用户权限管理体系及其SpringBoot实现

最新推荐文章于 2024-06-07 07:46:26 发布
最新推荐文章于 2024-06-07 07:46:26 发布
阅读量2.9k 收藏 14
点赞数
文章标签: java spring boot 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/admin3335/article/details/126573487
版权
这篇博客探讨了用户权限管理体系的演变,从早期的简单逻辑判断到URL拦截,再到RBAC模型的引入。详细介绍了如何使用SpringBoot实现基于角色的访问控制,包括用户表、角色表、资源表的设计,以及用户角色、角色资源的关联。通过自定义注解和AOP实现权限验证,确保用户只能访问匹配其权限的URL。
摘要由CSDN通过智能技术生成

用户权限管理体系及其SpringBoot实现

用户管理体系的演变

最早期的实现

流程

不同的用户有不同的角色,用一个role_status表示

比如0代表学生1代表老师

用户根据用户名密码登录后程序通过if else等简单的逻辑判断看用户的role_status从而判断用户是否可以访问相关页面,操作相关菜单按钮。

在这里插入图片描述

缺陷

  1. 耦合性太高,每个方法中都会有大量的if else来判断用户的role_status从而决定什么给用户展现
  2. 扩展性太低,如果新加入一种role_status,那势必要大量的更改代码,几乎重写所有的方法

拦截器拦截URL

流程

通过拦截器拦截所有的请求这些请求就是@GetMapping等注解上的url

并设置拦截的规则,如不会拦截登录请求,不会拦截静态资源。

不同的用户可以方法不同的url,数据库中维护着所有的url,并维护着用户和他能访问的url的对应关系(就是那些用户能访问那些url)

缺点

没有统一的标准

粒度太细,在资源层面上无法统一。

在这里插入图片描述

RBAC权限模型

流程

RBAC是基于角色的访问控制,是用户通过角色与权限进行关联,为什么不直接给用户分配权限呢?简单来说,一个用户拥有多个角色,每个角色拥有若干权限。这样就构成了“用户-角色-权限”的授权模型。在这个模型中,用户与角色、角色与权限之间是多对多的关系。(这样解决上面的粒度太细的问题

根据角色授权的思想,我们需要设计五张表

(1)三张主表

​ 用户表(user)

​ 角色表(role)

​ 资源表(resource)

(2)两张中间表

​ 用户角色表(user_role)

​ 角色资源表(role_resource)

一个用户可以有多种角色,一种角色可以访问多种资源。当一个用户使用系统时会通过联表查询他的角色,查询他的角色具有的资源,从而判断他是否可以使用某些共能,查看某些界面

在这里插入图片描述

使用springboot实现权限验证

流程图下

在这里插入图片描述

首先是登录,验证登录信息并生成token

为了方便用户名和密码直接写死了

    @PostMapping("login")
    public ResultJson login(@RequestParam String userName, @RequestParam String password){
   
