再見(jiàn)了shiro

前言

作為一名后臺(tái)開(kāi)發(fā)人員，權(quán)限這個(gè)名詞應(yīng)該算是特別熟悉的了。就算是java里的類也有 public、private 等“權(quán)限”之分。之前項(xiàng)目里一直使用shiro作為權(quán)限管理的框架。說(shuō)實(shí)話，shiro的確挺強(qiáng)大的，但是它也有很多不好的地方。shiro默認(rèn)的登錄地址還是login.jsp，前后端分離模式使用shiro還要重寫好多類；手機(jī)端存儲(chǔ)用戶信息、保持登錄狀態(tài)等等，對(duì)shiro來(lái)說(shuō)也是一個(gè)難題。

在分布式項(xiàng)目里，比如電商項(xiàng)目，其實(shí)不太需要明確的權(quán)限劃分，說(shuō)白了，我認(rèn)為沒(méi)必要做太麻煩的權(quán)限管理，一切從簡(jiǎn)。何況shiro對(duì)于springCloud等各種分布式框架來(lái)說(shuō)，簡(jiǎn)直就是“災(zāi)難”。每個(gè)子系統(tǒng)里都要寫點(diǎn)shiro的東西，慢慢的，越來(lái)越惡心。zuul網(wǎng)關(guān)就在這里大顯身手了，控制用戶的登錄，鑒定用戶的權(quán)限等等。zuul網(wǎng)關(guān)控制用戶登錄，鑒權(quán)以后再詳說(shuō)。以上拙見(jiàn)。

然后最近我發(fā)現(xiàn)了另一個(gè)權(quán)限框架jcasbin，雖然網(wǎng)上還沒(méi)有很多關(guān)于博客，但是我看了一會(huì)就可以使用了。

順手貼上github地址：https://github.com/casbin/jcasbin

基于 Spring Boot + MyBatis Plus + Vue & Element 實(shí)現(xiàn)的后臺(tái)管理系統(tǒng) + 用戶小程序，支持 RBAC 動(dòng)態(tài)權(quán)限、多租戶、數(shù)據(jù)權(quán)限、工作流、三方登錄、支付、短信、商城等功能

• 項(xiàng)目地址：https://github.com/YunaiV/ruoyi-vue-pro
• 視頻教程：https://doc.iocoder.cn/video/

一、準(zhǔn)備

基于springboot1.5.10，但是和springboot關(guān)系不太大，所以版本可以忽略，用你熟悉的springboot版本就行。

1、mavan倉(cāng)庫(kù)引入

org.casbin
jcasbin
1.1.0


org.casbin
jdbc-adapter
1.1.0

2、配置文件

jcasbin把用戶的角色、權(quán)限信息（訪問(wèn)路徑）放置在配置文件里，然后通過(guò)輸入流讀取配置文件。主要有兩個(gè)配置文件：model.conf 和 policy.csv。簡(jiǎn)單的使用GitHub里都講了，在此就不再贅述了。

其實(shí)也可以讀取數(shù)據(jù)庫(kù)的角色權(quán)限配置。所以我們可以把關(guān)于數(shù)據(jù)庫(kù)的信息提取出來(lái)，可以進(jìn)行動(dòng)態(tài)設(shè)置。

@Configuration
@ConfigurationProperties(prefix="org.jcasbin")
publicclassEnforcerConfigProperties{

privateStringurl;

privateStringdriverClassName;

privateStringusername;

privateStringpassword;

privateStringmodelPath;

publicStringgetUrl(){
returnurl;
}

publicvoidsetUrl(Stringurl){
this.url=url;
}

publicStringgetDriverClassName(){
returndriverClassName;
}

publicvoidsetDriverClassName(StringdriverClassName){
this.driverClassName=driverClassName;
}

publicStringgetUsername(){
returnusername;
}

publicvoidsetUsername(Stringusername){
this.username=username;
}

publicStringgetPassword(){
returnpassword;
}

publicvoidsetPassword(Stringpassword){
this.password=password;
}

publicStringgetModelPath(){
returnmodelPath;
}

publicvoidsetModelPath(StringmodelPath){
this.modelPath=modelPath;
}

@Override
publicStringtoString(){
return"EnforcerConfigProperties[url="+url+",driverClassName="+driverClassName+",username="
+username+",password="+password+",modelPath="+modelPath+"]";
}

