如何实现一个权限管理系统?（附源码）

17611538698

webmaster@21cto.com

登录注册

如何实现一个权限管理系统?（附源码）

21CTO

资讯 0 3048 2019-04-12 12:03:15

21CTO导读：为了保证系统安全性，权限管理系统就是一个绕不开的问题，本文从实例全面解析如何实现权限管理系统，帮助各位掌握相关技巧。

系统安全一直是在系统开发中不可规避的问题，而权限控制又跟系统安全密不可分，大到用户的访问，小到一个页面的按钮，都有可能涉及到权限的控制。而renren-security便给我们提供了一套权限系统开发的解决方案。

renren-security是"人人社区"社区开源的轻量级权限管理系统。系统采用SprinBoot、Mybatis、Shiro框架进行开发，极低门槛，拿来即用，支持分布式部署、Quartz分布式集群调度、部门管理、数据权限、云存储等功能。项目特点

灵活的权限控制，可控制到页面或按钮，满足绝大部分的权限需求
完善的部门管理及数据权限，通过注解实现数据权限的控制
完善的XSS防范及脚本过滤，彻底杜绝XSS攻击
支持MySQL、Oracle、SQL Server、PostgreSQL等主流数据库

运行效果

系统结构的设计也比较清晰，由admin、api、common等几个模块组成，每个模块实现的功能大体如下：

common：公共模块，以jar包的形式被其他模块所依赖。实现了一些工具类和公共功能。包含时间处理、分页、Sql过滤、Xss过滤和Redis切面定义、自定义异常处理等功能。

admin：管理系统模块，以war包形式独立部署。基于前后端分离的思想，主要用来用来开发后台管理系统。包含用户管理、角色管理、部门管理、菜单管理、定时任务、文件上传、API校验，同时采用Redis进行数据缓存，支持单机和集群的部署。

api：API接口模块，以war包形式独立部署。模块主要提供给前端UI调用的一些业务接口，实现了用户注册、登录、接口权限认证和用户信息获取。同时整合了swagger2实现了API接口文档，方便了接口的查询和调试。

系统架构图

系统设计之初就特别注重安全性，基于Shiro在页面和接口都实现了权限校验。用户登录时对用户的账号密码进行验证，获取用户的信息和role权限，页面显示的时候会根据用户拥有的权限显示对应的状态，接口请求的时候也会进行用户权限的校验，数据保存到数据库时候还进行Sql和Xss的过滤，整个过程的核心思路是Shiro对用户的认证和授权。具体流程如下图：

权限校验整体思路Shiro的认证和授权
实现Shiro的认证和授权，需要自定义Realm继承于AuthorizingRealm，同时重写doGetAuthenticationInfo（认证）和doGetAuthorizationInfo（授权）这两个方法。这里对于系统与Shiro的整合就不再做多的说明。

用户登录的时候，将用户的账号和密码包装成一个UsernamePasswordToken后，再调用login提交账户认证，shiro会自动调用我们重写的doGetAuthenticationInfo方法。

[code][size=15]Subject subject = SecurityUtils.getSubject();

UsernamePasswordToken token = new UsernamePasswordToken(username, password);

//提交认证

subject.login(token);

//Shiro进行认证

@Override

protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authcToken) throws AuthenticationException {

    UsernamePasswordToken token = (UsernamePasswordToken)authcToken;

    //获取用户信息

    SysUserEntity user = new SysUserEntity();

    user.setUsername(token.getUsername());

    user = sysUserDao.selectOne(user);



    //账号不存在

    if(user == null) {

        throw new UnknownAccountException("账号或密码不正确");

    }

    SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(user, user.getPassword(), ByteSource.Util.bytes(user.getSalt()), getName());

    return info;

}

[/size]

[/code]

如果认证成功，那么在系统的任何地方通过SecurityUtils.getSubject()方法就可以获取认证通过的信息。我们也可以借助它的这点特性，实现用户的自动登录。

这里需要补充一点，系统把权限化成了一个个的标签保存在数据库中，用户的权限中持有对应的标签则表示拥有对应的操作权限。而对于Shiro的授权，在doGetAuthorizationInfo中需要获取用户的所有权限列表，通过权限列表筛选出是否拥有操作权限。

[code][size=15]//Shiro进行授权

@Override

protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {

    //获取认证时候添加到SimpleAuthenticationInfo中的实例

    SysUserEntity user = (SysUserEntity)principals.getPrimaryPrincipal();

    Long userId = user.getUserId();

    //查询用户所有权限

    Set<String> permsSet = new HashSet<String>();

    List<String> permsList = sysUserDao.queryAllPerms(userId);

    for(String perms : permsList){

        if(StringUtils.isBlank(perms)){

            continue;

        }

        permsSet.addAll(Arrays.asList(perms.trim().split(",")));

    }

    SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();

    info.setStringPermissions(permsSet);

    return info;

}

[/size]

[/code]

Shiro的授权是被动的，只有被相应的条件触发才会进行用户授权，方式有以下几种：

1.作用于页面。页面里如果遇到<#if shiro.hasPermission("sys:del")>，Shiro会调用自定义Realm获取权限信息，看"sys:del"是否在权限数据中存在，存在则授权通过，不存在则拒绝访问，可应用于对一些按钮和标签的特定开放。

[code][size=15]<#if shiro.hasPermission("sys:add")>

    <a class="btn btn-primary" @click="add">新增</a>

</#if>

<#if shiro.hasPermission("sys:del")>

    <a class="btn btn-primary" @click="del">删除</a>

</#if>

[/size]

[/code]

2.通过注解的方式作用于接口。在controller中，方法如果加了@RequiresPermissions("sys:del")注解，Shiro同样会调用自定义Realm获取权限信息，看"sys:del"是否在权限数据中存在，存在则授权通过，不存在则拒绝访问，从而实现对接口的权限校验。

[code][size=15]@RequestMapping("/delete")

@RequiresPermissions("sys:del")

public R delete(long deptId){

    //判断是否有子部门

    List<Long> deptList = sysDeptService.queryDetpIdList(deptId);

    if(deptList.size() > 0){

        return R.error("请先删除子部门");

    }

    sysDeptService.deleteById(deptId);

    return R.ok();

}

[/size]

[/code]

到此，基本上便实现了Shiro在页面和接口的权限控制。当然，Shiro更多是作用于表现层的一个控制，而出于系统安全考虑也应该增加对数据的校验。因此在数据层面，则可通过Sql过滤和Xss过滤的方式实现过滤。项目中已经为其封装成工具，原理都是正则匹配和字符串替换，感兴趣的伙伴可以直接到项目里查看，这里就不再累述了。
系统除了实现权限控制外，也实现了很多后台管理系统开发中常用到的一些功能，像Quartz分布式集群调度、多数据源动态切换以及集群部署下Session管理，感兴趣的伙伴也可以查看源码。
项目地址：https://gitee.com/renrenio/renren-security