前两天有个同学问我,那个系统不同的用户登陆不同的页面不同,要写很多个页面啊!而每个用户的在系统中拥有不同的权限,可以访问不同的页面是怎么实现的??那低权限的在浏览器输入高权限的人的url是不是就可以访问了?不能又怎么拦截的呢?我当时欺负他不是学后台开发的,就给他简单说了一下什么分角色赋予不同的权利啦!分角色回显不同的信息啦!什么什么的也不知道他听懂多少,可是现在想想自己还真有点拆,特意写篇博客证明我真会 /呲牙/呲牙
做系统时肯定遇到最常见的就是不同的用户的需求是不一样的,就拿登陆来说,一个办公管理系统,不同部门的人肯定要求的功能和权限都是不一样的,那你不可能对每一个部门都写一个登陆页面,给不同的url吧!亦或者在下边选择你是什么部门的人?那每个部门内还有等级呐!再继续选?然后给每个人写一个界面?那明显是不可能的,那我们到底要怎么实现呐?
最常用的方法就是划分不同的角色,赋予角色权限,然后再让用户去申请角色就好了,具体的实现慢慢说。
根据角色授权的思想,我们需要涉及五张表(简单一写,没写约束,凑活看吧)
1)三张主表
a)用户表(user)
b) 角色表(role)
c) 资源表(module)[你也可以叫他权限表等等,反正就是代表着各种权限]
2)两张中间表
d)用户角色表(user_role)
e)角色资源表(permission)
1 CREATE TABLE `user` ( 2 `id` int(11) NOT NULL AUTO_INCREMENT COMMENT 'id', 3 `username` varchar(32) DEFAULT NULL COMMENT '用户名', 4 `password` varchar(32) DEFAULT NULL COMMENT '密码', 5 PRIMARY KEY (`id`) 6 ) ENGINE=InnoDB DEFAULT CHARSET=utf8 COMMENT='用户表'; 7 8 CREATE TABLE `role` ( 9 `id` int(11) NOT NULL AUTO_INCREMENT, 10 `name` varchar(32) DEFAULT NULL COMMENT '角色名', 11 `desc` varchar(32) DEFAULT NULL COMMENT '角色描述', 12 PRIMARY KEY (`id`) 13 ) ENGINE=InnoDB DEFAULT CHARSET=utf8 COMMENT='角色表'; 14 15 CREATE TABLE `resource` ( 16 `id` int(11) NOT NULL AUTO_INCREMENT COMMENT 'id', 17 `title` varchar(32) DEFAULT NULL COMMENT '资源标题', 18 `uri` varchar(32) DEFAULT NULL COMMENT '资源uri ', 19 PRIMARY KEY (`id`) 20 ) ENGINE=InnoDB DEFAULT CHARSET=utf8 COMMENT='资源表'; 21 22 CREATE TABLE `user_role` ( 23 `id` int(11) NOT NULL AUTO_INCREMENT COMMENT 'id', 24 `user_id` int(11) NOT NULL COMMENT '用户id', 25 `role_id` int(11) NOT NULL COMMENT '角色id', 26 PRIMARY KEY (`id`) 27 ) ENGINE=InnoDB DEFAULT CHARSET=utf8 COMMENT='用户角色表'; 28 29 CREATE TABLE `role_resource` ( 30 `id` int(11) NOT NULL AUTO_INCREMENT, 31 `role_id` int(11) DEFAULT NULL COMMENT '角色id', 32 `resource_id` int(11) DEFAULT NULL COMMENT '资源id', 33 PRIMARY KEY (`id`) 34 ) ENGINE=InnoDB DEFAULT CHARSET=utf8 COMMENT='角色资源表'; db.sqlApache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码学和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。
Shiro 主要分为来个部分就是认证和授权,在个人感觉来看就是查询数据库做相应的判断而已。Shiro的主要框架图如下
是不是看到这张图,有点不想看了,有些混乱有些多,我就其中一些方法进行简要说明
1:Subject
Subject即主体,外部应用与subject进行交互,subject记录了当前操作用户,将用户的概念理解为当前操作的主体,可能是一个通过浏览器请求的用户,也可能是一个运行的程序。 Subject在shiro中是一个接口,接口中定义了很多认证授相关的方法,外部程序通过subject进行认证授,而subject是通过SecurityManager安全管理器进行认证授权。
2:SecurityManager
SecurityManager即安全管理器,对全部的subject进行安全管理,它是shiro的核心,负责对所有的subject进行安全管理。通过SecurityManager可以完成subject的认证、授权等,实质上SecurityManager是通过Authenticator进行认证,通过Authorizer进行授权,通过SessionManager进行会话管理等。
3:Authorizer
Authorizer即授权器,用户通过认证器认证通过,在访问功能时需要通过授权器判断用户是否有此功能的操作权限。
4:Realm