        User user=null;
        if(userName.equals("lala")&&password.equals("lala")){
   
            List<String> au=new ArrayList<>();
            au.add("look");
            user=new User(&#
最低0.47元/天 解锁文章
admin3335
关注
  • 0
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
企业员工角色权限管理平台(SpringBoot2.0+Mybatis+Shiro+Vue)
08-07
课程简介:历经半个多月的时间,Debug亲自撸的 “企业员工角色权限管理平台” 终于完成了。正如字面意思,本课程讲解的是一个真正意义上的、企业级的项目实战,主要介绍了企业级应用系统中后端应用权限的管理,其中主要涵盖了六大核心业务模块、十几张数据库表。 其中的核心业务模块主要包括用户模块、部门模块、岗位模块、角色模块、菜单模块和系统日志模块;与此同时,Debug还亲自撸了额外的附属模块,包括字典管理模块、商品分类模块以及考勤管理模块等等,主要是为了更好地巩固相应的技术栈以及企业应用系统业务模块的开发流程! 核心技术栈列表: 值得介绍的是,本课程在技术栈层面涵盖了前端和后端的大部分常用技术,包括Spring BootSpring MVC、Mybatis、Mybatis-Plus、Shiro(身份认证与资源授权跟会话等等)、Spring AOP、防止XSS攻击、防止SQL注入攻击、过滤器Filter、验证码Kaptcha、热部署插件Devtools、POI、Vue、LayUI、ElementUI、JQuery、HTML、Bootstrap、Freemarker、一键打包部署运行工具Wagon等等,如下图所示: 课程内容与收益: 总的来说,本课程是一门具有很强实践性质的“项目实战”课程,即“企业应用员工角色权限管理平台”,主要介绍了当前企业级应用系统中员工、部门、岗位、角色权限、菜单以及其他实体模块的管理;其中,还重点讲解了如何基于Shiro的资源授权实现员工-角色-操作权限、员工-角色-数据权限的管理;在课程的最后,还介绍了如何实现一键打包上传部署运行项目等等。如下图所示为本权限管理平台的数据库设计图: 以下为项目整体的运行效果截图: 值得一提的是,在本课程中,Debug也向各位小伙伴介绍了如何在企业级应用系统业务模块的开发中,前端到后端再到数据库,最后再到服务器的上线部署运行等流程,如下图所示:
Springboot权限管理
zkk的博客
09-05 1779
现在鉴权模块已经非常成熟,以上仅为个人心得和实践,还有很多改进的地方欢迎评论,后续还会补充通过Shiro框架实现的鉴权这一模块。
SpringBoot整合SpringScurity权限控制(菜单权限,按钮权限)以及加上SSH实现安全传输
最新发布
dzqxwzoe的博客
06-07 907
如果你在设计一个需要存储用户密码的系统,强烈建议使用 bcrypt、PBKDF2 或 Argon2 而不是MD5。这些现代算法提供了更高级别的安全保障,可以帮助你的系统抵御当前的威胁,如暴力破解和彩虹表攻击。选择正确的密码存储策略是保护用户数据安全的关键一步。
Java初学实践03-使用spring boot进行简单的用户管理
draper-crypto的博客
06-04 1056
使用spring boot进行简单的用户管理
springboot权限系统
ABC_efg123456的博客
03-02 2901
springboot权限管理系统详细思路
【业务功能篇59】Springboot + Spring Security 权限管理 【下篇】
studyday1的博客
07-29 1111
我们需要自定义一个登陆接口,并让SpringSecurity不要对该接口进行登录验证,以允许未登录用户访问。在该接口中,我们使用AuthenticationManager的authenticate方法进行用户认证,需要在SecurityConfig中配置将AuthenticationManager注入到容器中。如果认证成功,则需要生成一个jwt并将其放入响应中返回。为了让用户在下次请求时能够通过jwt识别出具体的用户,我们需要将用户信息存储在redis中,可以将用户id作为key。
SpringBoot+layui+Thymeleaf+Mybatis+Shiro后台管理系统脚手架
08-05
- **菜单管理**:用于维护系统的菜单结构,支持添加、删除、修改和查看菜单,便于构建多层级的权限控制体系。 - **角色管理**:定义并管理不同的角色角色可以拥有不同的权限集合,便于权限分配。 - **用户管理**:...
基于SpringBootSpring Security,Vue & naiveUi 实现的前后端分离权限管理简易系统.zip
03-09
Vue.js用于构建用户界面,实现前端与后端的交互,包括数据双向绑定、组件化开发、路由管理和状态管理等。 **4. naiveUi** naiveUi是基于Vue 3的UI组件库,提供了丰富的UI组件,如按钮、表格、模态框等,用于快速...
基于springboot的码头船只货柜管理系统源码数据库.zip
03-11
例如,Spring Security或Apache Shiro可以用来实现用户认证和授权,确保数据安全;使用Log4j或Logback进行日志记录,便于追踪和调试;全局异常处理器可以统一处理程序运行时的异常,提高系统的稳定性。 总的来说,...
springboot+spring security+JWT+mybatisplus
10-08
本项目以"springboot+spring security+JWT+mybatisplus"为核心技术栈,旨在提供一个完整的解决方案,涵盖了用户认证、权限管理、日志记录以及数据库操作等多个重要环节。下面将详细阐述这些技术及其在项目中的应用。...
java+springboot职称评审管理系统.rar
01-16
1. 用户管理:包括用户注册、登录、权限管理等功能,使用Spring Security或Apache Shiro进行权限控制。 2. 职称评审管理:包括申报、评审、公示等流程,涉及数据的增删改查和状态流转。 3. 材料上传与审核:支持用户...
springboot权限设计思路(精确到按钮级别)
大海无量的博客
08-18 2万+
