一、权限管理
1.1 什么是权限管理
不同身份的用户进入到系统所能够完成的操作是不相同的,我们对不同用户进行的可执行的操作的管理称之为权限管理
1.2 如何实现权限管理
权限管理设计
-
基于主页的权限管理(不同用户使用不同的主页,权限通过主页功能菜单进行限制)
-
适用于权限管理比较单一、用户少、每类用户权限固定
用户表添加state字段,控制用户的权限
-
-
基于用户和权限的权限管理
-
可以实现权限的动态分配,但不够灵活
三张表:用户表、权限表、用户权限表
-
-
基于角色的访问控制(RBAC)
五张表:用户表、角色表、权限表、用户角色表、角色权限表
二、安全框架简介
2.1 认证授权流程
认证:对用户的身份进行检查(登录验证)
授权:对用户的权限进行检查(是否有对应的操作权限)
2.2 安全框架
帮助我们完成用户身份认证及权限检查功能框架
-
常用的安全框架:
Shiro:Apache Shiro 是一个功能强大且易用的Java安全框架(小而简单)
Spring Security:基于Spring的一个安全框架,依赖Spring
OAuth2:第三方授权登录
自定义安全认证
三、Shiro工作原理
可以完成用户认证、授权、密码以及会话管理,可以在任何的应用系统中使用(主要针对单体项目的权限管理)
3.1 Shiro的核心功能
Authentication认证:验证用户是否有相应的身份——登录认证Authorization授权:权限验证,对已经通过认证的用户检查是否具有某个权限或者角色,从而控制是否能够进行某种操作Session Management会话管理:用户在认证成功之后创建会话,在没有退出之前,当前用户的所有信息都会保存在这个会话中,可以是普通的JavaSE应用,也可以是Web应用Cryptography加密:对敏感信息进行加密处理,Shiro提供了这种加密机制-
支持的特性:
Web Support —— Shiro提供了过滤器,可以通过过滤器拦截Web请求来处理Web应用的访问控制
Caching 缓存支持,Shiro可以缓存用户信息以及用户的角色权限信息,可以提高执行效率
Concurrency —— Shiro 支持多线程应用
Testing 提供测试支持
Run As 允许一个用户以另一种身份去访问
Remeber Me 记住我(保存登录状态)
说明:Shiro是一个安全框架,不提供用户及权限的维护(用户的权限管理需要我们自己去设计)
3.2 Shiro核心组件
-
Shiro三大核心组件:Subject、Security Mannager、Realms
Subject:待认证和授权的用户
-
Security Mannager:Shiro框架的核心,通过Security Mannager来进行内部实例的管理,并通过它来提供安全管理的各种服务
Authenticator:认证器
Anthorizer:授权器
SessionManager:会话管理器
CacheManager:缓存管理器
Realms:相当于Shiro进行认证和授权的数据源,充当了Shiro与安全数据之间的”桥梁“或者”连接器“,也就是说,当用户进行认证(登录)和授权(访问控制)验证时,Shiro会应用配置的Realm中查找用户及其权限信息
四、基于JavaSE使用
4.1 创建Maven项目
4.2 导入Shiro依赖
<dependencies>
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-core</artifactId>
<version>1.4.1</version>
</dependency>
</dependencies>
4.3 创建Shiro配置文件
在resource目录下创建shiro.ini文件
[users];用户与角色
zhangsan=123456,seller
lisi=66666,ckmgr
admin=222222
[roles];角色与权限
admin=*
seller=order-add,order-del,order-list
ckmgr=ck-add,ck-del,ck-list
4.4 Shiro的基本使用
public class TestShiro {
public static void main(String[] args) {
Scanner scanner = new Scanner(System.in);
System.out.println("请输入账号");
String username = scanner.nextLine();
System.out.println("请输入密码");
String password = scanner.nextLine();
//1.创建安全管理器
DefaultSecurityManager securityManager = new DefaultSecurityManager();
//2.创建Realm
IniRealm realm = new IniRealm("classpath:shiro.ini");
//3.将Realm设置给安全管理器
securityManager.setRealm(realm);
//4.将Realm设置给SecurityUtils工具
SecurityUtils.setSecurityManager(securityManager);
//5.通过SecurityUtils工具类获取subject对象
Subject subject = SecurityUtils.getSubject();
//[认证流程]
//a.将认证账号和密码封装到token对象中
UsernamePasswordToken token = new UsernamePasswordToken(username,password);
//b.通过subject对象调用Login方法进行认证申请
try{
subject.login(token);
}catch (IncorrectCredentialsException e){
System.out.println("登录失败");
}
//[授权]
//a.判断是否有某个角色
boolean hasRole = subject.hasRole("seller");
//b.判断是否有某个权限
boolean permitted = subject.isPermitted("order-del");
}
}
五、基于SpringBoot使用
5.1 创建SpringBoot应用
- lombok
- spring web
- thymeleaf
5.2 整合Druid和MyBatis
-
依赖
