Web应用中基于组的用户权限管理在Spring框架下的实现

最新推荐文章于 2019-08-06 15:15:52 发布
最新推荐文章于 2019-08-06 15:15:52 发布
阅读量574 收藏
点赞数 1
文章标签: spring 框架 web string hibernate properties

在几乎所有的web应用中都需要对访问者(用户)进行权限管理, 因为我们希望某些页面只对特定的用户开放, 以及某些操作只有符合身份的用户才能进行. 这之中涉及到了身份验证和权限管理. 只有单用户系统和多用户单权限系统才不需要权限管理.

在本文中, 使用了基于组的权限管理, 并在Spring框架下利用HandlerInterceptorAdapter和Hibernate进行实现.

User的结构是: 

public class User {

	private int id;
	
	private String name;
	
	private String password;
	
	private Set<String> groups = new HashSet<String>();
}

UserGroup表: 

user:int
group:String

使用联合主键, 在Java中没有对应的类.

Hibernate映射文件是: 

<hibernate-mapping auto-import="true" default-lazy="false">
	<class name="net.ideawu.User" table="User">
		<cache usage="read-write" />
		<id name="id" column="id">
			<generator class="native"/>
		</id>
		<property name="name" column="name"/>
		<property name="password" column="password"/>
		<set name="groups" table="UserGroup" cascade="save-update" lazy="false">
			<key column="user" />
			<element column="`group`" type="string" />
		</set>
	</class>
</hibernate-mapping>

一切的身份验证交给一个继承HandlerInterceptorAdapter的类来做: 

import org.springframework.web.servlet.handler.HandlerInterceptorAdapter;
import org.springframework.web.util.UrlPathHelper;
import org.springframework.util.AntPathMatcher;
import org.springframework.util.PathMatcher;
...

public class AuthorizeInterceptor extends HandlerInterceptorAdapter {

	private UrlPathHelper urlPathHelper = new UrlPathHelper();

	private PathMatcher pathMatcher = new AntPathMatcher();
	
	private  Properties groupMappings;
	
	/**
	 * Attach URL paths to group.
	 */
	public void setGroupMappings(Properties groupMappings) {
		this.groupMappings = groupMappings;
	}

	public boolean preHandle(HttpServletRequest request,
			HttpServletResponse response,
			Object handler) throws Exception {
		String url = urlPathHelper.getLookupPathForRequest(request);
		String group = lookupGroup(url);	// 找出资源所需要的权限, 即组名
		if(group == null){	// 所请求的资源不需要保护.
			return true;
		}
		// 如果已经登录, 一个User实例被保存在session中.
		User loginUser = (User)request.getSession().getAttribute("loginUser");
		ModelAndView mav = new ModelAndView("system/authorizeError");
		if(loginUser == null){
			mav.addObject("errorMsg", "你还没有登录!");
			throw new ModelAndViewDefiningException(mav);
		}else{
			if(!loginUser.getGroups().contains(group)){
				mav.addObject("errorMsg", "授权失败! 你不在 <b>" + group + "</b> 组!");
				throw new ModelAndViewDefiningException(mav);
			}
			return true;
		}
	}
	
	/*
	 * 查看 org.springframework.web.servlet.handler.AbstractUrlHandlerMapping.lookupHandler()
	 * Ant模式的最长子串匹配法.
	 */
	private String lookupGroup(String url){
		String group =  groupMappings.getProperty(url);
		if (group == null) {
			String bestPathMatch = null;
			for (Iterator it = this.groupMappings.keySet().iterator(); it.hasNext();) {
				String registeredPath = (String) it.next();
				if (this.pathMatcher.match(registeredPath, url) &&
							(bestPathMatch == null || bestPathMatch.length() <= registeredPath.length())) {
					group = this.groupMappings.getProperty(registeredPath);
					bestPathMatch = registeredPath;
				}
			}
		}
		return group;
	}
}

下面我们需要在Spring的应用上下文配置文件中设置: 

<bean id="authorizeInterceptor" class="net.ideawu.AuthorizeInterceptor">
	<property name="groupMappings">
		<value>
			<!-- Attach URL paths to group -->
			/admin/*=admin
		</value>
	</property>
</bean>

<bean id="simpleUrlHandlerMapping" class="org.springframework.web.servlet.handler.SimpleUrlHandlerMapping">
	<property name="interceptors">
		<list>
			<ref bean="authorizeInterceptor" />
		</list>
	</property>
	<property name="mappings">
		<value>
			/index.do=indexController
			/browse.do=browseController
			/admin/removeArticle.do=removeArticleController
		</value>
	</property>
</bean>

注意到"/admin/*=admin", 所以/admin目录下的所有资源只有在admin组的用户才能访问, 这样就不用担心普通访客删除文章了. 使用这种方法, 你不需要在removeArticleController中作身份验证和权限管理, 一切都交给AuthorizeInterceptor.

