如何设计一个的系统权限(用户,角色,权限,渠道授权【PC、PAD、PHONE、WAP】)...

最新推荐文章于 2023-06-06 16:24:14 发布
最新推荐文章于 2023-06-06 16:24:14 发布
阅读量426 收藏
点赞数
文章标签: java javascript 数据库 ViewUI
原文链接:https://my.oschina.net/jsup/blog/822372
版权

前言

        随着移动互联网的发展,系统使用者从PC端移动到了移动端,如何控制权限系统成为了一个问题。现将JSUP【java2e source unify platform】权限设计思路写出,一来记录自己的程序开发之路,二来能给予大家帮助【理想状态哈】。

分析:

       说到权限管理,大家肯定会想到很多,网络资源也很多,专业一点的如基于RBAC模型,但是对于想直接设计系统权限,还是很困难。简单一点儿的设计,便就是用户与权限,这样便能保证一个用户拥有怎么样的权限。使用频次比较低,用户使用数较少时,这种设计也可解决问题,方便快捷嘛。

        假设一种场景,现公司有一套内容管理系统,如果公司里面所有员工都有这样的权限呢,每一个人都要配置?那是一件很痛苦的事情。因此再添加一个中间物--角色,把某些人归为一类,然后再把权限分配给角色。角色属下的用户也就拥有了权限。将这种场景可以举一反三很多。

        这就是大家熟知的用户关联角色,角色管理权限。

        所谓渠道授权,即给定某一渠道分配Appkey以及秘钥进行控制,并且可以限定某一渠道请求的服务次数。由于渠道控制并不是系统权限的核心,故以下描述中,不作为重点描述。

        鉴于此,有了用户、角色、权限、渠道,那么应该考虑一下这几个概念之间的关系。

                1、         一个用户可以拥有多个角色。多对多关系

                2、         一个角色可以拥有多个权限。多对多关系

                3、         一个用户可以在多个渠道使用。多对多关系【非重点】

        不同的应用场合,你可能会想出不同的需求,提了一个新的需求以后,可能会发现原来的设计没方法实现了,其实不用考虑那么复杂,借用RBAC模式设计,其实问题很简单,无非就是其实就是Who、What、How的问题。

实现效果图:

系统登录

    用户可以进行角色选择进入系统。效果图如下所示:

权限管理

        JSUP平台内权限管理可以进行CURD操作,方便管理员实时维护,主要功能有查询、增加、修改、删除、关联。维护的粒度为按钮级别。关联功能主要可以用于流程性功能时使用。系统内所有操作均可以抽象为资源,如菜单资源、按钮资源、导航资源、系统级资源【无需授权即可使用】。效果图如下:

角色管理

       角色可以理解为权限集合,JSUP内角色功能,也可以理解为角色组以及角色,角色之间从在父子关系。效果图如下:

用户管理

        用户管理功能只为登录凭证,正常此功能应该涉及员工信息、部门信息、职务信息、级别信息等。对用户登录凭证有三种方式限定,账户是否激活,登录账户是否过期,密码是否过期。如果用户输入错误密码次数过多,系统会锁定该账户,禁止登录系统。

一个用户可以分配多个角色,只用用户选定某一角色时方可登录系统。

数据模型设计【mysql版本】

要实现效果图,后台需要表12张,员工信息表、员工职务表、组织结构表、用户信息表、角色信息表、权限信息表、渠道信息表、Appkey秘钥表、用户与角色关联表、角色与权限管理表、权限关联表、渠道与角色关联表。

代码实现

       所用语言为JAVA,本文中使用到的技术有Spring Security、Ibatis、JQuery、HTML5。本文中设计代码为关键代码,并非全部实现。需要完整代码,可以联系作者。

