真实项目中权限设计的案例

已于 2024-06-13 17:39:19 修改
阅读量163 收藏 2
点赞数 2
文章标签: java 开发语言
于 2024-06-13 17:36:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/netv/article/details/139659985
版权

我们看一下真实项目的权限设计案例,典型的错误用例。

首先我们从Controller的Mapping看起。


    /**
     * 新增
     *
     * @param entity
     * @return
     */
    @PostMapping
    @Transactional
    @PreAuthorize("@ps.check(@CONTRACTOR.INSERT)")
    public Object create(@RequestBody Contractor entity) {
        ......
    }

这里使用@PreAuthorize注解来对API进行授权。

用户权限加载

@Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        Account user = userService.getByPhoneNumber(username);
        if (user == null) {
            throw new UsernameNotFoundException("没有找到该用户!");
        }
        Role role = roleService.getById(user.getRoleId());
        if (role == null) {
            throw new AccessDeniedException("该用户没有被授权,或授权角色已被删除。");
        }
        return new FioUserDetails(user, role);
    }

public class FioUserDetails implements UserDetails, Serializable {
    Account account;
    Role role;

    public FioUserDetails(Account account, Role role) {
        this.account = account;
        this.role = role;
    }

    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        List<SimpleGrantedAuthority> authorities = new ArrayList<>();
        for (String role : RoleUtils.getRoles(this.role)) {
            authorities.add(new SimpleGrantedAuthority(role));
        }

        if (this.account.getId() <= 10) {
            authorities.add(new SimpleGrantedAuthority("ADMIN"));
        }

        return authorities;
    }

......
    }
}


/**
 * 权限 util
 *
 * @author liangzhuowei
 * @date 2021/11/27
 * @since open-jdk 11
 */
public class RoleUtils {
    /**
     * 扫描被权限注解的类包,返回相应需要的权限
     *
     * @return
     */
    public static List<String> getRoles(Role role) {
        List<String> roles = new ArrayList<>();
        // 现场操作者权限
        ClassUtil.scanPackageByAnnotation("包名...", FioOperateRole.class)
                .forEach(item -> {
                    String className = item.getSimpleName().toUpperCase(Locale.ROOT);
                    FioOperateRole operateRole = item.getAnnotation(FioOperateRole.class);
                    RolePrefix prefix = FioOperateRole.class.getAnnotation(RolePrefix.class);
                    RoleTypes types = FioOperateRole.class.getAnnotation(RoleTypes.class);
                    int idx = operateRole.value();
                    String fix = prefix.value().name();
                    var ts = Arrays.asList(types.value());
                    if (ts.contains(RoleTypes.Type.INSERT) && (role.getOperateInsert() >> idx & 0x1) == 1) {
                        roles.add(String.join("_", List.of(fix, className, RoleTypes.Type.INSERT.name())));
                    }
                    if (ts.contains(RoleTypes.Type.DELETE) && (role.getOperateDelete() >> idx & 0x1) == 1) {
                        roles.add(String.join("_", List.of(fix, className, RoleTypes.Type.DELETE.name())));
                    }
                    if (ts.contains(RoleTypes.Type.UPDATE) && (role.getOperateModify() >> idx & 0x1) == 1) {
                        roles.add(String.join("_", List.of(fix, className, RoleTypes.Type.UPDATE.name())));
                    }
                    if (ts.contains(RoleTypes.Type.SELECT) && (role.getOperateSelect() >> idx & 0x1) == 1) {
                        roles.add(String.join("_", List.of(fix, className, RoleTypes.Type.SELECT.name())));
                    }
                });


