Shiro学习笔记——(2)前奏-基于url的权限管理
2018-03-30 23:13
513 查看
*注:此章节可跳过
基于url权限管理流程
基于url拦截是企业中常用的权限管理方法,实现思路是:将系统操作的每个url配置在权限表中,将权限对应到角色,将角色分配给用户,用户访问系统功能通过Filter进行过虑,过虑器获取到用户访问的url,只要访问的url是用户分配角色中的url则放行继续访问。
如下图:
`id` varchar(36) NOT NULL COMMENT '主键',
`usercode` varchar(32) NOT NULL COMMENT '账号',
`username` varchar(64) NOT NULL COMMENT '姓名',
`password` varchar(32) NOT NULL COMMENT '密码',
`salt` varchar(64) DEFAULT NULL COMMENT '盐',
`locked` char(1) DEFAULT NULL COMMENT '账号是否锁定,1:锁定,0未锁定',
PRIMARY KEY (`id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8;
角色表CREATE TABLE `sys_role` (
`id` varchar(36) NOT NULL,
`name` varchar(128) NOT NULL,
`available` char(1) DEFAULT NULL COMMENT '是否可用,1:可用,0不可用',
PRIMARY KEY (`id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8;权限表(实质上是权限和资源的结合 )CREATE TABLE `sys_permission` (
`id` bigint(20) NOT NULL COMMENT '主键',
`name` varchar(128) NOT NULL COMMENT '资源名称',
`type` varchar(32) NOT NULL COMMENT '资源类型:menu,button,',
`url` varchar(128) DEFAULT NULL COMMENT '访问url地址',
`percode` varchar(128) DEFAULT NULL COMMENT '权限代码字符串',
`parentid` bigint(20) DEFAULT NULL COMMENT '父结点id',
`parentids` varchar(128) DEFAULT NULL COMMENT '父结点id列表串',
`sortstring` varchar(128) DEFAULT NULL COMMENT '排序号',
`available` char(1) DEFAULT NULL COMMENT '是否可用,1:可用,0不可用',
PRIMARY KEY (`id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8;用户角色表CREATE TABLE `sys_user_role` (
`id` varchar(36) NOT NULL,
`sys_user_id` varchar(32) NOT NULL,
`sys_role_id` varchar(32) NOT NULL,
PRIMARY KEY (`id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8;角色权限表CREATE TABLE `sys_role_permission` (
`id` varchar(36) NOT NULL,
`sys_role_id` varchar(32) NOT NULL COMMENT '角色id',
`sys_permission_id` varchar(32) NOT NULL COMMENT '权限id',
PRIMARY KEY (`id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8;插入样本数据insert into `sys_permission`(`id`,`name`,`type`,`url`,`percode`,`parentid`,`parentids`,`sortstring`,`available`) values (1,'权限','','',NULL,0,'0/','0','1'),(11,'商品管理','menu','/item/queryItem.action',NULL,1,'0/1/','1.','1'),(12,'商品新增','permission','/item/add.action','item:create',11,'0/1/11/','','1'),(13,'商品修改','permission','/item/editItem.action','item:update',11,'0/1/11/','','1'),(14,'商品删除','permission','','item:delete',11,'0/1/11/','','1'),(15,'商品查询','permission','/item/queryItem.action','item:query',11,'0/1/15/',NULL,'1'),(21,'用户管理','menu','/user/query.action','user:query',1,'0/1/','2.','1'),(22,'用户新增','permission','','user:create',21,'0/1/21/','','1'),(23,'用户修改','permission','','user:update',21,'0/1/21/','','1'),(24,'用户删除','permission','','user:delete',21,'0/1/21/','','1');