       权限控制框架目前比较流行的有两种Spring Security以及Shiro。本文使用Spring Security。

Xml配置

<beans:bean id="authenticationProvider" class="org.springframework.security.authentication.dao.DaoAuthenticationProvider" >
    <beans:property name="userDetailsService" ref="securityService"/>
    <beans:property name="userLoginTraceService" ref="securityTraceService"/>
    <beans:property name="passwordEncoder" ref="passwordEncoder"/>
    <!--<beans:property name="userCache" ref="userCache"/>-->
</beans:bean>
<!--载入用户信息-->
<beans:bean id="securityService" class="com.jsup.service.bo.security.service.impl.SecurityServiceImpl"/>
<!--记录登录日志-->
<beans:bean id="securityTraceService" class="com.jsup.service.bo.security.service.impl.SecurityTraceServiceImpl"/>

<!--密码验证-->
<beans:bean id="passwordEncoder" class="org.springframework.security.authentication.encoding.Md5PasswordEncoder"/>

UserDetailsService类实现

@Resource(name = "securityDaoHibernater")
private ISecurityDao securityDao;
@Resource(name = "roleDaoHibernater")
private IRoleDao roleDao;

@Override
public UserDetails loadUserByUsername(String username,Authentication authentication) throws UsernameNotFoundException {
    return loadUser(username,authentication,"");
}

@Override
public void recordPwdErrorTimes(Object username, Authentication authentication) throws UsernameNotFoundException {
    Account _account = getAccountForCode((String)username);
    Integer num = _account.getErrorTimes() == null ? 0 : _account.getErrorTimes();
    _account.setErrorTimes(++num);
    if (calculateIsLocked(_account.getErrorTimes())){
        _account.setIslocked(ConstantPool.SYS_ACCOUNT_INFO_ISLOCKED_VALID);
    }
    _account.setUpdateDate(new Date());
    this.securityDao.update(_account);
}

@Override
public void clearPwdErrorTimes(Object username) throws UsernameNotFoundException {
    Account _account = getAccountForCode((String)username);
    Integer num = _account.getErrorTimes() == null ? 0 : _account.getErrorTimes();
    if (num > 0){
        _account.setErrorTimes(0);
        _account.setUpdateDate(new Date());
        this.securityDao.update(_account);
    }
}

public UserDetails loadUser(String code, Authentication authentication, String ip) {
    Account account = new Account(code);
    account = loadUser(account, authentication);
    return account;
}

public Account loadUser(Account account, Authentication authentication) {
    Account _account = getAccountForCode(account.getCode());

    if (_account == null || StringUtils.isEmpty(_account.getCode())) {
        throw new UsernameNotFoundException("UsernameNotFound");
    } else {
        account.initAccount(_account);
        account.setRoles(new HashSet());
    }
    if (_account.getRoles() != null && _account.getRoles().size() > 0) {
        Role role;
        for (Iterator iterator = _account.getRoles().iterator(); iterator.hasNext(); ) {
            role = (Role) iterator.next();
            List list = new ArrayList(authentication.getAuthorities());
            String roleCode = ((SimpleGrantedAuthority)list.get(0)).getAuthority();
            if (StringUtils.equals(role.getCode(),roleCode))
                account.getRoles().add(new Role(role));
        }
    }
    return account;
}

public Account getAccountForCode(String code) {
    return securityDao.getAccountForCode(code);
}


/**
 * 判断密码错误次数是否已经超限
 * @param errorTimes 密码错误次数
 * @return boolean true:超限 false:未超限
 */
private boolean calculateIsLocked(Integer errorTimes){
    boolean isLocked = false;
    //错误次数可以扩展为表数据维护,数据存放与servletContext中
    if (errorTimes >= 5){
        isLocked = true;
    }
    return isLocked;
}

UserDetails类实现

@Override
public boolean isAccountNonExpired() {
    return new Date().before(getCodeOverdueDate());
}
@Override
public boolean isAccountNonLocked() {
    return ConstantPool.SYS_ACCOUNT_INFO_ISLOCKED_INVALID.equals(getIslocked());
}
@Override
public boolean isCredentialsNonExpired() {
    return new Date().before(getPwdOverdueDate());
}
@Override
public boolean isEnabled() {
    return ConstantPool.SYS_ACCOUNT_INFO_ISENABLED_VALID.equals(getIsEnabled());
}

