万字长文,SpringSecurity实现权限系统设计

最新推荐文章于 2023-09-12 17:53:44 发布
最新推荐文章于 2023-09-12 17:53:44 发布
阅读量371 收藏
点赞数
文章标签: java 前端 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_78586758/article/details/131484791
版权

RBAC权限分析

RBAC 全称为基于角色的权限控制,本段将会从什么是RBAC,模型分类,什么是权限,用户组的使用,实例分析等几个方面阐述RBAC

思维导图

绘制思维导图如下

什么是RBAC

RBAC 全称为用户角色权限控制,通过角色关联用户,角色关联权限,这种方式,间阶的赋予用户的权限,如下图所示

对于通常的系统而言,存在多个用户具有相同的权限,在分配的时候,要为指定的用户分配相关的权限,修改的时候也要依次的对这几个用户的权限进行修改,有了角色这个权限,在修改权限的时候,只需要对角色进行修改,就可以实现相关的权限的修改。这样做增加了效率,减少了权限漏洞的发生。

模型分类

对于RBAC模型来说,分为以下几个模型 分别是RBAC0,RBAC1,RBAC2,RBAC3,这四个模型,这段将会依次介绍这四个模型,其中最常用的模型有RBAC0.

RBAC0

RBAC0是最简单的RBAC模型,这里面包含了两种。

用户和角色是多对一的关系,即一个用户只充当一种角色,一个角色可以有多个角色的担当。用户和角色是多对多的关系,即,一个用户可以同时充当多个角色,一个角色可以有多个用户。 

此系统功能单一,人员较少,这里举个栗子,张三既是行政,也负责财务,此时张三就有俩个权限,分别是行政权限,和财务权限两个部分。

RBAC1

相对于RBAC0模型来说,增加了子角色,引入了继承的概念。

RBAC2 模型

这里RBAC2模型,在RBAC0模型的基础上,增加了一些功能,以及限制

角色互斥

即,同一个用户不能拥有两个互斥的角色,举个例子,在财务系统中,一个用户不能拥有会计员和审计这两种角色。

基数约束

即,用一个角色,所拥有的成员是固定的,例如对于CEO这种角色,同一个角色,也只能有一个用户。

先决条件

即,对于该角色来说,如果想要获得更高的角色,需要先获取低一级别的角色。举个栗子,对于副总经理和经理这两个权限来说,需要先有副总经理权限,才能拥有经理权限,其中副总经理权限是经理权限的先决条件。

运行时互斥

即,一个用户可以拥有两个角色,但是这俩个角色不能同时使用,需要切换角色才能进入另外一个角色。举个栗子,对于总经理和专员这两个角色,系统只能在一段时间,拥有其一个角色,不能同时对这两种角色进行操作。

RBAC3模型

即,RBAC1,RBAC2,两者模型全部累计,称为统一模型。

什么是权限

权限是资源的集合,这里的资源指的是软件中的所有的内容,即,对页面的操作权限,对页面的访问权限,对数据的增删查改的权限。举个栗子。对于下图中的系统而言,

拥有,计划管理,客户管理,合同管理,出入库通知单管理,粮食安全追溯,粮食统计查询,设备管理这几个页面,对这几个页面的访问,以及是否能够访问到菜单,都属于权限。

用户组的使用

对于用户组来说,是把众多的用户划分为一组,进行批量授予角色,即,批量授予权限。举个栗子,对于部门来说,一个部门拥有一万多个员工,这些员工都拥有相同的角色,如果没有用户组,可能需要一个个的授予相关的角色,在拥有了用户组以后,只需要,把这些用户全部划分为一组,然后对该组设置授予角色,就等同于对这些用户授予角色。

优点:减少工作量,便于理解,增加多级管理,等。最新面试题整理好了,点击Java面试库小程序在线刷题。

SpringSecurity 简单使用

首先添加依赖

Spring Boot 基础就不介绍了,推荐下这个实战教程:https://github.com/javastacks/spring-boot-best-practice

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

然后添加相关的访问接口

package com.example.demo.web;

import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

@RestController
@RequestMapping("/test")
public class Test {
    @RequestMapping("/test")
    public String test(){
        return "test";
    }
}

最后启动项目,在日志中查看相关的密码

访问接口,可以看到相关的登录界面

输入用户名和相关的密码

用户名:user
密码 984cccf2-ba82-468e-a404-7d32123d0f9c

登录成功

增加用户名和密码

在配置文件中,书写相关的登录和密码

spring:
  security:
    user:
      name: ming
      password: 123456
      roles: admin

在登录页面,输入用户名和密码,即可正常登录。另外,Spring 系列面试题和答案全部整理好了,微信搜索Java技术栈,在后台发送:面试,可以在线阅读。

基于内存的认证

需要自定义类继承 WebSecurityConfigurerAdapter 代码如下

package com.example.demo.config;

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.password.NoOpPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;