insert into `sys_role`(`id`,`name`,`available`) values ('ebc8a441-c6f9-11e4-b137-0adc305c3f28','商品管理员','1'),('ebc9d647-c6f9-11e4-b137-0adc305c3f28','用户管理员','1');
insert into `sys_role_permission`(`id`,`sys_role_id`,`sys_permission_id`) values ('ebc8a441-c6f9-11e4-b137-0adc305c3f21','ebc8a441-c6f9-11e4-b137-0adc305c','12'),('ebc8a441-c6f9-11e4-b137-0adc305c3f22','ebc8a441-c6f9-11e4-b137-0adc305c','11'),('ebc8a441-c6f9-11e4-b137-0adc305c3f24','ebc9d647-c6f9-11e4-b137-0adc305c','21'),('ebc8a441-c6f9-11e4-b137-0adc305c3f25','ebc8a441-c6f9-11e4-b137-0adc305c','15'),('ebc9d647-c6f9-11e4-b137-0adc305c3f23','ebc9d647-c6f9-11e4-b137-0adc305c','22'),('ebc9d647-c6f9-11e4-b137-0adc305c3f26','ebc8a441-c6f9-11e4-b137-0adc305c','13');
insert into `sys_user`(`id`,`usercode`,`username`,`password`,`salt`,`locked`) values ('lisi','lisi','李四','bf07fd8bbc73b6f70b8319f2ebb87483','uiwueylm','0'),('zhangsan','zhangsan','张三','cb571f7bd7a6f73ab004a70322b963d5','eteokues','0');
insert into `sys_user_role`(`id`,`sys_user_id`,`sys_role_id`) values ('ebc8a441-c6f9-11e4-b137-0adc305c3f28','zhangsan','ebc8a441-c6f9-11e4-b137-0adc305c'),('ebc9d647-c6f9-11e4-b137-0adc305c3f28','lisi','ebc9d647-c6f9-11e4-b137-0adc305c');
模型:
eclipse 3.7 indigo
技术架构:springmvc+mybatis+jqueryeasyui
操作流程:
用户进行登陆页面
输入用户名和密码进行登陆
进行用户名和密码校验
如果校验通过,在session记录用户身份信息
* 用户身份信息,存入session 由于tomcat将session会序列化在本地硬盘上,所以使用Serializable接口
*
* @author
*
*/
public class ActiveUser implements java.io.Serializable {
private String userid;// 用户id
private String usercode;// 用户账号
private String username;// 用户名称
public String getUsername() {
return username;
}
public void setUsername(String username) {
this.username = username;
}
public String getUsercode() {
return usercode;
}
public void setUsercode(String usercode) {
this.usercode = usercode;
}
public String getUserid() {
return userid;
}
public void setUserid(String userid) {
this.userid = userid;
}
}
认证过程:
根据用户身份(账号)查询数据库,如果查询不到用户不存在
对输入的密码和数据库密码 进行比对,如果一致,认证通过public interface SysService {
/**
*
* <p>Title: authenticat</p>
* <p>Description:用户认证 </p>
* @param usercode 用户账号
* @param password 用户密码
* @return ActiveUser 用户身份信息
* @throws Exception
*/
public ActiveUser authenticat(String usercode, String password)throws Exception;
}
实现类public class SysServiceImpl implements SysService {
@Autowired
private SysUserMapper sysUserMapper;
@Override
public ActiveUser authenticat(String usercode, String password) throws Exception {
// 账号和密码非空校验
// ....
