权限控制的方式

从类别上分,有两大类: 
- 认证:你是谁?–识别用户身份。 
- 授权:你能做什么?–限制用户使用的功能。

权限的控制级别

从控制级别(模型)上分: 
- URL级别-粗粒度 
- 方法级别-细粒度 
- 页面级别-自定义标签(显示) 
- 数据级别-最细化的(数据)

URL级别的权限控制-粗粒度

在web.xml中配置一个过滤器filter,在过滤器中,对请求的地址进行解析,字符串截取: 
url.substring()…把上下文前面的路径都截取掉,剩下user_login.action。 
过滤器代码: 
以通过查询数据库,来判断,当前登录用户,是否可以访问user_login.action。 
url级别控制,每次请求过程中只控制一次 ,相比方法级别权限控制 是粗粒度的 !URL级别权限控制,基于Filter实现。

方法级别的权限控制-细粒度

aop面向切面的编程,在方法执行之前,进行权限判断,如果没有权限,抛出异常,终止方法的继续运行。 
自定义注解 在需要权限控制方法上, 添加需要的权限信息 
代理 (Spring AOP ),在目标方法运行时 进行增强 ,通过反射技术获取目标方法上注解中权限 , 查询数据库获取当前登陆用户具有权限,进行比较。 
相比URL级别权限控制, 可以控制到服务器端执行的每个方法,一次请求中可以控制多次。

页面(显示)级别的权限控制-自定义标签

页面显示的权限控制,通常是通过 自定义标签来实现

数据级别的权限控制

在每条数据上增加一个字段,该字段记录了权限的值。数据和权限绑定。 
代码,你在查询数据的时候,需要去权限和用户对应表中,通过当前登录用户的条件,查询出你的数据权限。然后再将数据权限作为一个条件,放到业务表中进行查询。从而限制了数据的访问。

权限系统的数据表设计

  • 资源:用户要访问的目标,通常是服务中的程序或文件
  • 权限:用户具有访问某资源的能力
  • 角色:权限的集合,为了方便给用户授权。
  • 用户:访问系统的’人’。

表对象实体: 
- 用户(User)表:访问系统的用户,比如用户登录要用 
- 权限(Function)表:系统某个功能允许访问而对应的权限 
- 角色(Role)表:角色是权限的集合(权限组),方便用户授权。

表对象之间的关系: 
- 用户和角色关系表:一个用户对应N个角色,一个角色可以授予N个用户—》多对多关系 
- 角色和权限关系表:一个角色包含N个权限,一个权限可以属于N个角色—》多对多关系

完整的权限相关表: 
URL级别权限控制包含:资源表、权限表、角色表、用户表,以及相关关系(都是多对多),共7张表。 
方法级别的权限控制包含:功能权限、角色、用户,以及相关关系(都是多对多),共5张表。

但Apache Shiro框架支持的URL级别权限控制,是将资源和资源权限对应关系配置到了配置文件中,不需要表的支撑,只需要5张表了。

Apache Shiro权限控制

Apache Shiro 可以不依赖任何技术使用, 可以直接和web整合,通常在企业中和Spring 结合使用。

Authentication: 认证 — 用户登录 
Authorization : 授权 —- 功能权限管理

通过引入Maven坐标导入shiro

官方建议:不推荐直接引入shiro-all,依赖比较多,原因怕有jar冲突。官方推荐根据需要单独导入jar。

Shiro基本原理

Shiro的框架的体系结构: 

Shiro权限控制流程的原理: 

  • 应用代码 —- 调用Subject (shiro的Subject 就代表当前登陆用户) 控制权限 —- Subject 在shiro框架内部 调用 Shiro SecurityManager 安全管理器 —– 安全管理器调用 Realm (程序和安全数据连接器 )。
  • Subject要进行任何操作,都必须要调用安全管理器(对我们来说是自动的)。 
    而安全管理器会调用指定的Realms对象,来连接安全数据。
  • Realms用来编写安全代码逻辑和访问安全数据,是连接程序和安全数据的桥梁。

