web开发功能权限控制

最新推荐文章于 2024-08-02 01:42:56 发布
最新推荐文章于 2024-08-02 01:42:56 发布
阅读量1.2w 收藏 11
点赞数 5
分类专栏: web开发 文章标签: web开发 权限控制
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ganshaobo/article/details/50696688
版权

  在网站开发的过程中,经常会遇到让某些功能只提供给某些特定的用户去使用,比如,一些高级功能只提供给会员用户使用,而一般的普通用户只能访问一些简单的功能。

具体的实现方式如下。


(1)前端控制:

  前端的控制比较简单,从后台获取到用户的权限之后,可以存在session或者cookie中,然后在页面加载的时候,通过session或者cookie中存的权限来选择让该功能展现或者禁用。


(2)后台控制:

  仅仅依靠前端的控制是无法完美解决权限控制的问题,因为前端页面的加载过程是在浏览器中完成的,用户可以自行篡改页面;或者用户可以直接通过URI请求来获取非法权限功能。所以需要在后台实现权限控制。

  后台的控制方法也很多,比如filter、spring的AOP等。在此选用springMVC的interceptor来控制。

  首先,在appContext-mvc.xml配置文件中配置拦截器,如下所示:

<mvc:interceptors>
    <!-- 会员功能 -->
    <mvc:interceptor>  
        <mvc:mapping path="/fund/mem/**" />
        <bean class="org.fund.user.interceptor.AuthInterceptor" />  
    </mvc:interceptor>
</mvc:interceptors>

  其中,path表示需要控制的接口路径,可以使用正则表达式来匹配。

  然后,需要自己定义一个拦截器类,继承HandlerInterceptor接口,然后在preHandle方法里进行权限判断,如下所示:

@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
    User user = UserHolder.getUser();
    if (user.getAuth() == GameIdeaType.VIP_USER.getId()) {
        return true;
    } else {
        return false;
    }
}

  此时,当用户访问接口时,会首先进入这个拦截器的preHandle方法去处理。若权限通过则返回true;否则返回false,此次访问结束。

  到此,已经实现了权限的控制,但是无法在用户访问非法权限接口时给出提示。若要解决这个问题,需要添加一个全局异常管理。


(3)全局异常管理:

  思路是在拦截器中权限校验失败时,抛出一个权限校验失败的异常,然后通过全局异常管理类来捕获并返回前端特定的格式。具体如下。

  首先,在配置文件中添加全局异常管理类,如下:

<!-- 全局异常管理 -->
<bean id="handlerExceptionResolver" class="org.fund.common.ExceptionHandler">
    <property name="order" value="0"></property>
</bean>

  然后,定义异常管理类,实现SimpleMappingExceptionResolver接口。

/**
 * 全局异常处理类
 * 
 * @author 
 */
public class ExceptionHandler extends SimpleMappingExceptionResolver {

    @Override
    public ModelAndView resolveException(HttpServletRequest request, HttpServletResponse response, Object o, Exception e) {
        logger.info("System Error Occurred. " + e.getMessage(), e);

        ModelAndView model = new ModelAndView(new MappingJacksonJsonView());
        List<String> errors = new ArrayList<String>();

        if (e instanceof NoPermissionException) {
            errors.add("抱歉,该功能开通会员之后才能使用!");
        } else {
            errors.add("系统异常");
        }

        return paramError(model, errors);
    }

    private ModelAndView paramError(ModelAndView mv, List<String> errors) {
        mv.addObject("success", false);
        mv.addObject("data", null);
        mv.addObject("errors", errors);
        return mv;
    }

