菜单权限系统

在大学毕业时，写了一个权限管理系统，由于经验不够丰富，所以设计出来的作品，缺点多多。经过一年多的工作，对权限管理系统进行了更加系统的整理与学习，于是重构了整个权限管理系统。该文章主要讨论菜单权限，需要数据权限相关的，可以查看数据权限系统。

设计目标

设计原则

数据库设计

界面技术选型

后台技术选型

设计难点

后端实现

/**
 * 判断某个用户请求的用户是否有权限访问
 * 如果无权限，直接返回，提示用户错误信息
 * 避免用户通过url的方式来攻击程序
 * @email luohong.lh@alibaba-inc.com
 */
public class AuthFilter implements Filter {
    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
    }

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest) servletRequest;

        //根据用户ID获取该用户可以访问的URL列表
        List<String> authUrls = getAuthUrls(request.getSession().getAttribute('userId')); 
        String uri = request.getRequestURI();

        if(authUrls.contains(uri)){
            filterChain.doFilter(servletRequest, servletResponse);
        }else{
            System.out.println('sorry，您无权限访问');
        }
    }

    @Override
    public void destroy() {
    }
}

注意点：这里面我们只需要对核心的URL拦截即可，比如比如变更数据库数据的URL等。对于一些无需权限控制的URL，直接通过访问即可。比如用户有一个编辑按钮，那么一般就会具备/id.json，以及/update.json两个URL，我们可以考虑只监控/update.json即可。

前端实现

代码逻辑如下

1.从后端获取当前用户可以访问的菜单权限
数据格式如下：['user.add', 'user.delete', 'user.update', 'user.delete', 'user.list']
2.前段渲染按钮时，判断是否具备某个权限，如果具备，那么按钮显示
{
	hasMenuAuth('user.add') && <button type='button' class='btn primary-btn'>Add</button>
}

小技巧：为了给每个菜单，按钮一个更加合理并且容易记忆的key，可以使用path规则。

规则如下：module1.module2.action

比如：用户管理模块，那么可以使用system.user.add，system.user.delete，system.user.update类似的key规则来组织

菜单管理界面的参考示意图

2.角色管理界面，左侧是角色列表，右侧是该角色授予的权限列表，这里面勾选时，需要具备级联操作，方便快速授权。

总结

设计一个资源管理系统，其实整体而言，方案还是非常简单的

主要的难点在于如何使得运营效率更高效，系统模型的简洁性与扩展性

1.选择合适的界面排版，使得可以快速拖动菜单，这里面使用的是ztree组件（拖动后需要递归处理关联的所有权限噢，该功能需要一些些编码的小小难度）

2.授权时，级联动作，方便批量授权

3.权限的key规则

后端方面可以考虑后端集成shiro的技术，这方便有兴趣的朋友可以参考下shiro。

权限管理系统在去年的项目中使用过，后来一直想单独拿出来做一个权限管理系统，一直拖着，今年做的博客当中也使用到了，趁着有时间就把这个Demo写出来了，使用的是SSM框架 + Maven实现的，利用过滤器和URL来控制用户访问的页面。本系统没有使用Apache Shiro。

源代码地址：https://github.com/ShrMus/PrivilegeSystem

我写的权限管理系统主要由权限、角色、用户组成。有的权限管理系统也包括用户分组，那样的我就没写了，如果理解了由以上3个组成的权限管理系统，相信聪明的你也能实现分组的权限。

先来说说设计的事情

解释一下，一个角色拥有多个权限，一个权限可以被多个角色拥有；一个用户可以拥有多个权限，一个权限可以被多个用户拥有；一个角色可以被多个用户拥有，一个用户可以拥有多个角色。

接下来是数据库表，我使用的是MySQL数据库。

权限表Privilege

角色表Role

用户表User

角色权限表Role_Privilege

用户权限表User_Privilege

六张表，根据E-R图和数据库表大家可以知道表和表之间的关系。

好了，设计到这里就完成了。

麻烦各位移驾文章开头，下载系统源代码。

接下来说说实现

我用的是Mybatis逆向工程生成实体类和mapper文件，你也可以直接将sql文件导入到数据库。

生成实体类和mapper文件之后的第一件事是修改Privilege、Role和User实体类。

Privilege类中添加了

  private Privilege parentPrivilege;
    
  /**
   * 子权限列表
   */
  private List<Privilege> childPrivilegeList;