<dependency> <groupId>mysql</groupId> <artifactId>mysql-connector-java</artifactId> <version>5.1.47</version> </dependency> <dependency> <groupId>com.alibaba</groupId> <artifactId>druid-spring-boot-starter</artifactId> <version>1.1.10</version> </dependency> <dependency> <groupId>org.mybatis.spring.boot</groupId> <artifactId>mybatis-spring-boot-starter</artifactId> <version>2.1.0</version> </dependency> -
配置
spring: datasource: druid: url: jdbc:mysql://localhost:3305/test?characterEncoding=utf-8 # MySQL如果是8.x:com.mysql.cj.jdbc.Driver driver-class-name: com.mysql.jdbc.Driver username: root password: ***** initial-size: 1 min-idle: 1 max-active: 20 mybatis: type-aliases-package: com.demo.beans mapper-locations: classpath:mappers/*Mapper.xml
5.3 整合Shiro
-
导入依赖
<dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.4.1</version> </dependency> <!--shiro-spring中包含filter过滤器组件--> -
配置
anon 匿名用户可访问authc 认证用户可访问- user 使用RemeberMe用户可访问
- perms 对应权限用户可访问
- role 对应角色用户可访问
@Configuration public class ShiroConfig { @Bean public IniRealm getRealm(){ IniRealm realm = new IniRealm("classpath:shiro.ini"); return realm; } @Bean public DefaultWebSecurityManager getDefaultWebSecurityManager(IniRealm realm){ DefaultWebSecurityManager webSecurityManager = new DefaultWebSecurityManager(); //securityManager完成校验,需要realm webSecurityManager.setRealm(realm); return webSecurityManager; } @Bean public ShiroFilterFactoryBean getShiroFilter(DefaultWebSecurityManager webSecurityManager){ ShiroFilterFactoryBean shiroFilter = new ShiroFilterFactoryBean(); //过滤器就是shiro执行权限校验的核心,进行认证和授权需要SecurityManager shiroFilter.setSecurityManager(webSecurityManager); //设置shiro的拦截规则 Map<String,String> filterMap = new HashMap<>(); filterMap.put("/","anon"); filterMap.put("/login.html","anon"); filterMap.put("/regist.html","anon"); filterMap.put("/user/login","anon"); filterMap.put("/user/regist","anon"); filterMap.put("/static/**","anon"); filterMap.put("/**","authc"); shiroFilter.setFilterChainDefinitionMap(filterMap); shiroFilter.setLoginUrl("/login.html"); //设置未授权访问的页面路径 shiroFilter.setUnauthorizedUrl("/login.html"); return shiroFilter; } } -
认证测试
-
UserServiceImpl
public class UserServiceImpl { public void checkLogin(String userName,String userPwd){ Subject subject = SecurityUtils.getSubject(); UsernamePasswordToken token = new UsernamePasswordToken(userName,userPwd); subject.login(token); } } -
UserController
public class UserController { @Autowired UserServiceImpl userService; @RequestMapping("login") public String login(String userName,String passWord){ try { userService.checkLogin(userName,passWord); System.out.println("——————————————————登录成功——————————————————"); return "index"; } catch (Exception e) { System.out.println("——————————————————登录失败——————————————————"); return "login"; } } } -
login.html
<!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title></title> </head> <body> login <hr/> <form action="/user/login"> <p>账号:<input type="text" name="userName"/></p> <p>密码:<input type="text" name="passWord"/></p> <p><input type="submit" value="登录"/></p> </form> </body> </html>
-
