用户权限管理体系 (RBAC)

最新推荐文章于 2024-04-26 22:27:42 发布
最新推荐文章于 2024-04-26 22:27:42 发布
阅读量1.9k 收藏 2
点赞数
分类专栏: java 文章标签: java spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lf_78910jqk/article/details/126699341
版权

文章目录

用户权限管理体系发展史

最早期,我们通过从前台传递来 username(用户名) password(密码) role_status(角色状态)

传递这些信息到 Controller 层,之后 controller 会通过 if 判断来校验角色信息

不同的角色 controller 的响应对应不同的 service 和 view

不同的角色:

  • 获取的数据不同
  • 展示的页面不同
  • 具备的操作权限不同

这种实现形式具有很多的缺点:

  1. 代码耦合度非常高
  2. 扩展性很差(新增角色时操作繁琐)
  3. 维护难度很高

以角色为学生、教师为例子,大致流程图如下:

在这里插入图片描述

经过一段时期的发展,对于权限体系,我们可以采取加上 Filter 过滤器,来过滤所有的请求

这种方式在数据库中维护的资源是所有的请求 URI(统一资源标识符) ,即 RequestMapping 中的字符串

(在此阶段中也产生了一种形式:URL 结尾为 .action 和 .do 结尾,只拦截 .do 结尾的请求进行数据库的匹配)

此时,我们会遇到如以下的一些问题:

  1. 并不是所有的 URL 都要拦截
  2. 拦截规则应该添加白名单
  3. 登陆的请求不应该被拦截
  4. 静态资源不应该被拦截
  5. 没有统一的标准,所拦截的 URI 粒度太细,在资源层面无法统一
  6. 会增加一定的工作量
  7. 安全性、授权形式等均需要自行实现

再发展时,就对细粒度的 URI 进行了一定的归纳,形成了统一的字符串来标识一类资源权限

可以通过注解及 AOP 切面的形式,对不同的 controller 方法,根据权限需求,绑定统一的字符串

从而达到 用户对应角色,角色对应资源 的模式

此时就和如今的 RBAC 体系类似了。

注解及AOP实现RBAC体系的思路

在不使用类似 JWT 等框架的前提下,可以使用 UUID 来模拟生成随机的 token

模拟流程图如下:

在这里插入图片描述

STEP 1 登陆阶段

用户进行登陆,需要输入用户名以及密码

在用户名、密码校验通过之后,在后台通过 UUID 生成随机的 token

将生成的随机 token 与用户名存入 Redis 缓存中 (使用 Hash 的方式,Key 值存放用户名,Value 值存放生成的 token)

STEP 2 校验阶段

在用户登陆成功后,会在其用户信息中加入 token ,每次发起请求时,都会在请求头中带上此 token

当用户发起请求时,token 随请求传入后台

后台首先经过 token Filter 过滤器,判断其 token 是否合法及是否包含 token

如果 token 不合法或为空,则返回给前台 401 权限认证失败

如果 token 合法,则从 Redis 缓存中取出对应此 token 的用户名,根据用户名判断其角色及角色所对应的权限 (Redis 中不存在该 token 则返回权限认证失败)

STEP 3 定义注解

通过定义自定义注解,并在注解中加入 value 值标识对应的权限字段,来控制在不同的 controller 中需要的权限资源信息

STEP 4 AOP 切面校验权限

首先,查找到注解修饰的方法

其次,判断 token 对应的用户名对应的角色的权限中,是否包含有注解中所声明的权限信息

若没有对应的权限,则返回权限认证失败

若存在对应的权限信息,则进行访问该资源,并将数据返回至前台

代码模拟实现 RBAC

SpringBoot 配置文件 application.yml

token:  
  # header 值  
  header: Authorization  
  # token 前缀  
  prefix: "MELODY BEARER "  
  # 白名单,不过滤token  
  exclude: /auth/temp,/auth/login

