Shiro第一篇【Shiro的基础知识、回顾URL拦截】

青旅半醒 2021-09-17 07:30 281阅读 0赞

# Shiro基础知识 #

在学习Shiro这个框架之前，首先我们要先了解Shiro需要的基础知识：**权限管理**

## 什么是权限管理？ ##

**只要有用户参与的系统一般都要有权限管理**，权限管理实现对用户访问系统的控制，按照安全规则或者安全策略**控制用户可以访问而且只能访问自己被授权的资源**。

对权限的管理又分为两大类别：

*  **用户认证**
 *  **用户授权**

### **用户认证** ###

用户认证，**用户去访问系统，系统要验证用户身份的合法性**

最常用的用户身份验证的方法：1、用户名密码方式、2、指纹打卡机、3、基于证书验证方法。。**系统验证用户身份合法，用户方可访问系统的资源。**

举个例子：

*  当我们输入了自己的淘宝的账户和密码，才能打开购物车

用户认证的流程：

*  **判断该资源能否不认证就能访问【登陆页面、首页】**
 *  **如果该资源需要认证后才能访问，那么判断该访问者是否认证了**
 *  **如果还没有认证，那么需要返回到【登陆页面】进行认证**
 *  **认证通过后才能访问资源**

![这里写图片描述][SouthEast]

从用户认证我们可以抽取出这么几个概念

*  subject主体：**理解为用户,可能是程序，都要去访问系统的资源，系统需要对subject进行身份认证**
 *  principal身份信息：**通常是唯一的，一个主体还有多个身份信息**，但是都有一个主身份信息（primary principal）【我们可以选择身份证认证、学生证认证等等都是我们的身份信息】
 *  credential凭证信息：**可以是密码 、证书、指纹。**

总结：**主体在进行身份认证时需要提供身份信息和凭证信息。**

### **用户授权** ###

用户授权，**简单理解为访问控制**，在用户认证通过后，**系统对用户访问资源进行控制，用户具有资源的访问权限方可访问**。

用户授权的流程

*  到达了用户授权环节，当然是需要用户认证之后了
 *  **用户访问资源，系统判断该用户是否有权限去操作该资源**
 *  **如果该用户有权限才能够访问，如果没有权限就不能访问了**

![这里写图片描述][SouthEast 1]

授权的过程可以简单理解为：**主体认证之后，系统进行访问控制**

subject必须具备资源的访问权限才可访问该资源..

权限/许可(permission) ：**针对资源的权限或许可，subject具有permission访问资源，如何访问/操作需要定义permission**，权限比如：用户添加、用户修改、商品删除

资源可以分为两种

*  资源类型:**系统的用户信息就是资源类型，相当于java类。**
 *  资源实例:**系统中id为001的用户就是资源实例，相当于new的java对象。**

## 权限管理模型 ##

一般地，我们可以抽取出这么几个模型：

*  主体（账号、密码）
 *  资源（资源名称、访问地址）
 *  权限（权限名称、资源id）
 *  角色（角色名称）
 *  角色和权限关系（角色id、权限id）
 *  主体和角色关系（主体id、角色id）

![这里写图片描述][SouthEast 2]

通常企业开发中将资源和权限表合并为一张权限表，如下：

*  资源（资源名称、访问地址）
 *  权限（权限名称、资源id）

合并为：

*  **权限（权限名称、资源名称、资源访问地址）**

![这里写图片描述][SouthEast 3]

## 分配权限 ##

**用户需要分配相应的权限才可访问相应的资源。权限是对于资源的操作许可。**

通常给**用户分配资源权限需要将权限信息持久化，比如存储在关系数据库中**。把用户信息、权限管理、用户分配的权限信息写到数据库（权限数据模型）

### **基于角色访问控制** ###

**RBAC(role based access control)，基于角色的访问控制。**

//如果该user是部门经理则可以访问if中的代码
    if(user.hasRole('部门经理')){
        //系统资源内容
        //用户报表查看
    }

角色针对人划分的，**人作为用户在系统中属于活动内容，如果该 角色可以访问的资源出现变更，需要修改你的代码了**，

if(user.hasRole('部门经理') || user.hasRole('总经理') ){
        //系统资源内容
        //用户报表查看
    }

**基于角色的访问控制是不利于系统维护(可扩展性不强)。**

### **基于资源的访问控制** ###

**RBAC(Resource based access control)，基于资源的访问控制。**

资源在系统中是不变的，比如资源有：**类中的方法，页面中的按钮。**

对资源的访问需要具有permission权限，代码可以写为：
    
    if(user.hasPermission ('用户报表查看（权限标识符）')){
        //系统资源内容
        //用户报表查看
    }

