权限管理(三)自定义开发权限框架

最新推荐文章于 2024-05-18 22:27:24 发布
最新推荐文章于 2024-05-18 22:27:24 发布
阅读量1k 收藏
点赞数 1
分类专栏: 权限管理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37897396/article/details/85104259
版权

首先是基于RBAC模型设计的库表;

 

开发基本的业务:

1、部门用户模块开发,添加更新展示部门模块,展示部门下用户,添加更新部门下用户。

2、角色模块:添加、更新角色,展示角色与权限树、当前角色下的用户,以及更新角色与权限,更新角色与用户;

3、权限模块:添加更新权限模块、添加更新模块下权限点,以及各自的展示。

登录处理:

思路添加过滤器filter:请求前获取session,查看是否有登录标记,没有返回登录页面,有则继续往下走。

@Slf4j
public class LoginFilter implements Filter {

    public void init(FilterConfig filterConfig) throws ServletException {

    }

    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        HttpServletRequest req = (HttpServletRequest) servletRequest;
        HttpServletResponse resp = (HttpServletResponse) servletResponse;

        SysUser sysUser = (SysUser)req.getSession().getAttribute("user");
        if (sysUser == null) {
            String path = "/signin.jsp";
            resp.sendRedirect(path);
            return;
        }
        RequestHolder.add(sysUser);
        RequestHolder.add(req);
        filterChain.doFilter(servletRequest, servletResponse);
        return;
    }

    public void destroy() {

    }
}

 

权限过滤:

访问前过滤,拿到当前访问的uri,session中获取当前用户登录信息,通过用户查询当前用户的权限列表,如果含有该uri放行,

不含有该uri证明没有权限,拦截。

贴filter

@Slf4j
public class AclControlFilter implements Filter {

    private static Set<String> exclusionUrlSet = Sets.newConcurrentHashSet();

    private final static String noAuthUrl = "/sys/user/noAuth.page";
    
    //初始化是为了拿到无需权限的uri
    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
        // exclusionUrls已经在全局变量中配置了
        String exclusionUrls = filterConfig.getInitParameter("exclusionUrls");
        List<String> exclusionUrlList = Splitter.on(",").trimResults().omitEmptyStrings().splitToList(exclusionUrls);
        exclusionUrlSet = Sets.newConcurrentHashSet(exclusionUrlList);
        exclusionUrlSet.add(noAuthUrl);
    }

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest) servletRequest;
        HttpServletResponse response = (HttpServletResponse) servletResponse;
        String servletPath = request.getServletPath();
        Map requestMap = request.getParameterMap();

        if (exclusionUrlSet.contains(servletPath)) {
            filterChain.doFilter(servletRequest, servletResponse);
            return;
        }

        SysUser sysUser = RequestHolder.getCurrentUser();
        if (sysUser == null) {
            log.info("someone visit {}, but no login, parameter:{}", servletPath, JsonMapper.obj2String(requestMap));
            noAuth(request, response);
            return;
        }
        SysCoreService sysCoreService = ApplicationContextHelper.popBean(SysCoreService.class);
        if (!sysCoreService.hasUrlAcl(servletPath)) {
            log.info("{} visit {}, but no login, parameter:{}", JsonMapper.obj2String(sysUser), servletPath, JsonMapper.obj2String(requestMap));
            noAuth(request, response);
            return;
        }

        filterChain.doFilter(servletRequest, servletResponse);
        return;
    }

    private void noAuth(HttpServletRequest request, HttpServletResponse response) throws IOException {
        String servletPath = request.getServletPath();
        if (servletPath.endsWith(".json")) {
            JsonData jsonData = JsonData.fail("没有访问权限,如需要访问,请联系管理员");
            response.setHeader("Content-Type", "application/json");
            response.getWriter().print(JsonMapper.obj2String(jsonData));
            return;
        } else {
            clientRedirect(noAuthUrl, response);
            return;
        }
    }

    private void clientRedirect(String url, HttpServletResponse response) throws IOException{
        response.setHeader("Content-Type", "text/html");
        response.getWriter().print("<!DOCTYPE html PUBLIC \"-//W3C//DTD XHTML 1.0 Strict//EN\" \"http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd\">\n"
                + "<html xmlns=\"http://www.w3.org/1999/xhtml\">\n" + "<head>\n" + "<meta http-equiv=\"content-type\" content=\"text/html; charset=UTF-8\"/>\n"
                + "<title>跳转中...</title>\n" + "</head>\n" + "<body>\n" + "跳转中,请稍候...\n" + "<script type=\"text/javascript\">//<![CDATA[\n"
                + "window.location.href='" + url + "?ret='+encodeURIComponent(window.location.href);\n" + "//]]></script>\n" + "</body>\n" + "</html>\n");
    }

    @Override
    public void destroy() {

    }
}

数据权限:

关于数据权限等,可能需要耦合到业务中开发,这样也带来弊端,维护困难,慎用。

 

关于ThreadLocal的使用:

