最火后台管理系统RuoYi项目探秘，之三

　　上篇中，我们初步探究了RuoYi项目是如何进行登录信息传输、验证码校验、密码校验，以及密码存储安全性方案。我们了解到，整个的验证实现是围绕Shiro框架进行的，而数据的传输安全性，RuoYi是没有考虑的，如果我们做的是要求安全等级比较高的项目，需要考虑采用https协议，并对关键数据进行加密后传输，一般会使用非对称密码算法进行加解密。
　　本篇，我们主要会针对Shiro框架做一个简单的扩展了解，然后再初窥RuoYi的菜单、权限功能。Shiro
　　Shiro的官网为ApacheShiro，GitHub仓库为Shiro。
　　Shiro的自我介绍为：ApacheShiro是一个功能强大且易于使用的Java安全框架，可执行身份验证、授权、加密和会话管理。使用Shiro易于理解的API，你可以快速轻松地保护任何应用程序从最小的移动应用程序到最大的web和企业应用程序。
　　Shiro高层架构，如下图：
　　Shiro有三个主要概念：Subject、SecurityManager和Realms。这几个概念，我们在上篇中对RuoYi的登录分析中已有所接触。
　　三大概念，官方大体的介绍如下：Subject：本质上是当前执行用户的特定于安全的视图，它代表的可以是人，也可以表示第三方服务、守护程序帐户、cronjob或任何类似的东西。SecurityManager：SecurityManager是Shiro架构的核心，它充当了一种保护伞对象，协调其内部安全组件，这些组件共同形成一个对象图。然而，一旦为一个应用程序配置了SecurityManager及其内部对象图，它通常就不存在了，应用程序开发人员几乎所有的时间都在使用SubjectAPI。Realms：Realms充当Shiro和应用程序安全数据之间的桥梁或连接器。当需要与安全相关数据（如用户帐户）进行实际交互以执行身份验证（登录）和授权（访问控制）时，Shiro会从为应用程序配置的一个或多个Realms中查找许多这些内容。从这个意义上讲，Realm本质上是一个特定于安全的DAO。
　　从以上的概念描述中，可以看出来，Subject代表认证相关的人或者应用；SecurityManager是用于认证的核心及桥梁；Realms则代表用于认证的相关数据及认证方法的提供者。
　　再看一下Shiro的详细架构，如下图：
　　这张图可以看到更多关于SecurityManager的组成部分，以及常见的Realms的认证数据来源，详细我们不再展开。RuoYi里的Shiro
　　RuoYi项目里对接使用Shiro的代码，放在项目ruoyiframework中，包为com。ruoyi。framework。shiro。其中涉及定义的Realms实现类UserRealm，将类继承自AuthorizingRealm，AuthorizingRealm是一个抽象类，其中抽象方法为：RetrievestheAuthorizationInfoforthegivenprincipalsfromtheunderlyingdatastore。Whenreturninganinstancefromthismethod，youmightwanttoconsiderusinganinstanceof｛linkorg。apache。shiro。authz。SimpleAuthorizationInfoSimpleAuthorizationInfo｝，asitissuitableinmostcases。paramprincipalstheprimaryidentifyingprincipalsoftheAuthorizationInfothatshouldberetrieved。returntheAuthorizationInfoassociatedwiththisprincipals。seeorg。apache。shiro。authz。SimpleAuthorizationInfoprotectedabstractAuthorizationInfodoGetAuthorizationInfo（PrincipalCollectionprincipals）；复制代码
　　同时，AuthorizingRealm还继续自AuthenticatingRealm，它也是一个抽象类，其抽象方法为：Retrievesauthenticationdatafromanimplementationspecificdatasource（RDBMS，LDAP，etc）forthegivenauthenticationtoken。pFormostdatasources，thismeansjustpullingauthenticationdataforanassociatedsubjectuserandnothingmoreandlettingShirodotherest。Butinsomesystems，thismethodcouldactuallyperformEISspecificloginlogicinadditiontojustretrievingdataitisuptotheRealmimplementation。pA｛codenull｝returnvaluemeansthatnoaccountcouldbeassociatedwiththespecifiedtoken。paramtokentheauthenticationtokencontainingtheusersprincipalandcredentials。