通过shiro认证身份和模拟授权认证

身份认证和授权认证是权限管理中的核心模块。本文讲讲通过安全框架shiro进行身份认证和模拟授权认证，并可以看到授权之后的效果。

 

认证

登录模块，在完成用户名和密码的匹配基础上，查询该用户具有的操作权限，缓存到本地。

该权限系统是基于角色的RBAC模型。所以查询该用户具有的操作权限，其实是根据该用户所具有的角色查询的。

而缓存到本地，是为了提高性能。基于AOP的实现，是在Struts和页面端之间做权限验证，用大帅的话是“在它们之间插一杠子”。每次访问Action之前，判断该用户是否具有这个操作权限，只有具有操作权限才能访问Action。当用户登录时，如果把该用户具有的操作权限全部查询出来，缓存到本地，以后只需要根据这个缓存做判断即可，这样远比每次都到数据库中查询的效率要高得多。

 

用例子来说明

使用admin账号登录

登录时需要做的事情：

1、用户名和密码的匹配

2、查询该用户具有的操作权限，缓存到本地

 

根据权限，显示页面

admin用户，具有admin角色。

admin角色，具有对“用户管理”的“添加”、“删除”、“修改”的权限

所以，admin登录后可看到的页面时这样的

 

使用test账号登录

 

根据权限，显示页面

test用户，具有test角色。

test角色，只有对“用户管理”的“添加”的权限

所以，test登录后可看到的页面时这样的（只能看到添加按钮，并且也只能执行查询和添加操作）

 

由图可看出，权限控制粒度到了页面菜单及页面中按钮。

 

看看是如何实现的

在java开源的海洋，我们要做什么，几乎都有现成的东西供我们使用，当然基于AOP实现的权限管理也不例外，比如我们可以使用apache shiro、spring security。我用的是apache的shiro，如果想学习，可参考之前的系列文章。

 

Authentication认证

 "font-size:18px;">@Override
 protectedAuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authcToken)
 throwsAuthenticationException {

 //验证 验证码
 //........

 //验证 用户名和密码
 UsernamePasswordTokentoken = (UsernamePasswordToken)authcToken;

 //从数据库中查询用户用信息
 Useruser = userService.get(token.getUsername());

 ShiroUsershiroUser = new ShiroUser(user.getUsername(), user.getRealname());

 if(user != null) {
 returnnew SimpleAuthenticationInfo(shiroUser,user.getPassword(),
 ByteSource.Util.bytes(user.getPassword()),getName());
 }

这相当于对 登录用户信息的匹配过程，只是这个匹配过程交给了shiro去完成。

Authentication认证之后，会进行Authorization认证，进而只能进行自己权限范围内的操作。

 

模拟Authorization认证

 "font-size:18px;">@Override
 protectedAuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
 System.out.println("由于加入了缓存, 此处只会load一次：doGetAuthorizationInfo.................");

 //得到doGetAuthenticationInfo 方法中传入的凭证
 ShiroUsershiroUser = (ShiroUser) principals.fromRealm(getName()).iterator().next();

 StringuserName = shiroUser.getName();

 if(StringUtils.equals("admin",userName)) {

 SimpleAuthorizationInfoinfo = new SimpleAuthorizationInfo();

 //这个就是页面中标签的name的值
 info.addRole("admin");

 //这个就是页面中 标签的name的值
 info.addStringPermission("user:view");
 info.addStringPermission("user:add");
 info.addStringPermission("user:edit");
 info.addStringPermission("user:delete");

 returninfo;

 } elseif(StringUtils.equals("test", userName)) {
 SimpleAuthorizationInfoinfo = new SimpleAuthorizationInfo();

 //这个就是页面中标签的name的值
 info.addRole("test");

 //这个就是页面中 标签的name的值
 info.addStringPermission("user:view");
 info.addStringPermission("user:add");

 returninfo;
 } else{
 returnnull;
 }
 }

这里的permission字符串就是权限标识，比如“user：add”表示对user模块具有add的权限。在shiro标签和shiro注解中，就是通过这个标识来完成验证的。

 

 

shiro标签在页面中的应用

在jsp中，通过shiro标签实现对用户管理模块的权限控制

 <span style="font-size:18px;"><divclassdivclass="panelBar">
 <ulclassulclass="toolBar">
 <shiro:hasPermission name="user:add">
 <li><aclassaclass="add" href="${contextPath}/user/preAddUser"target="dialog" rel="lookup2organization_add"mask="true" width="530"height="330"><span>添加span>a>li>
 shiro:hasPermission>

 <shiro:hasPermission name="user:delete">
 <li><atitleatitle="确实要删除这些记录吗?" target="selectedTodo"rel="userIds" href="${contextPath}/user/delManyUser"class="delete"><span>删除span>a>li>
 shiro:hasPermission>

 <shiro:hasPermission name="user:edit">
 <li><aclassaclass="edit"href="${contextPath}/user/preUpdateUser?userId={sid_user}"rel="lookup2organization_edit" target="dialog"mask="true" warn="请选择一个用户"><span>修改span>a>li>
 shiro:hasPermission>
 ul>
 div>span>

 

shiro注解在action中的应用

在java代码中，通过shiro注解实现对用户管理模块的权限控制

通过shiro标签，的确可以让用户只看到自己权限范围之内的页面元素，但这并不是很安全，因为页面端的这些输入信息可以别篡改，就像做输入验证一样，在页面通过js验证后，在java代码还需要验证一样。

 

 "font-size:18px;">// 添加用户
 @RequiresPermissions("user:add")
 publicvoid  add(){
 Stringmsg;

 try {
 userService.save(user);
 msg=AjaxObject.newOk("添加成功").setNavTabId("userListView").toString();
 }catch (ServiceException e) {
 msg =AjaxObject.newError(e.getMessage()).setNavTabId("userListView").setCallbackType("").toString();
 }
 outMsg(msg);
 }

 

授权认证，这里是使用静态数据来模拟的，如果想得到数据库中的数据，涉及到Role、Modul、Permission、Organization模块，而我们项目组正在开发之中。。。后文会有讲解，敬请期待。