TokenFilter.java

@Component  
public class TokenFilter implements Filter {  
    @Value("${token.header}")  
    private String header;  
    @Value("${token.prefix}")  
    private String prefix;  
    @Value("${token.exclude}")  
    private String exclude;  
    @Override  
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {  
        List<String> excludeList = Arrays.asList(exclude.split(","));  
        HttpServletRequest request = (HttpServletRequest) servletRequest;  
        String token = request.getHeader(header);  
        if(excludeList.contains(request.getRequestURI())) {  
            filterChain.doFilter(servletRequest, servletResponse);  
            return;  
        }  
        if(token == null || token.equals("") || !token.startsWith(prefix)) {  
            System.err.println("TOKEN ERROR");  
            HttpServletResponse response = (HttpServletResponse) servletResponse;  
            response.sendError(HttpServletResponse.SC_UNAUTHORIZED);  
            return;  
        } else {  
            filterChain.doFilter(servletRequest, servletResponse);  
        }  
    }  
}

Controller

@RestController  
@RequestMapping("/auth")  
public class AuthController {  
  
    @Value("${token.prefix}")  
    private String prefix;  
  
    @Autowired  
    private RedisTemplate redisTemplate;  
  
    @Autowired  
    private MultiThreadQueryService multiThreadQueryService;  
  
    @AuthCheck(value = "/auth/test")  
    @GetMapping("/test")  
    public ResJson test() {  
        System.err.println("test");  
        return ResJson.yes();  
    }  
  
    @AuthCheck(value = "/auth/temp")  
    @GetMapping("/temp")  
    public ResJson temp() {  
        System.err.println("temp");  
        return ResJson.yes();  
    }  
  
    @PostMapping("/login")  
    public ResJson login(@RequestBody User usr) {  
        // 模拟用户登陆正确的用户名与密码  
        if(usr.getNickname().equals("admin") && usr.getPassword().equals("123456")) {  
            String token = prefix + UUID.randomUUID();  
            redisTemplate.opsForHash().put("token", usr.getNickname(), token);  
            Stack stack = new Stack<>();  
            stack.push(token);  
            stack.push(usr);  
            return ResJson.yes(stack);  
        }  
        return ResJson.no(ResCode.FAIL);  
    }  
}

自定义注解 AuthCheck

@Target({ ElementType.PARAMETER, ElementType.METHOD })  
@Retention(RetentionPolicy.RUNTIME)  
@Documented  
public @interface AuthCheck {  
  
    public String value() default "";  
  
}

AOP 切面

在切面中存在有两种方法
1 .细粒度的根据请求的 URI 来进行判断权限的方式 (way1部分)
2. 根据统一权限字符串判断权限的方式 (way2部分)

@Aspect  
@Component  
public class AuthAspect {  
  
    @Value("${token.header}")  
    private String header;  
  
    @Autowired  
    private HttpServletRequest request;  
  
    @Autowired  
    private RedisTemplate redisTemplate;  
  
    @Pointcut("@annotation(com.melody.auth.annotation.AuthCheck)")  
    public void authPointCut(){}  
  
    @Around("authPointCut()")  
    public Object authCheck(ProceedingJoinPoint proceedingJoinPoint) throws Throwable {  
        String username = "";  
        try{  
            // 判断 TOKEN            
            if (redisTemplate.opsForHash().values("token").stream().anyMatch(str -> str.equals(request.getHeader(header)))) {  
                Map<String, String> map = redisTemplate.opsForHash().entries("token");  
                for(Map.Entry<String, String> entry : map.entrySet()) {  
                    if(entry.getValue().equals(request.getHeader(header))) {  
                        username = entry.getKey();  
                    }  
                }  
            }  
            if(username == null || username.equals("")){  
                throw new AuthException(ResCode.TOKEN_NOT_EXIST);  
            } else {  
                // 模拟根据用户名获取用户对应角色的有权限访问的(way1:资源列表)/(way2:权限字段资源列表)  
                List<String> resourceList = new ArrayList<>();  
                resourceList.add("/auth/test");  
                resourceList.add("/auth/login");  
  
                /****************/  
                // way1:根据URI来判断权限,此时数据库中存所有的URI,扩展性很差
                // boolean flag = resourceList.stream().anyMatch(str -> str.equals(request.getRequestURI()));   
                /****************/  
  
