【shiro】(2)---基于RUL的权限管理

基于RUL的权限管理

     我想在写shiro权限管理认证前，先来一个基于URL实现的权限管理控制。

一、基于URI的权限业务逻辑

   实现思路：
       将系统操作的每个url配置在权限表中，将权限对应到角色，将角色分配给用户，用户访问系统功能通过Filter进行过虑，过虑器获取到用户访问的url，只要访问的url是用户分配角色中的url则放行继续访问。
具体逻辑看下面一张表。

 

 二、环境搭建（数据表）

   思维已经清晰，接下来通过代码来实现具体业务逻辑。
   开发环境
          JDK1.8
          Eclipse
          Maven
   技术架构：SpringMVC+Mybatis+jQuery easyUI

数据库

    MySQL数据库中创建表：用户表、角色表、权限表(实质是权限和资源的结合)、用户角色关系表、角色权限关系表。

（1）具体表

  sys_user  用户表（这里明文密码都是：111111）

 

  sys_role  角色表

 

  sys_user_role 权限表

 

sys_permission 权限表

 

 sys_role_permission  角色权限关系表

 

 

三、用户认证

   1.login.action用户登录页面

<BODY ><FORM id="loginform" name="loginform" action="?loginsubmit.action"method="post"><TABLE class="tab" border="0" cellSpacing="6" cellPadding="8"><TBODY><TR><TD>用户名：</TD><TD colSpan="2"><input type="text" id="usercode"name="usercode" style="WIDTH: 130px" /></TD></TR><TR><TD>密 码：</TD><TD><input type="password" id="pwd" name="password" style="WIDTH: 130px" /></TD></TR><TR><TD>验证码：</TD><TD><input id="randomcode" name="randomcode" size="8" /> <imgid="randomcode_img" src="${baseurl}validatecode.jsp" alt=""width="56" height="20" align='absMiddle' /> <ahref=javascript:randomcode_refresh()>刷新</a></TD></TR><TR><TD colSpan="2" align="center"><input type="sumbit"value="登 录" /></TD></TR></TBODY></TABLE></FORM>
</BODY>

   2、SpringMVC配置过滤器

<!-- 用户身份校验的拦截器 --><mvc:interceptor><mvc:mapping path="/**" /><bean class="com.jincou.controller.interceptor.LoginInterceptor"></bean></mvc:interceptor>

3、LoginInterceptor过滤器

public class LoginInterceptor implements HandlerInterceptor {// 在进入controller方法之前执行// 进行身份认证校验拦截，如果拦截不放行，controller方法不再执行
    @Overridepublic boolean preHandle(HttpServletRequest request,HttpServletResponse response, Object handler) throws Exception {// 校验用户访问是否是公开资源地址(无需认证即可访问)List<String> open_urls = ResourcesUtil.gekeyList("anonymousURL");// 用户访问的url(这里用户登录页面login.action,和登录提交页面loginsubmit.action属于公开访问页面,直接发行）String url = request.getRequestURI();for (String open_url : open_urls) {if (url.indexOf(open_url) >= 0) {// 如果访问的是公开 地址则放行return true;}}// 校验用户身份是否认证通过HttpSession session = request.getSession();ActiveUser activeUser = (ActiveUser) session.getAttribute("activeUser");if (activeUser != null) {// 用户已经登陆认证，放行return true;}// 跳转到登陆页面request.getRequestDispatcher("/WEB-INF/jsp/login.jsp").forward(request,response);return false;}}

（1）anonymousURL.properties配置文件

#不需要登录就可以访问的页面：比如登录页面，登陆提交的地址，网站首页等
login.action=登录页面
loginsubmit.action=登陆提交按钮的地址

4、LoginControl控制层

/*** 获得用户名，密码，验证码进行用户验证，验证通过就把该用户放到session中*/
@Controller
public class LoginController {@Autowiredprivate SysService sysService ;//用户登陆提交@RequestMapping("/loginsubmit")public String loginsubmit(HttpSession session,String usercode,String password,String randomcode) throws Exception{//校验验证码//从session获取正确的验证码（因为验证码是从前端生成，传到后端）String validateCode = (String)session.getAttribute("validateCode");if(!randomcode.equals(validateCode)){//抛出异常：验证码错误throw new CustomException("验证码 错误 ！");}//用户身份认证ActiveUser activeUser = sysService.authenticat(usercode, password);//记录sessionsession.setAttribute("activeUser", activeUser);return "redirect:first.action";}
}

   4.1ActiveUser实体类

/*** 用户身份信息，获取通过用户名得到密码和菜单和页面权限*/
public class ActiveUser implements java.io.Serializable {/*** */private static final long serialVersionUID = 1L;private String userid;//用户idprivate String usercode;// 用户账号private String username;// 用户名称private List<SysPermission> menus;// 菜单private List<SysPermission> permissions;// 权限//set和get方法
}

