总阅读量:

⭐⭐⭐ Spring Boot 项目实战 ⭐⭐⭐ Spring Cloud 项目实战
《Dubbo 实现原理与源码解析 —— 精品合集》 《Netty 实现原理与源码解析 —— 精品合集》
《Spring 实现原理与源码解析 —— 精品合集》 《MyBatis 实现原理与源码解析 —— 精品合集》
《Spring MVC 实现原理与源码解析 —— 精品合集》 《数据库实体设计合集》
《Spring Boot 实现原理与源码解析 —— 精品合集》 《Java 面试题 + Java 学习指南》

摘要: 原创出处 jianshu.com/p/50fc0427689d 「低调的旋律d」欢迎转载,保留摘要,谢谢!

🙂🙂🙂关注**微信公众号:【芋道源码】**有福利:

  1. RocketMQ / MyCAT / Sharding-JDBC 所有源码分析文章列表
  2. RocketMQ / MyCAT / Sharding-JDBC 中文注释源码 GitHub 地址
  3. 您对于源码的疑问每条留言将得到认真回复。甚至不知道如何读源码也可以请教噢
  4. 新的源码解析文章实时收到通知。每周更新一篇左右
  5. 认真的源码交流微信群。

系统安全一直是在系统开发中不可规避的问题,而权限控制又跟系统安全密不可分,大到用户的访问,小到一个页面的按钮,都有可能涉及到权限的控制。而renren-security便给我们提供了一套权限系统开发的解决方案。

renren-security是"人人社区"社区开源的轻量级权限管理系统。系统采用SprinBoot、Mybatis、Shiro框架进行开发,极低门槛,拿来即用,支持分布式部署、Quartz分布式集群调度、部门管理、数据权限、云存储等功能。

项目特点

  • 灵活的权限控制,可控制到页面或按钮,满足绝大部分的权限需求
  • 完善的部门管理及数据权限,通过注解实现数据权限的控制
  • 完善的XSS防范及脚本过滤,彻底杜绝XSS攻击
  • 支持MySQL、Oracle、SQL Server、PostgreSQL等主流数据库

运行效果

系统结构的设计也比较清晰,由admin、api、common等几个模块组成,每个模块实现的功能大体如下:

**common:**公共模块,以jar包的形式被其他模块所依赖。实现了一些工具类和公共功能。包含时间处理、分页、Sql过滤、Xss过滤和Redis切面定义、自定义异常处理等功能。

**admin:**管理系统模块,以war包形式独立部署。基于前后端分离的思想,主要用来用来开发后台管理系统。包含用户管理、角色管理、部门管理、菜单管理、定时任务、文件上传、API校验,同时采用Redis进行数据缓存,支持单机和集群的部署。

**api:**API接口模块,以war包形式独立部署。模块主要提供给前端UI调用的一些业务接口,实现了用户注册、登录、接口权限认证和用户信息获取。同时整合了swagger2实现了API接口文档,方便了接口的查询和调试。

系统架构图

系统设计之初就特别注重安全性,基于Shiro在页面和接口都实现了权限校验。

用户登录时对用户的账号密码进行验证,获取用户的信息和role权限,页面显示的时候会根据用户拥有的权限显示对应的状态,接口请求的时候也会进行用户权限的校验,数据保存到数据库时候还进行Sql和Xss的过滤,整个过程的核心思路是Shiro对用户的认证和授权。具体流程如下图:

权限校验整体思路

Shiro的认证和授权

实现Shiro的认证和授权,需要自定义Realm继承于AuthorizingRealm,同时重写doGetAuthenticationInfo(认证)和doGetAuthorizationInfo(授权)这两个方法。这里对于系统与Shiro的整合就不再做多的说明。

用户登录的时候,将用户的账号和密码包装成一个UsernamePasswordToken后,再调用login提交账户认证,shiro会自动调用我们重写的doGetAuthenticationInfo方法。