@Override
public Collection<? extends GrantedAuthority> getAuthorities() {
    if(getRoles() == null || getRoles().size() == 0) {
        return null;
    }
    else {
        Set<GrantedAuthority> sgset = getRoles();
        List<GrantedAuthority> sglist = new ArrayList<GrantedAuthority>(sgset);
        return sglist;
    }
}
@Override
public String getUsername() {
    return this.getEmpBaseInfo() == null ? "" : this.getEmpBaseInfo().getName();
}

UserLoginTraceService类实现

@Resource(name = "loginInfoDaoHibernate")
private ILoginInfoDao loginInfoDao;
@Override
public void register(UserDetails user, String ip,Object navigatorInfo) {
    if (user != null && user instanceof Account) {
        Account _account = (Account) user;
        NavigatorInfo _navigatorInfo = (NavigatorInfo)navigatorInfo;
        LoginInfo li = new LoginInfo();
        li.setId(JsupGUID.nextId(ConstantPool.GUID_LENGTH_ID.intValue()));
        li.setAccountId(_account.getId());
        li.setAccountCode(_account.getCode());
        li.setIp(ip);
        li.setEquipmentType(_navigatorInfo.getEquipmentType());
        li.setNavName(_navigatorInfo.getName());
        li.setNavVersion(_navigatorInfo.getVersion());
        li.setNavPlatform(_navigatorInfo.getPlatform());
        li.setNavShell(_navigatorInfo.getShell());
        li.setLoginDate(new Date(System.currentTimeMillis()));
        li.setStatus(ConstantPool.SYS_LOGIN_INFO_STATUS_LOGIN);
        li.setUpdateDate(new Date(System.currentTimeMillis()));
        li.setRoleCode(_account.getRoleCode());
        li.setRoleName(_account.getRoleName());
        this.loginInfoDao.saveOrUpdate(li);
    }
}

@Override
public boolean isRegister(UserDetails user, String ip) throws UserRegisteredException {
    Boolean result = false;
    if (user != null && user instanceof Account){
        Account _account = (Account)user;
        LoginInfo li = (LoginInfo)this.loginInfoDao.get(this.loginInfoDao.getMessage("getLoginInfoByIp"), new Object[]{_account.getCode(), _account.getRoleCode(),ip});
        if(li != null)
            if (ConstantPool.SYS_LOGIN_INFO_STATUS_LOGIN.equals(li.getStatus()))
                result = true;
    }
    return result;
}

@Override
public void cancel(Object objct) {
    if(objct instanceof LoginRequest){
        LoginRequest request = (LoginRequest)objct;
        LoginInfo li = (LoginInfo)this.loginInfoDao.get(this.loginInfoDao.getMessage("getLoginInfoByIp"),
                new Object[]{request.getUsername(),request.getRole(),request.getRequestContext().getIp()});
        li.setLogoutDate(new Date());
        li.setUpdateDate(new Date());
        li.setStatus(ConstantPool.SYS_LOGIN_INFO_STATUS_LOGOUT);
        this.loginInfoDao.update(li);
    }
}

 

