嗯,昨天面试让讲我的项目,让我讲讲项目里权限控制那一块的,讲的很烂。所以整理一下。

按照面试官的提问流程来讲:

一、RBAC是个啥东西了?

RBAC(Role-Based Access Control ),即基于角色的访问控制模型,我的项目是基于RBAC0模型.由于之相对应的数据实体构成.由用户表,角色映射表,角色表,权限表,权限映射表构成.

图1 RBAC0模型图

二、你可以讲讲权限控制大概执行流程吗?

用户登录之后首先进行身份验证,成功之后获取当前用户的所有角色,之后根据角色加载对应的权限菜单,这里默认不加载没有权限的菜单,当存在直接输入URL路径的情况时,对于登录用户的每一个请求,都会通过鉴权处理,分析角色.最后通过权限的判断分析是否可以访问菜单资源.

在 spring Security,对用登录的请先通过FilterInvocationSecurityMetadataSource的实现类获取当前请求,分析需要的角色,该类的主要功能就是通过当前的请求地址,获取该地址需要的用户角色。

1、获取当前访问路径的URL路径

2、获取所有资源URL,即所有的菜单URL路径

3、当前的访问URL和返回的每个URL基于Ant风格比较,如果相等,获取当前访问URL的所有角色。如果没有相等的,定义资源为公告资源,并且给予一个公告资源的角色。

4、当为公共资源时,判断用户是否登录。登录放行。返回资源

5、当为角色资源时,登录用户的角色列表和该资源的角色列表进行比较,如果有相同角色,放行,返回资源

6、当即不是公共资源也没有相匹配的角色的时候。抛异常,没有权限

图2 系统访问控制流程图

代码:

鉴权:

@Component

public class CustomFilterInvocationSecurityMetadataSource implements FilterInvocationSecurityMetadataSource {

    @Autowired

    MenuService menuService;

    //路径比较工具

    AntPathMatcher antPathMatcher = new AntPathMatcher();

    Logger logger = Logger.getLogger("com.liruilong.hros.config.ustomFilterInvocationSecurityMetadataSource");

    /**

     * @return java.util.Collection<org.springframework.security.access.ConfigAttribute> * 返回值是 Collection<ConfigAttribute>,表示当前请求 URL 所需的角色。

     * @Author Liruilong

     * @Description 当前请求需要的角色,该方法的参数是一个 FilterInvocation, 开发者可以从 Filterlnvocation 中提取出当前请求的 URL,

     * @Date 18:13 2019/12/24

     * @Param [object]

     **/

    @Override

    public Collection<ConfigAttribute> getAttributes(Object object) throws IllegalArgumentException {

        //获取当前请求路径

        String requestUrl = ((FilterInvocation) object).getRequestUrl();

        logger.warning(requestUrl);

        //获取所有的菜单url路径

        List<Menu> menus = menuService.getAllMenusWithRole();

        // AntPathMatcher,主要用来实现 ant 风格的 URL 匹配。

         for (Menu menu : menus) {

            if (antPathMatcher.match(menu.getUrl(), requestUrl)) {

                //拥有当前菜单权限的角色

                List<Role> roles = menu.getRoles();

                String[] strings = new String[roles.size()];

                for (int i = 0; i < roles.size(); i++) {

                    strings[i] = roles.get(i).getName();

                }

                return SecurityConfig.createList(strings);

            }

        }

        // 没匹配上的资源都是登录,或者为公共资源

        return SecurityConfig.createList("ROLE_LOGIN");

    }
 @Override

    public void decide(Authentication authentication, Object object, Collection<ConfigAttribute> configAttributes)

            throws AccessDeniedException, InsufficientAuthenticationException {

        for (ConfigAttribute configAttribute : configAttributes) {

            String needRole = configAttribute.getAttribute();

            if ("ROLE_LOGIN".equals(needRole)) {

                if (authentication instanceof AnonymousAuthenticationToken) {

                    throw new AccessDeniedException("尚未登录,请登录!");

                } else {

                    return;

                }

            }

            Collection<? extends GrantedAuthority> authorities = authentication.getAuthorities();

            for (GrantedAuthority authority : authorities) {

                if (authority.getAuthority().equals(needRole)) {

                    return;

                }

            }

        }

        throw new AccessDeniedException("权限不足,请联系管理员!");

    }

三、你可以把对应的SQL和表结构写一下吗?