SysUserExample sysUserExample = new SysUserExample();
SysUserExample.Criteria criteria = sysUserExample.createCriteria();
criteria.andUsercodeEqualTo(usercode);
List<SysUser> userList = sysUserMapper.selectByExample(sysUserExample);
if (userL
4000
ist == null || userList.size() <= 0) {
throw new CustomException("账号不存在!");
}
SysUser sysUser = userList.get(0);
// 密码
String password_fromdb = sysUser.getPassword();
// 输入 密码 和数据库密码 比较
if (!password_fromdb.equalsIgnoreCase(new MD5().getMD5ofStr(password))) {
throw new CustomException("账号或密码 错误 !");
}
// 认证通过,返回用户身份
ActiveUser activeUser = new ActiveUser();
activeUser.setUserid(sysUser.getId());
activeUser.setUsername(sysUser.getUsername());
activeUser.setUsercode(sysUser.getUsercode());
return activeUser;
}
}
1、用户实体变化
2、mapper接口:根据用户id查询用户权限的菜单public interface SysPermissionMapperCustom {
//根据用户id获取权限菜单
List<SysPermission> findMenuByUserid(String userid)throws Exception;
}
public List<SysPermission> findSysPermissionList(String userid)
throws Exception {
return sysPermissionMapperCustom.findMenuByUserid(userid);
}
1、用户实体变化
2、mapper接口:根据用户id查询用户权限的url
基于url权限管理流程
基于url拦截是企业中常用的权限管理方法,实现思路是:将系统操作的每个url配置在权限表中,将权限对应到角色,将角色分配给用户,用户访问系统功能通过Filter进行过虑,过虑器获取到用户访问的url,只要访问的url是用户分配角色中的url则放行继续访问。
如下图:
一、搭建环境
(1)数据库
用户表CREATE TABLE `sys_user` (`id` varchar(36) NOT NULL COMMENT '主键',
`usercode` varchar(32) NOT NULL COMMENT '账号',
`username` varchar(64) NOT NULL COMMENT '姓名',
`password` varchar(32) NOT NULL COMMENT '密码',
`salt` varchar(64) DEFAULT NULL COMMENT '盐',
`locked` char(1) DEFAULT NULL COMMENT '账号是否锁定,1:锁定,0未锁定',
PRIMARY KEY (`id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8;
角色表CREATE TABLE `sys_role` (
`id` varchar(36) NOT NULL,
`name` varchar(128) NOT NULL,
`available` char(1) DEFAULT NULL COMMENT '是否可用,1:可用,0不可用',
PRIMARY KEY (`id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8;权限表(实质上是权限和资源的结合 )CREATE TABLE `sys_permission` (
`id` bigint(20) NOT NULL COMMENT '主键',
`name` varchar(128) NOT NULL COMMENT '资源名称',
`type` varchar(32) NOT NULL COMMENT '资源类型:menu,button,',
`url` varchar(128) DEFAULT NULL COMMENT '访问url地址',
`percode` varchar(128) DEFAULT NULL COMMENT '权限代码字符串',
`parentid` bigint(20) DEFAULT NULL COMMENT '父结点id',
`parentids` varchar(128) DEFAULT NULL COMMENT '父结点id列表串',
`sortstring` varchar(128) DEFAULT NULL COMMENT '排序号',
`available` char(1) DEFAULT NULL COMMENT '是否可用,1:可用,0不可用',
PRIMARY KEY (`id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8;用户角色表CREATE TABLE `sys_user_role` (
`id` varchar(36) NOT NULL,
`sys_user_id` varchar(32) NOT NULL,
`sys_role_id` varchar(32) NOT NULL,
PRIMARY KEY (`id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8;角色权限表CREATE TABLE `sys_role_permission` (
`id` varchar(36) NOT NULL,
`sys_role_id` varchar(32) NOT NULL COMMENT '角色id',
`sys_permission_id` varchar(32) NOT NULL COMMENT '权限id',