}

這樣我們就可以在application.properties里進(jìn)行相關(guān)配置了。model.conf是固定的文件，之間復(fù)制過(guò)來(lái)放在新建的和src同級(jí)的文件夾下即可。policy.csv的內(nèi)容是可以從數(shù)據(jù)庫(kù)讀取的。

org.jcasbin.url=jdbc//localhost:3306/casbin?useSSL=false
org.jcasbin.driver-class-name=com.mysql.jdbc.Driver
org.jcasbin.username=root
org.jcasbin.password=root
org.jcasbin.model-path=conf/authz_model.conf

基于 Spring Cloud Alibaba + Gateway + Nacos + RocketMQ + Vue & Element 實(shí)現(xiàn)的后臺(tái)管理系統(tǒng) + 用戶小程序，支持 RBAC 動(dòng)態(tài)權(quán)限、多租戶、數(shù)據(jù)權(quán)限、工作流、三方登錄、支付、短信、商城等功能

• 項(xiàng)目地址：https://github.com/YunaiV/yudao-cloud
• 視頻教程：https://doc.iocoder.cn/video/

二、讀取權(quán)限信息進(jìn)行初始化

我們要對(duì)Enforcer這個(gè)類初始化，加載配置文件里的信息。所以我們寫一個(gè)類實(shí)現(xiàn)InitializingBean，在容器加載的時(shí)候就初始化這個(gè)類，方便后續(xù)的使用。

@Component
publicclassEnforcerFactoryimplementsInitializingBean{

privatestaticEnforcerenforcer;

@Autowired
privateEnforcerConfigPropertiesenforcerConfigProperties;
privatestaticEnforcerConfigPropertiesconfig;

@Override
publicvoidafterPropertiesSet()throwsException{
config=enforcerConfigProperties;
//從數(shù)據(jù)庫(kù)讀取策略
JDBCAdapterjdbcAdapter=newJDBCAdapter(config.getDriverClassName(),config.getUrl(),config.getUsername(),
config.getPassword(),true);
enforcer=newEnforcer(config.getModelPath(),jdbcAdapter);
enforcer.loadPolicy();//LoadthepolicyfromDB.
}

/**
*添加權(quán)限
*@parampolicy
*@return
*/
publicstaticbooleanaddPolicy(Policypolicy){
booleanaddPolicy=enforcer.addPolicy(policy.getSub(),policy.getObj(),policy.getAct());
enforcer.savePolicy();

returnaddPolicy;
}

/**
*刪除權(quán)限
*@parampolicy
*@return
*/
publicstaticbooleanremovePolicy(Policypolicy){
booleanremovePolicy=enforcer.removePolicy(policy.getSub(),policy.getObj(),policy.getAct());
enforcer.savePolicy();

returnremovePolicy;
}

publicstaticEnforcergetEnforcer(){
returnenforcer;
}


}

在這個(gè)類里，我們注入寫好的配置類，然后轉(zhuǎn)為靜態(tài)的，在afterPropertiesSet方法里實(shí)例化Enforcer并加載policy（策略，角色權(quán)限/url對(duì)應(yīng)關(guān)系）。

同時(shí)又寫了兩個(gè)方法，用來(lái)添加和刪除policy，Policy是自定的一個(gè)類，對(duì)官方使用的集合/數(shù)組進(jìn)行了封裝。

publicclassPolicy{
/**想要訪問(wèn)資源的用戶或者角色*/
privateStringsub;

/**將要訪問(wèn)的資源，可以使用*作為通配符，例如/user/**/
privateStringobj;

