JAVA實現用戶的權限管理

 

一：權限管理簡介

    做系統時肯定遇到最常見的就是不同的用戶的需求是不一樣的，就拿登陸來說，一個辦公管理系統，不同部門的人肯定要求的功能和權限都是不一樣的，那你不可能對每一個部門都寫一個登陸頁面，給不同的url吧！亦或者在下邊選擇你是什么部門的人？那每個部門內還有等級吶！再繼續選？然后給每個人寫一個界面？那明顯是不可能的，那我們到底要怎么實現吶？

    最常用的方法就是划分不同的角色，賦予角色權限，然后再讓用戶去申請角色就好了，具體的實現慢慢說。

二：數據表的設計

根據角色授權的思想，我們需要涉及五張表(簡單一寫，沒寫約束，湊活看吧)

1）三張主表

a）用戶表（user）

b） 角色表（role）

c） 資源表（module）[你也可以叫他權限表等等，反正就是代表着各種權限]

2）兩張中間表

d）用戶角色表（user_role）

e）角色資源表（permission)

CREATE TABLE `user` (
  `id` int(11) NOT NULL AUTO_INCREMENT COMMENT 'id',
  `username` varchar(32) DEFAULT NULL COMMENT '用戶名',
  `password` varchar(32) DEFAULT NULL COMMENT '密碼',
  PRIMARY KEY (`id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8 COMMENT='用戶表';

CREATE TABLE `role` (
  `id` int(11) NOT NULL AUTO_INCREMENT,
  `name` varchar(32) DEFAULT NULL COMMENT '角色名',
  `desc` varchar(32) DEFAULT NULL COMMENT '角色描述',
  PRIMARY KEY (`id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8 COMMENT='角色表';

CREATE TABLE `resource` (
  `id` int(11) NOT NULL AUTO_INCREMENT COMMENT 'id',
  `title` varchar(32) DEFAULT NULL COMMENT '資源標題',
  `uri` varchar(32) DEFAULT NULL COMMENT '資源uri  ',
  PRIMARY KEY (`id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8 COMMENT='資源表';

CREATE TABLE `user_role` (
  `id` int(11) NOT NULL AUTO_INCREMENT COMMENT 'id',
  `user_id` int(11) NOT NULL COMMENT '用戶id',
  `role_id` int(11) NOT NULL COMMENT '角色id',
  PRIMARY KEY (`id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8 COMMENT='用戶角色表';

CREATE TABLE `role_resource` (
  `id` int(11) NOT NULL AUTO_INCREMENT,
  `role_id` int(11) DEFAULT NULL COMMENT '角色id',
  `resource_id` int(11) DEFAULT NULL COMMENT '資源id',
  PRIMARY KEY (`id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8 COMMENT='角色資源表';

三：使用Shiro整合Spring進行管理權限

1：Shiro簡介

　　Apache Shiro是一個強大且易用的Java安全框架,執行身份驗證、授權、密碼學和會話管理。使用Shiro的易於理解的API,您可以快速、輕松地獲得任何應用程序,從最小的移動應用程序到最大的網絡和企業應用程序。

　　Shiro 主要分為來個部分就是認證和授權，在個人感覺來看就是查詢數據庫做相應的判斷而已。Shiro的主要框架圖如下

是不是看到這張圖，有點不想看了，有些混亂有些多，我就其中一些方法進行簡要說明

1：Subject

　　Subject即主體，外部應用與subject進行交互，subject記錄了當前操作用戶，將用戶的概念理解為當前操作的主體，可能是一個通過瀏覽器請求的用戶，也可能是一個運行的程序。 Subject在shiro中是一個接口，接口中定義了很多認證授相關的方法，外部程序通過subject進行認證授，而subject是通過SecurityManager安全管理器進行認證授權。

2：SecurityManager

　　SecurityManager即安全管理器，對全部的subject進行安全管理，它是shiro的核心，負責對所有的subject進行安全管理。通過SecurityManager可以完成subject的認證、授權等，實質上SecurityManager是通過Authenticator進行認證，通過Authorizer進行授權，通過SessionManager進行會話管理等。

3：Authorizer

　　Authorizer即授權器，用戶通過認證器認證通過，在訪問功能時需要通過授權器判斷用戶是否有此功能的操作權限。

4：Realm

　　Realm即領域，相當於datasource數據源，securityManager進行安全認證需要通過Realm獲取用戶權限數據，比如：如果用戶身份數據在數據庫那么realm就需要從數據庫獲取用戶身份信息。

5：sessionManager

　　sessionManager即會話管理，shiro框架定義了一套會話管理，它不依賴web容器的session，所以shiro可以使用在非web應用上，也可以將分布式應用的會話集中在一點管理，此特性可使它實現單點登錄。

6：SessionDAO

　　SessionDAO即會話dao，是對session會話操作的一套接口，比如要將session存儲到數據庫，可以通過jdbc將會話存儲到數據庫。

7：CacheManager

　　CacheManager即緩存管理，將用戶權限數據存儲在緩存，這樣可以提高性能。

8：Cryptography

　　Cryptography即密碼管理，shiro提供了一套加密/解密的組件，方便開發。比如提供常用的散列、加/解密等功能。

2：Shiro認證過程

1）：引入shiro的jar包

<dependency>
     <groupId>org.apache.shiro</groupId>
     <artifactId>shiro-core</artifactId>
     <version>1.4.0</version>
</dependency>

