基於URL的權限管理方法

一、權限管理

1.1什么是權限管理

基本上涉及到用戶參與的系統都要進行權限管理，權限管理屬於系統安全的范疇，權限管理實現對用戶訪問系統的控制，按照安全規則或者安全策略控制用戶可以訪問而且只能訪問自己被授權的資源。

權限管理包括用戶身份認證和授權兩部分，簡稱認證授權。對於需要訪問控制的資源用戶首先經過身份認證，認證通過后用戶具有該資源的訪問權限方可訪問。

1.2認證

關鍵對象

Subject：主體

訪問系統的用戶，主體可以是用戶、程序等，進行認證的都稱為主體；

Principal：身份信息

是主體（subject）進行身份認證的標識，標識必須具有唯一性，如用戶名、手機號、郵箱地址等，一個主體可以有多個身份，但是必須有一個主身份（Primary Principal）。

credential：憑證信息

是只有主體自己知道的安全信息，如密碼、證書等。

1.3 授權

關鍵對象

授權可簡單理解為who對what(which)進行How操作：

Who即主體（Subject），主體需要訪問系統中的資源。

What即資源（Resource），如系統菜單、頁面、按鈕、類方法、系統商品信息等。資源包括資源類型和資源實例，比如商品信息為資源類型，類型為t01的商品為資源實例，編號為001的商品信息也屬於資源實例。

How權限/許可（Permission），規定了主體對資源的操作許可，權限離開資源沒有意義，如用戶查詢權限、用戶添加權限、某個類方法的調用權限、編號為001用戶的修改權限等，通過權限可知主體對哪些資源都有哪些操作許可。

權限分為粗顆粒和細顆粒，粗顆粒權限是指對資源類型的權限，細顆粒權限是對資源實例的權限。

1.4訪問控制

  基於角色的訪問控制

RBAC基於角色的訪問控制（Role-Based Access Control）是以角色為中心進行訪問控制。

基於資源的訪問控制

RBAC基於資源的訪問控制（Resource-Based Access Control）是以資源為中心進行訪問控制。

二、權限管理解決方案

2.1基於url攔截

基於url攔截是企業中常用的權限管理方法，實現思路是：將系統操作的每個url配置在權限表中，將權限對應到角色，將角色分配給用戶，用戶訪問系統功能通過Filter進行過慮，過慮器獲取到用戶訪問的url，只要訪問的url是用戶分配角色中的url則放行繼續訪問。

如下圖：

2.1.1 activeUser用戶身份類

用戶登陸成功記錄activeUser信息並將activeUser存入session。

public class ActiveUser implements java.io.Serializable {
    private String userid;//用戶id
    private String usercode;// 用戶賬號
    private String username;// 用戶名稱

    private List<SysPermission> menus;// 菜單
    private List<SysPermission> permissions;// 權限

2.1.2anonymousURL.properties

anonymousURL.properties公開訪問地址，無需身份認證即可訪問。

2.1.3commonURL.properties

commonURL.properties公共訪問地址，身份認證通過無需分配權限即可訪問。

2.1.4用戶身份認證攔截器

使用springmvc攔截器對用戶身份認證進行攔截，如果用戶沒有登陸則跳轉到登陸頁面，本功能也可以使用filter實現 。

public class LoginInterceptor implements HandlerInterceptor {

    // 在進入controller方法之前執行
    // 使用場景：比如身份認證校驗攔截，用戶權限攔截，如果攔截不放行，controller方法不再執行
    @Override
    public boolean preHandle(HttpServletRequest request,
            HttpServletResponse response, Object handler) throws Exception {

        // 校驗用戶訪問是否是公開資源地址(無需認證即可訪問)
        List<String> open_urls = ResourcesUtil.gekeyList("anonymousURL");

        // 用戶訪問的url
        String url = request.getRequestURI();
        for (String open_url : open_urls) {
            if (url.indexOf(open_url) >= 0) {
                // 如果訪問的是公開 地址則放行
                return true;
            }
        }