参考:https://www.cnblogs.com/zhaojiatao/p/8482998.html 参考(精确到按钮级别):https://blog.csdn.net/chen42955/article/details/47423501
springboot权限设计(经典五张表)数据库到数据封装
xiaomingds的博客
11-16 4143
数据库设计 用户表sys_user: 角色表sys_role: 用户角色表user_role: 权限表menu_item: 角色权限表role_menu: 数据库连接查询 SELECT mt.* FROM sys_user u, sys_role r,user_role ur, menu_item mt, role_menu rp WHERE u.loginName = 'admin' AND u.userId =
一步步使用SpringBoot结合Vue实现登录和用户管理功能,附带学习经验
2401_84093310的博客
04-05 1967
按照官方文档,来进行MP的分页。作为Mybatis的增强工具,MP自然是支持自定义sql的。其实在MP中,单表操作基本上是不用自己写sql。这里只是为了演示MP的自定义sql,毕竟在实际应用中,批量操作、多表操作还是更适合自定义sql实现。修改pom.xml,在 中添加:**/*.xmltrue配置文件:在application.properties中添加mapper扫描路径及实体类别名包。
Spring Boot 统一功能处理(拦截器实现用户登录权限的统一校验、统一异常返回、统一数据格式返回)
m0_62976995的博客
08-12 1037
且在重写方法的时候其余类型都是用的统一的格式化工具,而String用的是它自身的格式化工具,String自身的格式化工具在执行的时候还没有加载好,就会导致 原始类型 是String的时候,在转化成HashMap的时候就会报错。发现这个方法在执行时会查找使用所有的 @ControllerAdvice 类,发送某个事件时,调用相应的 Advice 方法,比如返回数据前调用统一数据封装,比如发生异常是调用异常的 Advice 方法实现的。
Spring Boot2 使用 License 实现系统软件版权许可认证
lovelichao12的专栏
05-14 6680
一License 简介 License即版权许可证,一般用于收费软件给付费用户提供的访问许可证明。根据应用部署位置的不同,一般可以分为以下两种情况讨论: 应用部署在开发者自己的云服务器上。这种情况下用户通过账号登录的形式远程访问,因此只需要在账号登录的时候校验目标账号的有效期、访问权限等信息即可。 应用部署在客户的内网环境。因为这种情况开发者无法控制客户的网络环境,也不能保证应用所在服务器可以访问外网,因此通常的做法是使用服务器许可文件,在客户应用启动的时候加载证书,然后在登录或者其他关键操作的地方.
SpringBoot 后台权限框架搭建(一)—后台框架搭建
jin07430119的专栏
02-22 3207
主要实现后端权限管理系统,包括用户管理、角色管理、部门管理、菜单管理等。项目采用前后端分离模式开发,后端使springboot+shiro+mybatis+MySQL等;前端选用Element UI框架,直接基于vue-element-admin的基础上扩展开发。
基于springboot+vue的后台用户管理系统(一)
aomanaka的博客
06-27 3010
springboot是所有基于spring开发项目的起点。springboot设计是为了尽可能快的启动spring应用程序,并且尽可能的减少配置文件。约定优于配置,一种软件设计范式。springjavaEE的轻量化替代品,同时通过依赖注入和面向切面编程,使其功能强大;不过它的组件代码虽然是轻量化的,但是它的配置文件却是重量级的。尽管在后续的更新开发中,通过引入基于注解的组件扫描、基于java的可重构配置,一定程度上降低了程度;不过项目的依赖管理也还是一种耗时耗力的事情。
小白的springboot之旅(十一) - springboot用户权限管理(一)
热门推荐
shanjingyuan的专栏
05-31 6万+
关键词:springboot,jpa,spring security,mysql通常我们的网站都有权限控制,就像一个公司有产品、开发、运维之分,各自负责各自的业务,相互独立,有相互协作,共同完成一个任务。拥有不同权限的用户查看不同的页面,进行不同的操作。这篇来简单的说一下使用springboot+jpa+springsecurity实现简单的用户权限管理。角色和用户的关系通过数据库配置控制。角色可...
springboot实现权限管理
03-19
Spring Boot是一个用于构建独立的、生产级别的Java应用程序的框架。它提供了一种简化的方式来开发和部署应用程序,并且具有强大的功能和灵活性。在Spring Boot实现权限管理可以通过以下步骤进行: 1. 引入相关依赖:在项目的pom.xml文件中添加Spring Security依赖,以实现权限管理功能。 2. 配置Spring Security:创建一个继承自WebSecurityConfigurerAdapter的配置类,并重写configure方法来配置安全策略。可以通过配置URL路径的访问权限、用户认证方式、登录页面等来实现权限管理。 3. 定义用户和角色:在数据库中创建用户表和角色表,并建立用户和角色之间的关联关系。可以使用Spring Data JPA或其他ORM框架来操作数据库。 4. 实现用户认证:通过实现UserDetailsService接口,重写loadUserByUsername方法来实现用户认证。在该方法中,可以根据用户名从数据库中查询用户信息,并返回一个实现了UserDetails接口的对象,包含用户的认证信息和权限信息。 5. 实现权限控制:通过在控制器方法上添加注解或配置URL路径的访问权限,来限制用户对某些资源的访问。可以使用@PreAuthorize、@PostAuthorize等注解来实现细粒度的权限控制。 6. 实现登录和注销功能:可以通过自定义登录页面和处理登录请求的控制器来实现用户登录功能。同时,还可以提供注销功能,使用户能够主动退出登录。 7. 实现角色管理:可以通过创建角色表和权限表,并建立角色权限之间的关联关系,来实现角色管理功能。可以在用户认证时根据用户的角色信息进行权限验证。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值