Role类中添加了

/**
 * 角色拥有的权限列表
 */
private List<Privilege> privilegeList;
   	
/**
 * 拥有这个角色的用户
 */
private List<User> userList; 

User类中添加了

/**
 * 用户所有角色
 */
private List<Role> userRoleList;

/**
 * 用户拥有的权限列表
 */
private List<Privilege> privilegeList;

由于Mybatis逆向工程和Hibernate逆向工程不一样，所以就只能手动添加。Hibernate使用得多的朋友就会知道接下来要干嘛了，Hibernate逆向工程生成实体类之后需要在xxx.hbm.xml中添加刚刚在实体类中添加的属性，配置实体之间的关系，而Mybatis就是在对应的xxxMapper.xml中进行配置。

PrivilegeMapper.xml中添加

<association property="parentPrivilege" column="privilege_parent_id" select="selectByPrimaryKey" />
<collection property="childPrivilegeList" column="privilege_id" select="getChildrenPrivilegeListById" />

mapper文件中这两个标签的用法可以在网上查到，这两个标签中的select属性，它的值是<select>标签的id，第一个是查找父权限，可以根据父权限id查找，第二个是查找子权限列表，所以就得自己写了，我写在文件末尾。

  <!-- 查找权限id的所有子权限 -->
  <select id="getChildrenPrivilegeListById" parameterType="java.lang.Integer" resultMap="BaseResultMap">
  	select privilege_id,privilege_name,privilege_url,privilege_parent_id 
  	from privilege 
  	where privilege_parent_id=#{id} 
  </select>

接着修改RoleMapper.xml，添加

<collection column="role_id" property="privilegeList" select="com.shrmus.mapper.PrivilegeMapper.getPrivilegeListByRoleId" />
<collection column="role_id" property="userList" select="com.shrmus.mapper.UserMapper.getUserListByRoleId" />

第一个是查找角色拥有的权限，我把这条sql语句写在PrivilegeMapper.xml中

  <!-- 在role_privilege表中根据角色id查找拥有的权限 -->
  <select id="getPrivilegeListByRoleId" parameterType="java.lang.Integer" resultMap="com.shrmus.mapper.PrivilegeMapper.BaseResultMap">
  	select distinct p.privilege_id,p.privilege_name,p.privilege_url,p.privilege_parent_id 
  	from role_privilege rp 
  	left join privilege p on rp.privilege_id=p.privilege_id 
  	where role_id=#{roleId} 
  </select>

第二个是查找拥有这个角色的用户，我写在UserMapper.xml末尾

  <!-- 根据角色id查找拥有这个角色的所有用户 -->
  <select id="getUserListByRoleId" parameterType="java.lang.Integer" resultMap="BaseResultMap">
  	select r.role_id,r.role_name 
  	from user_role ur 
  	left join role r on 
  	ur.role_id=r.role_id 
  	where user_id=#{userId} 
  </select>

然后修改UserMapper.xml，添加

    <collection column="user_id" property="userRoleList" select="com.shrmus.mapper.RoleMapper.getRoleListByUserId" />
    <collection column="user_id" property="privilegeList" select="com.shrmus.mapper.PrivilegeMapper.getPrivilegeListByUserId" />

第一个是查找用户拥有的角色列表，我写在RoleMapper.xml末尾

  <!-- 根据用户id查找用户的角色信息 -->
  <select id="getRoleListByUserId" parameterType="java.lang.Integer" resultMap="BaseResultMap">
  	select r.role_id,r.role_name 
  	from user_role ur 
  	left join role r on 
  	ur.role_id=r.role_id 
  	where user_id=#{userId} 
  </select>

第二个是查找用户拥有的权限，我写在PrivilegeMapper.xml末尾

  <!-- 在user_privilege表中根据id查找用户拥有的权限 -->
  <select id="getPrivilegeListByUserId" parameterType="java.lang.Integer" resultMap="com.shrmus.mapper.PrivilegeMapper.BaseResultMap">
  	select distinct p.privilege_id,p.privilege_name,p.privilege_url,p.privilege_parent_id 
  	from user_privilege up 
  	left join privilege p on up.privilege_id=p.privilege_id 
  	where user_id=#{userId}  
  </select>

关于实体类的配置就完成了。

接下来要做的就是初始化权限、角色和用户。在此之前，你可以需要修改数据库连接密码，在src/main/resources/mybatis/dbconfig.properties文件中的jdbc.password。