登录注销核心方法代码

public JsupResponse loadUser(LoginRequest request) {
    LoginResponse response = new LoginResponse() ;
    try {
        UsernamePasswordAuthenticationToken authRequest;
        if(!StringUtils.isEmpty(request.getRole())) {
            SimpleGrantedAuthority sg = new SimpleGrantedAuthority(request.getRole());
            List<GrantedAuthority> ga = new ArrayList<GrantedAuthority>();
            ga.add(sg);
            authRequest = new UsernamePasswordAuthenticationToken(request.getUsername(), request.getPassword(), ga,request.getNavigatorInfo());
        } else {
            authRequest = new UsernamePasswordAuthenticationToken(request.getUsername(), request.getPassword(),request.getNavigatorInfo());
        }
        authRequest.setMac(request.getClientMac());
        authRequest.setIp(request.getClientIp());
        if(StringUtils.isEmpty(authRequest.getIp())) {
            authRequest.setIp(request.getRequestContext().getIp());
            request.setClientIp(authRequest.getIp());
        }
        if(StringUtils.isEmpty(authRequest.getMac())) {
            authRequest.setMac(request.getRequestContext().getMac());
            request.setClientMac(authRequest.getMac());
        }
        authRequest = (UsernamePasswordAuthenticationToken)this.authenticationProvider.authenticate(authRequest);
        response.setAccount((UserDetails)authRequest.getPrincipal());
        DefaultSession ss = new DefaultSession();
        if(response.getAccount() != null) {
            ss.setAttribute(Constants.SESSION_CURRENT_ACCOUNT, authRequest);
            request.getRequestContext().addSession(request.getUsername() + Constants.PERMISSION_SEPARATOR + request.getRole(), ss);
            response.setSessionId(request.getRequestContext().getSessionId());
            //登录系统毫秒时间
            response.setLoginDateTime(Long.valueOf(new Date().getTime()));
            response.setIp(authRequest.getIp());
            response.setBmsg("登录成功");
        }
        return response;
    } catch (LockedException le) {
        //用户锁定
        return this.errorResponse(request, NumberCode.USER_LOCKED,"USER_LOCKED", new Object[]{request.getUsername()});
    } catch (DisabledException de) {
        //用户不可用
        return this.errorResponse(request, NumberCode.USER_NOT_ENABLED,"USER_NOT_ENABLED", new Object[]{request.getUsername()});
    } catch (AccountExpiredException ae) {
        //用户过期
        return this.errorResponse(request, NumberCode.USER_NON_EXPIRED,"USER_NON_EXPIRED", new Object[]{request.getUsername()});
    } catch (CredentialsExpiredException ce) {
        //用户密码凭证过期
        return this.errorResponse(request, NumberCode.USER_CREDENTIALS_NON_EXPIRED,"USER_CREDENTIALS_NON_EXPIRED", new Object[]{request.getUsername()});
    } catch (BadCredentialsException be) {
        //密码错误
        return this.errorResponse(request,NumberCode.USER_BAD_CREDENTIALS, "USER_BAD_CREDENTIALS", new Object[]{request.getUsername()});
    } catch (UsernameNotFoundException unf){
        //用户名不存在
        return this.errorResponse(request, NumberCode.USER_NOT_FOUND,"USER_NOT_FOUND",new Object[]{request.getUsername()});
    } catch (UserRegisteredException ure){
        //用户已登录
        return this.errorResponse(request, NumberCode.USER_ALREADY_LOGIN,"USER_ALREADY_LOGIN",new Object[]{request.getUsername(),request.getClientIp()});
    }
}

public JsupResponse logout(LoginRequest request) {
    LoginResponse response = new LoginResponse();
    //删除会话
    if (request.getRequestContext().getSession() != null){
        request.getRequestContext().removeSession();
    }
    //更新状态
    this.securityTraceService.cancel(request);
    response.setBmsg("签退成功");
    return response;
}

 

 