URL级别的权限控制

配置整合和url级别认证

配置过滤器web.xml:放在struts的前端控制器之前配置,但放在openEntitymanage之后。

    <!-- shiro权限过滤器 -->
        <filter>
            <!-- 这里的 filter-name 要和 spring 的 applicationContext-shiro.xml 里的 org.apache.shiro.spring.web.ShiroFilterFactoryBean 
                的 bean name 相同 -->
            <filter-name>shiroSecurityFilter</filter-name>
            <!-- spring的代理过滤器类:以前的过滤器 -->
            <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
            <init-param>
                <!-- 该值缺省为false,表示生命周期由SpringApplicationContext管理,设置为true则表示由ServletContainer管理 -->    
                <param-name>targetFilterLifecycle</param-name>
                <param-value>true</param-value>
            </init-param>
        </filter>
        <filter-mapping>
            <filter-name>shiroSecurityFilter</filter-name>
            <url-pattern>/*</url-pattern>
        </filter-mapping>

配置ApplicationContext.xml:(shiro权限控制过滤器+ shiro安全管理器)

        <!-- shiro权限控制过滤器bean -->
        <bean id="shiroSecurityFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
            <!-- shiro 的核心安全接口 -->
            <property name="securityManager" ref="securityManager" />
            <!-- 要求登录时的链接 -->
            <property name="loginUrl" value="/login.jsp" />
            <!-- 登陆成功后要跳转的连接 -->
            <property name="successUrl" value="/index.jsp" />
            <!-- 未授权时要跳转的连接,权限不足的跳转路径 -->
            <property name="unauthorizedUrl" value="/unauthorized.jsp" />
            <!-- shiro 连接约束配置(URL级别的权限控制),即URL和filter的关系,URL控制规则:路径=规则名 -->
            <property name="filterChainDefinitions">
                <value>
                    <!--按需求配置-->
                    /login.jsp = anon
                    /validatecode.jsp = anon
                    /js/** = anon
                    /css/** = anon
                    /images/** = anon
                    /user_login.action* = anon
                    /page_base_staff.action = anon
                    /page_base_region.action = perms["user"]
                    /page_base_subarea.action = roles["operator"]
                    /** = authc
                </value>
            </property>
        </bean>
        <!-- shiro安全管理器 -->
        <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
            <!-- 注入 Realm连接安全数据-->
        </bean>

配置shiroFilter 其实是一个过滤器链,含有10个Filter(校验功能)。

常用: 
认证 
- anon不用认证(登录)就能访问(单词注意大小写) 
- authc: 需要认证(登录)才能使用,例如/admins/user/**=authc,没有参数。 
授权: 
- perms:需要拥有某权限才能使用,如具体允许的权限:/page_base_region.action =perms[“user”],如果要访问该action,当前登录用户必须拥有user名字的权限。 
- roles:需要拥有某角色才能使用,如具体允许的角色:/page_base_subarea.action = roles[“operator”]如果要访问该action,当前用户必须拥有operator权限。

用户认证(登录)—自定义Realm

Shiro实现登录逻辑 
用户输入用户名和密码 —- 应用程序调用Subject的login方法 —- Subject 调用SecurityManager的方法 —- SecurityManager 调用Realm的认证方法 —- 认证方法根据登录用户名查询密码 ,返回用户的密码 —- SecurityManager 比较用户输入的密码和真实密码是否一致 。

编写Shiro的认证登录逻辑

        @Action(value="user_login",results={@Result(name=SUCCESS,type="redirect",location="/index.jsp"),@Result(name=LOGIN,location="/login.jsp")})
        @InputConfig(resultName="login")
        public String login() throws Exception {        
            //shrio:登陆逻辑
            //获取认证对象的包装对象
            Subject subject = SecurityUtils.getSubject();

