RBAC权限验证

于 2022-03-21 10:37:52 发布
阅读量662 收藏
点赞数
分类专栏: springboot 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62902168/article/details/123626799
版权

User实体类(用户)

@ApiModel("用户实体")
@Data
@AllArgsConstructor
@NoArgsConstructor
public class User {
    private Long id;
    @ApiModelProperty(value = "昵称")
    private String name;
    @ApiModelProperty(value = "用户名")
    private String username;
    private String password;
    private Double balance;
    /**
     * 存储用户所有的菜单信息
     */
    @TableField(exist = false)
    Set<String> menuUrlList;


//    @TableField(exist = false)
//    Set<String> menuAuthStrList;


    public static void main(String[] args) {
        User user = new User();
        user.setName("xxxx");
        System.out.println(user);
    }
}

Role实体类 (角色)

@Data
public class Role{
    private Long id;
    private String name;
}

Menu实体类(菜单)

public class Menu{
    private Long id;
    private String name;
    private String url;
    private String authStr;
    private Long parentId;
}

RoleMapper

public interface RoleMapper extends BaseMapper<Role> {
}

MenuMapper

public interface MenuMapper extends BaseMapper<Menu> {
}

MenuService

public interface MenuService extends IService<Menu> {

    Set<String> listUrlByUserId(Long id);

}

MenuServiceImpl

注:这里本该是多对多连表查询到数据,这里用add模拟查询到的数据

@Service
public class MenuServiceImpl extends ServiceImpl<MenuMapper, Menu> implements MenuService {


    @Override
    public Set<String> listUrlByUserId(Long id) {
        // 1.根据用户ID查询到所有的角色ID  user-role
        // 2.根据所有角色ID查询到所有的菜单ID=>所有的菜单路径信息 role-menu
        // 总结:通过一条sql也是可以实现。
        Set<String> menuUrlList = new HashSet<>();
        // 模拟数据查询
        menuUrlList.add("/");
        menuUrlList.add("/index");
        menuUrlList.add("/testTr");
        return menuUrlList;
    }
}

UserController(用户登录)

LoginInterceptor拦截器

 

逻辑关系 

 

权限字符串,一个权限字符串对应多个接口

注解类


@Target({ElementType.METHOD})
@Retention(RetentionPolicy.RUNTIME)
public @interface HasAuth {

    /**
     * 权限字符串
     * @return
     */
    String  value() default "";
}

User实体类

@ApiModel("用户实体")
@Data
@AllArgsConstructor
@NoArgsConstructor
public class User {
    private Long id;
    @ApiModelProperty(value = "昵称")
    private String name;
    @ApiModelProperty(value = "用户名")
    private String username;
    private String password;
    private Double balance;


    @TableField(exist = false)
    Set<String> menuAuthStrList;


    public static void main(String[] args) {
        User user = new User();
        user.setName("xxxx");
        System.out.println(user);
    }
}

UserController登陆成功后

if(userDb != null){
            // 获取用户所有的权限信息
            Set<String> menuAuthList = menuService.listAuthStrByUserId(userDb.getId());
            userDb.setMenuAuthStrList(menuAuthList);
            // 登陆成功了
            String token = TokenUtil.generateToken(userDb);
            map.put("code",1);
            map.put("data",userDb);
            map.put("token",token);
//            session.setAttribute("username",userDb.getUsername());
        }else{
            map.put("msg","用户名或密码错误!");
        }
MenuService
public interface MenuService extends IService<Menu> {


    Set<String> listAuthStrByUserId(Long id);
}

MenuServiceImpl
@Service
public class MenuServiceImpl extends ServiceImpl<MenuMapper, Menu> implements MenuService {

    @Override
    public Set<String> listAuthStrByUserId(Long id) {
        // 2.根据所有角色ID查询到所有的菜单ID=>所有的菜单路径信息 role-menu
        // 总结:通过一条sql也是可以实现。
        Set<String> menuAuthStrList = new HashSet<>();
        // 模拟数据查询
        menuAuthStrList.add("hello:select");
        return menuAuthStrList;
    }
}

拦截器

       if (!TokenUtil.verify(token)) {
            // 未登录跳转到登录界面
           throw  new RuntimeException("no login!");
        } else {

            //通过反射拿到注解
            HandlerMethod handlerMethod = (HandlerMethod) handler;
            HasAuth hasAuth = handlerMethod.getMethodAnnotation(HasAuth.class);
            
            if (hasAuth != null){
                /**
                 * 登陆验证通过=>验证权限信息
                 */
                //根据token拿到user
                User user = TokenUtil.getUser(token);
                //根据user拿到权限字符串
                Set<String> menuAuthStrList = user.getMenuAuthStrList();
                //如果接口的注解不在user的权限中说明权限不足
                if(!menuAuthStrList.contains(hasAuth.value())){
                    // 权限不足进制访问
                    throw  new RuntimeException("403 forbidden!");
                }
            }

            return true;
        }

这个相当于一个注解是一个权限字符串,一个注解可以表示多个接口,只需要在方法的上面加注解,使用这个接口的时候就会将这个的注解通过反射的方式拿到,然后用户权限验证,看看这个反射的权限字符串在不在用户的菜单权限字段中,如果在就说明有权限