}

  最后,修改拦截器的实现

@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
    User user = UserHolder.getUser();
    if (user.getAuth() == GameIdeaType.VIP_USER.getId()) {
        return true;
    } else {
        throw new NoPermissionException();
    }
}
weavergan
关注
专栏目录
网站权限控制
D_quan的专栏
11-09 708
可分为以下三部分 权限:可以获取的信息或执行的操作 角色:一个角色,可拥有多个权限 账户:成员用账户登陆管理后台,账户对应角色 1,基于url权限管理流程   一共是五个表 user表,存放用户的信息 role表,角色新建管理的表,存放的是角色的一些基本信息而已 role_user表,单从字面看,就是用户表与角色表进行的管理,可为一对多,或者多对多的。 node表,节点表,则主要放置...
网站后台系统权限管理
weixin_34417814的博客
03-21 725
2019独角兽企业重金招聘Python工程师标准>>> ...
互联网项目中主流的权限设计方案
最新发布
2401_83152397的博客
08-02 834
1.主要目的是确保只有经过授权的⽤户才能访问和操作特定的系统资源,从而保护系统的安全性和完整性2.主要实现的功能可以分为认证和授权两种2.1认证:主要是验证⽤户的身份,例如通过⽤户名和密码的验证来确定⽤户是否合法,⼀旦认证成功,⽤户就进入了授权阶段2.2授权:根据系统设置的安全规则或策略,决定⽤户可以访问哪些资源,以及可以对这些资源进⾏哪些操作1.Access Control List,访问控制列表,是⼀种直接的权限管理方式,用户权限是直接与资源相关联的。
【Spring Security】[Web开发]权限方案
懂得一千零一种,赋予你失败的方法!
08-24 337
文章目录Web 权限方案一、认证 - 登陆方式一:编写配置文件 - application.properties方式二:编写配置类方式三:自定义编写实现类 - 数据库总结二、实现数据库认证完成用户登陆2.1 添加pom.xml依赖配置2.2 配置数据库信息2.3 创建数据库表对应实体类2.4 创建 UsersMapper2.5 自定义编写实现类进行认证2.6 编写配置类2.7 测试总结三、自定义用户登录界面3.1 引入登陆界面3.2 配置登陆认证、成功跳转等指定路径3.3 测试总结四、基于角色或权限进行.
分享:让web页面部分内容只读
athos
04-07 1476
常常需要根据情况让某页面部分内容只读,我的实现思路是:把一些控件放在一个panel里,从codebehind里加入css style,然后css style用htc实现,保持初始化的内容。程序如下://这是设置panel只读的函数,其中staffvac是web form项目的名字static public void fcnSetPanelReadonly(System.Web.UI.WebCont
web业务系统权限控制
xyzroundo的专栏
03-27 813
来源:http://blog.chinaunix.net/u1/52224/showart_410119.html 在以往的系统设计中,要么缺乏权限控制,要么就是权限控制很简单,,要么权限控制功能虽然丰富,但是跟业务紧密结合,下面提供一种权限控制模型,将权限控制功能划分为彼此独立的最小依赖的功能模块,通过合理的部署这些模块,完成权限控制、单独登陆等功能。系统划分为业务逻辑
C#结合WEB开发权限管理系统
03-16
权限管理方面,该系统设计了一套完善的权限控制机制。这包括角色管理、用户权限分配、功能模块访问控制等核心功能。角色管理允许管理员定义不同的角色,并为每个角色分配特定的权限用户权限分配则是在角色基础上...
web对接nvr实现云台控制功能
08-08
以上就是"web对接NVR实现云台控制功能"项目中的核心知识点,涵盖了Web开发、API交互、视频处理、网络通信等多个方面。对于IT从业者来说,掌握这些技能不仅有助于完成类似项目,也有助于提升在物联网和智能监控领域...
C#结合web开发权限管理
07-20
Web开发中,ASP.NET框架提供了强大的角色和会员管理功能。我们可以利用`Membership`类创建、验证用户,而`Roles`类则用来管理角色,包括添加、删除角色,以及将用户分配到角色。例如,我们可以使用`Roles.Create...
WEB应用数据权限控制轻量级解决方案
03-10
做到代码低侵入度,在开发时不需要太多关注数据权限控制,可以在应用开发完成后,通过对表和视图定义权限控制策略,然后绑定到登录用户功能URI上来进行数据权限控制。数据访问控制需要调整时,只需要修改定义的...
Web权限控制
郭宝的博客
06-12 712
1、背景介绍 在网页的开发中,经常会遇到部分功能只提供给部分用户,比如某网站所提供的功能只提供Vip用户群体,普通用户只能拥有简单的功能,又比如某个管理平台,会根据用户角色的不同而享有不同的权限,比如常用的最高权限admin和普通用户。现实中不可能根据角色的不同而开发不同的页面,那么就需要用一套页面适应不同的用户角色,并根据角色的不同赋予他们不同的权限。 2、权限控制 ...
WEB通用权限管理系统源码
08-30
