Spring整合Shiro 权限角色用户关系分析

作者： Stanley 罗昊

【转载请注明出处和署名，谢谢！】

前置内容

之前我们学习了，使用注解的方式去完成权限的控制，当然，也是静态的，也就是说我们之前并没有与数据库交互；

所以，接下来就是，如果我们要依靠数据库来实现授权，说白了就是需要去数据库查找该用户是否拥有这项权限；

所以，这里我们可以想一下，既然已经用到数据库了，我们就可以联想到在数据库中，是不是有一个字段来专门保存权限呀；

这个时候，我们就需要想一个问题了，我们该如何去设计或创建这张表呢？

在这里，我们的用户、角色、权限，他们之间都是怎么关系呢？

所以，在数据库中，我们就依赖这三者关系所建立出来的；

所以，这个时候我们需要缕清，用户、角色以及授权这三者究竟是什么关系；

用户、角色及授权三者关系

Shiro的授权模式采用Rbac模式，意思就是，谁，扮演了什么角色，被允许执行什么操作，其中的“谁”就是user，其中扮演什么角色（role），操作就是权限（permission）；

接下来，我们来看一幅图，并作出详细解释：

可操作的事情、所处角色、具体实施的人；

我们来看，他们之间的关系对应的是什么？

首先我们来看可操作的事情：

我们在这个栏中可以看到，我们分别有主持班会授课课间辅导 ...；而它对应上的中间的这一栏，也就是所处职位。

分别有授课老师，班主任以及校长；再往后呢，会对应上我们具体实施的人，dafei（大飞）laow（老王）stef（斯特芬）；

我们先来看左边两个，比如中间栏中的授课老师，它分别对应上了授课、课间辅导、课程设计；对应我们的班主任呢，它就可以主持班会主持研讨会；

大家注意看，这个是不是就是仅仅职位所能干的事情呀，也就是说这某一个职位所具有的职能被允许做某些事情；

这个时候，左面这两个栏中，跟用户（右一）这一栏中，有任何关系吗？

答案是没有关系，那么在什么时候有关系呢？比如这个时候，dafei出来了，如果它被任命为授课老师的话，拿换一句话说，这个dafei是不是就已经拥有授课课间辅导以及课程设计的权力了呀；

角色有许多种，所以，不同的角色可以执行不同的操作；

而具体实施的人，就是我们的用户，用户扮演某种角色，如果这个用户扮演了校长这个角色，那么它就被授予校长所拥有的操作，正如上面栏目中的授课及主持研讨会；

三者之间存在的关系

所处的职位与可操作的事情之间有什么关系吗？

首先看授课，授课老师是不是可以做三件事情，授课、课间辅导、设计课程，那么反过来，是不是可执行操作能对应上许多职位呀，比如授课可以给校长，也可以给班主任；所以他们之间的关系是多对多对多关系；

一个权限，可以分配给多个角色，一个角色可以拥有多个权限，也是一样的说法；

角色跟用户又是什么关系呢？

我们先来站在stef的角度来看，他是不是即可以担任校长又可以授课，也就是他拥有两个角色；

反过来说呢，角色也可以给多个用户进行扮演，所以他们之间也是多对多的关系；

用户跟权限有关系吗？

是没有关系的！他们之间是没有直接的关联，如果非要扯上关系的话，那么就需要通过中间的这个角色；

比如，这个dafei对应上我们的授课老师，所以大飞就拥有了授课、课程辅导、课程设计这三种权限；

所以，角色是他们俩之间的关联，使他们拥有了关系；

数据库表的设计

我们需要把他们分成三张表进行设计：

权限表角色表用户表，这三张表；

但是，你们这三张表相互独立，是无法体现出多于多的关系；

那我们该怎么办呢？

如果想产生多与多多对多的关系，那么就必须借助中间表；

所以需要五张表：

permission权限表 role角色表，role_permission权限角色关联表：

这个是他们俩的中间关联表；说白了就是role是角色表，他所对应的权限，比如role表中的id1是校长这个时候permission表中id1 与 id3是校长所拥有的操作，主持研讨会与授课，所在中间表里体现的就是：

role_id permission_id

1 1

1 3

接下来呢，就是用户与角色的对应；用户与角色也是多对多的关系；

所以就存在一个用户与角色之间的关联表：

你这个用户，扮演了什么角色，角色也可以被多个用户扮演；比如：userid1 name是小明 userid2是小刚；roleid1所属角色是校长；id2是教师；

user_id role_id

1(小明) 1（扮演校长）

2（小刚） 2（扮演教师）

如果用户是扮演了两个角色呢？很简单；假设 userid15 是大飞他拥有校长与授课老师的角色校长角色 roleid对应5 教师对应 3

user_id role_id

15(大飞) 5（扮演校长）

15(大飞） 3（扮演教师）

数据库字段设计

用户表：

用户表就比较简单【讲解模式下】：

不需要在该表中关联任何权限之类的，因为在另外两张表中已经规划好；

角色表：

角色表也非常简单，第一个是id，第二个就是name角色名称的意思，第三个就是对应的英文标识，用英文诠释name中的中文，仅此而已；

换成上面图片中的内容，就是授课老师班主任校长...这些可扮演的角色；

权限表（可操作的事情）：

权限表就非常重要了！

权限就是表示我们可操作的事情；前面的id就是权限id中间的name就是权限的名称，比如主持班会授课课程设计，而后面这个呢，就是权限表达式，也是最关键的一个，就是由它来控制权限的；

在Shiro中，权限表达式是按照三段式来写的，第一段前面是资源中间一个双点（：）然后再双点后面跟上资源实例；

所以，在字段中，resource就是资源表达式，我们需要把一段权限表达式写在该字段内；

就如上面写的一样，把选中的部分放入到字段中；

role与permission中间表（角色与权限中间表）：

这个我在上方也详细说过；

role_id：

这个字段存的是role表中的id，就是角色表id，这个角色可以拥有那些权限（permission_id）;

permission_id

这个字段是权限表，也就是可以操作的事情，代表这个角色可以拥有那些权限，并产生多对多的关系；

一个角色(role_id)可以被授予多个权限（permission_id）;反过来，一个权限可以被多个角色使用；

用户表（user）：

用户表就无需添加任何字段，因为，另外四张表都使用了用户表的ID，所以产生了被动牵连；

用户(user)与角色(role)关系表

user_id就是用户表中用户的id，role_id就是角色表中的角色id；

意思就是，这个用户可以扮演某些角色，一个用户可以扮演多个角色；

一个角色也可以被多个用户同时扮演；