django权限系统实现步骤_如何实现⼀个权限管理系统?(附
源码)
项⽬特点
Shiro的认证和授权
《Netty 实现原理与源码解析 —— 精品合集》
《Spring 实现原理与源码解析 —— 精品合集》
《MyBatis 实现原理与源码解析 —— 精品合集》
《Spring MVC 实现原理与源码解析 —— 精品合集》
《Spring Boot 实现原理与源码解析 —— 精品合集》
《数据库实体设计合集》
《Java ⾯试题 —— 精品合集》shiro权限控制
《Java 学习指南 —— 精品合集》
系统安全⼀直是在系统开发中不可规避的问题,⽽权限控制⼜跟系统安全密不可分,⼤到⽤户的访问,⼩到⼀个页⾯的按钮,都有可能涉及到权限的控制。⽽renren-security便给我们提供了⼀套权限系统开发的解决⽅案。
renren-security是"⼈⼈社区"社区开源的轻量级权限管理系统。系统采⽤SprinBoot、Mybatis、Shiro框架进⾏开发,极低门槛,拿来即⽤,⽀持分布式部署、Quartz分布式集调度、部门管理、数据权限、云存储等功能。
项⽬特点
灵活的权限控制,可控制到页⾯或按钮,满⾜绝⼤部分的权限需求
完善的部门管理及数据权限,通过注解实现数据权限的控制
完善的XSS防范及脚本过滤,彻底杜绝XSS攻击
⽀持MySQL、Oracle、SQL Server、PostgreSQL等主流数据库
系统结构的设计也⽐较清晰,由admin、api、common等⼏个模块组成,每个模块实现的功能⼤体如下:
common:公共模块,以jar包的形式被其他模块所依赖。实现了⼀些⼯具类和公共功能。包含时间处理、分页、Sql过滤、Xss过滤和common:
Redis切⾯定义、⾃定义异常处理等功能。
admin:管理系统模块,以war包形式独⽴部署。基于前后端分离的思想,主要⽤来⽤来开发后台管理系统。包含⽤户管理、⾓⾊管理、部admin:
门管理、菜单管理、定时任务、⽂件上传、API校验,同时采⽤Redis进⾏数据缓存,⽀持单机和集的部署。
api:
api:API接⼝模块,以war包形式独⽴部署。模块主要提供给前端UI调⽤的⼀些业务接⼝,实现了⽤户注册、登录、接⼝权限认证和⽤户信息获取。同时整合了swagger2实现了API接⼝⽂档,⽅便了接⼝的查询和调试。
系统设计之初就特别注重安全性,基于Shiro在页⾯和接⼝都实现了权限校验。
⽤户登录时对⽤户的账号密码进⾏验证,获取⽤户的信息和role权限,页⾯显⽰的时候会根据⽤户拥有的权限显⽰对应的状态,接⼝请求的时候也会进⾏⽤户权限的校验,数据保存到数据库时候还进⾏Sql和Xss的过滤,整个过程的核⼼思路是Shiro对⽤户的认证和授权。具体流程如下图:
Shiro的认证和授权
实现Shiro的认证和授权,需要⾃定义Realm继承于AuthorizingRealm,同时重写doGetAuthenticationInfo(认证)和doGetAuthorizationInfo(授权)这两个⽅法。这⾥对于系统与Shiro的整合就不再做多的说明。
⽤户登录的时候,将⽤户的账号和密码包装成⼀个UsernamePasswordToken后,再调⽤login提交账户认证,shiro会⾃动调⽤我们重写的doGetAuthenticationInfo⽅法。
Subject subject = Subject();
UsernamePasswordToken token = new UsernamePasswordToken(username, password);
//提交认证
subject.login(token);
//Shiro进⾏认证
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authcToken) throws AuthenticationException {
UsernamePasswordToken token = (UsernamePasswordToken)authcToken;
//获取⽤户信息
SysUserEntity user = new SysUserEntity();
user.Username());
user = sysUserDao.selectOne(user);
//账号不存在
if(user == null) {
throw new UnknownAccountException("账号或密码不正确");
}
SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(user, Password(), ByteSource.Util.Salt()), getName());
return info;
}
如果认证成功,那么在系统的任何地⽅通过Subject()⽅法就可以获取认证通过的信息。我们也可以借助它的这点特性,实现⽤户的⾃动登录。
这⾥需要补充⼀点,系统把权限化成了⼀个个的标签保存在数据库中,⽤户的权限中持有对应的标签则表⽰拥有对应的操作权限。⽽对于Shiro的授权,在doGetAuthorizationInfo中需要获取⽤户的所有权限列表,通过权限列表筛选出是否拥有操作权限。
//Shiro进⾏授权
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
//获取认证时候添加到SimpleAuthenticationInfo中的实例
SysUserEntity user = (PrimaryPrincipal();
Long userId = UserId();
//查询⽤户所有权限
Set<String> permsSet = new HashSet<String>();
List<String> permsList = sysUserDao.queryAllPerms(userId);
for(String perms : permsList){
if(StringUtils.isBlank(perms)){
continue;
}
permsSet.addAll(Arrays.im().split(",")));
}
SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
info.setStringPermissions(permsSet);
return info;
}
Shiro的授权是被动的,只有被相应的条件触发才会进⾏⽤户授权,⽅式有以下⼏种:
1.作⽤于页⾯。页⾯⾥如果遇到<#if shiro.hasPermission("sys:del")>,Shiro会调⽤⾃定义Realm获取权限信息,看"sys:del"是否在权限数据中存在,存在则授权通过,不存在则拒绝访问,可应⽤于对⼀些按钮和标签的特定开放。
<#if shiro.hasPermission("sys:add")>
<a class="btn btn-primary" @click="add">新增</a>
</#if>
<#if shiro.hasPermission("sys:del")>
<a class="btn btn-primary" @click="del">删除</a>
</#if>
2.通过注解的⽅式作⽤于接⼝。在controller中,⽅法如果加了@RequiresPermissions("sys:del")注解,Shiro同样会调⽤⾃定义Realm 获取权限信息,看"sys:del"是否在权限数据中存在,存在则授权通过,不存在则拒绝访问,从⽽实现对接⼝的权限校验。
@RequestMapping("/delete")
@RequiresPermissions("sys:del")
public R delete(long deptId){
//判断是否有⼦部门
List<Long> deptList = sysDeptService.queryDetpIdList(deptId);
if(deptList.size() > 0){
("请先删除⼦部门");
}
sysDeptService.deleteById(deptId);
return R.ok();
}
到此,基本上便实现了Shiro在页⾯和接⼝的权限控制。当然,Shiro更多是作⽤于表现层的⼀个控制,⽽出于系统安全考虑也应该增加对数据的校验。因此在数据层⾯,则可通过Sql过滤和Xss过滤的⽅式实现过滤。项⽬中已经为其封装成⼯具,原理都是正则匹配和字符串替换,感兴趣的伙伴可以直接到项⽬⾥查看,这⾥就不再累述了。
系统除了实现权限控制外,也实现了很多后台管理系统开发中常⽤到的⼀些功能,像Quartz分布式集调度、多数据源动态切换以及集部署下Session管理,感兴趣的伙伴也可以查看源码。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论