权限控制的方式
从类别上分,有两大类:
- 认证:你是谁?–识别用户身份。
- 授权:你能做什么?–限制用户使用的功能。
权限的控制级别
从控制级别(模型)上分:
- URL级别-粗粒度
- 方法级别-细粒度
- 页面级别-自定义标签(显示)
- 数据级别-最细化的(数据)
URL级别的权限控制-粗粒度
在web.xml中配置一个过滤器filter,在过滤器中,对请求的地址进行解析,字符串截取:
url.substring()…把上下文前面的路径都截取掉,剩下user_login.action。
过滤器代码:
以通过查询数据库,来判断,当前登录用户,是否可以访问user_login.action。
url级别控制,每次请求过程中只控制一次 ,相比方法级别权限控制 是粗粒度的 !URL级别权限控制,基于Filter实现。
方法级别的权限控制-细粒度
aop面向切面的编程,在方法执行之前,进行权限判断,如果没有权限,抛出异常,终止方法的继续运行。
自定义注解 在需要权限控制方法上, 添加需要的权限信息
代理 (Spring AOP ),在目标方法运行时 进行增强 ,通过反射技术获取目标方法上注解中权限 , 查询数据库获取当前登陆用户具有权限,进行比较。
相比URL级别权限控制, 可以控制到服务器端执行的每个方法,一次请求中可以控制多次。
页面(显示)级别的权限控制-自定义标签
页面显示的权限控制,通常是通过 自定义标签来实现
数据级别的权限控制
在每条数据上增加一个字段,该字段记录了权限的值。数据和权限绑定。
代码,你在查询数据的时候,需要去权限和用户对应表中,通过当前登录用户的条件,查询出你的数据权限。然后再将数据权限作为一个条件,放到业务表中进行查询。从而限制了数据的访问。
权限系统的数据表设计
- 资源:用户要访问的目标,通常是服务中的程序或文件
- 权限:用户具有访问某资源的能力
- 角色:权限的集合,为了方便给用户授权。
- 用户:访问系统的’人’。
表对象实体:
- 用户(User)表:访问系统的用户,比如用户登录要用
- 权限(Function)表:系统某个功能允许访问而对应的权限
- 角色(Role)表:角色是权限的集合(权限组),方便用户授权。
表对象之间的关系:
- 用户和角色关系表:一个用户对应N个角色,一个角色可以授予N个用户—》多对多关系
- 角色和权限关系表:一个角色包含N个权限,一个权限可以属于N个角色—》多对多关系
完整的权限相关表:
URL级别权限控制包含:资源表、权限表、角色表、用户表,以及相关关系(都是多对多),共7张表。
方法级别的权限控制包含:功能权限、角色、用户,以及相关关系(都是多对多),共5张表。
但Apache Shiro框架支持的URL级别权限控制,是将资源和资源权限对应关系配置到了配置文件中,不需要表的支撑,只需要5张表了。
Apache Shiro权限控制
Apache Shiro 可以不依赖任何技术使用, 可以直接和web整合,通常在企业中和Spring 结合使用。
Authentication: 认证 — 用户登录
Authorization : 授权 —- 功能权限管理
通过引入Maven坐标导入shiro
官方建议:不推荐直接引入shiro-all,依赖比较多,原因怕有jar冲突。官方推荐根据需要单独导入jar。
Shiro基本原理
Shiro的框架的体系结构:
Shiro权限控制流程的原理:
- 应用代码 —- 调用Subject (shiro的Subject 就代表当前登陆用户) 控制权限 —- Subject 在shiro框架内部 调用 Shiro SecurityManager 安全管理器 —– 安全管理器调用 Realm (程序和安全数据连接器 )。
- Subject要进行任何操作,都必须要调用安全管理器(对我们来说是自动的)。
而安全管理器会调用指定的Realms对象,来连接安全数据。 - Realms用来编写安全代码逻辑和访问安全数据,是连接程序和安全数据的桥梁。
URL级别的权限控制
配置整合和url级别认证
配置过滤器web.xml:放在struts的前端控制器之前配置,但放在openEntitymanage之后。
<!-- shiro权限过滤器 -->
<filter>
<!-- 这里的 filter-name 要和 spring 的 applicationContext-shiro.xml 里的 org.apache.shiro.spring.web.ShiroFilterFactoryBean
的 bean name 相同 -->
<filter-name>shiroSecurityFilter</filter-name>
<!-- spring的代理过滤器类:以前的过滤器 -->
<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
<init-param>
<!-- 该值缺省为false,表示生命周期由SpringApplicationContext管理,设置为true则表示由ServletContainer管理 -->
<param-name>targetFilterLifecycle</param-name>
<param-value>true</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>shiroSecurityFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
配置ApplicationContext.xml:(shiro权限控制过滤器+ shiro安全管理器)
<!-- shiro权限控制过滤器bean -->
<bean id="shiroSecurityFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
<!-- shiro 的核心安全接口 -->
<property name="securityManager" ref="securityManager" />
<!-- 要求登录时的链接 -->
<property name="loginUrl" value="/login.jsp" />
<!-- 登陆成功后要跳转的连接 -->
<property name="successUrl" value="/index.jsp" />
<!-- 未授权时要跳转的连接,权限不足的跳转路径 -->
<property name="unauthorizedUrl" value="/unauthorized.jsp" />
<!-- shiro 连接约束配置(URL级别的权限控制),即URL和filter的关系,URL控制规则:路径=规则名 -->
<property name="filterChainDefinitions">
<value>
<!--按需求配置-->
/login.jsp = anon
/validatecode.jsp = anon
/js/** = anon
/css/** = anon
/images/** = anon
/user_login.action* = anon
/page_base_staff.action = anon