Realm即领域,相当于datasource数据源,securityManager进行安全认证需要通过Realm获取用户权限数据,比如:如果用户身份数据在数据库那么realm就需要从数据库获取用户身份信息。
5:sessionManager
sessionManager即会话管理,shiro框架定义了一套会话管理,它不依赖web容器的session,所以shiro可以使用在非web应用上,也可以将分布式应用的会话集中在一点管理,此特性可使它实现单点登录。
6:SessionDAO
SessionDAO即会话dao,是对session会话操作的一套接口,比如要将session存储到数据库,可以通过jdbc将会话存储到数据库。
7:CacheManager
CacheManager即缓存管理,将用户权限数据存储在缓存,这样可以提高性能。
8:Cryptography
Cryptography即密码管理,shiro提供了一套加密/解密的组件,方便开发。比如提供常用的散列、加/解密等功能。
1):引入shiro的jar包
1 <dependency> 2 <groupId>org.apache.shiro</groupId> 3 <artifactId>shiro-core</artifactId> 4 <version>1.4.0</version> 5 </dependency> shiro坐标2):创建类文件
2.1构建SecurityManager环境
1 DefaultSecurityManager defaultSecurityManager = new DefaultSecrityManager(); 2 3 defaultSecurityManager.setRealm(simpleAccountRealm); View Code
2.2主体提交认证请求
1 SecurityUtils.setSecurityManager(defaultSecurityManager); 2 3 Subject subject = SecurityUtils.getSubject(); 4 5 UsernamePasswordToKen token = new UsernamePassword(username : "小明",password :“123456”): 6 7 subject.login(token); 8 9 system.out.println("isAuthenticated:" + subject.isAuthenticated()); 10 11 subject.logout(); 12 13 system.out.println("isAuthenticated:" + subject.isAuthenticated()); 提交认证
1)类文件
1.1构建SecurityManager环境
1 DefaultSecurityManager defaultSecurityManager = new DefaultSecrityManager(); 2 3 defaultSecurityManager.setRealm(simpleAccountRealm); 环境
1.2主体提交认证请求
1 SecurityUtils.setSecurityManager(defaultSecurityManager); 2 3 Subject subject = SecurityUtils.getSubject(); 4 5 UsernamePasswordToKen token = new UsernamePassword(username : "小明",password :“123456”): 6 7 subject.login(token); 8 9 system.out.println("isAuthenticated:" + subject.isAuthenticated()); 10 11 subject.checkRole(s:"admin"); 12 13 subject.checkRoles(...string:"admin","user"); 14 15 subject.logout(); 16 17 system.out.println("isAuthenticated:" + subject.isAuthenticated()); 提交认证Realm一般有三种,分别是,一般都使用自定义
1)IniRealm控制 .Ini 文件。
2)jdbcRealm控制 数据库文件
引入Mysql驱动包,引入数据源文件,设置jdbcurl以及用户名和密码
1 JdbcRealm.jdbcRealm = new JdbcRealm(); 2 3 jdbcRealm.setDataSource(dataSource); 4 5 jdbcRealm.setPermisssionsLookupEnabled(true); View Code主体提交验证
1 subject.checkRole(s:"admin"); 2 3 subject.checkRoles(...string:"admin","user"); 4 5 subject.checkPermission(s:"user:select"); 验证3)自定义realm
1 package com.fuwh.realm; 2 3 import java.sql.Connection; 4 import java.sql.PreparedStatement; 5 import java.sql.ResultSet; 6 import java.sql.SQLException; 7 8 import org.apache.shiro.authc.AuthenticationException; 9 import org.apache.shiro.authc.AuthenticationInfo; 10 import org.apache.shiro.authc.AuthenticationToken; 11 import org.apache.shiro.authc.SimpleAuthenticationInfo; 12 import