@Configuration
public class MyWebSecurityConfig extends WebSecurityC
最低0.47元/天 解锁文章
python小小Q
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
操作系统字长.pdf
06-27
具体内容看我的章:我的章属于复制了电脑里保存的,内容不全,无图
spring boot整合spring security实现基于rbac的权限控制
热门推荐
轻描淡写
12-09 1万+
1.spring security基于rabc权限控制 1.1 引入依赖 <dependency> <groupId>org.projectlombok</groupId> <artifactId>lombok</artifactId> </dependency>...
springSecurity权限设计
m0_63040701的博客
03-22 669
权限设计和数据库创建
SpringSecurity、RBAC角色权限控制
user__kk的博客
09-12 1101
RBAC 全称为用户角色权限控制,通过角色关联用户,角色关联权限,这种方式,间阶的赋予用户的权限。对于通常的系统而言,存在多个用户具有相同的权限,在分配的时候,要为指定的用户分配相关的权限,修改的时候也要依次的对这几个用户的权限进行修改,有了角色这个权限,在修改权限的时候,只需要对角色进行修改,就可以实现相关的权限的修改。这样做增加了效率,减少了权限漏洞的发生。权限是资源的集合,这里的资源指的是软件中的所有的内容,即,对页面的操作权限,对页面的访问权限,对数据的增删查改的权限
springsecurity权限管理
lanlan112233的博客
03-23 237
是一个能够为基于 Spring 的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在 Spring 应用上下中配置的 Bean,充分利用了 Spring IoC(Inversion of Control 控制反转),DI(Dependency Injection 依赖注入)和 AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。
spring-security--基础--4.2--案例:简单资源权限访问
zhou920786312的博客
10-26 283
参考手册 https://www.springcloud.cc/spring-security-zhcn.html 五、简单资源权限访问案例 通过SpringSecurity实现以下功能: 内存2个用户 admin:有p1权限 user:有p2权限 权限控制 “/”, “/home”,不需要权限校验 是否登录 否:不能访问资源 是: “/admin/p1”,只有p1权限的用户才能访问 “/user/p2”,只有p2权限的用户才能访问 结构 5.1、 依赖 <!--sec
字长拆解展会系统搭建思路.docx
10-01
"字长拆解展会系统搭建思路" 展会系统是一个复杂的公共关系活动,通过各种媒介手段达到宣传企业形象、推广产品、获取商机、追踪市场前沿动态,拓展及建立合作关系等目的。展会的类型是多样化的,按不同的维度...
字长解密苹果A12芯片
01-19
在过去的几年里,苹果的芯片设计团队一直处于架构设计和制造工艺的前沿。苹果A12是该公司又跨越代际的飞跃,因为它号称是首款商用7nm芯片。  在谈论工艺节点时,一般而言,数字越小,晶体管就越小。虽然近节点的...
字长深度剖析 RocketMQ 设计原理.doc
07-09
RocketMQ 是一个基于 Java 的开源分布式消息队列系统,它的设计原理是基于生产者-消费者模型。该模型的核心思想是将消息生产者和消费者解耦,通过一个中间层队列来实现异步通信。 在上述案例中,张大胖遇到了三个...
字长 详解企业级B端设计规范搭建思路(实战篇).docx
05-19
字长 详解企业级B端设计规范搭建思路(实战篇).docx
Spring Security 权限控制
铭记:
04-02 2388
Spring Security 是一个为 Java 应用程序提供身份验证和授权功能的强大框架。其中一个核心特性就是能够为特定的资源强制执行权限和访问控制规则。本将探讨 Spring Security 权限控制的场景、使用和实现原理
SpringSecurity入门使用——资源授权
a_lllk的博客
11-17 1782
上一篇大概陈述了一下关于SpringSecurity的用户登录,从使用不同的方式进行用户登录做了一个简单的介绍。在开头我也曾提到过,SpringSecurity主要有两大功能,第一个就是用户登录,第二个就是资源授权。这篇就来大概描述一下资源授权的整个过程。 一.实现configure(HttpSecurity http)方法 在配置类中重写configure(HttpSecurity http)方法,注意参数是HTTPSecurity,在这里做一个最简单的登录成功失败Url配置。 @Over
springboot集成security(角色权限和资源权限)
qq_41501190的博客
12-25 1617
1.和集成shiro一样,首先得有一个springboot项目,并且集成了mybatis和thymeleaf 导入的坐标: application.yaml配置件 由于使用了Druid,所以还有个DruidConfig.java 以下是Mybatis相关的件 UserMapper.java UserMapper.xml 以下是controller相关的件 RouteController.java 控制页面跳转 web所有的页面 整合完springboot和mybatis最后进行测试
Spring security权限管理
weixin_47072986的博客