/**
 * @Auther: liuhy
 * @Date: 2018/12/18 13:58
 */
public class RequestHolder {

    private static final ThreadLocal<SysUser> userHolder = new ThreadLocal<>();

    private static final ThreadLocal<HttpServletRequest> requestHolder = new ThreadLocal<>();


    public static void add(SysUser sysUser){
        userHolder.set(sysUser);
    }

    public static void add(HttpServletRequest request){
        requestHolder.set(request);
    }

    public static SysUser getCurrentUser(){
        return userHolder.get();
    }

    public static HttpServletRequest getCurrentRequest(){
        return requestHolder.get();
    }
    public static void remove(){
        userHolder.remove();
        requestHolder.remove();
    }
}

ThreadLocal数据结构为map,key为当前线程,value即为我们存储的对象,线程安全。

用户存储登录信息方便易用,remove用来释放对象,一般放在拦截器的afterCompletion()方法中

实例如下:

@Slf4j
public class HttpInterceptor extends HandlerInterceptorAdapter {
    //请求前
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        return super.preHandle(request, response, handler);
    }
    //正常请求后
    @Override
    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {
        super.postHandle(request, response, handler, modelAndView);
    }
    //所有请求后
    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
        super.afterCompletion(request, response, handler, ex);
        log.info("request completed. 移除ThreadLocal");
        RequestHolder.remove();
    }
}

 