PRIMARY KEY (`id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8;插入样本数据insert into `sys_permission`(`id`,`name`,`type`,`url`,`percode`,`parentid`,`parentids`,`sortstring`,`available`) values (1,'权限','','',NULL,0,'0/','0','1'),(11,'商品管理','menu','/item/queryItem.action',NULL,1,'0/1/','1.','1'),(12,'商品新增','permission','/item/add.action','item:create',11,'0/1/11/','','1'),(13,'商品修改','permission','/item/editItem.action','item:update',11,'0/1/11/','','1'),(14,'商品删除','permission','','item:delete',11,'0/1/11/','','1'),(15,'商品查询','permission','/item/queryItem.action','item:query',11,'0/1/15/',NULL,'1'),(21,'用户管理','menu','/user/query.action','user:query',1,'0/1/','2.','1'),(22,'用户新增','permission','','user:create',21,'0/1/21/','','1'),(23,'用户修改','permission','','user:update',21,'0/1/21/','','1'),(24,'用户删除','permission','','user:delete',21,'0/1/21/','','1');
insert into `sys_role`(`id`,`name`,`available`) values ('ebc8a441-c6f9-11e4-b137-0adc305c3f28','商品管理员','1'),('ebc9d647-c6f9-11e4-b137-0adc305c3f28','用户管理员','1');
insert into `sys_role_permission`(`id`,`sys_role_id`,`sys_permission_id`) values ('ebc8a441-c6f9-11e4-b137-0adc305c3f21','ebc8a441-c6f9-11e4-b137-0adc305c','12'),('ebc8a441-c6f9-11e4-b137-0adc305c3f22','ebc8a441-c6f9-11e4-b137-0adc305c','11'),('ebc8a441-c6f9-11e4-b137-0adc305c3f24','ebc9d647-c6f9-11e4-b137-0adc305c','21'),('ebc8a441-c6f9-11e4-b137-0adc305c3f25','ebc8a441-c6f9-11e4-b137-0adc305c','15'),('ebc9d647-c6f9-11e4-b137-0adc305c3f23','ebc9d647-c6f9-11e4-b137-0adc305c','22'),('ebc9d647-c6f9-11e4-b137-0adc305c3f26','ebc8a441-c6f9-11e4-b137-0adc305c','13');
insert into `sys_user`(`id`,`usercode`,`username`,`password`,`salt`,`locked`) values ('lisi','lisi','李四','bf07fd8bbc73b6f70b8319f2ebb87483','uiwueylm','0'),('zhangsan','zhangsan','张三','cb571f7bd7a6f73ab004a70322b963d5','eteokues','0');
insert into `sys_user_role`(`id`,`sys_user_id`,`sys_role_id`) values ('ebc8a441-c6f9-11e4-b137-0adc305c3f28','zhangsan','ebc8a441-c6f9-11e4-b137-0adc305c'),('ebc9d647-c6f9-11e4-b137-0adc305c3f28','lisi','ebc9d647-c6f9-11e4-b137-0adc305c');
模型:
(2)开发环境
jdk1.7.0_72eclipse 3.7 indigo
技术架构:springmvc+mybatis+jqueryeasyui
(3)系统工程架构
二、系统登陆
系统 登陆相当 于用户身份认证,用户成功,要在session中记录用户的身份信息.操作流程:
用户进行登陆页面
输入用户名和密码进行登陆
进行用户名和密码校验
如果校验通过,在session记录用户身份信息
(1)用户身份信息
创建专门类用于记录用户身份信息。/*** 用户身份信息,存入session 由于tomcat将session会序列化在本地硬盘上,所以使用Serializable接口
*
* @author
*
*/
public class ActiveUser implements java.io.Serializable {
private String userid;// 用户id
private String usercode;// 用户账号
private String username;// 用户名称
public String getUsername() {
return username;
}
public void setUsername(String username) {
this.username = username;
}
public String getUsercode() {
return usercode;
}
public void setUsercode(String usercode) {
this.usercode = usercode;
}
public String getUserid() {
return userid;
}
public void setUserid(String userid) {
this.userid = userid;
}
}
(2)mapper
mapper接口: 根据用户账号查询用户(sys_user)信息(使用逆向工程生成的mapper)(3)service(进行用户名和密码校验)
接口功能:根据用户的身份和密码 进行认证,如果认证通过,返回用户身份信息认证过程:
根据用户身份(账号)查询数据库,如果查询不到用户不存在
对输入的密码和数据库密码 进行比对,如果一致,认证通过public interface SysService {
/**
*
* <p>Title: authenticat</p>
* <p>Description:用户认证 </p>
* @param usercode 用户账号
* @param password 用户密码
* @return ActiveUser 用户身份信息
* @throws Exception
*/
public ActiveUser authenticat(String usercode, String password)throws Exception;
}
实现类public class SysServiceImpl implements SysService {
@Autowired
private SysUserMapper sysUserMapper;
@Override
public ActiveUser authenticat(String usercode, String password) throws Exception {
// 账号和密码非空校验
// ....
