RBAC模型的JPA简单实现-单表及多表查询

于 2023-10-18 23:13:52 发布
阅读量587 收藏 4
点赞数 1
分类专栏: java springboot 文章标签: java spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62006803/article/details/133915475
版权

目录

概念

JPA的具体实现

1、引入依赖

2、domain模块配置yml文件

3、实体类(以权限表为例)

4、user模块配置yml文件

5、Dao层接口

6、Service层接口及实现类(以UserService为例)

7、Controller控制层

8、单元测试

9、启动类添加@EntityScan引入实体类的包

概念

基于角色的访问控制(Role-Based Access Control),它包括用户 / 角色 / 权限。

1、用户是发起操作的主体, 按类型分可分为 2B 和 2C 用户, 可以是后台管理系统的用户, 可以是 OA 系统的内部员工, 也可以是面向 C 端的用户, 比如阿里云的用户。


2、角色起到了桥梁的作用, 连接了用户和权限的关系, 每个角色可以关联多个权限, 同时一个用户关联多个角色, 那么这个用户就有了多个角色的多个权限。

一个角色可以与多个用户关联, 管理员只需要把该角色赋予用户, 那么用户就有了该角色下的所有权限, 这样设计既提升了效率, 也有很大的拓展性。

3、权限:
是用户可以访问的资源, 包括页面权限, 操作权限, 数据权限:

  • 页面权限:
    即用户登录系统可以看到的页面, 由菜单来控制, 菜单包括一级菜单和二级菜单, 只要用户有一级和二级菜单的权限, 那么用户就可以访问页面
  • 操作权限:
    即页面的功能按钮,包括查看, 新增, 修改, 删除, 审核等,用户点击删除按钮时,后台会校验用户角色下的所有权限是否包含该删除权限。如果是, 就可以进行下一步操作, 反之提示无权限。

有的系统要求 "可见即可操作", 意思是如果页面上能够看到操作按钮, 那么用户就可以操作, 要实现此需求, 这里就需要前端来配合, 前端开发把用户的权限信息缓存, 在页面判断用户是否包含此权限, 如果有, 就显示该按钮, 如果没有, 就隐藏该按钮。在实际场景可自行选择是否需要这样做,有利于提升用户体验。

  • 数据权限:
    数据权限就是用户在同一页面看到的数据是不同的,比如财务部只能看到其部门下的用户数据,人事部只看人事部的数据。

JPA的具体实现

1、引入依赖

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-data-jpa</artifactId>
</dependency>

2、domain模块配置yml文件

3、实体类(以权限表为例)

@Table(name = "privs_tab")
@Entity
@Data
@NoArgsConstructor
@AllArgsConstructor
public class Privs {

    @Id
    @GeneratedValue(strategy = GenerationType.IDENTITY)
    @Column(name="privs_id")
    private Long id;
    @Column(name="privs_name")
    private String name;
    @Column(name="privs_desc")
    private String desc;

    @Column(name="privs_create_by")
    private String createBy;
    @Column(name="privs_create_time")
    private Date createTime;
    @Column(name="privs_update_time")
    private Date updateTime;
}

4、user模块配置yml文件

server:
  port: 9099

spring:
  application:
    name: bms-user
#屏蔽mybatisplus的多数据源自动启动
  autoconfigure:
    exclude: com.baomidou.dynamic.datasource.spring.boot.autoconfigure.DynamicDataSourceAutoConfiguration
logging:
  level:
    com.wnhz.bms.user: debug

5、Dao层接口

@Repository
public interface PrivsDao extends JpaRepository<Privs,Long> {
}
@Repository
public interface UserDao extends JpaRepository<User,Long> {

    //根据user的username和password查询该用户的权限privs
    User findByUsernameAndPassword(String username,String password);
}
@Repository
public interface RoleDao extends JpaRepository<Role,Long> {
}
@Repository
public interface RolePrivsDao extends JpaRepository<RolePrivs,Long> {

    @Query(value = "SELECT * FROM rp_tab WHERE rp_role_id=?",nativeQuery = true)
    List<RolePrivs> findRpsByRoleId(Long roleId);
}

6、Service层接口及实现类(以UserService为例)

public interface UserService {

    //根据user的username和password查询该用户的权限privs
    List<Privs> findUserPrivs(String username, String password);

    //全查询
    List<User> findAllUsers();

    //删除
    void deleteUser(Long id);

    //使用jpa查询某个用户的角色名称及权限
    UserVo findUserRoleNameAndPrivs(String username, String password);