桑英豪
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
fastapi-mysql-generator:FastAPI + MySQL Web项目生成器 ,个人认为较为合理的项目组织结构;基于casbin的RBAC权限验证;基于apscheduler的定时任务
05-01
文件上传演示.apscheduler 定时任务 (不保证稳定 noqa)基于 casbin 的权限验证 (基于 复刻)TODO由于我现在刚换工作,所以这些TODO可能要鸽一段时间了。 WebSocket 简单使用 () 异步ORM databases aiocache 装饰器...
Shiro实战教程之shiro中的授权04
helloworld工程师的博客
03-19 184
Shiro实战教程之shiro中的授权04 5.1 授权 授权,即访问控制,控制谁能访问哪些资源。主体进行身份认证后需要分配权限方可访问系统的资源,对于某些资源没有权限是无法访问的。 5.2 关键对象 授权可简单理解为who对what(which)进行How操作: Who,即主体(Subject),主体需要访问系统中的资源。 What,即资源(Resource),如系统菜单、页面、按钮、类方法、系统商品信息等。资源包括资源类型和资源实例,比如商品信息为资源类型,类型为t01的商品为资源实例,编号
RBAC权限字符的比较
osillto的博客
07-13 1402
权限字符用于校验当前用户访问的路径是否属于他的权限范围。 权限字符的比较本质就是字符的比较,这里想到了两种解决方法,一种是通过切割成为数组进行比较,另一种是组合成字符使用kmp算法进行比较。 第一种:数组比较 因为读取数据库的权限字符的顺序是固定的,所以每个权限字符放入数组中存储时就会生成有序数组,这里需要注意一点,因为每个权限对应的访问路径可能有很多个,所以这就要在存储数据时使用符号分割开每个路径,在读取是将它们进行切割在存储。这样就会将长字符比较简化为一个数组的比较,这种方式在数据读
处理全局异常
Desiy的博客
03-11 411
接着上一篇博客,现在我们开始测试我们的菜单展示功能,职位、职称管理也会在本篇实现。 目录1.1.测试2.职位管理2.1.实现功能2.2.测试2.3.定义全局异常3.职称管理3.1.实现功能3.2.测试 1.1.测试 1.1.1.菜单展示测试 重启项目,打开8081端口。跟着步骤点击发送。根据代码逻辑第一次查询会从数据库中查询,之后每一次查询菜单就在Redis(服务器开启状态下)中查询。 首先先看使用了Redis的效果: 这是文档给个数据: 而且Redis里也有我们设置的menu 后端控制台也是显示了运
按位或组合权限
wyf
04-11 761
public enum BindingFlags { // 摘要: // 不指定绑定标志。 Default = 0, // // 摘要: // 指定当绑定时不应考虑成员名的大小写。 IgnoreCase = 1, // ...
权限系统与RBAC模型概述
weixin_30619101的博客
06-18 1654
为了防止无良网站的爬虫抓取文章,特此标识,转载请注明文章出处。LaplaceDemon/SJQ。 http://www.cnblogs.com/shijiaqi1066/p/3793894.html 0. 前言 一年前,我负责的一个项目中需要权限管理。当时凭着自己的逻辑设计出了一套权限管理模型,基本原理与RBAC非常相似,只是过于简陋。当时google了一些权限管理的资...
rbac权限管理的使用
08-10
首先是对用户的认证,随后到登陆界面进行令牌验证,来到主界面,主界面只要分为权限菜单显示,角色管理与权限分配,用户管理,这四个菜单,主要是以这四个菜单组成,主要功能有md5,token的认证,以及员工的增删改查...
一种改善RBAC模型用户权限获取效率的方法 (2009年)
04-26
针对RBAC模型中用户权限获取的性能瓶颈问题,通过对用户权限获取方式的分析,找到了产生性能瓶颈的原因。结合数据冗余的思想,引入同名用户存储用户在系统中的静态权限集,改进了RBAC模型结构,调整了权限获取和管理...
travel:万家山庄农家乐。基于laravel rbac权限管理的后台前端系统; api验证基于jwt;
03-11
完全前而言分离的rbac权限系统; 支持权限分割到按钮等级 菜单项部分由前端控制。其余权限则完全有后台控制; 基于element-ui 2.0跟vue2.5.X 基于RESTful API前重新分离。 有点赞。收藏。评论。以及关注功能 兼容...
yaf-admin:使用yaf开发的后台骨架,带用户验证rbac权限控制
05-12
使用yaf开发的后台骨架,带用户验证rbac权限控制 ##主要功能 后台加入布局插件 rbac权限控制 封装数据库访问组件 依赖注入服务 phpConsole调试开发插件 整合phpunit单元测试 整合phpdocument文档生成 整合composer...
chmod 权限解释
Wub笔记
09-07 631
