token与用户权限-前端权限控制-RBAC模型

最新推荐文章于 2024-07-15 10:18:17 发布
最新推荐文章于 2024-07-15 10:18:17 发布
阅读量3.1k 收藏 13
点赞数 3
分类专栏: # 权限系统 文章标签: 权限控制
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gaogzhen/article/details/113143447
版权
token与用户权限-前端权限控制-RBAC模型
目录

文章目录



内容

完整的权限控制包括后端和前端,这里我们先分析下前端。

1、登录和token携带

关于token的生成和解析,这里不再详述,可以看我上一篇博文,这里主要讲解下登录和登录成功后返回token.

1.1、 登录

登录流程:

  1. 前端发送登录表单:手机号+密码

    • 未避免密码明文传输,这里我们直接md5加密
    1. npm install js-md5
2. md5(password) 完成MD5加密就这么简单

  2. 后端接收:map接收

  3. 登录校验

    1. 根据手机号查询用户
      1. 不存在:提示用户名或者密码错误
    2. 校验密码
      1. 不存在:提示用户名或者密码错误

  4. 生成token返回

  5. 接收token存储到vuex store和cookie中

    1. vuex store token 每次从cookie获取

  6. 路由请求拦截器,每次发送请求携带token

    1. 判断是否有token
      1. 有就在请求头中携带

  • 后端实现代码:

       @Override
  public String login(Map<String, Object> map) {

  	String mobile = (String) map.get("mobile");
  	String password = (String) map.get("password");
  	UserEntity userEntity = userDao.selectOne(new QueryWrapper<UserEntity>().eq("mobile", mobile));

  	if ( userEntity == null || !StringUtils.equals(password, userEntity.getPassword())) {
  		throw new RRException("用户名或者密码错误");
  	}
  	Map<String, Object> m = new HashMap<>();
  	m.put("companyId", userEntity.getCompanyId());
  	m.put("companyName", userEntity.getCompanyName());
  	m.put("userId", userEntity.getId());
  	return jwtUtils.createJwt(userEntity.getId(), userEntity.getUsername(), m);
  }

  • 前端

    • 登录和token 获取

        login({ commit }, userInfo) {
  	const { mobile, password } = userInfo
  	return new Promise((resolve, reject) => {
  	  login({ mobile: mobile.trim(), password: password }).then(response => {
  		console.log(response, 'res');
  		const { token } = response
  		commit('SET_TOKEN', token)
  		setToken(token)
  		resolve()
  	  }).catch(error => {
  		reject(error)
  	  })
  	})
    },

    • 请求头携带token

        service.interceptors.request.use(
    config => {
  	if (store.getters.token) {
  	  config.headers['Authorization'] = getToken()
  	}
  	return config
    },
    error => {
  	console.log(error) 
  	return Promise.reject(error)
    }
  )

2、用户信息(权限信息)获取和存储

要实现前端权限校验,登录成功后,菜单和按钮权限是必须。

获取步骤:

  1. 登录成功后,请求用户信息
    1. 携带token,token中携带userId

  2. 根据用户id,获取菜单权限

    1. 菜单权限为2级层级数据
    2. 符合前端路由要求

  3. 按钮权限获取

    1. 为字符串集合

  4. 前端接收和存储

    1. 接收后存储vuex store中

  • 后端代码

    • 获取个人信息

        @Override
  	public Map<String, Object> profile(String token) {

  		// 解析token,获取claims
  		Claims claims = jwtUtils.parseJwt(token);
          System.out.println(claims);
  //        String id = claims.getId();
  //        Object o = claims.get("jti");
  		String userId = (String) claims.get("userId");
  //        System.out.println(claims.get("userId"));

  		// 获取用户信息
  		UserEntity userEntity = userDao.selectById(userId);
  		// 根据用户id获取权限
  		// 获取菜单权限
  		List<PermissionEntity> menus = queryLevelMenusByUserId(userId);
  		// 获取按钮权限
  		List<String> btns = permissionDao.queryBtnsByUserId(userId);

  		Map<String, Object> userInfo  = new HashMap<>();
  		userInfo.put("user", userEntity);
  		if (CollectionUtils.isNotEmpty(menus)) {
  			userInfo.put("menus", menus);
  		}
  		if (CollectionUtils.isNotEmpty(btns)) {
  			userInfo.put("btns", btns);
  		}
  	   return userInfo;
  	}

