如何实现一个权限管理系统?实用又美观

如何实现一个权限管理系统?（实用又美观）

系统安全一直是在系统开发中不可规避的问题，而权限控制又跟系统安全密不可分，大到用户的访问，小到一个页面的按钮，都有可能涉及到权限的控制。而renren-security便给我们提供了一套权限系统开发的解决方案。

renren-security是”人人社区”社区开源的轻量级权限管理系统。系统采用SprinBoot、Mybatis、Shiro框架进行开发，极低门槛，拿来即用，支持分布式部署、Quartz分布式集群调度、部门管理、数据权限、云存储等功能。

项目特点

• 灵活的权限控制，可控制到页面或按钮，满足绝大部分的权限需求
• 完善的部门管理及数据权限，通过注解实现数据权限的控制
• 完善的XSS防范及脚本过滤，彻底杜绝XSS攻击
• 支持MySQL、Oracle、SQL Server、PostgreSQL等主流数据库

运行效果

系统结构的设计也比较清晰，由admin、api、common等几个模块组成，每个模块实现的功能大体如下：

common：公共模块，以jar包的形式被其他模块所依赖。实现了一些工具类和公共功能。包含时间处理、分页、Sql过滤、Xss过滤和Redis切面定义、自定义异常处理等功能。

admin：管理系统模块，以war包形式独立部署。基于前后端分离的思想，主要用来用来开发后台管理系统。包含用户管理、角色管理、部门管理、菜单管理、定时任务、文件上传、API校验，同时采用Redis进行数据缓存，支持单机和集群的部署。

api：API接口模块，以war包形式独立部署。模块主要提供给前端UI调用的一些业务接口，实现了用户注册、登录、接口权限认证和用户信息获取。同时整合了swagger2实现了API接口文档，方便了接口的查询和调试。

系统架构图

系统设计之初就特别注重安全性，基于Shiro在页面和接口都实现了权限校验。

用户登录时对用户的账号密码进行验证，获取用户的信息和role权限，页面显示的时候会根据用户拥有的权限显示对应的状态，接口请求的时候也会进行用户权限的校验，数据保存到数据库时候还进行Sql和Xss的过滤，整个过程的核心思路是Shiro对用户的认证和授权。具体流程如下图：

权限校验整体思路

Shiro的认证和授权

实现Shiro的认证和授权，需要自定义Realm继承于AuthorizingRealm，同