returnan｛linkAuthenticationInfo｝objectcontainingaccountdataresultingfromtheauthenticationONLYifthelookupissuccessful（i。e。accountexistsandisvalid，etc。）throwsAuthenticationExceptionifthereisanerroracquiringdataorperformingrealmspecificauthenticationlogicforthespecifiedtttokenttprotectedabstractAuthenticationInfodoGetAuthenticationInfo（AuthenticationTokentoken）throwsAuthenticationException；复制代码
　　UserRealm对两个抽象方法的实现分别如下：授权OverrideprotectedAuthorizationInfodoGetAuthorizationInfo（PrincipalCollectionarg0）｛SysUseruserShiroUtils。getSysUser（）；角色列表SetStringrolesnewHashSetString（）；功能列表SetStringmenusnewHashSetString（）；SimpleAuthorizationInfoinfonewSimpleAuthorizationInfo（）；管理员拥有所有权限if（user。isAdmin（））｛info。addRole（admin）；info。addStringPermission（：：）；｝else｛rolesroleService。selectRoleKeys（user。getUserId（））；menusmenuService。selectPermsByUserId（user。getUserId（））；角色加入AuthorizationInfo认证对象info。setRoles（roles）；权限加入AuthorizationInfo认证对象info。setStringPermissions（menus）；｝returninfo；｝复制代码登录认证OverrideprotectedAuthenticationInfodoGetAuthenticationInfo（AuthenticationTokentoken）throwsAuthenticationException｛UsernamePasswordTokenupToken（UsernamePasswordToken）token；StringusernameupToken。getUsername（）；Stringpassword；if（upToken。getPassword（）！null）｛passwordnewString（upToken。getPassword（））；｝SysUserusernull；try｛userloginService。login（username，password）；｝catch（CaptchaExceptione）｛thrownewAuthenticationException（e。getMessage（），e）；｝catch（UserNotExistsExceptione）｛thrownewUnknownAccountException（e。getMessage（），e）；｝catch（UserPasswordNotMatchExceptione）｛thrownewIncorrectCredentialsException（e。getMessage（），e）；｝catch（UserPasswordRetryLimitExceedExceptione）｛thrownewExcessiveAttemptsException（e。getMessage（），e）；｝catch（UserBlockedExceptione）｛thrownewLockedAccountException（e。getMessage（），e）；｝catch（RoleBlockedExceptione）｛thrownewLockedAccountException（e。getMessage（），e）；｝catch（Exceptione）｛log。info（对用户〔username〕进行登录验证。。验证未通过｛｝，e。getMessage（））；thrownewAuthenticationException（e。getMessage（），e）；｝SimpleAuthenticationInfoinfonewSimpleAuthenticationInfo（user，password，getName（））；returninfo；｝复制代码
　　可以看到，doGetAuthorizationInfo（PrincipalCollectionarg0）代码就是获得一个SysUser对象，并给定相应的菜单和用户角色。也就是说用户和权限和菜单绑定都是在这里完成的，而其中最核心的用户数据是从从而来呢？继续看以下核心的一句代码，并跟踪进去：SysUseruserShiroUtils。getSysUser（）；复制代码publicstaticSysUsergetSysUser（）｛SysUserusernull；ObjectobjgetSubject（）。getPrincipal（）；if（StringUtils。isNotNull（obj））｛usernewSysUser（）；BeanUtils。copyBeanProp（user，obj）；｝returnuser；｝复制代码
