JavaWeb 案例——访问权限控制

最新推荐文章于 2023-07-07 14:25:10 发布
VIP文章 最新推荐文章于 2023-07-07 14:25:10 发布
阅读量6.7k 收藏 15
点赞数 8
分类专栏: Java Web 文章标签: string user sql permissions object service
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/DriverKing/article/details/6769553
版权

一、功能介绍

       每个网站都涉及到访问权限的控制。每个站点资源都需要被管理起来,用户只有具有访问某个资源的特定权限,才能够访问,否则拒绝访问。

二、项目分析

       我们要实现网站的访问权限控制,就应该从 URI 入手,站点的每个资源都用唯一的 URI 描述,我们为想要管理起来的 URI 增加上权限属性,当用户访问资源时我们要先检查用户是否具有权限。这个项目我采用过滤器技术实现权限拦截,下一个项目我将采用注解+动态代理实现权限的拦截。

        我们需要编写一个过滤器,拦截用户的每个访问请求。再依据 URI 判断是否需要权限。这个是比较简单的,关键就是我们如何将这种权限关系描述出来,如果使用过滤器技术,我们就不得不使用数据库来将每个权限、资源等保存起来。一个资源需要一个权限,一个权限对应多个角色,一个角色可以拥有多个权限,一个用户拥有多个角色,一个角色又可以被多个用户引用。所以资源与权限是一对一关系,权限与角色是多对多关系,角色与用户也是多对多关系。因此在数据库我们需要6张表来保存关系。

 

一、对象关系	资源、权限、角色、用户

	资源   	------>		权限		一对多
	权限	    <----->		角色		多对多
	角色   	<----->		用户		多对多
	
	资源:
		String id	编号
		String uri	资源uri
		String description	描述
		Permission permission	该资源需要的权限
		
	权限:
		String id	编号
		String name	权限名
		String description 权限描述
		
	角色:
		String id	编号
		String name	角色名
		String description 角色描述
		Set<Permission> set 该角色具有的权限
		
	用户:
		String id	编号
		String username	用户名
		String password	密码
		Set<Role> set	该用户都具有的角色
		
二、数据库实现

create database if not exists sys_permission;
use sys_permission;

create table if not exists resource(
	id varchar(40) primary key,
	uri varchar(255) unique,
	description varchar(255),
	permission_id varchar(40),
	constraint rPermission_id_FK foreign key(permission_id) references permission(id)
);

create table if not exists permission(
	id varchar(40) primary key,
	name varchar(40) unique,
	description varchar(255)
);

create table if not exists role(
	id varchar(40) primary key,
	name varchar(40) unique,
	description varchar(255)
);

create table if not exists user(
	id varchar(40) primary key,
	username varchar(40) not null unique,
	password varchar(40) not null
);

create table if not exists permission_role(
	permission_id varchar(40) not null,
	role_id varchar(40) not null,
	constraint permission_id_FK foreign key(permission_id) references permission(id),
	constraint role_id_FK foreign key(role_id) references role(id),
	constraint primary key(permission_id,role_id)
);

create table if not exists user_role(
	user_id varchar(40) not null,
	role_id varchar(40) not null,
	constraint user_id_FK foreign key(user_id) references user(id),
	constraint uRole_id_FK foreign key(role_id) references role(id),
	constraint primary key(user_id,role_id)
);


三、项目新技术

       1、采用 sitemesh 框架为每个页面动态增加模版。原理:sitemesh 实际上也是一个过滤器,当用户访问一个页面时,sitemesh 将请求拦截下来,在服务器以后使用 response 写出数据的时候,实际上是写到了代理对象的缓存中,当数据读写完,sitemesh 再对数据进行包装之后再打给浏览器。

         2、采用 windows 命令初始化数据库。我们将数据库的初始化信息写在文件中,当在浏览器访问初始化 Servlet 时,将使用 windows 命令将文件中的数据导入到 mysql 中。

 

package cn.dk.domain;

public class Permission {

	private String id;
	private String name;
	private String description;

	public String getId() {
		return id;
	}

	public void setId(String id) {
		this.id = id;
	}

	public String getName() {
		return name;
	}

	public void setName(String name) {
		this.name = name;
	}

	public String getDescription() {
		return description;
	}

	public void setDescription(String description) {
		this.description = description;
	}

	@Override
	public int hashCode() {
		final int prime = 31;
		int result = 1;
		result = prime * result + ((id == null) ? 0 : id.hashCode());
		return result;
	}

