基于AOP实现权限管理：通过shiro认证身份和模拟授权认证

有记录和总结的学习，才是完整的学习。不能总是低头忙于平台项目的开发，更重要的是在学习过程中思考和总结，颗粒归仓，一年之计在于秋。

 

身份认证和授权认证是权限管理中的核心模块。本文讲讲通过安全框架shiro进行身份认证和模拟授权认证，并可以看到授权之后的效果。

 

认证

登录模块，在完成用户名和密码的匹配基础上，查询该用户具有的操作权限，缓存到本地。

该权限系统是基于角色的RBAC模型。所以查询该用户具有的操作权限，其实是根据该用户所具有的角色查询的。

而缓存到本地，是为了提高性能。基于AOP的实现，是在Struts和页面端之间做权限验证，用大帅的话是“在它们之间插一杠子”。每次访问Action之前，判断该用户是否具有这个操作权限，只有具有操作权限才能访问Action。当用户登录时，如果把该用户具有的操作权限全部查询出来，缓存到本地，以后只需要根据这个缓存做判断即可，这样远比每次都到数据库中查询的效率要高得多。

 

用例子来说明

使用admin账号登录

登录时需要做的事情：

1、用户名和密码的匹配

2、查询该用户具有的操作权限，缓存到本地

 

根据权限，显示页面

admin用户，具有admin角色。

admin角色，具有对“用户管理”的“添加”、“删除”、“修改”的权限

所以，admin登录后可看到的页面时这样的

 

使用test账号登录

 

根据权限，显示页面

test用户，具有test角色。

test角色，只有对“用户管理”的“添加”的权限

所以，test登录后可看到的页面时这样的（只能看到添加按钮，并且也只能执行查询和添加操作）

 

由图可看出，权限控制粒度到了页面菜单及页面中按钮。

 

看看是如何实现的

在java开源的海洋，我们要做什么，几乎都有现成的东西供我们使用，当然基于AOP实现的权限管理也不例外，比如我们可以使用apache shiro、spring security。我用的是apache的shiro，如果想学习，可参考之前的系列文章。

 

Authentication认证

@OverrideprotectedAuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authcToken)throwsAuthenticationException { //验证 验证码//........ //验证 用户名和密码UsernamePasswordTokentoken = (UsernamePasswordToken)authcToken; //从数据库中查询用户用信息Useruser = userService.get(token.getUsername()); ShiroUsershiroUser = new ShiroUser(user.getUsername(), user.getRealname()); if(user != null) {returnnew SimpleAuthenticationInfo(shiroUser,user.getPassword(),ByteSource.Util.bytes(user.getPassword()),getName());}

这相当于对 登录用户信息的匹配过程，只是这个匹配过程交给了shiro去完成。

Authentication认证之后，会进行Authorization认证，进而只能进行自己权限范围内的操作。

 

模拟Authorization认证

@OverrideprotectedAuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {System.out.println("由于加入了缓存, 此处只会load一次：doGetAuthorizationInfo................."); //得到doGetAuthenticationInfo 方法中传入的凭证ShiroUsershiroUser = (ShiroUser) principals.fromRealm(getName()).iterator().next(); StringuserName = shiroUser.getName(); if(StringUtils.equals("admin",userName)) { SimpleAuthorizationInfoinfo = new SimpleAuthorizationInfo(); //这个就是页面中<shiro:hasRole>标签的name的值info.addRole("admin"); //这个就是页面中<shiro:hasPermission> 标签的name的值info.addStringPermission("user:view");info.addStringPermission("user:add");info.addStringPermission("user:edit");info.addStringPermission("user:delete"); returninfo; } elseif(StringUtils.equals("test", userName)) {SimpleAuthorizationInfoinfo = new SimpleAuthorizationInfo(); //这个就是页面中<shiro:hasRole>标签的name的值info.addRole("test"); //这个就是页面中<shiro:hasPermission> 标签的name的值info.addStringPermission("user:view");info.addStringPermission("user:add"); returninfo;} else{returnnull;}}

这里的permission字符串就是权限标识，比如“user：add”表示对user模块具有add的权限。在shiro标签和shiro注解中，就是通过这个标识来完成验证的。

 

 

shiro标签在页面中的应用

在jsp中，通过shiro标签实现对用户管理模块的权限控制

<divclass="panelBar"><ulclass="toolBar"><shiro:hasPermission name="user:add"><li><aclass="add" href="${contextPath}/user/preAddUser"target="dialog" rel="lookup2organization_add"mask="true" width="530"height="330"><span>添加</span></a></li></shiro:hasPermission> <shiro:hasPermission name="user:delete"><li><atitle="确实要删除这些记录吗?" target="selectedTodo"rel="userIds" href="${contextPath}/user/delManyUser"class="delete"><span>删除</span></a></li></shiro:hasPermission> <shiro:hasPermission name="user:edit"><li><aclass="edit"href="${contextPath}/user/preUpdateUser?userId={sid_user}"rel="lookup2organization_edit" target="dialog"mask="true" warn="请选择一个用户"><span>修改</span></a></li></shiro:hasPermission></ul></div>

 

shiro注解在action中的应用

在java代码中，通过shiro注解实现对用户管理模块的权限控制

通过shiro标签，的确可以让用户只看到自己权限范围之内的页面元素，但这并不是很安全，因为页面端的这些输入信息可以别篡改，就像做输入验证一样，在页面通过js验证后，在java代码还需要验证一样。

 

// 添加用户@RequiresPermissions("user:add")publicvoid  add(){        Stringmsg; try {userService.save(user);msg=AjaxObject.newOk("添加成功").setNavTabId("userListView").toString();}catch (ServiceException e) {msg =AjaxObject.newError(e.getMessage()).setNavTabId("userListView").setCallbackType("").toString();}outMsg(msg);}

 

授权认证，这里是使用静态数据来模拟的，如果想得到数据库中的数据，涉及到Role、Modul、Permission、Organization模块，而我们项目组正在开发之中。。。后文会有讲解，敬请期待。