网站后台系统权限部分实现

　　基本上所有网站都有后台管理系统。系统根据业务划分成不同的系统角色。而每个角色肯定是拥有着不同的权限。这个权限就根据登录后功能菜单的多少来体现。

　　那么这是如何实现的呢？

　　在刚开始接触这方面的时候，意识到权限问题，自己随手写的练手项目是将帐号表中设置一个权限字段。比如1代表超级管理员，2代表普通用户种种。用户登录进来的时候，页面里用jstl标签判断权限类型，渲染不同的静态页面。这种方法确实是可行的。但是如果后期需要增加菜单，那么就需要更改代码，或者是增加角色，也需要更改代码。如果后期有一点点变动，都需要重新对代码进行更改。

　　后来，看到了另一个项目，权限是这么实现的。

　　用于角色权限的一般设计有五张表，权限表、角色表、用户表、用户角色表、角色权限表。

　　1.权限表一般设计有 id pid name code zindex page description generatemenu 字段，用来生成菜单树结构。

　　2.角色表用于存储角色类型，如超级管理员角色、普通用户等。

　　3.用户表实际上就是User表，用于存储用户信息。

　　4.用户角色表是角色表和用户表的关联表，多对多的关系。一个角色可对应于多个用户，一个用户也可以对应于多个角色。

　　5.角色权限表是角色表和权限表的关联表，多对多的关系。一个角色拥有多个权限，一个权限也可以被多个角色拥有。

　　如果存在资源表则再加资源表和资源角色表共七张表，不过一般是上述五表。

　　系统菜单一般是怎么实现的呢？

_____________________________________________

　　这里涉及到apache shiro框架。

　　//apache shiro简要介绍　　

　　它的核心功能有：认证、授权、会话管理、加密。

　　l shiro框架认证流程

Application Code：应用程序代码，由开发人员负责开发的

Subject：框架提供的接口，代表当前用户对象

SecurityManager：框架提供的接口，代表安全管理器对象

Realm：可以开发人员编写，框架也提供一些，类似于ＤＡＯ，用于访问权限数据

　　使用过程：

1.maven工程的话，导入依赖

2.web.xml中配置spring整合的过滤器shiroFilter　　对应的class为DelegatingFilterProxy

3.spring中配置bean id为shiroFilter

4.配置安全管理器

5.login方法进行登录认证

6.自定义Realm，并注入给安全管理器

public class BOSRealm extends AuthorizingRealm{

　　@Autowired

　　private IUserDao userDao;

　　//认证方法

　　protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {

　　　　System.out.println("realm中的认证方法执行了。。。。");

　　　　UsernamePasswordToken mytoken = (UsernamePasswordToken)token;

　　　　String username = mytoken.getUsername();

　　　　//根据用户名查询数据库中的密码

　　　　User user = userDao.findUserByUserName(username);

　　　　if(user == null){

　　　　　　//用户名不存在

　　　　　　return null;

　　　　}

　　　　//如果能查询到，再由框架比对数据库中查询到的密码和页面提交的密码是否一致

　　　　AuthenticationInfo info = new SimpleAuthenticationInfo(user, user.getPassword(), this.getName());

　　　　return info;

　　}

　　//授权方法

　　protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {

　　　　// TODO Auto-generated method stub

　　　　return null;

　　}

以上是登录认证（参考黑马视频bos项目文档）

_____________________________________________

而授权是怎么完成的呢？

权限拦截一般有几种方法，上述在spring中根据规则过滤是一种，还有方法注解是一种，页面shiro标签库拦截也是一种。一般使用spring过滤。

路径是这样：用户登录进来后，ztree会根据用户角色查询角色权限表，生成功能菜单树。当进入某一页面时，页面有删除按钮，如果前台页面没有进行判断是否显示，那么点击之后，系统会根据applicationContext.xml配置的过滤规则进行拦截，如果是perms拦截，进入到自定义Realm中，执行授权方法