    • 获取菜单

        private List<PermissionEntity> queryLevelMenusByUserId(String id) {

  		List<PermissionEntity> menus = permissionDao.queryMenusByUserId(id);

  		// 1、如果是集合为空结束
  		if (CollectionUtils.isEmpty(menus)) {
  			return null;
  		}
  		PermissionEntity root = new PermissionEntity();
  		root.setId("0");
  		LinkedList<PermissionEntity> stack = new LinkedList<>();
  		stack.push(root);

  		while (!stack.isEmpty() && menus.size() > 0) {
  			PermissionEntity m = stack.pop();
  			List<PermissionEntity> children = new LinkedList<>();
  			Iterator<PermissionEntity> iterator = menus.iterator();
  			while (iterator.hasNext()) {
  				PermissionEntity next = iterator.next();
  				if (StringUtils.equals(m.getId(),next.getPid())) {
  					// 2.1、找到元素,加入子集合;同时删除在原有集合中移除
  //                    next.setParent(m);
  					children.add(next);
  					iterator.remove();
  				}
  			}
  			if (children.size() > 0) {
  				// 3、子集合不为空,封装层级数据

  				m.setChildren(children);
  				stack.addAll(children);
  //                for (PermissionEntity x: children) {
  //                    stack.push(x);
  //                }
  			}
  		}
  		return root.getChildren();
  	}

    • 获取按钮权限

        <select id="queryBtnsByUserId" resultType="java.lang.String">
  		select
  			tp.perms
  		from tb_permission tp
  		left join tb_role_perm trp on trp.perm_id = tp.id
  		left join tb_user_role tur on tur.role_id = trp.role_id
  		where tur.user_id = #{id} and type = 2
  	</select>

  • 前端

    • 把个人信息存储到store中

       getInfo({ commit, state }) {
 	return new Promise((resolve, reject) => {
 	  getInfo(state.token).then(response => {
 		console.log(response, 'info');
 		const { userInfo } = response
 		const {user, menus, btns} = userInfo
 		if (!user) {
 		  reject('认证失败,请重新登录')
 		}

 		// const { roles, name, avatar, introduction } = data

 		// roles must be a non-empty array
 		if (!menus || menus.length <= 0) {
 		  reject('权限不能为空,请先获取权限')
 		}

 		commit('SET_MENUS', menus)
 		commit('SET_BTNS', btns)
 		commit('SET_USER', user)