	@Override
	public boolean equals(Object obj) {
		if (this == obj)
			return true;
		if (obj == null)
			return false;
		if (getClass() != obj.getClass())
			return false;
		final Permission other = (Permission) obj;
		if (id == null) {
			if (other.id != null)
				return false;
		} else if (!id.equals(other.id))
			return false;
		return true;
	}

}

package cn.dk.domain;

public class Resource {

	private String id;
	private String uri;
	private String description;
	private Permission permission;

	public String getId() {
		return id;
	}

	public void setId(String id) {
		this.id = id;
	}

	public String getUri() {
		return uri;
	}

	public void setUri(String uri) {
		this.uri = uri;
	}

	public String getDescription() {
		return description;
	}

	public void setDescription(String description) {
		this.description = description;
	}

	public Permission getPermission() {
		return permission;
	}

	public void setPermission(Permission permission) {
		this.permission = permission;
	}
}

package cn.dk.domain;

import java.util.HashSet;
import java.util.Set;

public class Role {

	public Role() {
		super();
		this.permissions = new HashSet<Permission>();
	}

	private String id;
	private String name;
	private String description;
	private Set<Permission> permissions;

	public String getId() {
		return id;
	}

	public void setId(String id) {
		this.id = id;
	}

	public String getName() {
		return name;
	}

	public void setName(String name) {
		this.name = name;
	}

	public String getDescription() {
		return description;
	}

	public void setDescription(String description) {
		this.description = description;
	}

	public Set<Permission> getPermissions() {
		return permissions;
	}

	public void setPermissions(Set<Permission> permissions) {
		this.permissions = permissions;
	}
}

package cn.dk.domain;

import java.util.HashSet;
import java.util.Set;

public class User {
	
	public User(){
		super();
		this.roles = new HashSet<Role>();
	}

	private String id;
	private String username;
	private String password;
	private Set<Role> roles;

	public String getId() {
		return id;
	}

	public void setId(String id) {
		this.id = id;
	}

	public String getUsername() {
		return username;
	}

	public void setUsername(String username) {
		this.username = username;
	}

	public String getPassword() {
		return password;
	}

	public void setPassword(String password) {
		this.password = password;
	}

	public Set<Role> getRoles() {
		return roles;
	}

	public void setRoles(Set<Role> roles) {
		this.roles = roles;
	}
}

package cn.dk.dao;

import java.util.List;

import cn.dk.domain.Permission;

public interface IPermissionDao {

	// 插入新权限
	void insertPermission(Permission permission);

	// 删除权限
	void deletePermission(String id);

	// 根据id查找权限
	Permission findPermissionById(String id);

	// 查找所有权限
	@SuppressWarnings("unchecked")
	List<Permission> findAllPermission();

}
package cn.dk.dao;

import java.util.List;

import cn.dk.domain.Resource;

public interface IResourceDao {

	// 增加资源
	void insertResource(Resource resource);

	// 修改资源
	void updateResource(Resource resource);

	// 查找所有资源
	@SuppressWarnings("unchecked")
	List<Resource> findAllResource();

	// 根据uri查找资源
	Resource findResourceByURI(String uri);

	// 根据id查找资源
	Resource findResourceById(String id);

	// 删除资源
	void deleteResource(String id);

}
package cn.dk.dao;

import java.util.List;
import cn.dk.domain.Role;

public interface IRoleDao {

	// 新增角色
	void insertRole(Role role);

	// 更新角色
	void updateRole(Role role);

	// 删除角色
	void deleteRole(String id);

	// 根据id查找角色
	@SuppressWarnings("unchecked")
	Role findRoleById(String id);

	// 查找所有角色
	@SuppressWarnings("unchecked")
	List<Role> fineAllRole();

}
package cn.dk.dao;

import java.util.List;
import cn.dk.domain.User;

public interface IUserDao {

	// 插入用户
	void insertUser(User user);

	// 更新用户
	void updateUser(User user);

	// 删除用户
	void deleteUser(String id);

	// 根据id查找用户
	@SuppressWarnings("unchecked")
	User findUserById(String id);

	// 查找所有用户
	@SuppressWarnings("unchecked")
	List<User> findAllUser();
	