            //获取一个认证的令牌:
            //直接获取页面的用户和密码进行校验
            AuthenticationToken authenticationToken = new UsernamePasswordToken(model.getUsername(),MD5Utils.md5(model.getPassword()));
            //认证过程
            try {
                // 如果成功,就不抛出异常,会自动将用户放入session的一个属性
                subject.login(authenticationToken);
                //成功,返回首页
                return SUCCESS;
            }catch(UnknownAccountException e){
                //用户名错误
                addActionError(getText("UserAction.usernamenotfound"));
                //返回登陆页面
                return LOGIN;
            }catch (IncorrectCredentialsException e) {
                //密码错误
                addActionError(getText("UserAction.passwordinvalid"));
                //返回登陆页面
                return LOGIN;
            }
            catch (AuthenticationException e) {
                //认证失败
                e.printStackTrace();
                //页面上进行提示
                addActionError(getText("UserAction.loginfail"));
                //返回登陆页面
                return LOGIN;
            }
        }

编写Realm,给SecurityManager提供

JdbcRealm和jndiLdapRealm,直接连接jdbc或jndi或ldap。 
相当于dao和reaml整合了,能直接读取数据库,逻辑代码都实现好了。

        /**
         *  实现认证和授权功能
         *自定义的realm,作用从数据库查询数据,并返回数据库认证的信息
         */
        @Component("bosRealm")
        public class BosRealm extends AuthorizingRealm{

            //注入ehcache的缓存区域
            @Value("BosShiroCache")//注入缓存具体对象的名字,该名字在ehcache.xml中配置的
            public void setSuperAuthenticationCacheName(String authenticationCacheName){
                super.setAuthenticationCacheName(authenticationCacheName);
            }

            //注入service
            @Autowired
            private UserService userService;

            //注入角色dao
            @Autowired
            private RoleDao roleDao;

            //注入功能的dao
            @Autowired
            private FunctionDao functionDao;

            //授权方法:获取用户的权限信息
            //授权:回调方法
            //如果返回null,说明没有权限,shiro会自动跳到<property name="unauthorizedUrl" value="/unauthorized.jsp" />
            //如果不返回null,根据配置/page_base_subarea.action = roles["weihu"],去自动匹配
            //给授权提供数据的
            @Override
            protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {

                //给当前用户授权的权限(功能权限、角色)
                SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
                //两种方式:
                //方式1:工具类来获取(首长-)
        //      User user=(User)SecurityUtils.getSubject().getPrincipal();
                //方式2:通过参数获取首长(推荐)
                User user = (User) principals.getPrimaryPrincipal();

                //实际:需要根据当前用户的角色和功能权限来构建一个授权信息对象,交给安全管理器

                if (user.getUsername().equals("admin")) {
                    //如果是超级管理员
                    //查询出所有的角色,给认证信息对象
                    List<Role> roleList = roleDao.findAll();
                    for (Role role : roleList) {
                        authorizationInfo.addRole(role.getCode());
                    }
                    //查询出所有的功能权限,给认证对象
                    List<Function> functionList = functionDao.findAll();
                    for (Function function : functionList) {
                        authorizationInfo.addStringPermission(function.getCode());
                    }
                } else {
                    //如果是普通用户
                    List<Role> roleList = roleDao.findByUsers(user);
                    for (Role role : roleList) {
                        authorizationInfo.addRole(role.getCode());
                        //导航查询,获取某角色的拥有的功能权限
                        Set<Function> functions = role.getFunctions();
                        for (Function function : functions) {
                            authorizationInfo.addStringPermission(function.getCode());
                        }
                    }
                }