麦片粥
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
一个简陋的自定义Spring权限框架
qq_42059426的博客
03-08 125
权限控制 认证授权 概念 认证:系统提供的用于识别用户身份的功能,通常提供用户名和密码进行登录操作其实就是在进行认证,认证的目的是让系统知道是谁 授权:用户认证成功后,需要为用户授权,其实就是指定当前用户可以操作哪些功能 分析 权限控制的基本实现思路: 先通过用户名和密码对用户进行认证,认证就是判断当前用户是否是系统用户 然后再根据用户ID或用户名获取权限信息,即授权信息 授权信息...
权限管理系统():自定义开发一套权限管理系统
dichengyan0013的博客
11-20 252
为什么需要自己写? 使用框架必须按照框架的要求进行配置。 没有界面操作和查看。 期望更细致的管理。 什么样的权限管理系统比较好? 基于扩展的RBAC实现。 易于扩展,能灵活适应需求的变化。 所有管理都有界面进行操作。 数据库表结构设计 这边使用的是mysql数据库。 /* Navicat MySQL Data Transfer ...
Ruoyi框架学习——权限管理
最新发布
警警的博客
05-18 1241
用户-角色-菜单模型(RBAC) 若依系统用户权限模型分析_若依权限解析-CSDN博客前端页面与后端接口设计
自定义权限控制
BinGeneral的博客
03-20 174
SE11创建一个带域的数据元素在域中维护值。
自制权限框架(二)注解
weixin_34148340的博客
06-21 113
自制权限框架(二)注解 一、前言 上一篇中,咱们介绍了如何使用jsp自定义标签编写权限框架。在jsp中,权限标签内的内容,只有在用户拥有权限的时候,才能够正常的展示。 但是,如果我们想限制用户访问某个链接该怎么办呢? 首先,我们先了解一下从浏览器地址栏输入地址到页面展现的全过程。 在地址栏输入地址后,浏览器...
用java写一个权限系统的框架
weixin_35752645的博客
02-13 583
Java是一种强大的编程语言,可以用来构建复杂的软件系统,包括权限系统。下面是一个简单的Java权限系统的框架: 定义用户和角色:首先需要定义用户和角色,比如管理员、普通用户等。 分配权限:为每个角色分配不同的权限,比如管理员有所有权限,普通用户只能查看数据等。 认证和授权:开发一个认证和授权模块,确保用户在访问系统资源之前被认证,并且只有拥有相应权限的用户才能访问。 实现权限管理开发一...
winform权限管理系统框架
05-09
Winform权限管理系统框架是一种基于Windows Forms(Winform)开发的,用于实现企业级应用权限控制的解决方案。在本文中,我们将深入探讨这个框架的核心概念、关键技术和实施策略,以帮助开发者更好地理解和应用此类...
基于Python的Flask WEB框架实现后台权限管理系统
04-15
总的来说,基于Python的Flask框架实现后台权限管理系统是一个综合性的任务,涵盖了Web开发的多个方面,包括前端交互、后端逻辑、数据库操作以及安全性。通过熟练掌握Flask和相关的扩展库,可以构建出高效、稳定的...
ASP.NET权限管理框架
03-19
也可以自定义权限检查逻辑,实现更细粒度的控制。 8. **安全性考虑**:除了基础的权限管理外,还需要考虑防止SQL注入、XSS攻击等安全问题。框架可能包含了这些方面的最佳实践。 9. **错误处理和日志记录**:为了...
C#插件开发框架Ribbon界面含权限管理系统
01-07
本主题聚焦于“C#插件开发框架Ribbon界面含权限管理系统”,这是一个结合了现代用户界面设计与安全控制的核心技术领域。我们将深入探讨这个框架的几个关键组成部分。 首先,C#插件开发框架是一种允许程序扩展性和...
thinkphp 登录及系统权限管理框架
09-25
在ThinkPHP框架下,可以使用内置的Auth类或自定义权限控制策略来实现。系统可能包含角色分配、权限分配、菜单权限控制等模块,确保不同级别的用户只能访问其被授权的操作。 4. **数据库设计** 提供的MySQL脚本文件...
DEV基本权限管理项目代码整套
02-22
1、有价值且优秀的产品,这样您就有了市场需求了。 2、界面很重要,特别是和竞争对手相比 你的产品界面必须做好!标准的灰色的背景和方框控件是不够的。 但是你也要注意你的界面只需要比你竞争对手更漂亮就行了。 所以你正在开发一个 IT 系统的后台管理系统的话, 你不需要按照终端用户产品的标准来做。 你要做的只是让你的客户意识到你的界面比竞争对手的更好。记住,人们往往都是看封面买书的。 3、它能缩短开发时间,减少代码量,使开发者更专注于业务和服务端,轻松实现界面开发,带来绝佳的用户体验 4、适用于OA、网站、电子政务、ERP、CRM等基于C/S架构的应用软件系统的快速开发框架。 5、权限系统一直以来是我们应用系统不可缺少的一个部分,若每个应用系统都重新对系统的权限进行设计, 以满足不同系统用户的需求,将会浪费我们不少宝贵时间,所以花时间来设计一个相对通用的权限系统是很有意义的。 6、本框架根据RBAC模型的权限设计思想,建立权限管理系统的核心对象模型.对象模型中包含的基本元素主要有:用户、用户组、角色
模块管理常规功能自定义系统的设计与实现(31--第阶段 权限设计[1])
jfok的专栏
05-07 3026
系统的各种权限设计(1)        本系统的现在已可以设计的权限一共有四种类型。         1、模块的操作权限:包括可浏览,增改删,附件的CRUD操作,审核,审批,附加功能的操作(这个前面忘了介绍了,在下面会介绍一下)。         2、模块记录的可视权限:通俗的讲,就是哪些记录你能看,哪些记录你不能看。         3、字段的只读权限:对于具有可新增和可修改
权限设计(使用自定义注解+AOP实现权限管理)
qq_24099547的博客
09-16 221
准备数据 CREATE TABLE `privilege_menu` ( `id` int(11) NOT NULL AUTO_INCREMENT, `p_id` int(11) NOT NULL, `privilege_code` varchar(255) NOT NULL, `privilege_name` varchar(255) NOT NULL, `privilege_type` varchar(4) NOT NULL, `sort_no` varchar(4) DEFAULT N
如何设计和使用自定义权限对象(自定义权限检查函数)
秦梦瑶的专栏
12-14 345
2006年08月25日 10:59:00 在sap扩展中用户往往都需要使用自己的权限对象,为了达到次目的,请按下列步骤建立和维护权限对象1、Create an Anthorization Field(SU20)创建权限对象字段(存储在AUTHX表中)2、Create an Authorization Object(SU21) 创建权限对象 创建权限对象类别(存储在TOBCT表中)点击对象类
java web 自定义权限框架
weixin_30349597的博客
03-21 121
权限框架2部分1.认证 (通常指登录)2.授权 (指用户访问改页面是否有权限)设计: 转载于:https://www.cnblogs.com/signheart/p/6595607.html
一款轻量级的权限框架,轻松搞定项目权限
Java 架构师之路
10-24 235
点击上方蓝色字体,选择“标星公众号” 优质文章,第一时间送达前言作为一名后台开发人员,权限这个名词应该算是特别熟悉的了。就算是java里的类也有 public、private 等“权限”之分。之前项目里一直使用shiro作为权限管理框架。说实话,shiro的确挺强大的,但是它也有很多不好的地方。shiro默认的登录地址还是login.jsp,前后端分离模式使用shiro还要重写好多类;手机端存储...
【开源系统】Pre 1.0 RBAC权限管理系统正式发布
李浩东的博客
06-22 1134
开源初衷 不要为了开源而开源,而是要真的可以解决问题 技术教程网上一大堆,往往教程不是很容易整合到项目,如何去运用,所以才有开源项目的想法 项目介绍 Pre基于Spring Boot 、Spring Security的RBAC权限管理系统, 做更简洁的后台管理系统。 主要Pre系统采用前后端分离模式, JWT Token机制实现系统安全控制 项目架构: 后端: Spring Boot + Spri...
权限模块开发
weixin_33843409的博客
05-26 152
1 权限模块参数对象AclModuleParam编写 2 新增权限接口开发 3 更新权限及子模块的接口开发 4 权限模块树界面开发 ...
Shiro权限管理框架:认证与授权详解
Apache Shiro是一个强大且易用的Java安全框架,它提供了认证、授权、加密和会话管理功能,可以非常轻松地开发出足够安全的应用。本文将深入探讨Shiro框架权限管理中的应用。 1. 权限管理概述 权限管理是确保系统...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值