	User login(String username, String password);
}
package cn.dk.dao.impl;

import java.sql.SQLException;
import java.util.List;
import org.apache.commons.dbutils.QueryRunner;
import org.apache.commons.dbutils.handlers.BeanHandler;
import org.apache.commons.dbutils.handlers.BeanListHandler;
import cn.dk.dao.IPermissionDao;
import cn.dk.domain.Permission;
import cn.dk.utils.DBUtils;

public class PermissionDaoImpl implements IPermissionDao {

	// 插入新权限
	public void insertPermission(Permission permission) {
		QueryRunner runner = new QueryRunner(DBUtils.getDataSource());
		String sql = "insert into permission (id,name,description) values(?,?,?)";
		Object[] params = { permission.getId(), permission.getName(),
				permission.getDescription() };
		try {
			runner.update(sql, params);
		} catch (SQLException e) {
			throw new RuntimeException(e);
		}
	}

	// 删除权限
	public void deletePermission(String id) {
		QueryRunner runer = new QueryRunner(DBUtils.getDataSource());
		String sql = "update resource set permission_id=null where permission_id=?";
		try {
			runer.update(sql, id);
			sql = "delete from permission where id=?";
			runer.update(sql, id);
		} catch (SQLException e) {
			throw new RuntimeException(e);
		}
	}

	// 根据id查找权限
	public Permission findPermissionById(String id) {
		QueryRunner runer = new QueryRunner(DBUtils.getDataSource());
		String sql = "select id,name,description from permission where id=?";
		Object[] params = { id };
		try {
			return (Permission) runer.query(sql, new BeanHandler(
					Permission.class), params);
		} catch (SQLException e) {
			throw new RuntimeException(e);
		}
	}

	// 查找所有权限
	@SuppressWarnings("unchecked")
	public List<Permission> findAllPermission() {
		List<Permission> list = null;
		QueryRunner runer = new QueryRunner(DBUtils.getDataSource());
		String sql = "select id,name,description from permission";
		try {
			list = (List<Permission>) runer.query(sql, new BeanListHandler(
					Permission.class));
		} catch (SQLException e) {
			throw new RuntimeException(e);
		}
		return list;
	}
}

package cn.dk.dao.impl;

import java.sql.SQLException;
import java.util.List;
import org.apache.commons.dbutils.QueryRunner;
import org.apache.commons.dbutils.handlers.BeanHandler;
import org.apache.commons.dbutils.handlers.BeanListHandler;
import cn.dk.dao.IResourceDao;
import cn.dk.domain.Permission;
import cn.dk.domain.Resource;
import cn.dk.utils.DBUtils;

public class ResourceDaoImpl implements IResourceDao {

	// 增加资源
	public void insertResource(Resource resource) {
		QueryRunner runner = new QueryRunner(DBUtils.getDataSource());
		String sql = "insert into resource (id,uri,description,permission_id) values(?,?,?,?)";
		Object[] params = { resource.getId(), resource.getUri(),
				resource.getDescription(), resource.getPermission().getId() };
		try {
			runner.update(sql, params);
		} catch (SQLException e) {
			throw new RuntimeException(e);
		}
	}

	// 修改资源
	public void updateResource(Resource resource) {
		QueryRunner runner = new QueryRunner(DBUtils.getDataSource());
		String sql = "update resource set uri=?,description=?,permission_id=? where id=?";
		Object[] params = { resource.getUri(), resource.getDescription(),
				resource.getPermission().getId(), resource.getId() };
		try {
			runner.update(sql, params);
		} catch (SQLException e) {
			throw new RuntimeException(e);
		}
	}

	// 查找所有资源
	@SuppressWarnings("unchecked")
	public List<Resource> findAllResource() {
		List<Resource> list = null;
		QueryRunner runner = new QueryRunner(DBUtils.getDataSource());
		String sql = "select id,uri,description from resource";
		try {
			list = (List<Resource>) runner.query(sql, new BeanListHandler(
					Resource.class));
			for (Resource resource : list) {
				sql = "select p.id,p.name,p.description from permission p,resource r where r.permission_id=p.id and r.id=?";
				Object[] params = { resource.getId() };
				Permission permission = (Permission) runner.query(sql,
						new BeanHandler(Permission.class), params);
				resource.setPermission(permission);
			}
		} catch (SQLException e) {
			throw new RuntimeException(e);
		}
		return list;
	}