移驾src/test/java，打开com.shrmus.test中的Init.java文件。

第一步是初始化权限。测试的权限只做了这些。

运行initPrivilege测试方法，就会将这些权限添加到数据库。

然后是初始化角色，我将角色分为超级管理员、普通管理员、普通用户3个角色。

运行initRole测试方法，会添加这3个角色，并且初始化超级管理员的权限，超级管理员拥有所有权限。

最后是初始化用户，运行initUser测试方法，添加一个用户名为admin密码为admin的用户，分配超级管理员的角色，分配超级管理员拥有的权限。

初始化的工作就完成了。

接下来就讲几个思路

关于用户

添加用户（超级管理员添加用户，并不是用户自己注册）时，至少要选择一个角色，首先添加用户的信息，然后查找添加用户时选择的角色的权限，将角色的权限添加为用户的权限，如果多个角色之间有相同的权限会去重。

修改用户时，可能会修改用户的角色信息，如果修改了用户的角色信息，就要修改用户的权限。

删除用户时，需要将用户拥有的权限也从数据库删除。

关于角色

删除角色时（实际上我觉得没必要删除角色），首先删除拥有这个角色的用户的权限，然后用户的角色信息，再删除角色拥有的权限，最后删除角色。

关于权限

删除权限，首先在用户权限表中删除用户拥有的这个权限，再在角色权限表中删除角色拥有的这个权限，最后删除权限。

分配权限，分配权限分为给角色分配权限和为用户分配权限。分配权限的图在上面有，需要分配哪个权限就勾上。

首先说给用户分配权限，需要将新分配的权限和这个用户原有的权限作比较，新权限在原权限中没有就添加，新权限在原权限中有就不用管，原权限在新权限中没有就删除。

给角色分配权限，如果是角色还没有分配权限而又有用户拥有这个角色，在第一次为角色分配权限的时候需要添加角色的权限和拥有这个角色的用户的权限。修改角色的权限和修改用户的权限的思路是一样的，但是修改角色的权限之后还要修改拥有这个角色的用户的权限。具体可以看代码实现。

到最后，谈谈怎么做到权限的控制

在src/main/resources/loginbeforeurl.txt文件中添加了一些URL路径，如果访问的URL包含这些，就需要登录，例如添加用户的URL是http://localhost:8090/privilege/user/add，文件中添加了/user/add，访问这个页面的前提需要登录，你也可以将这些放到数据库中。

控制用户访问的页面就是这样一个思路。

移驾src/main/java的com.shrmus.listener的InitPrivilegeListener.java文件，这个类实现了监听器ServletContextListener，作用就是在Tomcat启动的时候执行contextInitialized方法，在这个方法中查找数据库中添加的所有权限，查找访问前需要登录的路径，放到全局作用域中。

移驾src/main/java的com.shrmus.filter的MyUrlFilter.java文件，首先通过request.getServletPath()获取工程下的访问路径，例如添加用户的URL是http://localhost:8090/privilege/user/add，通过这个方法获取到的就是/user/add，这下知道怎么控制用户访问的页面了吧。就是用到字符串的contains方法。

获取全局作用域当中的权限列表和访问前需要登录的两个集合，就可以做到权限控制了。

另外说一下，在分配权限页面中，对已有的权限回显用到了自定义EL表达式，文件在WEB-INF目录下的myel.tld，对应的类在src/main/java的com.shrmus.tag的MyEL.java，原有的fn:contains是判断一个集合是否包含一个对象，在做回显的时候是判断权限的ID，所以就写了个自定标签。

在WEB-INF/page/privilege/allocation.jsp中用到了${myel:contains(object.privilegeList,privilege)}，引入了<%@ taglib uri="/myel" prefix="myel"%>，EL表达式中的object是不确定是给角色分配权限还是给用户分配权限，所以用的是object，对应的类的代码是

public class MyEL{

	public static boolean contains(List<Object> objects,Object element) {
		for(Object obj:objects) {
			Privilege temp = (Privilege)obj; 
			Privilege elementPrivilege = (Privilege)element;
			if(temp.getPrivilegeId() == elementPrivilege.getPrivilegeId()) {
				return true;
			}
		}
		return false;
	}
}