org.apache.shiro.authz.AuthorizationInfo; 13 import org.apache.shiro.realm.AuthorizingRealm; 14 import org.apache.shiro.subject.PrincipalCollection; 15 16 import com.fuwh.util.DbUtil; 17 18 public class MyJdbcRealm extends AuthorizingRealm{ 19 20 @Override 21 protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { 22 // TODO Auto-generated method stub 23 return null; 24 } 25 26 @Override 27 protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException { 28 // TODO Auto-generated method stub 29 Connection conn=DbUtil.getConnection(); 30 String sql="select * from members2 where username=?"; 31 try { 32 PreparedStatement ps=conn.prepareStatement(sql); 33 ps.setString(1, token.getPrincipal().toString()); 34 ResultSet rs=ps.executeQuery(); 35 while(rs.next()) { 36 AuthenticationInfo info=new SimpleAuthenticationInfo(rs.getString("username"),rs.getString("password"),"salt"); 37 return info; 38 } 39 } catch (SQLException e) { 40 // TODO Auto-generated catch block 41 e.printStackTrace(); 42 } 43 44 return null; 45 } 46 47 } MyJdbcRealm4.1环境搭建及使用
1 CustomRealm customRealm = new CustomRealm(); 2 3 //1.构建SecurityManager 环境 4 5 DefaultSecurityManager defaultSecurityManager = new DefaultSecrityManager(); 6 7 defalultSecurityManager.setRealm(customRealm); 8 9 HashedCredentialsMatcher matcher = new HashedCredentialsMatcher(); 10 11 matcher.setHashAlgorithmName("md5"); 12 13 matcher.setHashIterations(1); 14 15 customRealm.setCredentialsMatcher(matcher); 16 17 //2.主体提交认证请求 18 19 SecurityUtils.setSecurityManager(defaultSecurityManager); 20 21 Subject subject = SecurityUtils.getSubject(); 22 23 UsernamePasswordToken token = new UsernamePassowrdToken(username:"xiaoming",password:"123456"); 24 25 subject.login(token); 26 27 System.out.println("isAuthenticated:" + subject.isAuthenticated()) main4.2 MD5加密
1 @Override 2 3 protected AuthenticationInfo doGetAuthenticationInfo(AuthticationToken authenticationToken) throws AuthenticationRxception { 4 5 //1.从主体传过来的认证信息中,获取用户名 6 7 String userName = (String)authenticationToken.getPrincipal(); 8 9 //2.通过用户名到数据库获取凭证 10 11 String password = getPasswordByUserName(userName); 12 13 if(password == null){ 14 15 return null; 16 17 } 18 19 SimpleAuthenticationInfo authticationInfo = new SimpleAuthenticationInfo (principal:“xiaoming”,password,realmName:"customRealm"); 20 21 authenticationInfo.setCredentialsSaltSalt(ByteSource.Util.bytes(string:"XQC")); 22 23 return authenticationInfo; 24 25 } 加密
实战中shiro的应用很多,几乎都要用到,这里举一个Blog的登陆的例子,更好的理解和使用。本博客是采用spring+springMVC+Mybatis实现的。
转载于:https://www.cnblogs.com/nullering/p/9464152.html
相关资源:java web实现用户权限管理