	// 根据uri查找资源
	public Resource findResourceByURI(String uri) {
		QueryRunner runner = new QueryRunner(DBUtils.getDataSource());
		String sql = "select id,uri,description from resource where uri=?";
		Object[] params = { uri };
		try {
			Resource resource = (Resource) runner.query(sql, new BeanHandler(
					Resource.class), params);
			if (resource == null)
				return null;
			sql = "select p.id,p.name,p.description from permission p,resource r where r.permission_id=p.id and r.id=?";
			params = new Object[] { resource.getId() };
			Permission permission = (Permission) runner.query(sql,
					new BeanHandler(Permission.class), params);
			resource.setPermission(permission);
			return resource;
		} catch (SQLException e) {
			throw new RuntimeException(e);
		}
	}

	// 根据id查找资源
	public Resource findResourceById(String id) {
		QueryRunner runner = new QueryRunner(DBUtils.getDataSource());
		String sql = "select id,uri,description from resource where id=?";
		Object[] params = { id };
		try {
			Resource resource = (Resource) runner.query(sql, new BeanHandler(
					Resource.class), params);
			sql = "select p.id,p.name,p.description from permission p,resource r where r.permission_id=p.id and r.id=?";
			params = new Object[] { resource.getId() };
			Permission permission = (Permission) runner.query(sql,
					new BeanHandler(Permission.class), params);
			resource.setPermission(permission);
			return resource;
		} catch (SQLException e) {
			throw new RuntimeException(e);
		}
	}

