乐于分享
好东西不私藏
当前位置:夜雨聆风 > 技术教程 > 软件教程 > 如何实现一个权限管理系统?(附源码)

如何实现一个权限管理系统?(附源码)

当前时间: 2026-02-04 14:38:44 分类:软件教程 评论(0)

如何实现一个权限管理系统?(附源码)

01
序言
系统安全一直是在系统开发中不可规避的问题,而权限控制又跟系统安全密不可分,大到用户的访问,小到一个页面的按钮,都有可能涉及到权限的控制。renren-security是开源的轻量级权限管理系统,给我们提供了企业级权限系统开发的借鉴。
系统基于SprinBoot、Mybatis、Shiro框架开发,技术主流门槛不高,而且开箱即用,支持分布式部署、Quartz分布式集群调度、部门管理、数据权限、云存储等功能。
02
项目特点
项目由灵活的权限控制,可控制到页面或按钮,满足绝大部分的权限需求;完善的部门管理及数据权限,通过注解实现数据权限的控制;完善的XSS防范及脚本过滤,彻底杜绝XSS攻击;同时支持多种MySQL、Oracle、PostgreSQL等主流数据库。
03
系统设计
系统结构的设计也比较清晰,由admin、api、common等几个模块组成,每个模块实现的功能大体如下:
Common:公共模块,以jar包的形式被其他模块所依赖。实现了一些工具类和公共功能。包含时间处理、分页、Sql过滤、Xss过滤和Redis切面定义、自定义异常处理等功能。
Admin:管理系统模块,以war包形式独立部署。基于前后端分离的思想,主要用来用来开发后台管理系统。包含用户管理、角色管理、部门管理、菜单管理、定时任务、文件上传、API校验,同时采用Redis进行数据缓存,支持单机和集群的部署。
API:接口模块,以war包形式独立部署。模块主要提供给前端UI调用的一些业务接口,实现了用户注册、登录、接口权限认证和用户信息获取。同时整合了swagger2实现了API接口文档,方便了接口的查询和调试。
系统设计在之初就注重安全,用户登录时对用户的账号密码进行验证,获取用户的信息和role权限,页面显示的时候会根据用户拥有的权限显示对应的状态,接口请求的时候也会进行用户权限的校验,数据保存到数据库时候还进行Sql和Xss的过滤,整个过程的核心思路是Shiro对用户的认证和授权。体流程如下图:
04
权限管理
实现Shiro的认证和授权,需要自定义Realm继承于AuthorizingRealm,同时重写doGetAuthenticationInfo(认证)和doGetAuthorizationInfo(授权)这两个方法。这里对于系统与Shiro的整合就不再做多的说明。
用户登录的时候,将用户的账号和密码包装成一个UsernamePasswordToken后,再调用login提交账户认证,shiro会自动调用我们重写的doGetAuthenticationInfo方法。
Subject subject = SecurityUtils.getSubject();UsernamePasswordToken token = new UsernamePasswordToken(username, password);//提交认证subject.login(token);
//Shiro进行认证@Overrideprotected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authcToken) throws AuthenticationException {  UsernamePasswordToken token = (UsernamePasswordToken)authcToken;  //获取用户信息  SysUserEntity user = new SysUserEntity();  user.setUsername(token.getUsername());  user = sysUserDao.selectOne(user);  //账号不存在  if(user == null) {    throw new UnknownAccountException("账号或密码不正确");  }  SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(user, user.getPassword(), ByteSource.Util.bytes(user.getSalt()), getName());  return info;}
如果认证成功,那么在系统中通过SecurityUtils.getSubject()方法就可以获取认证通过的信息。借助这个特性,也可以实现用户的自动登录。
另外,系统把权限看成是一个个的标签保存在数据库中,用户的权限中持有对应的标签则表示拥有对应的操作权限。对于Shiro的授权,在doGetAuthorizationInfo中需要获取用户的所有权限列表,通过权限列表筛选出是否拥有操作权限。
//Shiro进行授权@Overrideprotected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {  //获取认证时候添加到SimpleAuthenticationInfo中的实例  SysUserEntity user = (SysUserEntity)principals.getPrimaryPrincipal();  Long userId = user.getUserId();  //查询用户所有权限  Set<String> permsSet = new HashSet<String>();  List<String> permsList = sysUserDao.queryAllPerms(userId);  for(String perms : permsList){    if(StringUtils.isBlank(perms)){      continue;    }    permsSet.addAll(Arrays.asList(perms.trim().split(",")));  }  SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();  info.setStringPermissions(permsSet);  return info;}

接口权限,通过注解的方式进行控制,在REST层,方法如果加了@RequiresPermissions注解,Shiro会调用自定义Realm获取权限信息,看指定的权限是否在数据中存在,存在则授权通过,不存在则拒绝访问,从而实现对接口的权限校验。

@RequestMapping("/delete")@RequiresPermissions("sys:del")public R delete(long deptId){  //判断是否有子部门  List<Long> deptList = sysDeptService.queryDetpIdList(deptId);  if(deptList.size() > 0){    return R.error("请先删除子部门");  }  sysDeptService.deleteById(deptId);  return R.ok();}
05
总结
到此,基本上便实现了Shiro在页面和接口的权限控制。事实上,这篇文章是很久之前写的,权限系统在实际落地并非只有这一种。像我司的权限会将接口的URL完整的保存在数据库,权限通过角色进行绑定,角色再分配给到具体的账号。所以这里更多只是做一个记录和借鉴吧。

动手点关注 干货不迷路 👇

AD:【资源若失效或者不可用,请留言评论或加老夜微信 al_tmen】>>点此前往<<
本站文章均为手工撰写未经允许谢绝转载:夜雨聆风 » 如何实现一个权限管理系统?(附源码)
xiaoqiang, wang

wang

猜你喜欢

评论 抢沙发

取消

5 + 2 =
  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
×
订阅图标按钮