2）：創建類文件

　　2.1構建SecurityManager環境

1 DefaultSecurityManager defaultSecurityManager = new DefaultSecrityManager();
2 
3 defaultSecurityManager.setRealm(simpleAccountRealm);

 

2.2主體提交認證請求

 1 SecurityUtils.setSecurityManager(defaultSecurityManager);
 2 
 3 Subject subject = SecurityUtils.getSubject();
 4 
 5 UsernamePasswordToKen token = new UsernamePassword(username : "小明"，password ：“123456”):
 6 
 7 subject.login(token);
 8 
 9 system.out.println("isAuthenticated:" + subject.isAuthenticated());
10 
11 subject.logout();
12 
13 system.out.println("isAuthenticated:" + subject.isAuthenticated());

2：Shiro授權過程

 

1）類文件

1.1構建SecurityManager環境

1 DefaultSecurityManager defaultSecurityManager = new DefaultSecrityManager();
2 
3 defaultSecurityManager.setRealm(simpleAccountRealm);

 

1.2主體提交認證請求

 1 SecurityUtils.setSecurityManager(defaultSecurityManager);
 2 
 3 Subject subject = SecurityUtils.getSubject();
 4 
 5 UsernamePasswordToKen token = new UsernamePassword(username : "小明"，password ：“123456”):
 6 
 7 subject.login(token);
 8 
 9 system.out.println("isAuthenticated:" + subject.isAuthenticated());
10
11 subject.checkRole(s:"admin");
12 
13 subject.checkRoles(...string:"admin","user");
14 
15 subject.logout();
16 
17 system.out.println("isAuthenticated:" + subject.isAuthenticated());

3：關於Realm

Realm一般有三種，分別是，一般都使用自定義

1）IniRealm控制   .Ini 文件。

2）jdbcRealm控制 數據庫文件

引入Mysql驅動包，引入數據源文件，設置jdbcurl以及用戶名和密碼

1 JdbcRealm.jdbcRealm = new JdbcRealm();
2 
3 jdbcRealm.setDataSource(dataSource);
4 
5 jdbcRealm.setPermisssionsLookupEnabled(true);

主體提交驗證

1 subject.checkRole(s:"admin");
2 
3 subject.checkRoles(...string:"admin","user");
4 
5 subject.checkPermission(s:"user:select");

3）自定義realm

package com.fuwh.realm;

import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;

import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;

import com.fuwh.util.DbUtil;

public class MyJdbcRealm extends AuthorizingRealm{

    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        // TODO Auto-generated method stub
        return null;
    }

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        // TODO Auto-generated method stub
        Connection conn=DbUtil.getConnection();
        String sql="select * from members2 where username=?";
        try {
            PreparedStatement ps=conn.prepareStatement(sql);
            ps.setString(1, token.getPrincipal().toString());
            ResultSet rs=ps.executeQuery();
            while(rs.next()) {
                AuthenticationInfo info=new SimpleAuthenticationInfo(rs.getString("username"),rs.getString("password"),"salt");
                return info;
            }
        } catch (SQLException e) {
            // TODO Auto-generated catch block
            e.printStackTrace();
        }
        
        return null;
    }
    
}

 

4：關於md5加密

　　4.1環境搭建及使用

CustomRealm customRealm = new CustomRealm();

//1.構建SecurityManager 環境

DefaultSecurityManager defaultSecurityManager = new DefaultSecrityManager();

defalultSecurityManager.setRealm(customRealm);

HashedCredentialsMatcher matcher = new HashedCredentialsMatcher();

matcher.setHashAlgorithmName("md5");

matcher.setHashIterations(1);

customRealm.setCredentialsMatcher(matcher);

//2.主體提交認證請求

SecurityUtils.setSecurityManager(defaultSecurityManager);

Subject subject = SecurityUtils.getSubject();

UsernamePasswordToken token = new UsernamePassowrdToken(username:"xiaoming",password:"123456");

subject.login(token);

System.out.println("isAuthenticated:" + subject.isAuthenticated())

4.2 MD5加密

 1 @Override
 2 
 3 protected AuthenticationInfo doGetAuthenticationInfo(AuthticationToken authenticationToken) throws AuthenticationRxception {
 4 
 5 //1.從主體傳過來的認證信息中，獲取用戶名
 6 
 7 String userName = （String）authenticationToken.getPrincipal();
 8 
 9 //2.通過用戶名到數據庫獲取憑證
10 
11 String password = getPasswordByUserName(userName);
12 
13 if(password == null){
14 
15 　　return null;
16 
17 }
18 
19 SimpleAuthenticationInfo authticationInfo = new SimpleAuthenticationInfo (principal:“xiaoming”,password,realmName:"customRealm");
20 
21 authenticationInfo.setCredentialsSaltSalt(ByteSource.Util.bytes(string:"XQC"));
22 
23 return authenticationInfo;
24 
25 }  