chmod755 ./a.sh chmod 777 ./b.sh 第一个跟参数属于管理员,跟chmod无关,先不管. 2-4参数:属于user 5-7参数:属于group 8-10参数:属于others r==>可读 r=4 w==>可写 w=2 x==>可执行 x=1 所以 755代表 rwxr-xr-x 777代表 rwxrwxrwx ...
RABC:权限模型
m0_56410670的博客
02-16 997
Rabc:权限模型(每一个后台管理项目所必备的技能) 即:我们要做一个后台管理项目,比如***管理系统,通过这个系统,比如一个用户登录,有后多菜单,你要用那个就点开那个菜单,权限的意思是,有些菜单你看不到,比如说选课这个菜单老师用不到,所以老师看不到,但是学生可以看到,即用户谁登陆了显示相对应的菜单 后台管理,比如: 用户表 角色表 菜单 拿用户表举例: 先创建一张表放在数据库里,等到真的有用户时,就给他存进去,他就能登录了。 打开navicat,找到你创建的数据库,...
Shiro--Permission字符通配符权限
吴声子夜歌的博客
02-09 2675
字符通配符权限 规则:“资源标识符:操作:对象实例ID” 即对哪个资源的哪个实例可以进行什么操作。其默认支持通配符权限字符,“:”表示资源/操作/实例的分割;“,”表示操作的分割;“*”表示任意资源/操作/实例。 1. 单个资源单个权限 : subject().checkPermissions("system:user:update"); 用户拥有资源“system:user”的“upd...
自定义注解实现RBAC权限校验,不要再说你不会了
小学生波波
01-22 3865
拦截器+自定义注解实现RBAC权限校验,你绝对看得懂
基于RBAC用户权限控制的校验
求知若饥、虚心若愚
03-18 2047
在上一次的文章中,简单的说明了基于RBAC用户权限控制的菜单显示和表结构的设计,而往往在企业项目中,仅仅控制用户菜单是不够的,而是要控制到每一个按钮,也就是每一个请求。首先,用户权限校验的基本流程是,当用户登录成功后,将用户对应的权限存放在缓存中,用户每次发起一个请求时,在拦截器里面判断用户是否具有这个权限。第一步:拦截器的配置拦截器的配置是在spring-mvc.xml这个配置文件中的。 代码如
权限管理 --- RBAC简单实现
qq_15832329的博客
12-04 700
1、RBAC模型 RBAC模型(Role-Based Access Control:基于角色的访问控制) 就是用户通过角色与权限进行关联 简单的说,一个用户拥有若干角色,每个角色拥有若干权限 这样,就构成了**“用户-角色-权限”**的授权模型 在这种模型中,用户与角色之间,角色与权限之间,一般都是多对多关系 2、表设计 from django.db import models from django.contrib.auth.models import AbstractUser from utils
Spring Security(基于RBAC模型的权限控制框架)搭建
私は悪い人ですか的博客
12-17 2495
什么是RBAC模型: 概念 权限管理,这是每个软件系统都会涉及到的,而且权限管理的需求本质往往都是一样,不同的角色拥有不同的权限,只要你充当了某个角色,你就拥有了相对应的功能。 RBAC(Role-Based Access Control,基于角色的访问控制),就是用户通过角色与权限进行关联。 简单地说,一个用户拥有若干角色,每一个角色拥有若干权限。 这样,就构造成“用户-角色-权限”的...
权限设计——状态模式
10-31 1347
前一段公司准备开发一个二期项目,打算在原来的基础上新增一些功能模块,并且能够适合更多种用户使用。这样就面临一个问题,权限的设计问题。原来只是简单的分了几个角色,根据不同角色,分配不同的功能模块。这个让我想起了以前在学校做项目的时候,简单的分用户类型。没有想到来公司做项目后,还是使用这种,写死的东西,根本没法重用。         后来我提出了一个假设,如果我要新增加一个角色,要重新给他分配功能(
简单权限验证的方法
weixin_33862041的博客
06-01 199
权限验证一直是各类大大小小的系统中核心的问题。如果一个系统权限验证都只有是否两类情况,不存在多值的情况,可以考虑用一个整数保存权限。1。定义好各个功能在权限中的位置,如 10001 的意义是新增文章权限 1修改文章权限 0删除文章权限 0搜索文章权限 0发送短信权限 1这里有一个限制,只能加,不能减少功能点,也就是在做设计时,必须仔细分析系统对应的功能点,并尽量细化,达到最小颗粒的状态。2。以论...
flask rbac权限管理
最新发布
11-21
总的来说,Flask RBAC权限管理通过定义角色和权限,然后在系统中进行权限验证,可以很好地实现对用户访问权限的管理和控制。这样一来,就可以保证系统的安全性和稳定性,确保用户只能访问其有权限的资源,从而提升...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值