 		resolve(userInfo)
 	  }).catch(error => {
 		reject(error)
 	  })
 	})
   },

到此我们登录和前端权限控制所需信息获取已完成,下面我要实现前端动态菜单的生成。

后记

本项目为参考某马视频开发,相关视频及配套资料可自行度娘或者联系本人。上面为自己编写的开发文档,持续更新。欢迎交流,本人QQ:806797785

后端JAVA源代码地址:https://gitee.com/gaogzhen/ihrm-parent    // 后端项目
前端项目源代码地址:https://gitee.com/gaogzhen/ihrm-vue    // 前端后台管理系统
gaog2zh
关注
专栏目录
Chapter10:接口权限管理-Token认证
天然玩家的博客
07-03 1310
说明: 项目地址在文章最后 本章代码所在分支为chapter10 代码规则:每章一个分支 后一章代码继承前一章代码 1 接口权限 2 配置 2.1 路由拦截 拦截所有接口,授权/**/api/v1/**接口,即保证前面8章所有接口不用token即可测试。 路由拦截使用的实例在注入Bean之前,因此需要先将请求拦截注入Bean,方可在请求拦截中正常注入Bean。 package com.monkey.tutorial.common.config; import org.springframework.
资源管理系统-基于角色的权限控制(role-based access control)
STIll_ly的博客
09-03 1680
一、RBAC简介 RBAC(role-based access control),基于角色的权限控制系统,是指对于不同角色的用户,拥有不同的权限 。用户绑定角色,角色绑定权限,形成用户-角色-权限的关系,如下图所示。 用户角色权限关系图: 二、技术框架选择 前端:Vue、Vue-router、Axios、Js-cookie 后端:SpringBoot、SpringSecurity、MyBatis、MyBatisGenerator、PageHelper、Redis、JWT 三、用户登录及权限控制流程说明 1
[记录四]Vue+node+koa2+mysql+nginx+redis,全栈开发小程序和管理员管理系统项目——token控制接口权限
Smell_rookie的博客
09-21 2389
上节我们已了解后端是如何将数据加密成token以及如何解密回用户数据的,但是并没有做到用户没有登录就不可以请求某个接口(需要用户信息的api),这样不控制的话就直接请求那就会报错了,当然为了安全是肯定要对大部分接口进行登录后才能调用的控制的。这里我采用中间件去控制。 在utils文件夹下新建一个whiteList.js文件 这里就写免登录的接口路由,这些是客户端不传登录态token也是可以调用成功了,后面需要不登录就能调用接口就直接在这个数组后面加多个接口的路由。 在app.js中编写一个中间件,根据上面
聊一聊前后端权限控制 RBAC(完整流程)
最新发布
weixin_47339511的博客
07-15 1228
前端需要把所需要的路由定义好,分为两部分:一部分是静态路由,可以随意访问;另一部分是权限路由,需要做权限控制。我们的页面结构通常是左侧有一个侧边栏,然后页面在中间的内容区域显示。所以这部分需要定义成嵌套路由。内容区为路由出口,React里边的,Vue中的;然后还可以把一些页面通过懒加载的方式引入。/*** 静态路由 可随意访问*/path: '/',name: '首页',title: '首页',},name: '登陆页',title: '登陆页',},
用户权限控制(Token登录)
qq_38977566的博客
06-25 2206
1.用户权限控制 1.1 用户登录 1.1.1 流程分析 1) 用户登录界面,需要输入手机号密码 2) 登录组件 login.vue 登录按钮 type="primary" :loading="loading" @click="submit('login-form')">{{ loading ? 'Loading...' : '登录' }} 提交表的方法 //提交登录表单submit(ref) { //校验...
【Java】利用Token进行登录控制以及限制接口访问
qq_42666609的博客
09-04 1073
使用Token进行登录认证功能;用户登录后获取Token,调用固定规则接口需要在请求头中传入Token才可调用接口否则提示相应异常;
前端题目——项目中如何使用token进行权限管理(附具体代码)
秀秀的奇妙旅行
11-06 1531
vue中前端处理token过期的方法与axios请求拦截处理 Axios如何实现数据请求、前后端通信——(具体代码是如何实现的) axios的封装这个讲的很清晰 1、vue router路由拦截 路由导航守卫(router.beforeEach)2、axios请求拦截器① 请求拦截器② 响应拦截器3、axios的封装① axios的特点② 为什么要对axios进行封装③ 如何封装 1、路由导航守卫——对每次路由地址变化进行拦截,根据所在的页面和要去的页面(登录页和其他页面)判断要不要放行 2、axios
FastAPI+Vue3,RBAC权限管理,实现 菜单、路由、按钮、接口 权限控制;笔记ht-mini-rbac.zip
11-06
总的来说,通过FastAPI和Vue3结合RBAC模型,我们可以实现一套完整的权限管理系统,既能保证后端接口的安全,又能灵活控制前端展示,确保不同角色的用户只能访问他们被授权的资源。这种方案在企业级应用中非常常见,...
RBAC权限管理
weixin_69282348的博客