通用权限管理框架源码 2013-5-15更新功能: 1、菜单导航管理 2、操作按钮 3、角色管理 4、部门管理 5、用户管理(用户权限) 6、用户组管理(设置成员,用户权限) 7、系统配置(动态配置系统参数) 8、附加属性(自定义属性) 9、系统日志(异常记录) 10、数据库备份/还原 11、资源管理,(动态数据库) 12、个人信息(基本信息,附加信息,用户角色,拥有权限) 13、首页快捷 14、数据回收站(业务功能删除过数据,全部保留在回收站) 15、系统个性化设置(切换菜单导航) 2012-9-10更新内容: 系统UI,给人感觉非常好,体积小巧,速度快 该源码是适用用于应用系统后台模块的管理(可扩展至支持集中化的权限管理平台), 0.支持N级菜单导航,菜单显示方式支持目前支持2种模式分别:菜单(无限级),横向(2级) 1.动态切换皮肤,目前有两狂UI 蓝色,咖啡色 2.表单验证,文本框高亮起来 3.可以动态分配权限按钮,分配角色权限,目录结构,栏目的链接都可以修改。权限管理非常灵活, 4.可以隐藏左侧导航栏,打开左侧导航栏,默认是打开,table表格都自应大小的 5.动态创建数据表,删除用户表,点击数据 表 可以查询字段信息 6.可以直接执行sql脚本 7.兼容 IE6,7,8,9 /Firefox /Google Chrome 这些浏览器都测试过 8.批量删除,自定义复选框样式,可以全选/反选 9.角色分级,集团和分公司的关系 10.权限 横向就是业务部分,具体负责哪块业务,纵向是级别 11.动态报表设置,并且可以导出Excel 12.登陆日记,操作日记,异常日记 13.海量批量删除数据库,调用公共存储过程,参数,表明,主键 特点: UI:传统html css,美观 漂亮 大方 实用 js框架:jquery 系统大部分使用AJAX操作。大大提高了用户体验 功能描述: 1.支持N级菜单导航,菜单显示方式支持目前支持2种模式分别: 菜单(无限级),横向(2级) 2.表单验证,文本框高亮起来 3.可以动态分配权限按钮,分配角色权限,目录结构,栏目的链接都可以修改。 4.可以隐藏左侧导航栏,打开左侧导航栏,默认是打开,table表格都自应大小的 5.动态创建数据表,删除用户表,点击数据 表 可以查询字段信息 6.可以直接执行sql脚本
Web应用系统菜单及权限控制
08-22
实现过程: 1、将菜单记录从数据库中查出,放入Set对象中; 2、对菜单记录进行排序; 3、创建一颗多叉树; 4、对树进行先根遍历,将遍历过程中获得的菜单放到集合对象List中。
权限管理实现思路?
weixin_58089129的博客
12-07 1万+
总体思路: 1.用户填写完账号和密码后向服务端验证是否正确,验证通过之后,服务端会返回一个token。 2.拿到token之后将这个token存起来,保证刷新页面后能记住用户登录状态,根据token去调用userInfo的接口来获取用户的详细信息(如用户权限用户名等等信息)。 3.权限验证:通过token获取用户对应的权限,将请求的权限数组和用户信息存储到vuex中 ,动态根据用户权限通过处理得到其对应有权限的路由,通过 router.addRoutes 动态添加这些路由。 一、登录: 登录成
Web设计中的常用权限设计模型
tlqwanttolearnit的博客
07-19 564
常用的权限设计模型包括 RBAC、ABAC 和 ACL,它们在实现权限控制方面有各自的原理和设计模型。ACL 模型包含资源列表和用户列表。资源列表维护每个资源的访问控制列表,用户列表包含每个用户对应的访问权限。ACL 是一种基于列表的访问控制模型,为每个资源定义了一个访问控制列表,该列表包含了对该资源的访问权限。RBAC 是一种基于角色的访问控制模型,通过将权限分配给角色,再将角色分配给用户来实现权限管理。策略定义了访问决策的规则,属性描述了用户、资源和环境等相关信息,评估引擎根据策略和属性进行访问决策。
java web简单权限管理设计
ddak56357的博客
12-01 745
一套最基本的权限管理包括用户、角色、资源。 数据库设计 我的设计如下: 用户:user 角色:role 用户-角色:user_role 资源:resource(包括上级菜单、子菜单、按钮等资源) 角色-资源:role_resource 标准的权限管理系统设计为以上5张表。 注:用户用户-角色我就不做说明了,这两个是很简单的两块,用户的crud,以及为用户分...
Java Web权限管理设计及实现
热门推荐
雨落成追忆
01-28 4万+
最近在做一个权限相关的功能,在项目原有权限管理上面进行扩展,一方面支持界面上控制到按钮级别,后端接口没有权限不能进行访问;另一个方面,对项目中应用管理模块的应用管理员授权,使其具有对其名下的应用添加用户权限,而不必像原来一样,所有的用户都必须系统管理员进行添加。  整理了一下原有的权限和新增的功能,对整体做一下总结。项目做的是一个灰度发布平台,使用spring+springMvc+mybati
javaweb开发中实现登陆权限管理
Programmerfjq的博客
07-05 7225
1.数据库中表的结构2.添加SpringSecurity的依赖包3.在webapp/WEB-INFO下的web.xml中添加过滤器(Filter)4.写springsecurity.xml核心配置文件6.使service层的接口继承类UserDetailsService类,在其实现类userService中重写loadUserByUsername方法7.改写jsp页面中的内容 1.数据库中表的结...
WEB安全(二)RBAC-基于角色的权限控制模型
jinyangjie的博客
02-11 378
  RBAC(Role-Based AccessControl,基于角色的访问控制),就是用户通过角色与权限进行关联。简单地说,一个用户拥有若干角色,每一个角色拥有若干权限。   RBAC认为权限授权实际上是Who、What、How的问题。在RBAC模型中,who、what、how构成了访问权限三元组,也就是“Who对What(Which)进行How的操作”。 Who:权限的拥用者或主体(如Principal、User、Group、Role、Actor等等) What:权限针对的对象或资源(Reso
web开发用户权限管理系统设计与实现
Web开发中,用户权限管理系统是一个至关重要的组成部分,它确保了不同用户群体能够访问与其职责相符的功能和数据,同时防止未经授权的访问。本系统分析主要关注如何在实践中实施这样的系统,尤其适用于如中国CDC...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值