Subject subject = SecurityUtils.getSubject();
UsernamePasswordToken token = new UsernamePasswordToken(username, password);
//提交认证
subject.login(token);
//Shiro进行认证
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authcToken) throws AuthenticationException {
    UsernamePasswordToken token = (UsernamePasswordToken)authcToken;
    //获取用户信息
    SysUserEntity user = new SysUserEntity();
    user.setUsername(token.getUsername());
    user = sysUserDao.selectOne(user);

    //账号不存在
    if(user == null) {
        throw new UnknownAccountException("账号或密码不正确");
    }
    SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(user, user.getPassword(), ByteSource.Util.bytes(user.getSalt()), getName());
    return info;
}

如果认证成功,那么在系统的任何地方通过SecurityUtils.getSubject()方法就可以获取认证通过的信息。我们也可以借助它的这点特性,实现用户的自动登录。

这里需要补充一点,系统把权限化成了一个个的标签保存在数据库中,用户的权限中持有对应的标签则表示拥有对应的操作权限。而对于Shiro的授权,在doGetAuthorizationInfo中需要获取用户的所有权限列表,通过权限列表筛选出是否拥有操作权限。

//Shiro进行授权
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
    //获取认证时候添加到SimpleAuthenticationInfo中的实例
    SysUserEntity user = (SysUserEntity)principals.getPrimaryPrincipal();
    Long userId = user.getUserId();
    //查询用户所有权限
    Set<String> permsSet = new HashSet<String>();
    List<String> permsList = sysUserDao.queryAllPerms(userId);
    for(String perms : permsList){
        if(StringUtils.isBlank(perms)){
            continue;
        }
        permsSet.addAll(Arrays.asList(perms.trim().split(",")));
    }
    SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
    info.setStringPermissions(permsSet);
    return info;
}

Shiro的授权是被动的,只有被相应的条件触发才会进行用户授权,方式有以下几种:

1.作用于页面。页面里如果遇到<#if shiro.hasPermission("sys:del")></#if>,Shiro会调用自定义Realm获取权限信息,看"sys:del"是否在权限数据中存在,存在则授权通过,不存在则拒绝访问,可应用于对一些按钮和标签的特定开放。

<#if shiro.hasPermission("sys:add")>
    <a class="btn btn-primary" @click="add">新增</a>
</#if>
<#if shiro.hasPermission("sys:del")>
    <a class="btn btn-primary" @click="del">删除</a>
</#if>

2.通过注解的方式作用于接口。在controller中,方法如果加了@RequiresPermissions("sys:del")注解,Shiro同样会调用自定义Realm获取权限信息,看"sys:del"是否在权限数据中存在,存在则授权通过,不存在则拒绝访问,从而实现对接口的权限校验。

@RequestMapping("/delete")
@RequiresPermissions("sys:del")
public R delete(long deptId){
    //判断是否有子部门
    List<Long> deptList = sysDeptService.queryDetpIdList(deptId);
    if(deptList.size() > 0){
        return R.error("请先删除子部门");
    }
    sysDeptService.deleteById(deptId);
    return R.ok();
}

到此,基本上便实现了Shiro在页面和接口的权限控制。当然,Shiro更多是作用于表现层的一个控制,而出于系统安全考虑也应该增加对数据的校验。因此在数据层面,则可通过Sql过滤和Xss过滤的方式实现过滤。项目中已经为其封装成工具,原理都是正则匹配和字符串替换,感兴趣的伙伴可以直接到项目里查看,这里就不再累述了。

系统除了实现权限控制外,也实现了很多后台管理系统开发中常用到的一些功能,像Quartz分布式集群调度、多数据源动态切换以及集群部署下Session管理,感兴趣的伙伴也可以查看源码。

项目地址:https://gitee.com/renrenio/renren-security

文章目录
  1. 1. 项目特点
  2. 2. Shiro的认证和授权