SysUserExample sysUserExample = new SysUserExample();
SysUserExample.Criteria criteria = sysUserExample.createCriteria();
criteria.andUsercodeEqualTo(usercode);
List<SysUser> userList = sysUserMapper.selectByExample(sysUserExample);
if (userL
4000
ist == null || userList.size() <= 0) {
throw new CustomException("账号不存在!");
}
SysUser sysUser = userList.get(0);
// 密码
String password_fromdb = sysUser.getPassword();
// 输入 密码 和数据库密码 比较
if (!password_fromdb.equalsIgnoreCase(new MD5().getMD5ofStr(password))) {
throw new CustomException("账号或密码 错误 !");
}
// 认证通过,返回用户身份
ActiveUser activeUser = new ActiveUser();
activeUser.setUserid(sysUser.getId());
activeUser.setUsername(sysUser.getUsername());
activeUser.setUsercode(sysUser.getUsercode());
return activeUser;
}
}
(4)controller
@Controller public class LoginController { @Autowired private SysService sysService; // 用户登陆提交 @RequestMapping("/loginsubmit") public String loginsubmit(HttpSession session, String usercode, String password, String randomcode) throws Exception { // 校验验证码 // 从session获取正确的验证码 String validateCode = (String) session.getAttribute("validateCode"); if (!randomcode.equals(validateCode)) { // 抛出异常:验证码错误 throw new CustomException("验证码 错误 !"); } // 用户身份认证 ActiveUser activeUser = sysService.authenticat(usercode, password); // 记录session session.setAttribute("activeUser", activeUser); return "redirect:first.action"; } }
三、用户认证拦截器
(1)anonymousURL.properties
配置可以匿名访问的url#此配置文件配置用户无需登录即可操作的地址链接 login.action=系统登录页面 loginsubmit.action=系统登录提交
(2)认证拦截器
public class LoginInterceptor implements HandlerInterceptor { // 在进入controller方法之前执行 // 使用场景:比如身份认证校验拦截,用户权限拦截,如果拦截不放行,controller方法不再执行 @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { // 校验用户访问是否是公开资源地址(无需认证即可访问) List<String> open_urls = ResourcesUtil.gekeyList("anonymousURL"); // 用户访问的url String url = request.getRequestURI(); for (String open_url : open_urls) { if (url.indexOf(open_url) >= 0) { // 如果访问的是公开 地址则放行 return true; } } // 校验用户身份是否认证通过 HttpSession session = request.getSession(); ActiveUser activeUser = (ActiveUser) session.getAttribute("activeUser"); if (activeUser != null) { // 用户已经登陆认证,放行 return true; } // 跳转到登陆页面 request.getRequestDispatcher("/WEB-INF/jsp/login.jsp").forward(request, response); return false; } }
(3)在springmvc.xml中配置拦截器
<!-- 拦截器 --> <mvc:interceptors> <!-- 用户身份校验的拦截器 --> <mvc:interceptor> <mvc:mapping path="/**" /> <bean class="cn.itcast.ssm.controller.interceptor.LoginInterceptor"></bean> </mvc:interceptor> </mvc:interceptors>
四、授权
(1)commonURL.properties
在此配置文件配置公用访问地址,公用访问地址只要通过用户认证,不需要对公用访问地址分配权限即可访问。#此配置文件配置用户无需登录即可操作的地址链接 first.action=系统首页 logout.action=系统退出
(2)获取用户权限范围的菜单
思路:在用户认证时,认证通过,根据用户id从数据库获取用户权限范围的菜单,将菜单的集合存储在session中。1、用户实体变化
2、mapper接口:根据用户id查询用户权限的菜单public interface SysPermissionMapperCustom {
//根据用户id获取权限菜单
List<SysPermission> findMenuByUserid(String userid)throws Exception;
}