/**用戶對(duì)資源執(zhí)行的操作。HTTP方法，GET、POST、PUT、DELETE等，可以使用*作為通配符*/
privateStringact;

publicPolicy(){
super();
}

/**
*
*@paramsub想要訪問(wèn)資源的用戶或者角色
*@paramobj將要訪問(wèn)的資源，可以使用*作為通配符，例如/user/*
*@paramact用戶對(duì)資源執(zhí)行的操作。HTTP方法，GET、POST、PUT、DELETE等，可以使用*作為通配符
*/
publicPolicy(Stringsub,Stringobj,Stringact){
super();
this.sub=sub;
this.obj=obj;
this.act=act;
}

publicStringgetSub(){
returnsub;
}

publicvoidsetSub(Stringsub){
this.sub=sub;
}

publicStringgetObj(){
returnobj;
}

publicvoidsetObj(Stringobj){
this.obj=obj;
}

publicStringgetAct(){
returnact;
}

publicvoidsetAct(Stringact){
this.act=act;
}

@Override
publicStringtoString(){
return"Policy[sub="+sub+",obj="+obj+",act="+act+"]";
}

}

三、使用

1、權(quán)限控制

jcasbin的權(quán)限控制非常簡(jiǎn)單，自定義一個(gè)過(guò)濾器，if判斷就可以搞定，沒(méi)錯(cuò)，就這么簡(jiǎn)單。

@WebFilter(urlPatterns="/*",filterName="JCasbinAuthzFilter")
@Order(Ordered.HIGHEST_PRECEDENCE)//執(zhí)行順序，最高級(jí)別最先執(zhí)行，int從小到大
publicclassJCasbinAuthzFilterimplementsFilter{

privatestaticfinalLoggerlog=LoggerFactory.getLogger(JCasbinAuthzFilter.class);

privatestaticEnforcerenforcer;

@Override
publicvoidinit(FilterConfigfilterConfig)throwsServletException{
}

@Override
publicvoiddoFilter(ServletRequestservletRequest,ServletResponseservletResponse,FilterChainchain)
throwsIOException,ServletException{
HttpServletRequestrequest=(HttpServletRequest)servletRequest;
HttpServletResponseresponse=(HttpServletResponse)servletResponse;

Stringuser=request.getParameter("username");
Stringpath=request.getRequestURI();
Stringmethod=request.getMethod();

enforcer=EnforcerFactory.getEnforcer();
if(path.contains("anon")){
chain.doFilter(request,response);
}elseif(enforcer.enforce(user,path,method)){
chain.doFilter(request,response);
}else{
log.info("無(wú)權(quán)訪問(wèn)");
Mapresult=newHashMap();
result.put("code",1001);
result.put("msg","用戶權(quán)限不足");
result.put("data",null);
response.setCharacterEncoding("UTF-8");
response.setContentType("application/json");
response.getWriter().write(JSONObject.toJSONString(result,SerializerFeature.WriteMapNullValue));
}

}

@Override
publicvoiddestroy(){

}

}

主要是用enforcer.enforce(user, path, method)這個(gè)方法對(duì)用戶、訪問(wèn)資源、方式進(jìn)行匹配。這里的邏輯可以根據(jù)自己的業(yè)務(wù)來(lái)實(shí)現(xiàn)。在這個(gè)過(guò)濾器之前還可以添加一個(gè)判斷用戶是否登錄的過(guò)濾器。

2、添加刪除權(quán)限

對(duì)于權(quán)限的操作，直接調(diào)用上面寫好的EnforcerFactory里對(duì)應(yīng)的方法即可。并且，可以達(dá)到同步的效果。就是不用重啟服務(wù)器或者其他任何操作，添加或刪除用戶權(quán)限后，用戶對(duì)應(yīng)的訪問(wèn)就會(huì)收到影響。

@PutMapping("/anon/role/per")
publicResultBO