                /****************/                //从切面织入点处通过反射机制获取织入点处的方法  
                MethodSignature signature = (MethodSignature) proceedingJoinPoint.getSignature();  
                //获取切入点所在的方法  
                Method method = signature.getMethod();  
                AuthCheck ac = method.getAnnotation(AuthCheck.class);  
                boolean flag = false;  
                if(ac != null) {  
                    String auth = ac.value();  
                    // way2:数据库中存放权限字段,根据注解的value确定请求所需权限判断是否有权限进行访问  
                    flag = resourceList.stream().anyMatch(str -> str.equals(auth)); 
                }  
                /****************/  
  
                if(!flag) {  
                    throw new AuthException(ResCode.BANED_REQUEST);  // 自定义异常
                }  
            }  
        } catch(AuthException e) {  
            System.err.println(e.getResCode().getCode() + ":" + e.getResCode().getMsg());  
            return ResJson.no(e.getResCode());  
        }  
        Object res = proceedingJoinPoint.proceed();  
        return res;  
    }  
  
}

自定义异常 AuthException

@Getter  
public class AuthException extends RuntimeException{  
  
    private ResCode resCode;  
  
    public AuthException(ResCode resCode) {  
        this.resCode = resCode;  
    }  
  
}

自定义 Json 字符串 ResJson

@Data  
public class ResJson<T> implements Serializable {  
  
    private int code;  
  
    private String msg;  
  
    private T data;  
  
    public static ResJson yes() {  
        return yes("");  
    }  
  
    public static ResJson yes(Object o) {  
        return new ResJson(ResCode.SUCCESS, o);  
    }  
  
    public static ResJson no(ResCode resCode) {  
        return new ResJson(resCode);  
    }  
  
    public static  ResJson no(ResCode resCode, Object o) {  
        return new ResJson(resCode, o);  
    }  
  
    public ResJson(){}  
  
    public ResJson(ResCode resCode) {  
        setResCode(resCode);  
    }  
  
    public ResJson(ResCode resCode, T data) {  
        setResCode(resCode);  
        this.data = data;  
    }  
  
    public void setResCode(ResCode resCode) {  
        this.code = resCode.getCode();  
        this.msg = resCode.getMsg();  
    }  
  
    @Override  
    public String toString() {  
        return "ResJson{" +  
                "\"code\":" + code +  
                ",\"msg\":" + msg + '\'' +  
                ",\"data\":" + data +  
                '}';  
    }  
}

自定义状态码 ResCode

package com.melody.auth.model;  
  
public enum ResCode {  
  
    SUCCESS(200, "获取数据成功"),  
  
    FAIL(400, "参数或语法错误"),  
  
    TOKEN_NOT_EXIST(401, "TOKEN不存在,认证失败"),  
  
    BANED_REQUEST(403, "无权访问该资源"),  
  
    FATAL("未知致命错误"),  
    ;  
  
    private int code;  
  
    private String msg;  
  
    ResCode(int code, String msg) {  
        this.code = code;  
        this.msg = msg;  
    }  
  
    ResCode(String msg) {  
        this.code = -999;  
        this.msg = msg;  
    }  
  