加载所有的菜单资源;返回所有的菜单资源和对应的角色集合,Service端和访问的URL的比较,存在判断角色。(鉴权)





select m.*,r.`id` as rid,r.`name` as rname,r.`namezh` as rnamezh

from menu m,menu_role mr,role r

where m.`id`=mr.`mid` and mr.`rid`=r.`id` order by m.`id`




根据用户ID返回当前用户的全部菜单资源(授权)




   select m1.`id`,m1.url,m1.`path`,m1.`component`,m1.`iconCls`,m1.`name`,m1.`requireAuth`,m1.keepAlive,m1.enabled,

       m2.id as id2,m2.url as url2,m2.name as name2,m2.`component` as component2,m2.`iconCls` as iconCls2,m2.`keepAlive` as keepAlive2,m2.`path` as path2,m2.`requireAuth` as requireAuth2,m2.enabled as enabled2,m2.parentId as parentId2

       from menu m1,menu m2

       where m1.`id`=m2.`parentId` and m1.`id`!=1 and m2.`id`

       in(select mr.`mid` from hr_role h_r,menu_role mr where h_r.`rid`=mr.`rid` and h_r.`hrid`=#{hrId})

       and m2.`enabled`=true order by m1.`id`,m2.`id`






图2 ERBAC数据实体关系图


用户登录之后首先进行身份验证,成功之后获取当前用户的所有角色,之后根据角色加载对应的权限菜单,这里默认不加载没有权限的菜单,当存在直接输入URL路径的情况时,对于登录用户的每一个请求,都会通过鉴权处理,分析角色.最后通过权限的判断分析是否可以访问菜单资源.


用户表:




角色表:




用户角色映射表:




权资源表:


												


											
基于RBAC的权限控制浅析(结合Spring Security)的更多相关文章
	

    
								
  1. ThinkPHP框架下基于RBAC的权限控制模式详解
		
    这几天因为要做一个项目,需要可以对Web应用中通用功能进行封装,其中一个很重要的涉及到了对用户.角色和权限部分的灵活管理.所以基于TP框架自己封装了一个对操作权限和菜单权限进行灵活配置的可控制模式.  ...
    
		
    2. 
						
  2. 图文详解基于角色的权限控制模型RBAC
		
    我们开发一个系统,必然面临权限控制的问题,即不同的用户具有不同的访问.操作.数据权限.形成理论的权限控制模型有:自主访问控制(DAC: Discretionary Access Control).强制 ...
    
		
    3. 
						
  3. Spring Security实现基于RBAC的权限表达式动态访问控制
		
    昨天有个粉丝加了我,问我如何实现类似shiro的资源权限表达式的访问控制.我以前有一个小框架用的就是shiro,权限控制就用了资源权限表达式,所以这个东西对我不陌生,但是在Spring Securit ...
    
		
    4. 
						
  4. Spring Security(17)——基于方法的权限控制
		
    目录 1.1     intercept-methods定义方法权限控制 1.2     使用pointcut定义方法权限控制 1.3     使用注解定义方法权限控制 1.3.1    JSR-25 ...
    
		
    5. 
						
  5. Spring Security教程之基于方法的权限控制(十二)
		
    目录 1.1     intercept-methods定义方法权限控制 1.2     使用pointcut定义方法权限控制 1.3     使用注解定义方法权限控制 1.3.1    JSR-25 ...
    
		
    6. 
						
  6. RBAC: K8s基于角色的权限控制
		
    文章目录 RBAC: K8s基于角色的权限控制 ServiceAccount.Role.RoleBinding Step 1:创建一个ServiceAccount,指定namespace Step 2 ...
    
		
    7. 
						