	// 删除资源
	public void deleteResource(String id) {
		QueryRunner runner = new QueryRunner(DBUtils.getDataSource());
		String sql = "delete from resource where id=?";
		Object[] p
最低0.47元/天 解锁文章
DriverKing
关注
  • 8
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 10
    评论
专栏目录
javaweb实现的访问权限控制示例
07-31
javaweb使用filter实现的访问权限控制示例。详情请看博客:https://blog.csdn.net/yuzhiqiang_1993/article/details/81288912
java web 访问静态资源时注意设置 其访问权限,不然就访问不了
qq_32217519的博客
05-18 5272
在spring-mvc.xml   中添加如 :           javadoc/**" location="/javadoc/"/>     upload/**" location="/upload/"/> 红色为文件夹名称
web服务器文件访问权限,web服务器 读写文件权限设置
weixin_32042443的博客
08-06 1389
web服务器 读写文件权限设置 内容精选换一换VPC为弹性云服务器构建隔离的、用户自主配置和管理的虚拟网络环境,提升用户云中资源的安全性,简化用户的网络部署。使用弹性文件服务时,文件系统和云服务器归属于同一VPC下才能文件共享。VPC可以通过网络ACL进行访问控制。网络ACL是对一个或多个子网的访问控制策略系统,根据与子网关联的入站/出站规则,判断数据包是否被允许流入/流出关联子网。文件系统挂载功...
web渗透测试----18、访问控制权限提升
七天
03-19 1409
文章目录一、什么是访问控制?二、什么是访问控制安全模型?1、程序访问控制2、自由访问控制(DAC)3、强制访问控制(MAC)4、基于角色的访问控制(RBAC)三、垂直访问控制1、敏感功能可直接访问2、基于参数的访问控制方法3、平台配置错误导致访问控制中断四、水平访问控制1、水平访问控制2、水平到垂直访问控制五、不安全的直接对象引用(IDOR)1、直接引用数据库对象的IDOR漏洞2、直接引用静态文件的IDOR漏洞六、上下文相关的访问控制1、多步骤流程中的访问控制漏洞2、基于引荐来源的访问控制3、基于位置的访问
web-攻击访问控制】(5.2.2)攻击访问控制:有限访问权限进行测试、测试“直接访问方法“、对静态资源控制、对HTTP方法实施的限制
08-17 407
【攻击访问控制】有限访问权限进行测试、测试"直接访问方法"、对静态资源控制、对HTTP方法实施的限制
Nginx基于Basic Auth实现静态资源访问权限控制
of chen的博客
11-16 1752
最近遇到一个小项目,有这样一个需求:需要把一些静态资源挂在web容器下提供给对方,毫无疑问,可以用nginx实现,但需要一定的鉴权(账号密码或token)不同的用户能访问的资源是不一样的,因为项目很小,项目金额也有限,肯定是考虑最小的成本实现,因此查找了一些nginx相关的资料。
Java --- springboot2的静态资源访问
qq_46093575的博客
03-25 1247
一、静态资源访问 1、springboot自带默认的存放路径 2、测试访问资源 二、设置静态资源访问前缀 1、在配置文件中设置 2、测试访问 三、指定自己的静态资源访问路径文件夹 1、在配置文件中配置 2、测试访问 四、访问欢迎页 1、创建文件 <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> &l...
如何控制静态资源的访问 和对资源访问的权限
qq_53303324的博客
03-05 1399
如何控制静态资源的访问 和对资源访问的权限
在SpringBoot下结合shiro对静态资源实现认证访问权限控制
Ethe的博客
07-07 720
1、我们通过localhost/profile/girl.jpg可以访问到美女图片,假设图片是存储在我们的服务器的/home/data目录下,我们可以通过nginx的反向静态资源代理可以直接将profile的请求文件转入到/home/data下去读取图片文件。2、我们可以将图片直接存储至云服务器,或者一个外网访问地址例如:https://yunurl/profile/girl.jpg。这种情况我们无需配置nginx代理。以上两种情况都是在用户未认证,拿到地址即可访问文件。
限制对Web资源的访问
熊熊乐园-JAVA篇
09-06 2268
开发人员遇到的一个老问题是:如何使资源不完全暴露在大庭广众下,而只让那些适当的人和程序有完全的权限来访问他们需要的资源?至少有三个好方法可以解决这个问题。作为一个Java Web开发人员,你可能已经对Web应用程序的目录结构很熟悉了(见图1)。在WEB-INF/classes目录下放置了servlet类,在WEB-INF/lib下是Java档案文件,如HTML和图片文件的静态资源直接放在应用程序目
跟着开源项目学java4-从防止数据权限越权的提交看开源项目里数据权限怎么做
qq_39007838的博客
12-27 1580
数据权限
JavaWeb综合案例——品牌后台管理系统
08-12
最新版JavaWeb综合案例——品牌后台管理系统 来源:改编自黑马程序员最新JavaWeb课程案例 所用技术及工具:Mybatis+Maven+Filter+Ajax+JSON+JavaScript+HTML+CSS+Element+VUE
JavaWeb开发——JSP技术
03-24
此文章包含JSP简介、JSP运行原理、JSP标签与标签库及其使用、JSP的内置对象与作用域对象、EL表达式和MVC模式的简介,以及部分案例展示。 适用于任何学习JavaWeb开发中,需要了解JSP技术的人群,希望这篇文章能对大家...
javaWeb用户权限控制简单实现过程
09-01
主要为大家详细介绍了javaWeb用户权限控制简单实现过程,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
11_JavaWeb——Cookie&Session案例资源
05-01
此资源是我的博客11_JavaWeb——Cookie&Session中的案例资源,关于比较难以编写的工具类我已在博客中给出,下载此资源后可直接运行,实现登录注册功能。其中登录功能能够记住用户使得下次登录不需要重复输入用户名和...
Java Web 案例一 登录、注册功能实现
热门推荐
DriverKing
08-27 2万+
实现用户登录和注册功能。项目分为 Web 层、业务逻辑层、数据访问层。       将用户信息封装在 UserBean 对象中。用户信息有:username(String)、password(String)、nickname(String)、email(String)、birt
Java 实现树形结构
DriverKing
09-04 1万+
树形结构可以清楚地呈现数据的从属关系,在数据库中我们可以用自关联来保存这样的关系。但是在取出数据的时候,如果采用以往的手段,免不了要进行递归操作。递归在理论上是可以解决树形结构的问题,但是如果数据量够大,目录层次够深,我们递归出层次关系是比较消耗资源的。我们可以从数据结构入手,树
Servlet——Response 和 Resquest
DriverKing
08-20 8654
当一个 Servlet 首次被 Web 服务器创建时,会传递一个 Response 和 Request 对象过去。     Web 服务器收到客户端的 HTTP 请求时,会针对每一次请求分别创建一个用于代表请求的 Resquest 对象和代表响应的 Response 对象。
Jsp 和 EL 表达式
DriverKing
08-22 7611
一、Jsp        1、Jsp (Java Server Pages),它和 Servlet 技术一样,都是 SUN 公司定义的一种用于开发动态 Web 资源的技术。           Jsp 技术允许在页面中嵌套 Java 代码,并且允许开发人员在页面中获取 r
JavaWeb——HTTP
最新发布
10-07
JavaWeb中的HTTP指的是在JavaWeb开发中使用的超文本传输协议(HTTP)。HTTP是一种简单的请求-响应协议,通常在TCP/IP协议上运行。它通过客户端和服务器之间的交互来传输文本和超文本数据,如HTML、图片、音乐、视频等。JavaWeb开发中使用HTTP协议来实现客户端和服务器之间的通信,通过HTTP请求向服务器发送请求,服务器接收请求后处理并返回相应的HTTP响应。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 10
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值