/page_base_region.action = perms["user"]
/page_base_subarea.action = roles["operator"]
/** = authc
</value>
</property>
</bean>
<!-- shiro安全管理器 -->
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
<!-- 注入 Realm连接安全数据-->
</bean>配置shiroFilter 其实是一个过滤器链,含有10个Filter(校验功能)。
常用:
认证
- anon不用认证(登录)就能访问(单词注意大小写)
- authc: 需要认证(登录)才能使用,例如/admins/user/**=authc,没有参数。
授权:
- perms:需要拥有某权限才能使用,如具体允许的权限:/page_base_region.action =perms[“user”],如果要访问该action,当前登录用户必须拥有user名字的权限。
- roles:需要拥有某角色才能使用,如具体允许的角色:/page_base_subarea.action = roles[“operator”]如果要访问该action,当前用户必须拥有operator权限。
用户认证(登录)—自定义Realm
Shiro实现登录逻辑
用户输入用户名和密码 —- 应用程序调用Subject的login方法 —- Subject 调用SecurityManager的方法 —- SecurityManager 调用Realm的认证方法 —- 认证方法根据登录用户名查询密码 ,返回用户的密码 —- SecurityManager 比较用户输入的密码和真实密码是否一致 。
编写Shiro的认证登录逻辑
@Action(value="user_login",results={@Result(name=SUCCESS,type="redirect",location="/index.jsp"),@Result(name=LOGIN,location="/login.jsp")})
@InputConfig(resultName="login")
public String login() throws Exception {
//shrio:登陆逻辑
//获取认证对象的包装对象
Subject subject = SecurityUtils.getSubject();
//获取一个认证的令牌:
//直接获取页面的用户和密码进行校验
AuthenticationToken authenticationToken = new UsernamePasswordToken(model.getUsername(),MD5Utils.md5(model.getPassword()));
//认证过程
try {
// 如果成功,就不抛出异常,会自动将用户放入session的一个属性
subject.login(authenticationToken);
//成功,返回首页
return SUCCESS;
}catch(UnknownAccountException e){
//用户名错误
addActionError(getText("UserAction.usernamenotfound"));
//返回登陆页面
return LOGIN;
}catch (IncorrectCredentialsException e) {
//密码错误
addActionError(getText("UserAction.passwordinvalid"));
//返回登陆页面
return LOGIN;
}
catch (AuthenticationException e) {
//认证失败
e.printStackTrace();
//页面上进行提示
addActionError(getText("UserAction.loginfail"));
//返回登陆页面
return LOGIN;
}
}编写Realm,给SecurityManager提供
JdbcRealm和jndiLdapRealm,直接连接jdbc或jndi或ldap。
相当于dao和reaml整合了,能直接读取数据库,逻辑代码都实现好了。
/**
* 实现认证和授权功能
*自定义的realm,作用从数据库查询数据,并返回数据库认证的信息
*/
@Component("bosRealm")
public class BosRealm extends AuthorizingRealm{
//注入ehcache的缓存区域
@Value("BosShiroCache")//注入缓存具体对象的名字,该名字在ehcache.xml中配置的
public void setSuperAuthenticationCacheName(String authenticationCacheName){
super.setAuthenticationCacheName(authenticationCacheName);
}
//注入service
@Autowired
private UserService userService;
//注入角色dao
@Autowired
private RoleDao roleDao;
//注入功能的dao
@Autowired
private FunctionDao functionDao;
//授权方法:获取用户的权限信息
//授权:回调方法
//如果返回null,说明没有权限,shiro会自动跳到<property name="unauthorizedUrl" value="/unauthorized.jsp" />
//如果不返回null,根据配置/page_base_subarea.action = roles["weihu"],去自动匹配
//给授权提供数据的
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
//给当前用户授权的权限(功能权限、角色)
SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
//两种方式:
//方式1:工具类来获取(首长-)
// User user=(User)SecurityUtils.getSubject().getPrincipal();
//方式2:通过参数获取首长(推荐)
User user = (User) principals.getPrimaryPrincipal();
//实际:需要根据当前用户的角色和功能权限来构建一个授权信息对象,交给安全管理器
if (user.getUsername().equals("admin")) {
//如果是超级管理员
//查询出所有的角色,给认证信息对象
List<Role> roleList = roleDao.findAll();
for (Role role : roleList) {
authorizationInfo.addRole(role.getCode());
}
//查询出所有的功能权限,给认证对象
List<Function> functionList = functionDao.findAll();