　　可以看到，用户信息来源于getPrincipal（），而它来自于getProject（），继续跟进，可以找到：publicclassShiroUtils｛publicstaticSubjectgetSubject（）｛returnSecurityUtils。getSubject（）；｝。。。复制代码
　　跟进，找到SecurityUtils类里的代码实现：publicstaticSubjectgetSubject（）｛SubjectsubjectThreadContext。getSubject（）；if（subjectnull）｛subject（newSubject。Builder（））。buildSubject（）；ThreadContext。bind（subject）；｝returnsubject；｝复制代码
　　此处逻辑为：从ThreadContext。getSubject（）中获取Subject，如果其为null则直接构建一个对象，并存入ThreadContext中。进入buildSubject（）的逻辑，代码如下：publicSubjectbuildSubject（）｛returnthis。securityManager。createSubject（this。subjectContext）；｝复制代码
　　我们再跟进UserRealm另一个实现的方法doGetAuthenticationInfo（AuthenticationTokentoken），可以看到此方法实现了真正的登录认证，将待认证信息与认证源的数据进行认证对比，确认用户是否可以认证通过。
　　这个时候我们重新回到RuoYi业务中的登录方法ajaxLogin，观察登录业务到底是怎么通过Shiro框架实现的：UsernamePasswordTokentokennewUsernamePasswordToken（username，password，rememberMe）；SubjectsubjectSecurityUtils。getSubject（）；try｛subject。login（token）；returnsuccess（）；｝复制代码
　　这里可以很清晰的看到，此处使用了上文提到的方法SecurityUtils。getSubject（）来生成Subject，然后对生成的Subject对象执行登录操作。那此处逻辑就很清晰了：在项目初始化配置时，SecurityManager就已经与UserRealm提前绑定，当用户触发到登录时，代码中使用SecurityManager生成了一个Subject对象，再通过Subject定义的login方法进行了登录操作，而login方法的调用，最终会运行到我们上面分析到的UserRealm中的doGetAuthenticationInfo（AuthenticationTokentoken）方法，最终登录成功的话，Shiro框架会为Subject对象添加认证用户的相关信息。
　　通过以上的代码梳理和分析，我们能比较清晰地体会到Shiro三大核心概念的用途。Realm就是用来比较认证信息是否合法的，核心就是提供认证源用于对比；SecurityManager与Realm提前绑定，提供认证API给业务使用，业务Subject的login方法，实现最终通过SecurityManger调用Realm中的认证方法进行登录，并赋予Subject对象相关数据，最终可通过SecurityManager获得用户相关数据对象Subject，并能从Subject中获取自己需要的各种用户信息。初见RBAC
　　在上面登录逻辑中，我们看到在UserRealm中登录成功后，对用户进行菜单和权限的绑定操作。但比较奇怪的是这段代码，让人感觉疑惑：rolesroleService。selectRoleKeys（user。getUserId（））；menusmenuService。selectPermsByUserId（user。getUserId（））；角色加入AuthorizationInfo认证对象info。setRoles（roles）；权限加入AuthorizationInfo认证对象info。setStringPermissions（menus）；复制代码
　　我们很明显的可以看到info对象的两个方法为setRoles（）（设置角色）、SetStringPermissions（）（设置权限），但作者在这处对设置权限函数添加的数据，命名为menus（菜单）。我们只能有一个初步猜测：RuoYi系统中，是否没有针对API级别的权限控制，而只是针对菜单级进行了控制呢？
　　另外，SysRole都有些什么属性，又是怎么对用户操作进行权限控制的呢？菜单是什么样的数据结构，又是怎么进行访问控制的呢？这些RBAC相关疑问的解答，我们将在下篇展开。小结
　　（读太多文字人会太累，所以本篇在RBAC准备展开时戛然而止）本篇我们简单的扩展了一下Shiro框架的相关知识，并结合Shiro框架简单分析了RuoYi项目如何对接使用的Shiro框架。
　　另外，我们还在对接代码中发现了RBAC比较核心的权限、菜单等数据。RBAC神秘的面纱才刚揭开，我们下一篇继续。本篇就到这里，比心，。
　　作者：阿呜的边城
　　链接：https：juejin。cnpost7166035690801594381