浅谈业务管理系统权限问题

来自二次元的程序猿

summary

开发后台管理系统，一般少不了权限分配问题，就拿我目前正在开发的业务管理系统来说吧，使用数据库设计表可以方便的解决权限问题。下面我就来详细阐述一波~ =w=

particulars

配一手权限一般总共需要五张表：

• 用户表（user）

• 用户角色表（roleuser）

• 角色表（role）

• 角色权限表（rolemenu）

• 权限表（menu）

其中，有三张是主表：用户表、角色表、权限表，这三张表并没有直接关系。另外两张表起到连接作用的关系表，用户角色表连接了用户表和角色表；角色权限表连接了角色表和权限表。

一个用户可能会拥有一个或多个角色，比如路人甲是A岗位的负责人，同时也是B岗位的负责人。用户和角色是一对多的关系。同理，一个角色也可能会拥有一个或者多个权限，比如A岗位的负责人可以审批1号业务，亦可审批2号业务。角色和权限亦是一对多的关系。由此两中间表连接三张主表，最终可让用户和权限产生联系。

下面容我更加细分的解释

用户——中间表——角色

首先是用户表、用户角色表与角色表。用户角色表这张中间表只需要两个字段，其中一个字段属于用户表，另一个属于角色表，以此来让两表建立联系。而用户表，里面会包含例如出生年月，居住地等用户的各种详细信息。至于角色表，则是会包含各种角色的详细信息。总之通过这三张表，我们可以知道一个用户拥有哪些角色。

角色——中间表——权限

与上面同理。角色表、角色权限表、权限表。通过中间表的连接让角色表与权限表产生关系，一个角色一般会拥有多个权限，通过这三张表，我们可以知道一个角色拥有哪几个权限。

用户——权限

既然知道了用户与角色是一对多的关系、角色与权限是一对多的关系，就可以看出用户与权限之间的关系了。通过这五张表，我们就可以查出，一个用户拥有哪些权限了。每张表都是环环紧扣的，具体需要实现什么业务逻辑功能，也无非是这五张表之间的博弈了。

手画关系图

shiro

当然，以上是最原始最简单的通过表管理权限，我们由上可以看出，如果只是单纯的这样做，最多只能精确到菜单（不同权限的用户，登录进去后显示的菜单会不同），若是想精确到某个方法，或者是说某个按钮，单靠这个是无法实现的，这时就出现了shiro。当然，实际上一般管理系统的权限管理都是交给shiro来做的。关于shiro，可参考开涛大佬的《跟我学shiro》，这个教程简直详细到令人发指，shiro的配置我就不做过多赘述了。


shiro官网首页是这样介绍shiro的：
Apache Shiro is a powerful and easy-to-use Java security framework that performs authentication, authorization, cryptography, and session management. With Shiro’s easy-to-understand API, you can quickly and easily secure any application – from the smallest mobile applications to the largest web and enterprise applications.
意思是说，shiro是一个功能强大且易于使用的Java安全框架，他可以用来做身份验证、授权、加密和会话管理。

有几个关键性的概念：

• Subject：一般来说都是代表当前登录的用户，获得Subject对象之后我们可以通过Subject对象进行授权检查。
• SecurityManager：Subject代表某一个用户，而SecurityManager就是对这些Subject进行管理的对象，在web项目中使用shiro的时候，我们通常在xml文件中配置好SecurityManager对象，然后就不会跟它打太多的交道，而仅仅是访问Subject的api。
• Realm：域，Realm表示验证的数据源，存储用户的安全数据，可以进行用户名和密码的匹配，及用户权限查询。我们需要编写一个SimpleAuthorizingRealm类，继承AuthorizingRealm，用来实现认证和管理的相关操作。

首先是身份验证。
用户登录时需要提供信息来证明"你就是你，而不是别人"，一般都是通过账号（principals）和密码（credentials）来验证。登录后，你的shiro会根据你的登录信息查询到你所在的user表的信息，通过上面所介绍的五张表的关系，可以直接查询到当前登录用户的权限及其他所有相关信息，这些都是写在SimpleAuthorizingRealm类里的。

再就是授权方式。
shiro的授权方式不止一种，一般采用的是在方法上面放置相应的注解来完成，例如：

    /**
     * 跳转到角色管理页面
     * @return
     */
    @At
    @RequiresPermissions("menu:view")
    @Ok("beetl:/menu/index.html")
    public Context index(){
        Context ctx = Lang.context();  //返回的Map
        ctx.set("menus",ShiroSession.getMenu());  //加载菜单
        return ctx;
    }

这里的
@RequiresPermissions（"menu:view"）
public Context index(){ }
意思是，subject中必须含有menu：view的权限才能执行index()方法，否则会抛出异常AuthorizationException。
既然是精确到给具体的方法施加权限，也就是说权限已经不止是精确到菜单，而是精确到按钮了！这就是shiro关于授权的强大之处。

怎么样？是不是一目了然了呢？O(∩_∩)O

---

鄙人markdown处女之作，如果有不对的地方欢迎大家留言讨论指正。