<!-- 根据用户id获取菜单列表查询 --> <select id="findMenuByUserid" parameterType="string" resultType="SysPermission"> SELECT * FROM sys_permission WHERE TYPE = 'menu' AND id IN ( SELECT sys_permission_id FROM sys_role_permission WHERE sys_role_id = ( SELECT sys_role_id FROM sys_user_role WHERE sys_user_id = #{value} ) ) </select>3、service接口:根据用户id查询用户权限的菜单
public interface SysService { //根据用户id获取权限 public List<SysPermission> findSysPermissionList(String userid) throws Exception; }实现类 @Override
public List<SysPermission> findSysPermissionList(String userid)
throws Exception {
return sysPermissionMapperCustom.findMenuByUserid(userid);
}
(3)获取用户权限范围的url
思路:在用户认证时,认证通过,根据用户id从数据库获取用户权限范围的url,将url的集合存储在session中。1、用户实体变化
2、mapper接口:根据用户id查询用户权限的url
<!-- 根据用户id获取权限 --> <select id="findPermissionByUserid" parameterType="string" resultType="SysPermission"> SELECT * FROM sys_permission WHERE TYPE = 'permission' AND id IN ( SELECT sys_permission_id FROM sys_role_permission WHERE sys_role_id = ( SELECT sys_role_id FROM sys_user_role WHERE sys_user_id = #{value} ) ) </select>3、service接口:根据用户id查询用户权限的url
(4)用户认证通过取出菜单和URL放入session
修改service认证代码:(5)菜单动态显示
修改first.jsp,动态从session中取出菜单显示:(6)授权拦截器
1、拦截器public class PermissionInterceptor implements HandlerInterceptor { // 在进入controller方法之前执行 // 使用场景:比如身份认证校验拦截,用户权限拦截,如果拦截不放行,controller方法不再执行 // 进入action方法前要执行 @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { // TODO Auto-generated method stub // 用户访问地址: String url = request.getRequestURI(); // 校验用户访问是否是公开资源地址(无需认证即可访问) List<String> open_urls = ResourcesUtil.gekeyList("anonymousURL"); // 用户访问的url for (String open_url : open_urls) { if (url.indexOf(open_url) >= 0) { // 如果访问的是公开 地址则放行 return true; } } // 从 session获取用户公共访问地址(认证通过无需分配权限即可访问) List<String> common_urls = ResourcesUtil.gekeyList("commonURL"); // 用户访问的url for (String common_url : common_urls) { if (url.indexOf(common_url) >= 0) { // 如果访问的是公共地址则放行 return true; } } // 从session获取用户权限信息 HttpSession session = request.getSession(); ActiveUser activeUser = (ActiveUser) session.getAttribute("activeUser"); // 取出session中权限url // 获取用户操作权限 List<SysPermission> permission_list = activeUser.getPermissions(); // 校验用户访问地址是否在用户权限范围内 for (SysPermission sysPermission : permission_list) { String permission_url = sysPermission.getUrl(); if (url.contains(permission_url)) { return true; } } // 跳转到页面 request.getRequestDispatcher("/refuse.jsp").forward(request, response); return false; } }2、配置授权拦截器注意:将授权拦截器配置在用户认证拦截的下边。
相关文章推荐
- Shiro学习笔记——(1)前奏-权限管理基础
- Shiro 学习笔记(4)—— 基于字符串的角色和权限
- 【shiro】基于url的权限管理和shiro的对比
- shiro教程(1)-基于url权限管理
- 【基于url权限管理 shiro(一)】--基础
- 基于URL的权限管理学习总结
- 简单权限系统基于shiro-springmvc-spring-mybatis(学习笔记2)
- 003-基于URL的权限管理[不使用shiro]
- 【基于url权限管理 shiro(一)】--基础
- shiro-5基于url的权限管理
- 简单权限系统基于shiro-springmvc-spring-mybatis(学习笔记 1)
- shiro教程(1)-基于url权限管理
- 【基于url权限管理 shiro(二)】--权限管理解决方案
- vue权限管理学习笔记
- 【迁移2016-03-28 14:53】Shiro(一):基于资源的权限管理(RBAC)
- php学习笔记(二十七)php中session的使用(基于url的)
- 兄弟连Linux学习笔记之权限管理
- 【权限管理】基于shiro的权限管理开发实现
- yii2 rbac权限管理学习笔记
- 实验楼linux学习笔记(二):用户及文件权限管理