 5.SysServiceImpl实现类

//@Overridepublic ActiveUser authenticat(String usercode, String password)throws Exception {//账号和密码非空校验 //....
        SysUserExample sysUserExample = new SysUserExample();SysUserExample.Criteria criteria = sysUserExample.createCriteria();criteria.andUsercodeEqualTo(usercode);List<SysUser> userList = sysUserMapper.selectByExample(sysUserExample);if(userList == null || userList.size()<=0){throw new CustomException("账号不存在！");}SysUser sysUser = userList.get(0);//密码 String password_fromdb = sysUser.getPassword();//输入 密码 和数据库密码 比较（因为数据库加过密所以这里也加密后进行比较）if(!password_fromdb.equalsIgnoreCase(new MD5().getMD5ofStr(password))){throw new CustomException("账号或密码 错误 ！");}//认证通过，返回用户身份ActiveUser activeUser = new ActiveUser();activeUser.setUserid(sysUser.getId());activeUser.setUsername(sysUser.getUsername());activeUser.setUsercode(sysUser.getUsercode());//菜单列表List<SysPermission> menus = sysPermissionMapperCustom.findMenuByUserid(sysUser.getId());activeUser.setMenus(menus);//权限列表List<SysPermission> permissions = sysPermissionMapperCustom.findPermissionByUserid(sysUser.getId());activeUser.setPermissions(permissions);//获得用户菜单和权限列表return activeUser;}

总结：     

用户认证的思路很简单：
（1）判断用户登录是否成功，成功将用户信息放入session中，登录后点击其它页面，过滤器会看session是否存在用户，存在则放行。
（2）如果你没有登录，点击其它非公共页面，那过滤器会发现session中没有用户信息，则跳转到登录页面。

 

 三、权限管理

    既你登录认证通过后，根据用户id从数据库中获取用户权限范围的URL，将URL的集合存储在activeUser中并存在session中。

     1.springMVC配置权限认证过滤器

<!-- 用户登陆成功后的资源权限拦截器 -->
<mvc:interceptor>
<mvc:mapping path="/**" />
<bean class="com.jincou.controller.interceptor.PermissionInterceptor"></bean>
</mvc:interceptor>

      2、PermissionInterceptor过滤器

public class PermissionInterceptor implements HandlerInterceptor {// 在进入controller方法之前执行// 用户权限拦截，如果拦截不放行，controller方法不再执行// 进入action方法前要执行
    @Overridepublic boolean preHandle(HttpServletRequest request,HttpServletResponse response, Object handler) throws Exception {// TODO Auto-generated method stub// 用户访问地址：String url = request.getRequestURI();// 校验用户访问是否是公开资源地址(无需认证即可访问)List<String> open_urls = ResourcesUtil.gekeyList("anonymousURL");// 用户访问的urlfor (String open_url : open_urls) {if (url.indexOf(open_url) >= 0) {// 如果访问的是公开 地址则放行return true;}}//从 session获取用户公共访问地址（认证通过无需分配权限即可访问）List<String> common_urls = ResourcesUtil.gekeyList("commonURL");// 用户访问的urlfor (String common_url : common_urls) {if (url.indexOf(common_url) >= 0) {// 如果访问的是公共地址则放行return true;}}// 从session获取用户权限信息
HttpSession session = request.getSession();ActiveUser activeUser = (ActiveUser) session.getAttribute("activeUser");// 取出session中权限url// 获取用户操作权限List<SysPermission> permission_list = activeUser.getPermissions();// 校验用户访问地址是否在用户权限范围内for (SysPermission sysPermission : permission_list) {String permission_url = sysPermission.getUrl();if (url.contains(permission_url)) {return true;}}// 跳转到无权访问页面request.getRequestDispatcher("/refuse.jsp").forward(request, response);return false;}}

   （1）commonURL配置文件

#用户公共访问地址指的是用户登录后，有些页面也是不需要配置权限的，每个用户都会有的页面：比如：个人中心，退出页面等first.action=系统页面logout.action=退出页面

总结：   

权限认证的思路：
   （1）当用户登录成功后，因为上面ActiveUser对象，里面有用户可以访问哪些菜单，所以页面也只会显示这些菜单。
   （2）当我用户浏览我没有权限的URL页面，那么PermissionInterceptor会判断我没有这个页面的权限，直接调整到无权访问页面。

 

四、一些细节

1、前段页面是如何做到当前用户可以获得哪些菜单（可以循环遍历）

<c:if test="${activeUser.menus!=null }">    <c:forEach items="${activeUser.menus }" var="menu"><a href="${pageContext.request.contextPath }/${menu.url }" >${menu.name }</a>        </c:forEach>
</c:if> 

2、验证下"zhangsan"用户能看到的菜单是否正确

（1）先看没有做权限页面的菜单

 

（2）再看做了权限管理的页面

（3）那到底是不是这样？（数据查询正确）

  

 github地址： https://github.com/yudiandemingzi/URLquanxian

 

想太多，做太少，中间的落差就是烦恼。想没有烦恼，要么别想，要么多做。少校【3】