整个权限管理系统就是这样了，功能也都测试过，可能会出现BUG，因为我前几天测试的时候遇到了几个问题。

给普通管理员分配权限时，用户权限表清空了；

用户分配了权限之后，在给用户拥有的角色分配权限，出现了问题；

刚刚测试的时候又没有问题，所以就先放着了，哪位读者测试的时候出现了问题可以和我联系。

还有添加用户的时候，用户至少要有一个角色，可以用js控制，我没写。

添加用户的方法中用到了一个getMaxPrimaryKey方法，获取当前用户表中的最大id值，并发的时候肯定会出问题的，我没解决。

当然还有很多代码可以优化，当然权限管理可以用别的方式，欢迎和我讨论。

企业权限管理系统

完整项目github地址：
https://github.com/lindaifeng/Authority-Management-System

新增项目：
SpringBoot企业权限管理系统：https://github.com/lindaifeng/Authority-Management-System-2.0

1、SpringBoot 企业权限管理系统 是对SSM企业权限管理系统的重构。
2、简化代码开发减少重复代码的书写，改变了之前原有的复杂sql注解开发，采用xml文件形式，使得代码整体显得更加美观、简洁。

一、前端应用

主要采用AdminLTE开源模板主题工具

1.AdminLTE介绍

AdminLTE是一款建立在bootstrap和jquery之上的开源的模板主题工具，它提供了一系列响应的、 可重复使用的组件，并内置了多个模板页面；同时自适应多种屏幕分辨率，兼容PC和移动端。
通 过AdminLTE，我们可以快速的创建一个响应式的Html5网站。AdminLTE框架在网页架构与设计 上，有很大的辅助作用，尤其是前端架构设计师，用好AdminLTE 不但美观，而且可以免去写很大 CSS与JS的工作量。

2.GitHub获取AdminLTE

https://github.com/almasaeed2010/AdminLTE
我们可以从上面网址获取AdminLTE源代码
汉化版：https://github.com/itheima2017/adminlte2-itheima

二、准备工作

1.1 MySql数据库搭建

具体流程点击：《MySql数据库模块》

1.2 idea环境搭建

具体流程点击：《idea环境搭建模块》

三、 SSM综合练习介绍

1. 功能介绍

主要讲解maven工程搭建，以及基于MySql数据库的商品表信息，并完成SSM整合。

1.1 商品功能

具体流程点击：《商品功能模块》
基于SSM整合基础上完成商品查询，要掌握主面页面main.jsp及商品显示页面product-list.jsp页面的创建，分页查询，模糊查询，关键字搜索的快捷功能实现。
进一步巩固SSM整合，并完成商品添加，修改，删除功能，注意事务操作以及product-add.jsp页面的相关数据生成。

1.2 订单功能

具体流程点击：《订单功能模块》
订单的查询操作，它主要完成简单的多表查询操作，查询订单时，需要查询出与订单关联的其它表中信息，所以大家一定要了解订单及其它表关联关系。
订单分页查询，我们使用的是mybatis分页插件PageHelper，要掌握PageHelper的基本使用。
订单详情是用于查询某一个订单的信息，与数据的修改和删除

1.3 Spring Security 概述

Spring Security是 Spring 项目组中用来提供安全认证服务的框架，它的使用很复杂，
spring Security的基本操作，掌握spring Security框架的配置及基本的认证与授权操作。
spring Security的讲解在用户管理模块中有讲解，在资源权限模块中也有讲解。

用户管理模块地址：
https://blog.csdn.net/weixin_45019350/article/details/107428820

1.4 用户管理

具体流程点击：《用户管理模块》
用户管理中我会介绍基于spring Security的用户登录、退出操作。以及用户查询、添加、详情有等操作。主要会讲解用户角色关联、用户权限关联，这两个操作是为了后续完成授权操作的基础

1.5 角色管理

具体流程点击：《角色管理模块》
角色管理主要完成角色查询、角色添加，角色删除，分页展示，角色与用户资源权限间的关联操作，其中涉及到多表查询与删除

1.6 资源权限管理

具体流程点击：《资源权限管理模块》
资源权限管理主要完成查询、添加操作，它的操作与角色管理类似，角色管理以及资源权限管理都是对权限管理的补充。

1.7 AOP日志处理

具体流程点击：《AOP日志处理模块》
AOP日志处理，我使用spring AOP切面通过前后置通知来完成系统级别的日志收集。