基于RBAC实现权限管理

技术栈:SpringBoot、SpringMVC

RBAC

RBAC数据库表

主体

编号 账号 密码
001 admin 123456

资源

编号 资源名称 访问路径
001 查询用户列表 /user/list

权限

编号 权限标识 权限名称 资源编号
001 user:list 查看用户列表 001

角色

角色编号 角色名称
001 管理员

用户角色

编号 角色编号 用户编号
001 001 001

角色权限

编号 角色编号 权限编号
001 001 001

可以进行一些合并,优化表数量

将资源表和权限表进行合并为权限表

权限

编号 权限标识 权限名称 资源名称 资源访问地址
001 user:list 查询用户列表 用户列表 /user/list

基于角色的访问控制(Role-Based Access Control)

主要思想就是访问后台接口的时候判断该用户的角色是否为某某角色,是的话就放行,否则就拒绝访问。

这里我用的jwt,token里存储的由用户角色(ADMIN)

实现方式:自定义注解+拦截器

自定义注解
@Target({ElementType.METHOD})			//注解作用域方法上

@Retention(RetentionPolicy.RUNTIME)		//编译器将注解信息存储与class文件中,由JVM读取

@Documented

public @interface HasRole {

    String[] value() default {};

}
SpringMVC拦截器
@Component

public class AccessControlInterceptor implements HandlerInterceptor {

    @Override

    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) {

        if (handler instanceof HandlerMethod) {

            HandlerMethod handlerMethod = (HandlerMethod) handler;

            if (handlerMethod.hasMethodAnnotation(HasRole.class)) {

                // 从request中获取token

                // 解析token获取claims

                // claims就是个map,直接获取用户角色

                String role = claims.get("userRole");

                String[] hasRole = handlerMethod.getMethodAnnotation(HasRole.class).value();

                boolean contains = Arrays.asList(hasRole).contains(role);

                if(!contains){

                    // 不符合条件,可以抛自定义异常,给客户端提示信息

                    return false;

                }

            }

        }

        return true;

    }

}

注意:最后要把拦截器加入到配置里面

这种方式很简单,应对简单的需求很实用,但是复杂的就行不通了

基于资源的访问控制(Resource-Based Access Control)

主要思想,由于资源是不会变的,我们给角色或者用户分配资源权限后,直接在拦截器里面进行资源权限的校验即可。且有变动的时候基本上不需要改动代码。

用户登录的后把用户的资源权限查出来放到redis里面

实现方式依旧:自定义注解+拦截器

自定义注解
@Target({ElementType.METHOD})

@Retention(RetentionPolicy.RUNTIME)

@Documented

public @interface HasResourcePermission {

    String value() default "";

}
SpringMVC拦截器
@Component

public class RequestInterceptor implements HandlerInterceptor {

    @Resource

    private RedisTemplate<String,Object> redisTemplate;

        @Override

    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) {

        if (handler instanceof HandlerMethod) {

            HandlerMethod handlerMethod = (HandlerMethod) handler;

            if (handlerMethod.hasMethodAnnotation(HasResourcePermission.class)) {

                String resourcePermissionSign = handlerMethod.getMethodAnnotation(HasResourcePermission.class).value();

                Object resourcePermission = redisTemplate.opsForValue().get("resourcePermission");

                List<String> resourcePermissionList = (List<String>) resourcePermission;

                if (resourcePermissionList.contains(resourcePermissionSign)) {

                    // 不符合条件,可以抛自定义异常,给客户端提示信息

                    return false;

                }

            }

        }

        return true;

    }

}

注意:最后要把拦截器加入到配置里面

基本上就是这样了,也可以根据需求再改,关于数据库表业务会需要加上用户组表的信息。

基于RBAC实现权限管理的更多相关文章

  1. devops-jenkins基于角色的权限管理RBAC

    一. devops-jenkins基于角色的权限管理RBAC 1 安装角色的rbac角色管理  1.1) 点击系统管理 1.2) 选择插件管理 1.3) 选择可选插件,输入role搜索 1.4) 选择 ...

  2. 基于DDDLite的权限管理OpenAuth.net 1.0版正式发布

    距离上一篇OpenAuth.net的文章已经有5个多月了,在这段时间里项目得到了很多朋友的认可,开源中国上面的Star数接近300,于是坚定了我做下去的信心.最近稍微清闲点,正式推出1.0版,并在阿里 ...

  3. 10.spring-boot基于角色的权限管理页面实现

    10.spring-boot基于角色的权限管理页面实现

  4. 【shiro】(5)---基于Shiro的权限管理

    基于Shiro的权限管理项目搭建 前面写了四篇有关权限的文章,算是这篇文章的铺垫了.这篇文章采用 开发环境           JDK1.8          Eclipse          Mav ...