    public int getCode() {  
        return this.code;  
    }  
  
    public String getMsg() {  
        return this.msg;  
    }  
  
}
挨打且不服66
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
后台管理系统----day17
weixin_45228198的博客
04-14 724
用户权限 一个商城,后台维护人员不只一个,还有其他后台人员,如:信息录入员、财务、运营、采购等人员,他们对应的角色不同,所对应的权限也不相同,需要后台管理员来分配权限。 1. RBAC介绍 RBAC概述 在网站中,用户通过URL地址,进入网站的后端逻辑,从而对网站的数据库进行操作管理。可以让拥有权限的用户来完成操作,而没有权限的用户无法操作. RBAC是基于角色的访问控制(Role-Based Access Control ),在RBAC中,权限与角色相关联,用户通过成为适当角色的成员而得到这些角色的权
基于RBAC模型的权限设计:如何设计系统权限体系?.docx
12-18
基于RBAC模型的权限设计是现代信息系统中重要的权限管理体系,它旨在通过角色这一中间概念,实现用户与权限之间的间接关联,以提高权限管理的效率和安全性。RBAC模型主要包括RBAC0、RBAC1、RBAC2和RBAC3四个版本,...
RBAC权限管理
Java领域
07-06 9312
本博文会着重介绍一下RBAC的相关内容。BAC是Role-Based Access Control的缩写,含义为基于角色的访问控制模型,此模型是20世纪90年代在美国第十五届全国计算机安全大会上提出的,后逐步被业界广泛使用,至2004年形成了ANSI/INCITS标准。时至今日,RBAC访问控制模型已经渗入IT领域的多个方面,有传统技术方面的操作系统、数据库、中间件Web服务器,有新兴技术方面的Kubernetes、Puppet、OpenStack等。
4-用户权限控制(后端)
最新发布
qq_53568730的博客
04-26 366
在计算机系统中,用户权限控制是一种机制,用于限制用户对系统资源的访问和操作。它可以确保只有经过授权的用户可以执行特定的操作,并限制未经授权的用户的访问权限。Controller接收请求,然后调用对应的service接口,再具体实现类中实现(Result是一个封装类,在我的文章“2-token生成”有代码)此处只有不同用户返回不同的菜单,通过用户名判断(admin为超级管理员 其他为普通管理员)
基于RBAC模型的权限设计
水越帆的博客
02-19 3820
    一、什么是RABC                                                                       RBAC(基于角色的权限控制)模型的核心是在用户和权限之间引入了角色的概念。取消了用户和权限的直接关联,改为通过用户关联角色、角色关联权限的方法来间接地赋予用户权限(如下图),从而达到用户和权限解耦的目的。 RABC的...
Linux系统:用户权限管理
Riky12的博客
05-04 5935
(1)区分用户:uid=0(超级管理员)
【权限设计】权限系统的设计——由浅至深
自学吧
01-20 4087
编辑导语:权限管理是所有后台系统的都会涉及的一个重要组成部分,在管理后台中对于权限的标准需要准确地把握,并且根据各种需求进行设计,达到最终目的;本文作者分享了关于权限系统的设计,我们一起来了解一下。 写在前面,为什么要写权限系统的设计呢? 因为每一个项目,有管理后台,90%会有权限管理。在我自己历史以往的项目,其实对于权限始终是一个相对表面的认知。直到我去年研究了钉钉的管理系统、以及今年做了产品重构,让我对权限有了一个深度的认知。 一、权限是什么 我对于权限的理解,一开始是一个账号,管理着后台的某些模块.
java RBAC权限管理系统毕业论文.doc
08-14
"java RBAC权限管理系统毕业论文" 概要 本文主要讲述了基于角色访问控制(RBAC)的权限管理系统的设计和实现。该系统采用 J2EE 架构的多层体系结构,使用 JSP 技术,MVC 三层架构模式,Mysql 数据库,Eclipse 工具...
基于RBAC模型的通用权限管理系统的设计(数据模型)
07-26
基于RBAC模型的通用权限管理系统的设计(数据模型) 本文讨论了基于RBAC模型的通用权限管理系统的设计,主要阐述了RBAC模型的基本概念、RBAC模型的四个组件模型、核心对象模型设计和权限管理系统的设计思想。 ...
spring-boot-plus V1.4.0发布 集成用户角色权限部门管理(推荐)
08-25
RBAC(Role-Based Access Control)是一种常见的权限管理模式,其核心思想是通过角色来定义用户对资源的访问权限。在Spring Boot Plus中,RBAC实现包括以下几个关键部分: 1. **用户(User)**:系统中的基本身份单元...
于应用系统权限管理系统的设计与实现
05-20
权限管理系统通常采用J2EE架构,利用其多层体系结构,包括表现层、业务逻辑层和数据访问层。在设计过程中,以下几个关键部分需要考虑: 1. **对象模型设计** - 包括用户用户组、角色、目标、访问模式和操作等基本...
用户权限管理 最常用的架构模型介绍
u010291330的博客
03-20 1129
近期论坛有好几个帖子都在问权限如何管理,给大家分享下吧。
RBAC权限管理(详细)
热门推荐
萌萌的博客
08-30 3万+