07-12 5445
目录用户权限权限框架1.RBAC介绍RBAC概述RBAC生命周期2. RBAC模型类定义3. RBAC中间件管理自定义路由中间件一个商城,后台维护人员不只一个,还有其他后台人员,如:信息录入、财务、运营、采购等,他们对应的角色不同,所对应的权限也不相同,需要后台管理员来分配权限RBAC模型5大属性,分别是: 1 用户属性(张三、李四、王五) 2 角色属性(销售经理、销售、前台) 3 用户与角色的关系(张三 是 销售经理 、李四 王五 是 销售) 4 权限(添加客户、编辑客户、删除客户,查看客户) 5 权
基于RBAC权限模型下的动态菜单加载
qq_39792789的博客
10-23 473
1、采用JWT+SpringSecurity进行认证和鉴权 2、基于RBAC权限模型创建数据,登录后获取菜单返回到前端 3、通过前置路由守卫,在每次路由时判断当前菜单表是否为空(空请求,非空无操作),菜单表通过Vuex进行状态管理,保证每次刷新能获取到最新数据
Vue3 实现 RBAC 权限管理
weixin_46463984的博客
03-13 4010
Vue3 实现 RBAC 权限管理 RBAC的基本概念 RBAC本质上就是一个授权的过程通过 用户 —> 角色---->资源 为啥要用RBAC 一个系统中用户是非常多的,对于不同的用户,展示的内容也是不同的,如果为每一个用户都单独的设置权限那需要创造出多少提条数据,例如:一个系统有30个菜单,100个用户,一对一授权就是30 * 100 ,每一个菜单项基本有增删改查,那就是30 * 100 * 4用户越多产生的数据越多,后期增删改查统统要遍历所有的数据,设计是非常糟糕的,效率极低。 若果采
简单的token用户登录实现,接口权限校验
萌兔兔MMQ!!
09-16 1640
不想用redis管理也可以放在内存中,基本思路就是每次登录成功新建一个map,key是token,value是临时类,里面有user的实体和当前保存时的毫秒值,然后将map放入list中,每次请求对比有无这个token(key),然后拿出user即可,再建立一个定时任务,定时对比当前系统时间和临时类中的毫秒值,如果超出规定的时间就删除当前map,切记删除后break,否则会报空指针异常。# redis数据库索引(默认为0),我们使用索引为6的数据库,避免和其他数据库冲突。# redis连接池配置。
了解 token,以及使用token作为访问权限的令牌
m0_57184906的博客
04-08 1147
访问权限的令牌,本质上是一串字符串发起请求之前,触发的配置函数,对请求参数进行额外配置响应回到 then/catch 之前,触发的拦截函数,对响应结果统一处理例如:身份验证失败,统一判断并做处理。
vue中如何利用token权限控制
y_programmer_ape的博客
08-26 2188
要想彻底理解token,就必须弄清楚以下几个问题: 1.token是什么? 2.token的作用是什么? 3.token该怎么用? 一、token的概念 当客户端频繁的向服务端发送请求时,服务端就会相应频繁的向数据库查询用户名和密码然后进行对比,最后返回结果。此时token产生了,在用户第一次登录之后,服务器就会获得一个独一无二的标识返回给客户端,这个标识就是token,当客户端再次发送请求时只需要将token带上,这样服务端就不用一次次向数据库对比用户名和密码。 总的来说:token就是客户端和服务端统一
token鉴权与权限菜单
getConfig的博客
03-02 665
token鉴权与权限菜单的方法
实现Token身份权限体系(一)
qq_38253703的博客
08-08 1386
新建一个Token控制器 <?php namespace app\api\controller\v1; use think\Controller; class Token extends Controller { public function getToken($code='') { } } 编写路由,注意这里是post,传过来的cod...
Laravel 实现 Token 认证以及 Rbac 权限管理 (2)
weixin_34348174的博客
05-05 703
上一篇文章我们实现通过JWT实现了在Laravel中进行Token的认证,下面我们来实现一下Rbac权限管理的功能。我们之前的后台项目的权限管理功能都是靠开发一行一行代码码出来的,这种方式的不仅开发速度比较的慢,而且容易出错,不利于以后的扩展。所以新项目我们使用的Entrust这个开发包来是西安用户权限的管理。下面我们直接看是实现的具体的步骤。 1:通过Composer安装Entrust这个扩展包...
springboot用拦截器实现Token权限认证
rookiediary的博客
05-09 3242
对于很多系统来说,登陆权限控制是每个系统都具有的,不过实现的方案也多种多样。 下面利用简单的demo来实现使用 Token认证来控制系统的权限访问。 pom、数据库配置、Redis配置略 自定义注解:AuthToken package com.csq.study.springcloud.token.annotation; import java.lang.annotation.ElementType; import java.lang.annotation.Ret...
【Vue】登录查看权限控制token
程序员养成计划
11-16 3162
Vue中的登录查看权限控制
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

gaog2zh

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值