  5. 【shiro】(2)---基于RUL的权限管理

    基于RUL的权限管理 我想在写shiro权限管理认证前,先来一个基于URL实现的权限管理控制. 一.基于URI的权限业务逻辑  实现思路:       将系统操作的每个url配置在权限表中,将权限对应 ...

  6. 基于云端的通用权限管理系统,SAAS服务,基于SAAS的权限管理,基于SAAS的单点登录SSO,企业单点登录,企业系统监控,企业授权认证中心

    基于云端的通用权限管理系统 SAAS服务 基于SAAS的权限管理 基于SAAS的单点登录SSO 基于.Net的SSO,单点登录系统,提供SAAS服务 基于Extjs 4.2 的企业信息管理系统 基于E ...

  7. Spring Security实现基于RBAC的权限表达式动态访问控制

    昨天有个粉丝加了我,问我如何实现类似shiro的资源权限表达式的访问控制.我以前有一个小框架用的就是shiro,权限控制就用了资源权限表达式,所以这个东西对我不陌生,但是在Spring Securit ...

  8. 权限管理系统(五):RBAC新解,基于资源的权限管理

    本文讨论以角色概念进行的权限管理策略及主要以基于角色的机制进行权限管理是远远不够的.同时我将讨论一种我认为更好的权限管理方式. 1.什么是角色 当说到程序的权限管理时,人们往往想到角色这一概念.角色是 ...

  9. RBAC基于角色的权限管理模型

    一.权限管理模型的必要性: a. 安全性:防止误操作,防止数据泄露,保证信息的安全. b. 数据隔离:保持不同的角色具有不同的权限,只能看到自己权限范围内的数据 二.权限管理模型的发展: a. 传统的 ...

随机推荐

  1. spring boot:使用validator做接口的参数、表单、类中多字段的参数验证(spring boot 2.3.1)

    一,为什么要做参数验证? 永远不要相信我们在后端接收到的数据, 1,防止别人通过接口乱刷服务:有些不怀好意的人或机构会乱刷我们的服务,例如:短信接口, 相信大家可能很多人在工作中遇到过这种情况 2,防 ...

  2. scrapy-下载器中间件 随机切换user_agent

    from faker import Faker class MySpiderMiddleware(object): def __init__(self): self.fake = Faker() de ...

  3. Python常用模块之random和time

    常用模块: time: 分为三种格式: 1.时间戳:从1970年1月1日0点0分0秒到现在经过的秒数 用于时间间隔的计算 import time print(time.time()) 2.字符串显示时 ...

  4. MySQL数据库基础-3-SQL 基本概念

    SQL 基本概念 约束:constraint,表中的数据要遵守的限制 主键:一个或多个字段的组合,填入的数据必须能在本表中唯一标识本行:必须提供数据,即NOT NULL,一个表只能有一个 惟一键:一个 ...

  5. ImageLoader简介和使用方法

    1.功能概要 Android-Universal-Image-Loader是一个开源的UI组件程序,该项目的目的是提供一个可重复使用的仪器为异步图像加载,缓存和显示. (1).使用多线程加载图片(2) ...

  6. Idea启动报错 Error:java: System Java Compiler was not found in classpath

    报错信息:Error:java: System Java Compiler was not found in classpath 使用IDEA启动的时候出现了这个错误,查找了很久,才找到解决办法 1. ...

  7. Redis事务使用方法

    Redis事务 Redis事务是一组命令的集合,也是Redis的最小执行单位之一.一个事务的所有命令,要么都执行,要么都不执行.Redis能保证事务执行期间不会有其他命令插入. 相关命令 命令 格式 ...

  8. P1526 [NOI2003]智破连环阵

    目录 题意描述 算法分析 闲话 初步分析 具体思路 剪枝一 剪枝二 剪枝三 总结一下 代码实现 预处理 剪枝一 剪枝二 剪枝三 二分图匹配 代码综合 结语 又是被楼教主虐的体无完肤的一天 题意描述 在 ...

  9. 前端未来趋势之原生API:Web Components

    声明:未经允许,不得转载. Web Components 现世很久了,所以你可能听说过,甚至学习过,非常了解了.但是没关系,可以再重温一下,温故知新. 浏览器原生能力越来越强. js 曾经的 JQue ...

  10. Lagrange插值C++程序

    输入:插值节点数组.插值节点处的函数值数组,待求点 输出:函数值 代码如下:把printf的注释取消掉,能打印出中间计算过程,包括Lagrange多项式的求解,多项式每一项等等(代码多次修改,这些pr ...