是否认证通过?NO继续认证输入用户名和密码进行用户身份认证身份认证过虑器拦截获取访问urlYES认证通过认证通过将用户身份信息及权限url记录到sessionNO授权过虑器拦截获取访问url是否存在权限url中Url是否公开地址(可匿名访问地址)NO放行继续访问YES放行继续访问YES提示无权操作NOurl是否公开地址放行继续访问YESUrl是否是公共访问地址(只要身份认证通过即可访问,无需分配权限)NONO放行继续访问YES5.2搭建环境5.2.1数据库mysql5.1数据库中创建表:用户表、角色表、权限表(实质上是权限和资源的结合)、用户角色表、角色权限表。完成权限管理的数据模型创建。5.2.2开发环境jdk1.7.0_72eclipse3.7indigo技术架构:springmvc+mybatis+jqueryeasyui5.2.3系统工程架构springmvc+mybatis+jqueryeasyui5.2.4系统登陆系统登陆相当于用户身份认证,用户成功,要在session中记录用户的身份信息.操作流程:用户进行登陆页面输入用户名和密码进行登陆进行用户名和密码校验如果校验通过,在session记录用户身份信息5.2.4.1用户的身份信息创建专门类用于记录用户身份信息。5.2.4.2mappermapper接口:根据用户账号查询用户(sys_user)信息(使用逆向工程生成的mapper)使用逆向工程生成以下表的基础代码:5.2.4.3service(进行用户名和密码校验)接口功能:根据用户的身份和密码进行认证,如果认证通过,返回用户身份信息认证过程:根据用户身份(账号)查询数据库,如果查询不到用户不存在对输入的密码和数据库密码进行比对,如果一致,认证通过5.2.4.4controller(记录session)5.2.5用户认证拦截器5.2.5.1anonymousURL.properties配置可以匿名访问的url5.2.5.2编写认证拦截器//用于用户认证校验、用户权限校验@OverridepublicbooleanpreHandle(HttpServletRequestrequest,HttpServletResponseresponse,Objecthandler)throwsException{//得到请求的urlStringurl=request.getRequestURI();//判断是否是公开地址//实际开发中需要公开地址配置在配置文件中//从配置中取逆名访问urlListStringopen_urls=ResourcesUtil.gekeyList(anonymousURL);//遍历公开地址,如果是公开地址则放行for(Stringopen_url:open_urls){if(url.indexOf(open_url)=0){//如果是公开地址则放行returntrue;}}//判断用户身份在session中是否存在HttpSessionsession=request.getSession();ActiveUseractiveUser=(ActiveUser)session.getAttribute(activeUser);//如果用户身份在session中存在放行if(activeUser!=null){returntrue;}//执行到这里拦截,跳转到登陆页面,用户进行身份认证request.getRequestDispatcher(/WEB-INF/jsp/login.jsp).forward(request,response);//如果返回false表示拦截不继续执行handler,如果返回true表示放行returnfalse;}5.2.5.3配置拦截器在springmvc.xml中配置拦截器5.2.6授权5.2.6.1commonURL.properties在此配置文件配置公用访问地址,公用访问地址只要通过用户认证,不需要对公用访问地址分配权限即可访问。5.2.6.2获取用户权限范围的菜单思路:在用户认证时,认证通过,根据用户id从数据库获取用户权限范围的菜单,将菜单的集合存储在session中。mapper接口:根据用户id查询用户权限的菜单service接口:根据用户id查询用户权限的菜单5.2.6.3获取用户权