04-02 3823
Spring Security是一个高度自定义的安全框架。利用Spring IoC/DI和AOP功能,为系统提供了声明式安全访问控制功能,减少了为系统安全而编写大量重复代码的工作。​ 使用Spring Secruity的原因有很多,但大部分都是发现了javaEE的Servlet规范或EJB规范中的安全功能缺乏典型企业应用场景。同时认识到他们在WAR或EAR级别无法移植。因此如果你更换服务器环境,还有大量工作去重新配置你的应用程序。
SpringSecurity实现角色权限控制(SpringBoot+SpringSecurity+JWT)
lans_g的博客
05-14 6665
通过springboot整合jwt和security,以用户名/密码的方式进行认证和授权。认证通过jwt+数据库的,授权这里使用了两种方式,分别是SpringSecurity自带的hasRole方法+SecurityConfig和 我们自定义的permission+@PreAuthorize注解。用来存储和获取当前线程关联的 SecurityContext 对象的类。
SpringSecurity权限控制
qq_61544409的博客
03-21 6765
Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。 正如你可能知道的关于安全方面的两个核心功能是“认证”和“授权”,一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分,这两点也是 SpringSecurity 重要核心功
Spring Security)学习七:自定义用户资源权限动态控制
希克的博客
09-01 851
实现了自定义用户动态登录后,不同的用户必定有不同的用户权限和资源,我们需要根据不同的用户的角色以及资源,来给用于对应的权限控制。在查看本章之前,需要实现了解RBAC权限设计思想和概念,以便更好的理解用户资源权限动态控制。...
Spring Security实现RBAC权限模型练习
pikcacho_pkq的博客
02-09 2712
Spring Security的核心功能就是认证、授权、攻击防护,Spring Boot项目启动之后会自动进行配置,其核心就是一组链式过滤器。如下图所示,对于一个用户请求,Username Password Authentication Filter验证用户名和密码是否正确,通过就放行,然后Basic Authentication Filter就实现了去验证请求中是否包含有权限认证的basic信息。FilterSecurityInterceptor验证请求是否能够访问REST API,如果不能够访问即被拒绝
【业务功能篇57】Springboot + Spring Security 权限管理 【上篇】
studyday1的博客
07-28 4311
1) Spring SecuritySpring 家族中的一个安全管理框架,可以轻松地与 Spring 应用程序集成, 它提供了一系列的安全服务和工具,用于保护企业应用程序的安全性。Spring Security 提供了许多功能,包括身份验证(Authentication)、授权(Authorization)、访问控制、密码管理、单点登录(Single Sign-On)、攻击防范(如跨站点脚本攻击、SQL注入攻击)等。2) 认证和授权也是SpringSecurity作为安全框架的核心功能。
字长】mysql多数据源完整教程
最新发布
11-03
MySQL多数据源是指在一个应用程序中同时使用多个不同的MySQL数据库来存储和管理数据的技术。它可以帮助开发人员更灵活地处理各种数据库操作,提高程序的性能和可扩展性。下面是一个完整的MySQL多数据源教程。 一、设置数据库连接信息 1. 在应用程序的配置件中,创建多个数据库连接的配置项。例如,可以为每个数据源创建一个配置项,分别命名为db1、db2等。 2. 在配置项中,设置每个数据源的连接信息,包括数据库地址、用户名、密码等。 二、创建数据源管理器 1. 创建一个数据源管理器类,用于管理多个数据源。该类需要实现数据源的动态切换和获取。 2. 使用Java的线程安全的数据结构,如ConcurrentHashMap来存储数据源信息。将配置件中的数据库连接信息加载到数据结构中。 3. 实现方法来切换不同的数据源,通过传入数据源的名称来切换到对应的数据库。 三、实现数据源切换 1. 在应用程序中,根据业务需求选择需要使用的数据源。可以通过调用数据源管理器的方法来切换数据源。 2. 在DAO层的代码中,根据当前使用的数据源名称,选择对应的数据源进行数据库操作。 四、使用多数据源进行数据库操作 1. 在DAO层的代码中,区分不同的数据源,并将数据库操作的代码包装在对应的数据源中。 2. 在业务层的代码中,调用DAO层的方法来进行数据库操作。不同的数据源会自动切换。 五、处理事务 1. 如果需要在一个事务中操作多个数据源,可以使用分布式事务的方式来处理。 2. 可以使用开源的分布式事务框架,如Atomikos、Bitronix等来实现多数据源的事务管理。 六、监控和维护 1. 使用监控工具来监控多个数据源的使用情况,包括连接数、查询次数等。 2. 定期对数据库进行维护,包括索引优化、数据清理等工作,以保证数据库的性能和稳定性。 通过以上步骤,我们可以实现MySQL多数据源的配置和使用。使用多数据源可以更好地管理和处理不同的数据库操作,在提高程序性能和可扩展性的同时,也提供了更灵活的数据操作方式。同时,需要注意合理选择和配置数据源,以及监控和维护数据库,以保证系统的运行效率和数据的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

python小小Q

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值