                return authorizationInfo;//将授权信息交给安全管理器接口。
            }

            //认证:回调,认证管理器会将认证令牌放到这里(action层的令牌AuthenticationToken)
            //发现如果返回null,抛出用户不存在的异常UnknownAccountException
            @Override
            protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
                //用户名密码令牌(action传过来)
                UsernamePasswordToken upToken = (UsernamePasswordToken) token;
                //调用业务层来查询(根据用户名来查询用户,无需密码)
                User user = userService.findByUsername(upToken.getUsername());
                //判断用户是否存在
                if (user == null) {
                    //用户不存在
                    return null;//抛出异常
                } else {
                    //用户名存在
                    //参数1:用户对象,将来要放入session,数据库查询出来的用户
                    //参数2:凭证(密码):密码校验:校验的动作交给shiro
                    //参数3:当前使用的Realm在Spring容器中的名字(bean的名字,自动在spring容器中寻找)
                    SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(user, user.getPassword(), super.getName());
                    return authenticationInfo;//密码校验失败,会自动抛出IncorrectCredentialsException
                }
            }

        }

ApplicatonContext.xml:

    <!-- service需要spring扫描 -->
    <context:component-scan base-package="cn.aric.bos.service,cn.aric.bos.web,cn.aric.bos.auth.realm" />

    <!-- shiro安全管理器 -->
    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
        <!-- 注入 Realm连接安全数据-->
        <property name="realm" ref="bosRealm"></property>
        <!-- 注入shiro的缓存管理器 -->
        <property name="cacheManager" ref="shiroCacheManager"/>
    </bean>

用户认证(退出)以及修改密码

        /**
         * 用户退出登录
         * @return
         * @throws Exception
         */
        @Action(value="user_logout",results={@Result(name=LOGIN,type="redirect",location="/login.jsp")})
        public String logout() throws Exception {       
            //shiro退出
            Subject subject = SecurityUtils.getSubject();
            subject.logout();
            //跳转登陆页面
            return LOGIN;
        }

        /**
         * 用户修改密码
         * @return
         * @throws Exception
         */
    //  @Action(value="user_editPassword",results={@Result(name=JSON,type=JSON)})
        @Action("user_editPassword")
        public String editPassword() throws Exception {
            //获取Principal就是获取当前用户
            User loginUser = (User) SecurityUtils.getSubject().getPrincipal();
            model.setId(loginUser.getId());

            //页面结果
            HashMap<String,Object> resultMap = new HashMap<String,Object>();
            try {
                //调用service进行修改密码
                userService.updateUserPassword(model);
                //修改成功
                resultMap.put("result", true);
            } catch (Exception e) {
                e.printStackTrace();
                //修改失败
                resultMap.put("result", false);
            }
            //将结果压入栈顶
            ActionContext.getContext().getValueStack().push(resultMap);
            //转换为json
            return JSON;
        }

用户授权(授权)—自定义Ream

数据库数据添加,applicationContext.xml配置

        <property name="filterChainDefinitions">
            <value>
                /login.jsp = anon
                /validatecode.jsp = anon
                /js/** = anon
                /css/** = anon
                /images/** = anon
                /user_login.action = anon
                /page_base_staff.action = anon
                /page_base_region.action = perms["region"]
                /page_base_subarea.action = roles["weihu"]
                /page_qupai_noticebill_add.action = perms["noticebill"]
                /page_qupai_quickworkorder.action = roles["kefu"]
                /** = authc
            </value>
        </property>
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16

代码在上面的BosRealm的中,protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) 
RoleDao省略。

方法级别的权限控制

启用Shiro注解

需要 Shiro 的 Spring AOP 集成来扫描合适的注解类以及执行必要的安全逻辑。 
ApplicationContext.xml

        <!-- 开启权限控制的注解功能并且配置aop -->
        <!-- 后处理器:通过动态代理在某bean实例化的前增强。:自己去找权限注解 -->
        <bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>
        <!-- 切面自动代理:相当于以前的AOP标签配置 
        advisor:切面 advice:通知
        -->
        <bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator" 
        depends-on="lifecycleBeanPostProcessor">

        </bean>

        <!-- Advisor切面配置:授权属性的切面 -->
        <bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
            <!-- 注入安全管理器 -->
            <property name="securityManager" ref="securityManager"/>
        </bean>
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16