for (Function function : functionList) {
authorizationInfo.addStringPermission(function.getCode());
}
} else {
//如果是普通用户
List<Role> roleList = roleDao.findByUsers(user);
for (Role role : roleList) {
authorizationInfo.addRole(role.getCode());
//导航查询,获取某角色的拥有的功能权限
Set<Function> functions = role.getFunctions();
for (Function function : functions) {
authorizationInfo.addStringPermission(function.getCode());
}
}
}
return authorizationInfo;//将授权信息交给安全管理器接口。
}
//认证:回调,认证管理器会将认证令牌放到这里(action层的令牌AuthenticationToken)
//发现如果返回null,抛出用户不存在的异常UnknownAccountException
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
//用户名密码令牌(action传过来)
UsernamePasswordToken upToken = (UsernamePasswordToken) token;
//调用业务层来查询(根据用户名来查询用户,无需密码)
User user = userService.findByUsername(upToken.getUsername());
//判断用户是否存在
if (user == null) {
//用户不存在
return null;//抛出异常
} else {
//用户名存在
//参数1:用户对象,将来要放入session,数据库查询出来的用户
//参数2:凭证(密码):密码校验:校验的动作交给shiro
//参数3:当前使用的Realm在Spring容器中的名字(bean的名字,自动在spring容器中寻找)
SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(user, user.getPassword(), super.getName());
return authenticationInfo;//密码校验失败,会自动抛出IncorrectCredentialsException
}
}
}ApplicatonContext.xml:
<!-- service需要spring扫描 -->
<context:component-scan base-package="cn.aric.bos.service,cn.aric.bos.web,cn.aric.bos.auth.realm" />
<!-- shiro安全管理器 -->
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
<!-- 注入 Realm连接安全数据-->
<property name="realm" ref="bosRealm"></property>
<!-- 注入shiro的缓存管理器 -->
<property name="cacheManager" ref="shiroCacheManager"/>
</bean>用户认证(退出)以及修改密码
/**
* 用户退出登录
* @return
* @throws Exception
*/
@Action(value="user_logout",results={@Result(name=LOGIN,type="redirect",location="/login.jsp")})
public String logout() throws Exception {
//shiro退出
Subject subject = SecurityUtils.getSubject();
subject.logout();
//跳转登陆页面
return LOGIN;
}
/**
* 用户修改密码
* @return
* @throws Exception
*/
// @Action(value="user_editPassword",results={@Result(name=JSON,type=JSON)})
@Action("user_editPassword")
public String editPassword() throws Exception {
//获取Principal就是获取当前用户
User loginUser = (User) SecurityUtils.getSubject().getPrincipal();
model.setId(loginUser.getId());
//页面结果
HashMap<String,Object> resultMap = new HashMap<String,Object>();
try {
//调用service进行修改密码
userService.updateUserPassword(model);
//修改成功
resultMap.put("result", true);
} catch (Exception e) {
e.printStackTrace();
//修改失败
resultMap.put("result", false);
}
//将结果压入栈顶
ActionContext.getContext().getValueStack().push(resultMap);
//转换为json
return JSON;
}用户授权(授权)—自定义Ream
数据库数据添加,applicationContext.xml配置
<property name="filterChainDefinitions">
<value>
/login.jsp = anon
/validatecode.jsp = anon
/js/** = anon
/css/** = anon
/images/** = anon
/user_login.action = anon
/page_base_staff.action = anon
/page_base_region.action = perms["region"]
/page_base_subarea.action = roles["weihu"]
/page_qupai_noticebill_add.action = perms["noticebill"]
/page_qupai_quickworkorder.action = roles["kefu"]
/** = authc
</value>
</property>- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