**建议使用基于资源的访问控制实现权限管理**。

--------------------

# 粗粒度和细粒度权限 #

细粒度权限管理：对资源实例的权限管理。资源实例就资源类型的具体化，比如：用户id为001的修改连接，1110班的用户信息、行政部的员工。**细粒度权限管理就是数据级别的权限管理。**

粗粒度权限管理比如：超级管理员可以访问户添加页面、用户信息等全部页面。部门管理员可以访问用户信息页面包括 页面中所有按钮。

**粗粒度和细粒度例子**：

系统有一个用户列表查询页面，对用户列表查询分权限，
    
    如果粗颗粒管理，张三和李四都有用户列表查询的权限，张三和李四都可以访问用户列表查询。
    
    进一步进行细颗粒管理，张三（行政部）和李四(开发部)只可以查询自己本部门的用户信息。
    
    张三只能查看行政部 的用户信息，李四只能查看开发部门的用户信息。
    
    细粒度权限管理就是数据级别的权限管理。

## 如何实现粗粒度权限管理？ ##

粗粒度权限管理比较容易**将权限管理的代码抽取出来在系统架构级别统一处理**。比如：通过**springmvc的拦截器实现授权**。

对细粒度权限管理在**数据级别是没有共性可言**，针对细粒度权限管理就是**系统业务逻辑的一部分**，**在业务层去处理相对比较简单**

比如：**部门经理只查询本部门员工信息，在service接口提供一个部门id的参数，controller中根据当前用户的信息得到该 用户属于哪个部门，调用service时将部门id传入service，实现该用户只查询本部门的员工。**

### **基于URL拦截** ###

基于url拦截的方式实现在实际开发中比较常用的一种方式。

**对于web系统，通过filter过虑器实现url拦截，也可以springmvc的拦截器实现基于url的拦截。**

### **使用权限管理框架实现** ###

对于粗粒度权限管理，建议使用优秀权限管理框架来实现，节省开发成功，提高开发效率。

**shiro就是一个优秀权限管理框架。**

# 回顾URL拦截 #

我们在学习的路途上也是使用过几次URL对权限进行拦截的

当时我们做了权限的增删该查的管理系统，**但是在权限表中是没有把资源添加进去，我们使用的是Map集合来进行替代的**。  
[http://blog.csdn.net/hon\_3y/article/details/61926175][http_blog.csdn.net_hon_3y_article_details_61926175]

随后，我们学习了动态代理和注解，我们也做了一个基于注解的拦截

*  **在Controller得到service对象的时候，service工厂返回的是一个动态代理对象回去**
 *  **Controller拿着代理对象去调用方法，代理对象就会去解析该方法上是否有注解**
 *  **如果有注解，那么就需要我们进行判断该主体是否认证了，如果认证了就判断该主体是否有权限**
 *  **当我们解析出该主体的权限和我们注解的权限是一致的时候，才放行！**

[http://blog.csdn.net/hon\_3y/article/details/70767050][http_blog.csdn.net_hon_3y_article_details_70767050]

## 流程 ##

![这里写图片描述][SouthEast 4]

## 认证的JavaBean ##

我们之前认证都是放在默认的Javabean对象上的，现在既然我们准备学Shiro了，我们就得专业一点，弄一个**专门存储认证信息的JavaBean**

/** * 用户身份信息，存入session 由于tomcat将session会序列化在本地硬盘上，所以使用Serializable接口 * * @author Thinkpad * */ public class ActiveUser implements java.io.Serializable { private String userid;//用户id（主键） private String usercode;// 用户账号 private String username;// 用户名称 private List<SysPermission> menus;// 菜单 private List<SysPermission> permissions;// 权限 public String getUsername() { return username; } public void setUsername(String username) { this.username = username; } public String getUsercode() { return usercode; } public void setUsercode(String usercode) { this.usercode = usercode; } public String getUserid() { return userid; } public void setUserid(String userid) { this.userid = userid; } public List<SysPermission> getMenus() { return menus; } public void setMenus(List<SysPermission> menus) { this.menus = menus; } public List<SysPermission> getPermissions() { return permissions; } public void setPermissions(List<SysPermission> permissions) { this.permissions = permissions; } }

认证的服务

@Override
        public ActiveUser authenticat(String userCode, String password)
                throws Exception {
            /** 认证过程： 根据用户身份（账号）查询数据库，如果查询不到用户不存在 对输入的密码 和数据库密码 进行比对，如果一致，认证通过 */
            //根据用户账号查询数据库
            SysUser sysUser = this.findSysUserByUserCode(userCode);
    
            if(sysUser == null){
                //抛出异常
                throw new CustomException("用户账号不存在");
            }
    
            //数据库密码 (md5密码 )
            String password_db = sysUser.getPassword();
    