}
@Service
public class UserServiceImpl implements UserService {

    @Autowired
    private UserDao userDao;
    @Autowired
    private RoleDao roleDao;
    @Autowired
    private RolePrivsDao rolePrivsDao;
    @Autowired
    private PrivsDao privsDao;

    //根据user的username和password查询该用户的权限privs
    @Override
    public List<Privs> findUserPrivs(String username, String password) {

        List<Privs> privsList = new ArrayList<>();

        User user = userDao.findByUsernameAndPassword(username, password);
        Long roleId = user.getRoleId();

        List<RolePrivs> rpsByRoleId = rolePrivsDao.findRpsByRoleId(roleId);

        rpsByRoleId.forEach(rolePrivs -> {
            Long privsId = rolePrivs.getPrivsId();
            privsList.add(privsDao.findById(privsId).get());
        });

        return privsList;
    }

    //全查询
    //@Cacheable(cacheNames = "findAllUsers") //第一次查询完就放入缓存
    @CachePut(cacheNames = "findAllUsers")  //每次查询每次进缓存
    @Override
    public List<User> findAllUsers() {
        return userDao.findAll();
    }

    //删除
    @CacheEvict(cacheNames = "findAllUsers",key = "#id")
    @Override
    public void deleteUser(Long id) {
        userDao.deleteById(id);
    }

    //使用jpa查询某个用户的角色名称role及权限privs
    @Override
    public UserVo findUserRoleNameAndPrivs(String username, String password) {

        List<Privs> privsList = new ArrayList<>();  //创建一个空的权限列表 privsList,用于存储查询到的权限信息

        User user = userDao.findByUsernameAndPassword(username, password);  //根据用户名和密码查询用户信息,
        Long roleId = user.getRoleId(); //并获取用户的角色ID。

        List<RolePrivs> rpsByRoleId = rolePrivsDao.findRpsByRoleId(roleId); //根据角色ID查询角色权限关系列表

        rpsByRoleId.forEach(rolePrivs -> {  //遍历角色权限关系列表
            Long privsId = rolePrivs.getPrivsId();  //获取权限ID
            privsList.add(privsDao.findById(privsId).get());  //根据权限ID查询对应的权限对象,并添加到权限列表privsList中
        });

        Role role = roleDao.findById(roleId).get(); //根据角色ID查询角色对象
        UserVo userVo = new UserVo();   //创建一个 UserVo 对象
        //将查询到的用户信息、角色信息和权限列表信息分别设置到 UserVo 对象中的相应属性
        userVo.setUser(user);
        userVo.setRole(role);
        userVo.setPrivs(privsList);
        //返回封装好的 UserVo 对象
        return userVo;
    }
}

7、Controller控制层

@RestController
@RequestMapping("/api/user")
public class UserController {

    @Autowired
    private UserService userService;

    @GetMapping("/findAllUsers")
    public HttpResp<List<User>> findAllUsers(){
        return HttpResp.success(userService.findAllUsers());
    }

    @DeleteMapping("rmUser")
    public HttpResp rmUser(Long id){
        userService.deleteUser(id);
        return HttpResp.success("删除用户"+id+"成功");
    }
}

8、单元测试

@SpringBootTest
@RunWith(SpringRunner.class)
public class UserServiceImplTest {

    @Autowired
    private UserService userService;

    @Test
    public void findUserPrivs() {
        List<Privs> list = userService.findUserPrivs("jpa", "123");
        list.forEach(e-> System.out.println(e.getName()));
    }

    //使用jpa查询某个用户的角色名称及权限
    @Test
    public void findUserRoleNameAndPrivs() {
        UserVo jpa = userService.findUserRoleNameAndPrivs("jpa", "123");
        System.out.println(jpa.getRole().getName()+"-"+jpa.getPrivs().toString());
    }
}

9、启动类添加@EntityScan引入实体类的包

@SpringBootApplication
@EntityScan(basePackages = "com.****.bms.domain.entity.jpa")
@EnableCaching  //开启spring缓存
public class UserApp {
    public static void main(String[] args) {
        SpringApplication.run(UserApp.class);
    }
}