RABC权限设计思想 为了达成不同账号(员工、总裁)登录系统后看到不同页面,执行不同功能,RABC(Role-Based Access control)权限模型,就是根据角色的权限,分配可视页面。 三个关键点: 用户:使用系统的人 角色:使用系统的人是什么职位(员工、经理、总裁) 权限点:职位可以做的事情(左侧菜单栏中的功能模块——>增删改查) 测试流程: ①在员工管理页新增员工这是三要素中的用户 ②为新增的员工分配角色 ③在公司设置里为角色分配权限 ????系统中的权限不能随意添加,必须是以开发出
用户权限管理
You_are_my_zing的博客
07-05 745
1.1.2 添加权限 新创建的用户并不能使用sudo命令,需要给他添加授权。方式一:visudo - 安全地编辑 sudoers 文件需要超级用户权限; 默认编辑/etc/sudoers文件; sudoers文件的默认权限是440,即默认无法修改; visudo可以在不更改sudoers文件权限的情况下,直接修改sudoers文件;命令格式 方式二:(1)添加sudoers文件可写权限 (2)修改sudoers文件。 (3)在 sudoers 文件添加新用户信息到 ## Allow root
用户权限管理之RBAC
qq_45632139的博客
05-22 685
1.RBAC简介 RBAC(Role-Based Access Control,基于角色的访问控制),就是用户通过角色与权限进行关联。简单地说,一个用户拥有若干角色,每一个角色拥有若干权限。这样,就构造成“用户-角色-权限”的授权模型。在这种模型中,用户与角色之间,角色与权限之间,一般者是多对多的关系。 2.先奉上RBAC的一张简易流程图 可以看出角色表起到了一个承接的作用 把权限下发给每一个角色,而用户可以选择角色来间接的获取权限 3.RBAC的优点缺点和我理解的RBAC 3.1RBAC的优缺点 先说说
权限管理RBAC
lxzGood的博客
03-31 989
权限管理 1.权限管理RBAC基本概念 RBAC是基于角色的访问控制(Role-Based Access Contro1)在RBAC中,权限与角色相关联,用户通过扮演适当的角色从而得到这些角色的权限。这样管理都是层级相互依赖的,权限赋予给角色,角色又赋予用户,这样的权限设计很清楚,管理起来很方便。 RBAC授权实际上是who , what , How 三元组之间的关系,也就是who对what进行How 的操作,简单说明就是谁对什么资源做了怎样的操作。 2.RBAC表结构设计 2.1 实体对应关系 用户-角
RBAC——权限管理
Antoni_cy的博客
06-18 1065
项目 Value 电脑 $1600 手机 $12 导管 $1 Column 1 Column 2 centered 文本居中 right-aligned 文本居右
RBAC角色与权限管理
hhh的博客
11-24 692
RBAC 就是用户通过角色与权限进行关联。在网站中,用户通过URL地址,进入网站的后端逻辑,从而对网站的数据库进行操作管理。可以让拥有权限的用户来完成操作,而没有权限的用户无法操作。
浅谈如何有效建立权限管理体系(转)
cuankuangzhong6373的博客
05-04 223
浅谈如何有效建立权限管理体系:本文拟结合POWERBUILDER语言,简述如何在传统C/S应用系统当中有效建立权限管理体系。 何谓权限管理体系?就是如何控制操作使用者对软件功能和系统数据的访问权限的各个方面。传统的C/S应用系统...
权限管理demo rbac casbin
09-01
你想要了解有关权限管理的演示,使用的是基于角色的访问控制(RBAC)和 Casbin 的解决方案。Casbin 是一个强大的授权库,它提供了灵活的访问控制模型和规则引擎。下面是一个简单的 RBAC 和 Casbin 的权限管理演示: 1. 安装 Casbin: ``` pip install casbin ``` 2. 创建一个示例访问控制模型(model.conf),定义了用户、角色、资源和操作: ``` [request_definition] r = sub, obj, act [policy_definition] p = sub, obj, act [role_definition] g = _, _ [policy_effect] e = some(where (p.eft == allow)) [matchers] m = g(r.sub, p.sub) && r.obj == p.obj && r.act == p.act ``` 3. 创建一个权限管理策略文件(policy.csv),定义了角色与资源的访问权限: ``` p, alice, data1, read p, bob, data2, write g, alice, admin ``` 4. 在 Python 中使用 Casbin 进行权限验证: ```python from casbin import Enforcer # 加载访问控制模型和策略文件 enforcer = Enforcer("model.conf", "policy.csv") # 验证用户的访问权限 if enforcer.enforce("alice", "data1", "read"): print("alice 有读取 data1 的权限") else: print("alice 没有读取 data1 的权限") if enforcer.enforce("bob", "data2", "write"): print("bob 有写入 data2 的权限") else: print("bob 没有写入 data2 的权限") ``` 这只是一个简单的 RBAC 和 Casbin 的权限管理演示,你可以根据实际需求自定义更复杂的访问控制模型和策略。希望这个演示对你有帮助!如果你对 Casbin 想要了解更多信息,可以参考官方文档:https://casbin.org/

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值