在需要权限控制的目标方法上面使用shiro的注解: 
@RequiresAuthentication 需要用户登录 
subject.isAuthenticated() 必须返回true 
@ RequiresUser 
subject.isAuthenticated() 返回true 或者subject.isRemembered() 返回true 
“Remember Me”服务: 
认证机制 基于 session 
被记忆机制 基于 cookie (subject.isAuthenticated() 返回 false )

@ RequiresGuest 与 @RequiresUser 相反,不能认证也不能被记忆。 
@ RequiresRoles 需要角色 
@RequiresPermissions 需要权限

异常

动态代理异常

解决方案: 
配置ApplicationContext.xml,设置代理为cglib代理(对目标类代理)

        <!-- 切面自动代理:相当于以前的AOP标签配置 -->
        <bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator" 
        depends-on="lifecycleBeanPostProcessor" >
            <!-- 设置aop的代理使用CGLIB代理 -->
            <property name="proxyTargetClass" value="true"/>
        </bean>
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6

方案二:

<aop:config proxy-target-class="true" />
  • 1

类型转换异常

解决方案:递归向上寻找泛型的类型。

    //递归向上 查找
        Class actionClass =this.getClass();
        //向父类递归寻找泛型
        while(true){
            //得到带有泛型的类型,如BaseAction<Userinfo>
            Type type = actionClass.getGenericSuperclass();

            if(type instanceof ParameterizedType){
                //转换为参数化类型
                ParameterizedType parameterizedType = (ParameterizedType) type;
                //获取泛型的第一个参数的类型类,如Userinfo
                Class<T> modelClass = (Class<T>) parameterizedType.getActualTypeArguments()[0];
                //实例化模型对象
                try {
                    model=modelClass.newInstance();
                } catch (InstantiationException e) {
                    e.printStackTrace();
                } catch (IllegalAccessException e) {
                    e.printStackTrace();
                }
                break;
            }
            //寻找父类
            actionClass=actionClass.getSuperclass();

        }

空指针异常

解决方案1:使用public 的Setter方法上的注解直接注入Service。 

SubareaAction:

        //注入service
        private SubareaService subareaService;
        @Autowired
        public void setSubareaService(SubareaService subareaService) {
            this.subareaService = subareaService;
        }

解决方案2: 
@Autowire还放到私有声明上, 
在struts.xml中覆盖常量(开启自动装配策略): 
值默认是false,struts2默认注入采用的是构造器注入(从spring中寻找的bean) 
改成true,struts2会采用setter方法注入

页面标签(实现页面内容定制显示)

        <!-- 引入Shiro标签 -->
        <%@ taglib uri="http://shiro.apache.org/tags" prefix="shiro"%>

页面拿Session中的user对象: 代表user对象。

程序中拿Session中的user对象:SecurityUtils.getSubject().getPrincipal()

资源通配符和权限通配符可便捷开发。

代码级别

使用代码编程的方式,直接在程序中使用Subject对象,调用内部的一些API。(有代码侵入)

    //代码级别的权限控制(授权):功能权限和角色权限:两套机制:boolean判断,异常判断
        //授权的权限控制
        //====布尔值判断
        //功能权限
        if(subject.isPermitted("staff")){
            //必须拥有staff功能权限才能执行代码
            System.out.println("我是一段代码。。。。。");
        }
        //角色权限
        if(subject.hasRole("weihu")){
            //必须拥有staff功能权限才能执行代码
            System.out.println("我是一段代码。。。。。");
        }
        //====异常判断
        //功能权限
        try {
            subject.checkPermission("staff");
            //有权限
        } catch (AuthorizationException e) {
            // 没权限
            e.printStackTrace();
        }
        //角色权限
        try {
            subject.checkRole("weihu");
            //有权限
        } catch (AuthorizationException e) {
            // 没权限
            e.printStackTrace();
        }
posted on 2018-08-30 10:48  SUNSHINEC  阅读(1013)  评论(0编辑  收藏  举报