            //对输入的密码 和数据库密码 进行比对，如果一致，认证通过
            //对页面输入的密码 进行md5加密 
            String password_input_md5 = new MD5().getMD5ofStr(password);
            if(!password_input_md5.equalsIgnoreCase(password_db)){
                //抛出异常
                throw new CustomException("用户名或密码 错误");
            }
            //得到用户id
            String userid = sysUser.getId();
            //根据用户id查询菜单 
            List<SysPermission> menus =this.findMenuListByUserId(userid);
    
            //根据用户id查询权限url
            List<SysPermission> permissions = this.findPermissionListByUserId(userid);
    
            //认证通过，返回用户身份信息
            ActiveUser activeUser = new ActiveUser();
            activeUser.setUserid(sysUser.getId());
            activeUser.setUsercode(userCode);
            activeUser.setUsername(sysUser.getUsername());//用户名称
    
            //放入权限范围的菜单和url
            activeUser.setMenus(menus);
            activeUser.setPermissions(permissions);
    
            return activeUser;
        }

Controller处理认证，**如果身份认证成功，那么把认证信息存储在Session中**

@RequestMapping("/login")
        public String login(HttpSession session, String randomcode,String usercode,String password)throws Exception{
            //校验验证码，防止恶性攻击
            //从session获取正确验证码
            String validateCode = (String) session.getAttribute("validateCode");
    
            //输入的验证和session中的验证进行对比 
            if(!randomcode.equals(validateCode)){
                //抛出异常
                throw new CustomException("验证码输入错误");
            }
    
            //调用service校验用户账号和密码的正确性
            ActiveUser activeUser = sysService.authenticat(usercode, password);
    
            //如果service校验通过，将用户身份记录到session
            session.setAttribute("activeUser", activeUser);
            //重定向到商品查询页面
            return "redirect:/first.action";
        }

身份认证拦截器

授权拦截器

//在执行handler之前来执行的
        //用于用户认证校验、用户权限校验
        @Override
        public boolean preHandle(HttpServletRequest request,
                HttpServletResponse response, Object handler) throws Exception {
    
            //得到请求的url
            String url = request.getRequestURI();
            //判断是否是公开 地址
            //实际开发中需要公开 地址配置在配置文件中
            //从配置中取逆名访问url
    
            List<String> open_urls = ResourcesUtil.gekeyList("anonymousURL");
            //遍历公开 地址，如果是公开 地址则放行
            for(String open_url:open_urls){
                if(url.indexOf(open_url)>=0){
                    //如果是公开 地址则放行
                    return true;
                }
            }
            //从配置文件中获取公共访问地址
            List<String> common_urls = ResourcesUtil.gekeyList("commonURL");
            //遍历公用 地址，如果是公用 地址则放行
            for(String common_url:common_urls){
                if(url.indexOf(common_url)>=0){
                    //如果是公开 地址则放行
                    return true;
                }
            }
            //获取session
            HttpSession session = request.getSession();
            ActiveUser activeUser = (ActiveUser) session.getAttribute("activeUser");
            //从session中取权限范围的url
            List<SysPermission> permissions = activeUser.getPermissions();
            for(SysPermission sysPermission:permissions){
                //权限的url
                String permission_url = sysPermission.getUrl();
                if(url.indexOf(permission_url)>=0){
                    //如果是权限的url 地址则放行
                    return true;
                }
            }
    
            //执行到这里拦截，跳转到无权访问的提示页面
            request.getRequestDispatcher("/WEB-INF/jsp/refuse.jsp").forward(request, response);
    
            //如果返回false表示拦截不继续执行handler，如果返回true表示放行
            return false;
        }

拦截器配置：

<mvc:interceptors> <mvc:interceptor>  <mvc:mapping path="/**" /> <bean class="cn.itcast.ssm.controller.interceptor.LoginInterceptor"></bean> </mvc:interceptor> <mvc:interceptor>  <mvc:mapping path="/**" /> <bean class="cn.itcast.ssm.controller.interceptor.PermissionInterceptor"></bean> </mvc:interceptor> </mvc:interceptors>

--------------------

[SouthEast]: /images/20210827/ec52fc269a564bd48008500efd2b9fd9.png
[SouthEast 1]: /images/20210827/2cb5e28420dc4f179ca8ae750b37b68b.png
[SouthEast 2]: /images/20210827/06852f7d4d844eaca98f308335d137c0.png
[SouthEast 3]: /images/20210827/9113da8575a44d34b0458b65aefd231e.png
[http_blog.csdn.net_hon_3y_article_details_61926175]: http://blog.csdn.net/hon_3y/article/details/61926175
[http_blog.csdn.net_hon_3y_article_details_70767050]: http://blog.csdn.net/hon_3y/article/details/70767050
[SouthEast 4]: /images/20210827/bc4ab03706234349b4835ccad3095423.png