  7. 后端基于方法的权限控制--Spirng-Security
		
    后端基于方法的权限控制--Spirng-Security 默认情况下, Spring Security 并不启用方法级的安全管控. 启用方法级的管控后, 可以针对不同的方法通过注解设置不同的访问条件: ...
    
		
    8. 
						
  8. 在ASP.NET MVC中实现基于URL的权限控制
		
    本示例演示了在ASP.NET MVC中进行基于URL的权限控制,由于是基于URL进行控制的,所以只能精确到页.这种权限控制的优点是可以在已有的项目上改动极少的代码来增加权限控制功能,和项目本身的耦合度 ...
    
		
    9. 
						
  9. RBAC角色权限控制
		
    RBAC角色权限控制 1. user (用户表) *  用户的基本信息(mid:用户信息id  如图) 2. node (节点表) * 页面(模块\控制器\方法) 3. role_node(角色.节点 ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. 集训模拟赛-1-T1
			
    最近学校网课跟得紧没时间写知识点,就拿题解凑个数(bushi 而且前两天我打着打着题解电脑就突然死机 幸运的是 我没有保存(微笑) 废话不多说 上题目! 城市攻击 (city) (256MB,1s)  ...
    
			
    2. 
						
  2. Android | 带你零代码实现安卓扫码功能
			
    目录 小序 背景介绍 前期准备 开始搬运 结语 小序   这是一篇纯新手教学,本人之前没有任何安卓开发经验(尴尬),本文也不涉及任何代码就可以使用一个扫码demo,华为scankit真是新手的福音-- ...
    
			
    3. 
						
  3. Flutter 1.17版本重磅发布
			
    Flutter 1.17 是2020年的第一个稳定版本,此版本包括iOS平台Metal支持(性能更快),新的Material组件,新的Network跟踪工具等等! 对所有人来说,今年是充满挑战的一年. ...
    
			
    4. 
						
  4. G - Queue HDU - 5493 线段树+二分
			
    G - Queue HDU - 5493 题目大意:给你n个人的身高和这个人前面或者后面有多少个比他高的人,让你还原这个序列,按字典序输出. 题解: 首先按高度排序. 设每个人在其前面有k个人,设比这 ...
    
			
    5. 
						
  5. 步入LTE、多址技术
			
    LTE系统的主要性能和目标 与3G相比,LTE主要性能特性: 带宽灵活配置:支持1.4MHz, 3MHz, 5MHz, 10Mhz, 15Mhz, 20MHz 峰值速率(20MHz带宽):下行100M ...
    
			
    6. 
						
  6. 解决MySQL 8.0数据库出现乱码的问题
			
    1.在MySQL 8.0的安装目录下创建一个my.ini文件(保存为utf8格式),然后写入以下内容: [mysql] # 设置mysql客户端默认编码 default-character-set=u ...
    
			
    7. 
						
  7. 【SPOJ – REPEATS】 后缀数组【连续重复子串】
			
    字体颜色如何 字体颜色 SPOJ - REPEATS 题意 给出一个字符串,求重复次数最多的连续重复子串. 题解 引自论文-后缀数组--处理字符串的有力工具. 解释参考博客 "S肯定包括了字 ...
    
			
    8. 
						
  8. 简述异步编程&Promise&异步函数
			
    前言:文章由本人在学习之余总结巩固思路,不足之前还请指出. 一.异步编程 首先我们先简单来回顾一下同步API和异步API的概念 1.同步API:只有当前的API执行完成之前,才会执行下一个API 例: ...
    
			
    9. 
						
  9. vue 在main.js里使用vue实例
			
    可以用 Vue.prototype 比如 Vue.prototype.$indicator.close(); 关闭正在加载的动画
    
			
    10. 
						
  10. search(13)- elastic4s-histograms:聚合直方图
			
    在聚合的分组统计中我们会面临两种分组元素类型:连续型如时间,自然数等.离散型如地点.产品等.离散型数据本身就代表不同的组别,但连续型数据则需要手工按等长间隔进行切分了.下面是一个按价钱段聚合的例子:  ...
    
			
    11.