        // 校驗用戶身份是否認證通過
        HttpSession session = request.getSession();
        ActiveUser activeUser = (ActiveUser) session.getAttribute("activeUser");
        if (activeUser != null) {
            // 用戶已經登陸認證，放行
            return true;
        }
        // 跳轉到登陸頁面
        request.getRequestDispatcher("/WEB-INF/jsp/login.jsp").forward(request,
                response);
        return false;
    }

2.1.5 用戶授權攔截器

使用springmvc攔截器對用戶訪問url進行攔截，如果用戶訪問的url沒有分配權限則跳轉到無權操作提示頁面（refuse.jsp），本功能也可以使用filter實現。

public class PermissionInterceptor implements HandlerInterceptor {

    // 在進入controller方法之前執行
    // 使用場景：比如身份認證校驗攔截，用戶權限攔截，如果攔截不放行，controller方法不再執行
    // 進入action方法前要執行
    @Override
    public boolean preHandle(HttpServletRequest request,
            HttpServletResponse response, Object handler) throws Exception {
        // TODO Auto-generated method stub
        // 用戶訪問地址：
        String url = request.getRequestURI();

        // 校驗用戶訪問是否是公開資源地址(無需認證即可訪問)
        List<String> open_urls = ResourcesUtil.gekeyList("anonymousURL");
        // 用戶訪問的url
        for (String open_url : open_urls) {
            if (url.indexOf(open_url) >= 0) {
                // 如果訪問的是公開 地址則放行
                return true;
            }
        }
        //從 session獲取用戶公共訪問地址（認證通過無需分配權限即可訪問）
        List<String> common_urls = ResourcesUtil.gekeyList("commonURL");
        // 用戶訪問的url
        for (String common_url : common_urls) {
            if (url.indexOf(common_url) >= 0) {
                // 如果訪問的是公共地址則放行
                return true;
            }
        }
        // 從session獲取用戶權限信息

        HttpSession session = request.getSession();

        ActiveUser activeUser = (ActiveUser) session.getAttribute("activeUser");

        // 取出session中權限url
        // 獲取用戶操作權限
        List<SysPermission> permission_list = activeUser.getPermissions();
        // 校驗用戶訪問地址是否在用戶權限范圍內
        for (SysPermission sysPermission : permission_list) {
            String permission_url = sysPermission.getUrl();
            if (url.contains(permission_url)) {
                return true;
            }
        }

        // 跳轉到頁面
        request.getRequestDispatcher("/WEB-INF/jsp/refuse.jsp").forward(
                request, response);
        return false;
    }

2.2用戶登陸

用戶輸入用戶賬號和密碼登陸，登陸成功將用戶的身份信息（用戶賬號、密碼、權限菜單、權限url等）記入activeUser類，並寫入session。

2.2.1controller

//用戶登陸提交
    @RequestMapping("/loginsubmit")
    public String loginsubmit(HttpSession session,String usercode,String password,String randomcode) throws Exception{

        //校驗驗證碼
        //從session獲取正確的驗證碼
        String validateCode = (String)session.getAttribute("validateCode");
        if(!randomcode.equals(validateCode)){
            //拋出異常：驗證碼錯誤
            throw new CustomException("驗證碼 錯誤 ！");
        }
        //用戶身份認證
        ActiveUser activeUser = sysService.authenticat(usercode, password);
        
        //記錄session
        session.setAttribute("activeUser", activeUser);
        
        return "redirect:first.action";
    }

2.2.3 service接口

    public ActiveUser authenticat(String usercode, String password)
            throws Exception;

    // 根據賬號查詢用戶
    public SysUser findSysuserByUsercode(String usercode) throws Exception;

    // 根據用戶id獲取權限
    public List<SysPermission> findSysPermissionList(String userid)
            throws Exception;

    // 根據用戶id獲取菜單
    public List<SysPermission> findMenuList(String userid) throws Exception;