欢迎大家提出建议。让我们一起享受代码的乐趣。

转载于:https://my.oschina.net/jsup/blog/822372

chukuic03864
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
pytorch 中pad函数toch.nn.functional.pad()的用法
09-18
在PyTorch中,`torch.nn.functional.pad()`是一个非常有用的函数,用于在输入张量的边缘添加额外的像素,这个过程被称为填充(Padding)。填充通常在深度学习的卷积神经网络(CNNs)中使用,以保持输入数据的尺寸...
ideapad.rar_QT界面_flickcharm_iPhone界面_ideapad_qt iphone
07-15
标题中的“ideapad.rar”可能是指一个名为“ideapad”的项目或应用程序的压缩包文件,后缀为.rar,通常用于存储多个相关文件。这个压缩包包含了与Qt界面设计和iPhone界面风格相关的资源和代码。 Qt是一个跨平台的...
Vue-element-template学习,登录、角色权限自定义
weixin_41929627的博客
05-15 2914
vue-element-admin学习记录,登录、角色权限自定义
前端js、H5移动端开发知识点、注意事项、兼容问题、采坑总结
tangdou5682的博客
06-27 473
踩坑 列表滚动,在部分 ios 手机上被截断,解决办法 .small-nav-outer{ -webkit-overflow-scrolling: touch; overflow-y: scroll; overflow-x: hidden; } .small-nav-inner{ min-height: calc(100% + 1px); } 在父元素的内部添加一个包裹的div,.small-n...
h5 原生js 调用摄像头
weixin_49409651的博客
02-07 944
【代码】h5 原生js 调用摄像头。
你知道权限管理的角色授权与认证吗?
同一片蓝天下
07-15 688
权限管理中,角色授权与认证属于权限模块中的关键模块,角色授权即是将角色能够操作的菜单资源分配给指定角色的行为,角色认证即时当用户扮演指定角色登录系统系统对于用户操作的资源进行权限校验的操作,意思这里说明白了,那么在代码中应该具体怎么实现呢? 角色授权与认证的方式 前端页面展示控制 后端权限访问控制 最全的java学习资料→q 1080355292(入群暗号:1010) 案例实操 角色授权 树形数据展示 完成角色记录基本 crud 功能之后,接下来实现角色授权功能,这里实现角色授权首先完成待授权
通向架构师的道路(第六天)之漫谈基于数据库权限系统设计
fulerbakesi
07-11 360
一、权限系统 这一天将讲述一个基本的基于数据库权限管理系统设计,在这一天的课程的最后将讲述“左右值无限分类实现算法”如何来优化“系统菜单”的结构而告终。今天的内容和前几天的基础框架是一样的它们都属于基础知识,在这些基础知识上还可以扩展出无数的变种与进化设计。 二、先来看客户的一个需求 2.1 用户实际需求 1.所有的用户角色可动态配置 2.所有的系统菜单的权限要求具体到“增,删,...
PINPAD.rar_PINPAD_atm_pinpad.ocx_pinpad.rar
09-24
总之,"PINPAD.rar"包含的内容为ATM PINPAD的开发提供了一个完整的解决方案,涵盖了从用户界面设计到后台处理的所有关键步骤。通过研究这个项目,开发者可以提升在银行和金融系统安全软件开发方面的专业技能。
行业文档-设计装置-一种新型PAD读写机系统.zip
09-16
总结起来,《一种新型PAD读写机系统》涵盖了硬件设计、软件架构、数据安全、电源管理等多个方面的内容,是信息技术领域中关于移动设备数据交互解决方案的重要研究,对于推动相关技术进步具有积极意义。
x-pad v1.0.zip
06-19
【x-pad v1.0.zip】是一个压缩包文件,它包含了一个名为"x-pad v1.0"的应用程序或软件的初始版本。从标签" x-padv1.0.zip"我们可以推断,这个压缩包主要是为了分发或备份这款名为"x-pad"的软件。 在IT行业中,软件...
html根据权限显示标签,如何根据点击使用相同的名称标签来显示innerhtml?
weixin_34738099的博客
06-08 160
JavaScriptyes.onclick =function(){var all = document.getElementsByName("hhh");for(var i = 0, max = all.length; i < max; i++){all[i].innerHTML="You have clicked Yes.";}}no.onclick =function(){var a...
