動態修改shiro配置文件

㈠ 給女朋友講某寶是如何設計用戶許可權管理的(一)

一、概述

java應用系統設計過程中，用戶認證、用戶授權、鑒權是繞不過去的話題。

如果這個許可權管理的設計，沒有做到與業務系統的隔離，拓展性不夠強，很容易就會拖後腿。

這個問題應該做過開發的同學都會有所體會。

現在網路上的各種關於許可權管理的框架比較主流的有 Apache Shiro，Spring Security，Sa-Token（新興起的一個優秀框架）。

這里會有同學說，既然已經有這么多的成熟優秀的許可權管理框架，為什麼還有再給大家介紹這種實現思路。

在本人工作和學習的過程中，經常會使用這些優秀的許可權管理框架。

但是，一旦是這些三方框架出現的異常和問題，想要排查，就比較麻煩。要麼就是靠著網路大家的經驗。要麼就是猛扒代碼，一點點去排查。

三方框架對於我們使用者來說，就像是一個黑盒。這一點一直讓我覺得有點不順暢。

同學們，誰不想要一個自己知根知底的的許可權管理框架呢。

二、框架使用體驗

2.1 項目初始化配置

Springboot老三樣。

引入pom依賴:

修改配置文件:

2.2 用戶登錄

自定義一個憑證類

自定義一個憑證類認證器：

這個認證器很簡單 就是默認admin 密碼 123456 然後給與了固定的角色和全部的資源。實際應用中應該從資料庫中獲取到用戶的許可權 並組織返回的securityAuthority。

開放認證介面：

2.3 許可權驗證

路由級別鑒權：

不用做其他額外的配置 只需要打上@HasUrl 就會獲取到Controller層的當前url地址，並校驗用戶是否有訪問該url的許可權。

並將解析後的用戶信息放到方法的SecurityAuthority參數中

在第一步用戶登錄時，默認給了SecurityRes.allUrlRes() ，則配置了 /** 的url訪問許可權。

方法級別鑒權

驗證用戶是否登錄

三、時間地點人物

想要描述一個事情，都是將時間地點人物介紹完，才能吧事情描述清楚。

介紹這個設計思路也需要介紹前提：

3.1 什麼時候用這個框架

顯然，如果系統需要提供用戶認證、用戶授權、用戶鑒權的時候，就需要有一個許可權管理的模塊。

整個流程應該是：

用戶認證 --> 頒發token(用戶授權) --> 用戶鑒權 --> token回收

3.2 框架要提供哪些能力

以上能力老生常談就是最基礎的許可權管理。

3.3 框架應該有哪些抽象組件

這個問題是面向對象開發的java程序員必須要好好思考的問題，就是當你接到一個需求時，如何以面向對象的思維來分析和設計程序來完成需求。

3.3.1 用戶認證

用戶認證，最最常見的場景就是用戶名密碼登錄。

在這個場景中可能存在：
用戶名+密碼、用戶名+密碼+驗證碼、手機號+驗證碼、郵箱+驗證碼 ...... 這么多的登錄方式。

而通常來驗證這些登錄信息是否合法，一般都是要去資料庫中讀取用戶的注冊信息來完成認證。

這個場景下可以抽象出來的類有：

1. 憑證類：用戶名+密碼、用戶名+密碼+驗證碼、手機號+驗證碼、郵箱+驗證碼 ......

2. 憑證類驗證器：用來驗證用戶上傳的憑證是否是合法的。

3.3.2 用戶授權

當用戶完成認證憑證驗證後，伺服器應該返回一個用戶的口令(token)，給用戶使用。

並且用戶的token應該可以關聯並攜帶出用戶綁定的所有資源許可權，和角色、部門、崗位等等信息。

用戶的資源又分為：

靜態資源:

菜單、按鈕等靜態資源

文檔、圖片等靜態資源

動態資源:

對某種資源的CURD許可權：如 是否可以對 sys_user表數據進行CURD。

這個場景下可以抽象出來的類：

其中的崗位和部門，有些許可權管理框架中沒有，有的或許有一個，這里不糾結這個問題，無論是部門還是崗位，其實都是提供了一種許可權判斷的維度，類型給用戶打上一種標簽。

3.3.3 token管理

生成用戶token後，所有的token需要管理起來。可以用來統計和維護。

所以需要將上一步獲取到的用戶許可權描述類的信息與token建立一種映射關系。從而可以通過token獲取到用戶的各種信息。

這個場景可以抽象出來的類：

Token管理類：用來管理所有生成的token。並建立用戶信息與token的關聯關系。

3.3.4 用戶鑒權

當用戶通過用戶認證和用戶授權後，就獲取到了他的token口令。

每次用戶來訪問服務資源時，都需要攜帶token，當伺服器收到請求後，需要通過token獲取到用戶的所有的許可權信息，來判斷用戶是否可以訪問當前資源。

這個場景似乎沒有可以抽離出來的類，而是我們要找到一種用戶鑒權的方案。

這里，根據以往的經驗，基於Spring的AOP切面編程應該是對使用者最友好的方式

所以這里總結下我們需要鑒權的類型：

四、小結

上面鋪墊了那麼些，其實只是想讓大家能跟筆者有一個相同的認知。

先梳理下上面總結出來的類。

憑證類、憑證類驗證器、token生成器、token管理器。

以及，基於AOP實現的用戶鑒權方案。

大致思路：

未完待續。。。

㈡ 領課教育—在線教育系統

領課教育—在線教育系統是一個普適於全行業的分布式在線教育平台。以下是關於該系統的詳細介紹：

• 技術框架：系統基於Spring IO Platform進行維護，具體版本為SR7，同時採用了Spring Boot 2.0.8.RELEASE來保證項目架構的清晰性與高效性。

• 核心架構：核心框架選用了Spring Cloud 2.0.8.RELEASE，提供了豐富的微服務功能，確保系統在高度的可擴展性和靈活性方面表現出色。

• 服務管理：

  • Eureka作為注冊中心，用於服務發現，幫助系統管理和定位各個微服務。
  • Spring Cloud Config負責配置中心管理，版本為2.0.2.RELEASE，確保系統配置的集中管理和動態更新。
  • Spring Cloud Sleuth用於配置跟蹤，版本同樣為2.0.2.RELEASE，幫助追蹤和監控服務鏈路信息。

• 資料庫與持久層：

  • Mybatis 3.4.5用於資料庫操作，提供高效的數據訪問能力。
  • Druid 1.1.12作為數據連接池解決方案，優化資料庫連接管理。

• 介面與文檔：

  • Swagger 1.5.20用於生成介面文檔，幫助用戶理解和使用API。
  • 系統提供詳細的部署文檔和實施指導，方便新用戶快速上手。

• 前端與展示：

  • 系統通過前端和後台的鏈接提供演示界面，直觀呈現系統功能。
  • Freemarker 2.3.28作為模板引擎，用於生成動態HTML網頁，提升用戶體驗。

• 安全與許可權：

  • Shiro 1.4.0作為許可權框架，確保安全可靠的數據訪問。

• 其他工具與組件：

  • POI 3.17用於高效處理各種表格文件，滿足文檔處理需求。
  • Hutool 2.16.2提供一系列簡潔、實用的通用工具類，方便開發過程中各種小功能的實現。

此外，領課教育項目還提供了豐富的截圖和流程圖說明，直觀呈現系統內部架構與各種功能操作流程，方便用戶理解和上手。同時，用戶可以通過碼雲和Github訪問項目地址，進行訪問、研究或者貢獻代碼。