来自: idea's blog 
 
Camelh
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
用户-用户-及权限设置
ADreamClusive的博客
03-28 4463
结合这篇文章1 添加用户查看添加用户的参数【useradd -D】这些参数实际就是【cat  /etc/default/useradd】的内容【cat /etc/shells】查看有哪些shell创建一个用户:【useradd -u 6666 -g xiaoming -d /home/xiaozhang -s /bin/bash -c "project zhangxiaoguang" -e 20...
Spring源码系列:ModelAndViewDefiningException异常
DemoTransfer
06-13 4711
ModelAndViewDefiningException异常类源码如下: /** * Exception to be thrown on error conditions that should forward * to a specific view with a specific model. * * 在错误条件下抛出异常,该错误条件应转发到具有特定模型的特定视图。 * * &...
Spring框架实现基于用户权限管理
badwps的专栏
04-27 688
  在几乎所有的Web应用都需要对访问者(用户)进行权限管理, 因为我们希望某些页面只对特定的用户开放, 以及某些操作只有符合身份的用户才能进行。这之涉及到了身份验证和权限管理. 只有单用户系统和多用户权限系统才不需要权限管理。  在本文, 使用了基于权限管理, 并在Spring框架下利用HandlerInterceptorAdapter和Hibernate进行实现。  User的结构
实现基于Spring框架应用权限控制系统
02-21
本文探讨了Acegi安全框架各部件之间的交互,并通过扩展Acegi数据库设计来实现基于Spring框架应用的安全控制方法。关键词Spring;Acegi;认证;授权引言近年来,随着Internet技术的迅猛发展,计算机网络已深入到...
基于Spring框架应用权限控制系统的研究和实现
02-04
本文探讨了Acegi安全框架各部件之间的交互,并通过扩展Acegi数据库设计来实现基于Spring框架应用的安全控制方法。 关键词Spring;Acegi;认证;授权1引言 近年来,随着Internet技术的迅猛发展,计算机网络已...
基于 Spring Cloud 、Spring Boot、 OAuth2 的 RBAC 权限管理系统
最新发布
02-29
基于Spring Boot 3.2、 Spring Cloud 2023 & Alibaba、 SAS OAuth2 的微服务RBAC 权限管理系统。基于数据驱动视图的理念封装 element-plus,即使没有 vue 的使用经验也能快速上手。提供对常见容器化支持 Docker、...
org.springframework.web.servlet.ModelAndView
刘程的博客
03-20 1万+
使用ModelAndView传list时,需注意引入的包为org.springframework.web.servlet.ModelAndView,否则传data不会成功。
spring security 3.0配制
ystar9的博客
08-12 474
前言     南朝《述异记》记载,晋王质上山砍柴,见二童子下棋,未看完,斧柄已烂,下山回村,闻同代人都去世了,自已还未变老。    因此发出“山方一日,世上几千年” 的慨叹。原文寥寥几笔,读来却发人深省。     另有宋朝周敦颐在《暮春即事》也有诗云:双双瓦雀行书案,点点杨花入砚池。闲坐小窗读周易,不知春去几多时。     上述古文或古诗对于时间的论述最符合我现在的感受。已经整整十五...
web用户权限控制
想成为大牛的菜鸟
05-07 1273
功能需求:web项目用户权限问题,不同用户拥有不同权限用户不能越权访问资源须要验证用户权限用户每一次访问都必须验证用户此次请求的URL地址与用户所拥有权限的URL地址是否一致,验证时就须要查询数据库。当数据访问频繁或访问量 比较大时增加了数据库的压力。界面反应较慢,用户体验差。以下为解决方案:     将项目所以URL地址映射为一个int值,此值为权限值。将多个URL地址映射的权限值通
Spring Boot实现简单的用户权限管理(超详细版)
热门推荐
Veggie的博客
08-06 6万+
为了避免浪费时间进行不必要的阅读,这里先对项目进行简单的介绍。在实际应用场景,每个用户都有对应的角色,而每个角色又有对应的一些角色。因为一个用户可以有多个角色,一个角色也可以被多个用户所拥有,角色和权限的关系也同理,这里主要利用多对多的映射关系将他们联系起来,对他们进行管理。 ...
用户·角色·权限·表的设计
u013595377的专栏
05-15 2万+
一.引言        因为做过的一些系统的权限管理的功能虽然在逐步完善,但总有些不尽人意的地方,总想抽个时间来更好的思考一下权限系统的设计。        权限系统一直以来是我们应用系统不可缺少的一个部分,若每个应用系统都重新对系统的权限进行设计,以满足不同系统用户的需求,将会浪费我们不少宝贵时间,所以花时间来设计一个相对通用的权限系统是很有意义的。 二.设计目标        设计一个
基于用户织角色权限和资源的五要素
hb0746的专栏
03-30 1万+
一、简 介   在进行本单位办公自动化系统需求分析时创建了基于用户织的部门结构、实际工作角色、权限种类、资源树的五要素全排列需求分析方法,并进行了软件的功能需求分析,以及授权本身的管理,该方法是对五个关键要素的重新抽象;我把它命名为五要素全排列需求分析方法,该方法可以较好地避免需求分析时考虑不周全,较多地避免问题隐藏于目标软件。 二、背景情况   目前烟草行业面临我国加入WTO后国外烟
Springboot+mybatis token认证,角色,权限用户,一对多,多对多(第三次修改)
qq_41738613的博客
03-12 1580
springboot 2.0.5 &lt;dependency&gt; &lt;groupId&gt;org.springframework.boot&lt;/groupId&gt; &lt;artifactId&gt;spring-boot-starter-jdbc&lt;/artifactId&gt; &lt;/dependency&gt; &lt;dependency&
基于Spring Boot的用户权限管理系统的设计与实现的结论
05-09
1. Spring Boot框架能够快速搭建一个Web应用程序,包括用户权限管理系统。 2. 基于Spring Security框架实现用户认证和授权,可以对用户进行认证和授权,保证系统的安全性。 3. 使用JWT(JSON Web Token)实现无...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值