参考:

https://www.cnblogs.com/javawenjun/p/14884732.html

详细了解RBAC(Role-Based Access Control) - 知乎

林隐w
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[中级]SpringBoot JPA 单/多表联合查询
私信可回答各种问题~
09-30 4681
SpringBoot JPA 单/多表联合查询
基于SpringBoot的RBAC学习demo
04-15
本demo适合作为Springboot,mysql,rbacspring-data-jpa的入门学习资料
Spring Data JPA多表查询
liuduke1的博客
08-30 4488
多表查询Spring Data JPA中有两种实现方式 第一种创建一个结果集接口来接收多表的结果 第二种利用JPA的关联映射来实现 先来熟悉一下几个注解 注解 意思 属性 @ManyToOne 定义了连接表之间的多对一的关系。 targetEntity属性表示关联的实体类型,可省略,fetch属性表示加载策略,FetchType的取值范围LAZY(延迟加载)默认上EAGER,cascade属性表示级联操作,CascadeType取值范围PERSIST(级联持久化),REMOVE(级联删
springboot RBAC,jpa与 缓存机制浅析
qq_56936805的博客
10-18 168
springboot RBAC,jpa与 缓存机制浅析
Spring Data JPA的一对一多表查询
m0_66884848的博客
03-22 5980
一、简单聊聊 我在写自己的课程设计的时候,用的持久层API就是JPA。整个项目给我带来的感受就是:低SQL语句开发,甚至是零SQL语句开发,使得我在开发过程中,不再关注SQL语句的书写问题与逻辑问题。这使得我在开发过程中,更加专注于自己的业务逻辑,而不在拘泥于SQL表和Java实体之间的映射。尤其在多表查询这一块,JPA以其超简洁的语法规则,给我们实现了表一对一乃至一对多的关系。那么今天想给大家分享的是,一对一的多表查询。 二、简单认识JPA 以下引用了网上对JPA的介绍: ...
基于角色的权限管理系统(RBAC),采用Springboot开发
11-21
基于角色的权限管理系统(RBAC),采用Springboot开发。系统简单易懂,前端使用Vuejs、Quasarframework开发,页面简洁美观
jpa实现多表查询
weixin_44103060的博客
10-28 2603
jpa多表关联查询
jpa多表查询
qq_44049992的博客
04-13 571
因为被这个bug困扰了挺久,所以记录一下解决过程 参考文章: 参考文章1链接 参考文章2链接 想要实现faultquestion表和question表的联合查询 采用方法:用接口接收查询结果集,接口中需要有一个方法返回结果 default String getFaultResultModel() { return "studentId:" + getStudentId() + ";\n" + "questionId:" + getQuestionId(
Spring Data JPA 实现多表关联查询
wml00000的博客
04-22 1万+
原文链接:https://blog.csdn.net/johnf_nash/article/details/80587204 多表查询spring data jpa中有两种实现方式,第一种是利用hibernate的级联查询实现,第二种是创建一个结果集的接口来接收连表查询后的结果,这里介绍第二种方式。 一、一对一映射 实体 UserInfo :用户。 实体 Address:家庭住址。 这里通过外键的方式(一个实体通过外键关联到另一个实体的主键)来实现一对一关联。 实体类 1、实体类 UserInfo.ja
Spring Data JPA多表操作(5)
weixin_39248420的博客
12-01 720
Spring Data JPA多表操作(5) 数据库中多表之间的关系 多对多 一对多 一对一 数据库设计示例 实体示例 客户:指的是一家公司,我们记为A。 联系人:指的是A公司中的员工。 在不考虑兼职的情况下,公司和员工的关系即为一对多。 表设计示例 实体类关系设计 客户(公司)类(一) @Entity//表示当前类是一个实体类 @Table(name="cst_custom...
基于 spring-security 实现 RBAC 权限模型-hello-security.zip
01-30
基于 spring-security 实现 RBAC 权限模型-hello-security
RBAC-SC: Role-based access control using smart contract中文翻译
09-17
RBAC-SC: Role-based access control using smart contract中文翻译
kube-flannel-rbac.yml kube-flannel.yml
01-20
kube-flannel-rbac.yml # Create the clusterrole and clusterrolebinding: # $ kubectl create -f kube-flannel-rbac.yml # Create the pod using the same namespace used by the flannel serviceaccount: # $ ...
一个使用 vue3+ antv 构建的 rbac 权限模型-e-admin-vue-ts.zip
最新发布
01-30
一个使用 vue3+ antv 构建的 rbac 权限模型-e-admin-vue-ts
django-auth-rbac:尝试为Django实现基于角色的访问控制
05-17
django-auth-rbac 尝试为Django实现基于角色的访问控制(ANSI / INCITS 359-2004) 支持的RBAC功能: 核心RBAC 分级RBAC 静态职责分离(SSD)基本概念的角色角色提供用户和权限之间的间接级别,通常代表作业功能。...
Spring Data JPA(二)
qq_34614914的博客
06-20 620