代码在上面的BosRealm的中,protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals)
RoleDao省略。
方法级别的权限控制
启用Shiro注解
需要 Shiro 的 Spring AOP 集成来扫描合适的注解类以及执行必要的安全逻辑。
ApplicationContext.xml
<!-- 开启权限控制的注解功能并且配置aop -->
<!-- 后处理器:通过动态代理在某bean实例化的前增强。:自己去找权限注解 -->
<bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>
<!-- 切面自动代理:相当于以前的AOP标签配置
advisor:切面 advice:通知
-->
<bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator"
depends-on="lifecycleBeanPostProcessor">
</bean>
<!-- Advisor切面配置:授权属性的切面 -->
<bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
<!-- 注入安全管理器 -->
<property name="securityManager" ref="securityManager"/>
</bean>- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
在需要权限控制的目标方法上面使用shiro的注解:
@RequiresAuthentication 需要用户登录
subject.isAuthenticated() 必须返回true
@ RequiresUser
subject.isAuthenticated() 返回true 或者subject.isRemembered() 返回true
“Remember Me”服务:
认证机制 基于 session
被记忆机制 基于 cookie (subject.isAuthenticated() 返回 false )
@ RequiresGuest 与 @RequiresUser 相反,不能认证也不能被记忆。
@ RequiresRoles 需要角色
@RequiresPermissions 需要权限
异常
动态代理异常
解决方案:
配置ApplicationContext.xml,设置代理为cglib代理(对目标类代理)
<!-- 切面自动代理:相当于以前的AOP标签配置 -->
<bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator"
depends-on="lifecycleBeanPostProcessor" >
<!-- 设置aop的代理使用CGLIB代理 -->
<property name="proxyTargetClass" value="true"/>
</bean>- 1
- 2
- 3
- 4
- 5
- 6
方案二:
<aop:config proxy-target-class="true" />- 1
类型转换异常
解决方案:递归向上寻找泛型的类型。
//递归向上 查找
Class actionClass =this.getClass();
//向父类递归寻找泛型
while(true){
//得到带有泛型的类型,如BaseAction<Userinfo>
Type type = actionClass.getGenericSuperclass();
if(type instanceof ParameterizedType){
//转换为参数化类型
ParameterizedType parameterizedType = (ParameterizedType) type;
//获取泛型的第一个参数的类型类,如Userinfo
Class<T> modelClass = (Class<T>) parameterizedType.getActualTypeArguments()[0];
//实例化模型对象
try {
model=modelClass.newInstance();
} catch (InstantiationException e) {
e.printStackTrace();
} catch (IllegalAccessException e) {
e.printStackTrace();
}
break;
}
//寻找父类
actionClass=actionClass.getSuperclass();
}空指针异常
解决方案1:使用public 的Setter方法上的注解直接注入Service。
SubareaAction:
//注入service
private SubareaService subareaService;
@Autowired
public void setSubareaService(SubareaService subareaService) {
this.subareaService = subareaService;
}解决方案2:
@Autowire还放到私有声明上,
在struts.xml中覆盖常量(开启自动装配策略):
值默认是false,struts2默认注入采用的是构造器注入(从spring中寻找的bean)
改成true,struts2会采用setter方法注入
页面标签(实现页面内容定制显示)
<!-- 引入Shiro标签 -->
<%@ taglib uri="http://shiro.apache.org/tags" prefix="shiro"%>
页面拿Session中的user对象: 代表user对象。程序中拿Session中的user对象:SecurityUtils.getSubject().getPrincipal()
资源通配符和权限通配符可便捷开发。
代码级别
使用代码编程的方式,直接在程序中使用Subject对象,调用内部的一些API。(有代码侵入)
//代码级别的权限控制(授权):功能权限和角色权限:两套机制:boolean判断,异常判断
//授权的权限控制
//====布尔值判断
//功能权限
if(subject.isPermitted("staff")){
//必须拥有staff功能权限才能执行代码
System.out.println("我是一段代码。。。。。");
}
//角色权限
if(subject.hasRole("weihu")){
//必须拥有staff功能权限才能执行代码
System.out.println("我是一段代码。。。。。");
}
//====异常判断
//功能权限
try {
subject.checkPermission("staff");
//有权限
} catch (AuthorizationException e) {
// 没权限
e.printStackTrace();
}
//角色权限
try {
subject.checkRole("weihu");
//有权限
} catch (AuthorizationException e) {
// 没权限
e.printStackTrace();
}