如何快速搞定一个权限管理系统?
来源丨低调的旋律d
jianshu.com/p/50fc0427689d
巴克拉纳帆船赛 (© Ababsolutum)
概 述
系统安全一直是在系统开发中不可规避的问题,而权限控制又跟系统安全密不可分,大到用户的访问,小到一个页面的按钮,都有可能涉及到权限的控制。而renren-security便给我们提供了一套权限系统开发的解决方案。
renren-security是"人人社区"社区开源的轻量级权限管理系统。系统采用SprinBoot、Mybatis、Shiro框架进行开发,极低门槛,拿来即用,支持分布式部署、Quartz分布式集群调度、部门管理、数据权限、云存储等功能。
项目特点
-
灵活的权限控制,可控制到页面或按钮,满足绝大部分的权限需求
-
完善的部门管理及数据权限,通过注解实现数据权限的控制
-
完善的XSS防范及脚本过滤,彻底杜绝XSS攻击
-
支持MySQL、Oracle、SQL Server、PostgreSQL等主流数据库
系统结构的设计也比较清晰,由 admin 、 api 、 common 等几个模块组成,非常适合学习、练手与模仿,每个模块实现的功能大体如下:
common:公共模块,以jar包的形式被其他模块所依赖。实现了一些工具类和公共功能。包含时间处理、分页、Sql过滤、Xss过滤和Redis切面定义、自定义异常处理等功能。
admin:管理系统模块,以war包形式独立部署。基于前后端分离的思想,主要用来用来开发后台管理系统。包含用户管理、角色管理、部门管理、菜单管理、定时任务、文件上传、API校验,同时采用Redis进行数据缓存,支持单机和集群的部署。
api:API接口模块,以war包形式独立部署。模块主要提供给前端UI调用的一些业务接口,实现了用户注册、登录、接口权限认证和用户信息获取。同时整合了swagger2实现了API接口文档,方便了接口的查询和调试。
系统设计之初就特别注重安全性,基于 Shiro 在页面和接口都实现了权限校验。
用户登录时对用户的账号密码进行验证,获取用户的信息和role权限,页面显示的时候会根据用户拥有的权限显示对应的状态,接口请求的时候也会进行用户权限的校验,数据保存到数据库时候还进行 Sql 和 Xss 的过滤,整个过程的核心思路是Shiro对用户的认证和授权。具体流程如下图:
基于Shiro的认证和授权
实现Shiro的认证和授权,需要自定义 Realm 继承于 AuthorizingRealm ,同时重写 doGetAuthenticationInfo ( 认证 )和 doGetAuthorizationInfo ( 授权 )这两个方法。这里对于系统与Shiro的整合就不再做多的说明。
用户登录的时候,将用户的账号和密码包装成一个 UsernamePasswordToken 后,再调用 login 提交账户认证,shiro会自动调用我们重写的 doGetAuthenticationInfo 方法。
如果认证成功,那么在系统的任何地方通过 SecurityUtils.getSubject() 方法就可以获取认证通过的信息。我们也可以借助它的这点特性,实现用户的自动登录。
这里需要补充一点,系统把权限化成了一个个的标签保存在数据库中,用户的权限中持有对应的标签则表示拥有对应的操作权限。而对于Shiro的授权,在 doGetAuthorizationInfo 中需要获取用户的所有权限列表,通过权限列表筛选出是否拥有操作权限。
Shiro的授权是被动的,只有被相应的条件触发才会进行用户授权,方式有以下几种:
1. 作用于页面。页面里如果遇到 <#if shiro.hasPermission(“sys:del”)></#if> ,Shiro会调用自定义 Realm 获取权限信息,看 "sys:del" 是否在权限数据中存在,存在则授权通过,不存在则拒绝访问,可应用于对一些按钮和标签的特定开放。
2. 通过注解的方式作用于接口。在 controller 中,方法如果加了 @RequiresPermissions(“sys:del”) 注解,Shiro同样会调用自定义 Realm 获取权限信息,看 "sys:del" 是否在权限数据中存在,存在则授权通过,不存在则拒绝访问,从而实现对接口的权限校验。
到此,基本上便实现了Shiro在页面和接口的权限控制。当然,Shiro更多是作用于表现层的一个控制,而出于系统安全考虑也应该增加对数据的校验。因此在数据层面,则可通过Sql过滤和Xss过滤的方式实现过滤。项目中已经为其封装成工具,原理都是正则匹配和字符串替换,感兴趣的伙伴可以直接到项目里查看,这里就不再累述了。
系统除了实现权限控制外,也实现了很多后台管理系统开发中常用到的一些功能,像Quartz分布式集群调度、多数据源动态切换以及集群部署下Session管理,感兴趣的伙伴也可以查看源码。
项目地址:https://gitee.com/renrenio/renren-security
后 记
若有错误或者不当之处,可在本公众号内反馈,一起学习交流!
更多热文在此:
● Spring Boot 系列实战文章合集(源码已开源)
● 程序员写简历时必须注意的技术词汇拼写
● 基于Spring Security OAuth2 的SSO单点登录+JWT权限控制实战
● 从一份配置清单详解Nginx服务器配置
● 如何在Windows下像Mac一样优雅的开发
● Docker容器可视化监控中心搭建
● 利用ELK搭建Docker容器化应用日志中心
● 真实IT领域2/8法则,扎心了!
● 一文详解 Linux系统常用监控工具
更多 务实、能看懂、可复现的 技术文章、资源尽在公众号 CodeSheep ,欢迎扫码订阅,第一时间获取更新 :arrow_down::arrow_down::arrow_down:
正文到此结束
- 本文标签: API 分页 Quartz Spring Security 云 ip 安全 管理 mybatis 文章 Spring Boot 部署 mysql windows 集群 redis 文件上传 Word id 缓存 linux 认证 cat 数据 Docker http IO session 源码 数据库 调试 XSS攻击 src NIO 权限控制 服务器 Oracle UI 程序员 SQL Server 数据缓存 token Nginx 时间 开源 Security ELK spring https 配置 需求 开发 Authorization 分布式 rmi git sql
- 版权声明: 本文为互联网转载文章,出处已在文章中说明(部分除外)。如果侵权,请联系本站长删除,谢谢。
- 本文海报: 生成海报一 生成海报二
热门推荐
相关文章
近期评论
-
文章和留言都翻到11页了 没有OOM
-
-
朋友,翻页到11页,及以后,会出现OOM,无法访问
-
-
搞个gitee的项目
-
-
版本号是多少,你可以下载哪个代码仓库,jdk选1.8 直接跑就行
-
-
-
Loading...
![[HBLOG]公众号](https://www.liuhaihua.cn/img/qrcode_gzh.jpg)