第1章 Specifications动态查询 有时我们在查询某个实体的时候,给定的条件是不固定的,这时就需要动态构建相应的查询语句,在Spring Data JPA中可以通过JpaSpecificationExecutor接口查询。相比JPQL,其优势是类型安全,更加的面向对象。 /** * JpaSpecificationExecutor中定义的方法 **/ public interface...
Spring Data JPA多表查询的几种方法
q990609179的博客
11-29 1万+
Spring Data JPA多表查询的几种方法 前言 公司目前在ORM框架上选型只有两个选择 MyBatis-Plus Spring Data JPA 相信很多人会选择MyBatis-Plus(MyBatis-Plus(简称 MP)是一个 MyBatis 的增强工具,在 MyBatis 的基础上只做增强不做改变,为简化开发、提高效率而生),主要因为JPA多表复杂查询很不友好,特别是现在建表...
一篇文章带你搞定 SpringData JPA 中的多表查询
南淮北安的博客
07-20 649
文章目录一、对象导航查询二、对象导航查询的延迟加载三、对象导航查询的立即加载四、 解决 no Session 问题 一、对象导航查询 对象图导航检索方式是根据已经加载的对象,导航到他的关联对象。 它利用类与类之间的关系来检索对象。例如:我们通过ID查询方式一个客户,可以调用Customer类中的getLinkMans()方法来获取该客户的所有联系人。对象导航查询的使用要求是:两个对象之间必须存在关联关系。 查询一个对象的同时,通过此对象查询他的关联对象 这里通过客户和联系人的案例来说明对象的导航查询:一
SpringBoot-JPA进行多表连接查询
热门推荐
Try的博客
08-08 1万+
通过JPA进行简单的(内)连接查询1.准备1.1开发工具Intellij Idea1.2数据库mysql1.3新建Spring Initializr项目,勾选web,mysql,rest,jpa依赖2.开始2.1项目结构2.2pom.xml内容<?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/
信息安全RBAC模型python实现
12-06
基于RBAC模型的信息安全权限控制是一种常见的权限控制方式。在Python中,可以使用第三方库`django-rbac`来实现RBAC模型的权限控制。下面是一个简单的示例: 1. 安装`django-rbac`库 ```shell pip install django-rbac ``` 2. 在Django项目中配置`django-rbac` 在`settings.py`文件中添加以下配置: ```python INSTALLED_APPS = [ # ... 'rbac', ] MIDDLEWARE = [ # ... 'rbac.middleware.RbacMiddleware', ] ``` 3. 创建RBAC模型 在Django项目中创建一个名为`rbac`的应用,并在该应用中创建`models.py`文件。在该文件中定义RBAC模型: ```python from django.db import models class Role(models.Model): name = models.CharField(max_length=32, unique=True) permissions = models.ManyToManyField('Permission', blank=True) class Permission(models.Model): name = models.CharField(max_length=32, unique=True) url = models.CharField(max_length=128, unique=True) menu = models.ForeignKey('Menu', null=True, blank=True, on_delete=models.CASCADE) class Menu(models.Model): name = models.CharField(max_length=32, unique=True) icon = models.CharField(max_length=32, null=True, blank=True) url = models.CharField(max_length=128, unique=True) ``` 4. 创建RBAC视图 在Django项目中创建一个名为`rbac`的应用,并在该应用中创建`views.py`文件。在该文件中定义RBAC视图: ```python from django.shortcuts import render from django.views import View from rbac.models import Role, Permission, Menu class IndexView(View): def get(self, request): # 获取当前用户的角色 roles = request.user.roles.all() # 获取当前用户的权限 permissions = Permission.objects.filter(role__in=roles).distinct() # 获取当前用户的菜单 menus = Menu.objects.filter(permission__in=permissions).distinct() return render(request, 'index.html', {'menus': menus}) ``` 5. 创建RBAC模板 在Django项目中创建一个名为`templates`的目录,并在该目录中创建`index.html`文件。在该文件中定义RBAC模板: ```html {% for menu in menus %} <a href="{{ menu.url }}"> {% if menu.icon %} <i class="{{ menu.icon }}"></i> {% endif %} {{ menu.name }} </a> {% endfor %} ``` 以上示例演示了如何使用`django-rbac`库实现RBAC模型的权限控制。在实际应用中,可以根据具体需求进行修改和扩展。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值