 

 四：Shiro在Web項目中的使用

　　實戰中shiro的應用很多，幾乎都要用到，這里舉一個Blog的登陸的例子，更好的理解和使用。本博客是采用spring+springMVC+Mybatis實現的。

　　1：執行流程

2：登錄頁面 login.jsp

<!--只截取form表單部分-->
<form action="${pageContext.request.contextPath}/blogger/login.do" method="post" onsubmit="return checkForm()">
    <DIV style="background: rgb(255, 255, 255); margin: -100px auto auto; border: 1px solid rgb(231, 231, 231); border-image: none; width: 400px; height: 200px; text-align: center;">
        <DIV style="width: 165px; height: 96px; position: absolute;">
            <DIV class="tou">
            </DIV>
            <DIV class="initial_left_hand" id="left_hand">
            </DIV>
            <DIV class="initial_right_hand" id="right_hand">
            </DIV>
        </DIV>
        <P style="padding: 30px 0px 10px; position: relative;">
            <SPAN class="u_logo"></SPAN>
            <INPUT id="userName" name="userName" class="ipt" type="text" placeholder="請輸入用戶名" value="${blogger.userName }"> 
        </P>
        <P style="position: relative;">
            <SPAN class="p_logo"></SPAN>         
            <INPUT id="password" name="password" class="ipt"  type="password" placeholder="請輸入密碼" value="${blogger.password }">   
          </P>
        <DIV style="height: 50px; line-height: 50px; margin-top: 30px; border-top-color: rgb(231, 231, 231); border-top-width: 1px; border-top-style: solid;">
            <P style="margin: 0px 35px 20px 45px;">
            <span><font color="red" id="error">${errorInfo }</font></span>
            <SPAN style="float: right;"> 
                  <input type="submit" style="background: rgb(0, 142, 173); padding: 7px 10px; border-radius: 4px; border: 1px solid rgb(26, 117, 152); border-image: none; color: rgb(255, 255, 255); font-weight: bold;" value="登錄"/> 
             </SPAN>         
             </P>
        </DIV>
    </DIV>
</form>

3：Controller層的控制

package com.xqc.controller;

/**
 * 博主Controller層
 *
 */
@Controller
@RequestMapping("/blogger")
public class BloggerController {

    @Resource
    private BloggerService bloggerService;
    
    /**
     * 用戶登錄
     * @param blogger
     * @param request
     * @return
     */
    @RequestMapping("/login")
    public String login(Blogger blogger,HttpServletRequest request){
        Subject subject=SecurityUtils.getSubject();
        UsernamePasswordToken token=new UsernamePasswordToken(blogger.getUserName(), CryptographyUtil.md5(blogger.getPassword(), "xqc"));
        try{
            subject.login(token); // 登錄驗證
            return "redirect:/admin/main.jsp";
        }catch(Exception e){
            e.printStackTrace();
            request.setAttribute("blogger", blogger);
            request.setAttribute("errorInfo", "用戶名或密碼錯誤！");
            return "login";
        }
    }
    

}

4：在spring的配置文件中添加shiro的過濾器

    <!-- Shiro過濾器 -->
    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">  
        <!-- Shiro的核心安全接口,這個屬性是必須的 -->  
        <property name="securityManager" ref="securityManager"/>
        <!-- 身份認證失敗，則跳轉到登錄頁面的配置 -->  
        <property name="loginUrl" value="/login.jsp"/> 
        <!-- Shiro連接約束配置,即過濾鏈的定義 -->  
        <property name="filterChainDefinitions">  
            <value>
                /login=anon
                /admin/**=authc
            </value>  
        </property>
    </bean>  
    

5：攔截后交給自定義Realm進行驗證。

package com.xqc.realm;

import javax.annotation.Resource;


import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;

import com.xqc.entity.Blogger;
import com.xqc.service.BloggerService;

/**
 * 自定義Realm
 *
 */
public class MyRealm extends AuthorizingRealm{

    @Resource
    private BloggerService bloggerService;
    
    /**
     * 為當限前登錄的用戶授予角色和權
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        return null;
    }

    /**
     * 驗證當前登錄的用戶
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        String userName=(String)token.getPrincipal();
        Blogger blogger=bloggerService.getByUserName(userName);
        if(blogger!=null){
            SecurityUtils.getSubject().getSession().setAttribute("currentUser", blogger); // 當前用戶信息存到session中
            AuthenticationInfo authcInfo=new SimpleAuthenticationInfo(blogger.getUserName(),blogger.getPassword(),"xx");
            return authcInfo;
        }else{
            return null;                
        }
    }

}

6：並用工具類進行加鹽

package com.xqc.util;

import org.apache.shiro.crypto.hash.Md5Hash;

/**
 * 加密工具
 *
 */
public class CryptographyUtil {
    
    /**
     * Md5加密
     * @param str
     * @param salt
     * @return
     */
    public static String md5(String str,String salt){
        return new Md5Hash(str,salt).toString();
    }

    
}

 分角色賦予不同的權利啦！分角色回顯不同的信息啦！