权限管理动态路由(根据用户角色权限
最新发布
m0_71519607的博客
06-06 745
在路由表中需要定义所有的路由,包括需要进行权限控制的路由,路由的定义可以参考 Vue Router 的官方文档。在用户登录成功之后,可以从后端获取到用户角色权限等信息。然后根据用户角色权限等信息来动态生成路由表。权限管理动态路由是指根据用户角色权限动态地根据后端返回的数据生成路由表。可以使用 Vuex 来管理用户信息,例如保存用户角色权限等。函数用于根据用户角色过滤需要进行权限控制的路由。
HTML5+CSS3+JS-用户管理系统
不吃鱼的猫的博客
07-17 4439
本项目综合应用了HTML5 web存储技术、CSS3样式代码和JavaScript脚本语言构建了一个基于HTML5的用户管理系统。本项目基于HTML5的本地存储技术(localStorage)来实现数据库存储,在本地就可以对数据进行持久化操作。 用户管理系的具体数据结构如下: id(唯一标识):用于标识数据信息的唯一键值。 用户id(userid):用户唯一的标识。 密码(pwd):该密码...
shiro实现APP、web统一登录认证和权限管理
weixin_33871366的博客
05-21 1166
先说下背景,项目包含一个管理系统(web)和门户网站(web),还有一个手机APP(包括Android和IOS),三个系统共用一个后端,在后端使用shiro进行登录认证和权限控制。好的,那么问题来了web和APP都可以用shiro认证吗?两者有什么区别?如果可以,解决方案是什么?看着大家焦急的小眼神,接下来挨个解决上面的问题。 web和APP可以用shiro统一登录认证吗? 可以。假如web和...
java h5 交互 传数组, JS数组/对象的值为什么变了?你需要深入理解对象的值传递...
weixin_32795427的博客
03-19 240
复杂的对象数据处理后,可能发现某个对象值变了,有时却不变。上述问题往往会困扰 JS初学者,甚至老手也不一定能说出所以然。本文将对此进行一定深层探究 —— 深入理解 JS中的对象的值传递。Why引入概念前,先出四道题(各题互不关联),可先试着写下,最下面公布答案哦~let a = [1,2]let b = aa = [3, 4]console.log(b)复制代码let a = [1,2]let b...
H5:实时监听 input 输入框的值变化
热门推荐
海生的博客
08-03 2万+
(1)jquery:只需要同时绑定 oninput 和 onpropertychange 两个事件就可以了。 $('#input').bind('input propertychange', function() {        alert("我是实时监听哦") }); (2)oninput 是 HTML5 的标准事件 对于检测 textarea, input:
mall改造:带你入门pc和移动端的权限系统
程序员XW
07-12 996
前言 最新写的都是mall项目的改造,基本上对目前开源的两个mall项目做了简单的总结和介绍,相信在之前有一定的开发基础知识,对我之前的文章可以很好的入门。 后面的一些文章我就开始针对业务来进行讲解,一天一篇博文估计是没办法实现了,今天我们要说的是权限系统。 下面这张图就是我们常见的权限系统用户角色角色权限 来构成我们最基本的权限系统。 为什么要有权限系统? 在我们平时玩抖音,头条,或者登陆学校的考试信息网,都是需要手机号或者账号密码的登录,通过账号密码来保证你可以登录你所上的网站..
php isset无效_PHP与RBAC设计思路,数据表设计与源码讲解
weixin_39900608的博客
12-06 128
文章来自:php自学中心权限系统模块对于互联网产品是一个非常重要的功能,可以控制不同的角色合理的访问不同的资源从而达到安全访问的作用权限控制有哪些模型ACLRBAC 基于角色的访问控制从上图我们可以看出,ACL是用户权限直接关系的,而RBAC则是通过角色间接关联用户权限的。所以我们注意到角色是RBAC系统一个重要属性。什么是RBAC模型RBAC(Role-Based Access Contr...
参考了RBAC(Role-Based Access Control,基于角色的访问控制)
jupiter_888的博客
08-26 122
用户角色权限角色设置权限 一个角色可以有多个权限用户设置角色 一个用户也能承担多个角色 角色相当于一个权限组 创建权限权限a 权限b 权限c 创建角色:(权限组) roleA 权限a+权限b 给用户设置角色: userA+roleA 也可以省略创建权限, 只定义角色用户承担单个或者多个角色 作者:huiter 链接:https://www.zhihu.com/q...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值