        // 其他附属权限
        ClassUtil.scanPackageByAnnotation("包名...", FioExtraRole.class)
                .forEach(item -> {
                    String className = item.getSimpleName().toUpperCase(Locale.ROOT);
                    FioExtraRole extraRole = item.getAnnotation(FioExtraRole.class);
                    RolePrefix prefix = FioExtraRole.class.getAnnotation(RolePrefix.class);
                    RoleTypes types = FioExtraRole.class.getAnnotation(RoleTypes.class);
                    int idx = extraRole.value();
                    String fix = prefix.value().name();
                    var ts = Arrays.asList(types.value());
                    if (ts.contains(RoleTypes.Type.INSERT) && (role.getExtraInsert() >> idx & 0x1) == 1) {
                        roles.add(String.join("_", List.of(fix, className, RoleTypes.Type.INSERT.name())));
                    }
                    if (ts.contains(RoleTypes.Type.DELETE) && (role.getExtraDelete() >> idx & 0x1) == 1) {
                        roles.add(String.join("_", List.of(fix, className, RoleTypes.Type.DELETE.name())));
                    }
                    if (ts.contains(RoleTypes.Type.UPDATE) && (role.getExtraModify() >> idx & 0x1) == 1) {
                        roles.add(String.join("_", List.of(fix, className, RoleTypes.Type.UPDATE.name())));
                    }
                    if (ts.contains(RoleTypes.Type.SELECT) && (role.getExtraSelect() >> idx & 0x1) == 1) {
                        roles.add(String.join("_", List.of(fix, className, RoleTypes.Type.SELECT.name())));
                    }
                });

        // 办公权限
        ClassUtil.scanPackageByAnnotation("包名...", FioOfficeRole.class)
                .forEach(item -> {
                    String className = item.getSimpleName().toUpperCase(Locale.ROOT);
                    FioOfficeRole officeRole = item.getAnnotation(FioOfficeRole.class);
                    RolePrefix prefix = FioOfficeRole.class.getAnnotation(RolePrefix.class);
                    RoleTypes types = FioOfficeRole.class.getAnnotation(RoleTypes.class);
                    int idx = officeRole.value();
                    String fix = prefix.value().name();
                    var ts = Arrays.asList(types.value());
                    if (ts.contains(RoleTypes.Type.INSERT) && (role.getOfficeInsert() >> idx & 0x1) == 1) {
                        roles.add(String.join("_", List.of(fix, className, RoleTypes.Type.INSERT.name())));
                    }
                    if (ts.contains(RoleTypes.Type.DELETE) && (role.getOfficeDelete() >> idx & 0x1) == 1) {
                        roles.add(String.join("_", List.of(fix, className, RoleTypes.Type.DELETE.name())));
                    }
                    if (ts.contains(RoleTypes.Type.UPDATE) && (role.getOfficeModify() >> idx & 0x1) == 1) {
                        roles.add(String.join("_", List.of(fix, className, RoleTypes.Type.UPDATE.name())));
                    }
                    if (ts.contains(RoleTypes.Type.SELECT) && (role.getOfficeSelect() >> idx & 0x1) == 1) {
                        roles.add(String.join("_", List.of(fix, className, RoleTypes.Type.SELECT.name())));
                    }
                });
        // 管理权限
        ClassUtil.scanPackageByAnnotation("包名...", FioManageRole.class)
                .forEach(item -> {
                    String className = item.getSimpleName().toUpperCase(Locale.ROOT);
                    FioManageRole manageRole = item.getAnnotation(FioManageRole.class);
                    RolePrefix prefix = FioOfficeRole.class.getAnnotation(RolePrefix.class);
                    RoleTypes types = FioOfficeRole.class.getAnnotation(RoleTypes.class);
                    int idx = manageRole.value();
                    String fix = prefix.value().name();
                    var ts = Arrays.asList(types.value());
                    if (ts.contains(RoleTypes.Type.INSERT) && (role.getOfficeInsert() >> idx & 0x1) == 1) {
                        roles.add(String.join("_", List.of(fix, className, RoleTypes.Type.INSERT.name())));
                    }
                    if (ts.contains(RoleTypes.Type.DELETE) && (role.getOfficeDelete() >> idx & 0x1) == 1) {
                        roles.add(String.join("_", List.of(fix, className, RoleTypes.Type.DELETE.name())));
                    }
                    if (ts.contains(RoleTypes.Type.UPDATE) && (role.getOfficeModify() >> idx & 0x1) == 1) {
                        roles.add(String.join("_", List.of(fix, className, RoleTypes.Type.UPDATE.name())));
                    }
                    if (ts.contains(RoleTypes.Type.SELECT) && (role.getOfficeSelect() >> idx & 0x1) == 1) {
                        roles.add(String.join("_", List.of(fix, className, RoleTypes.Type.SELECT.name())));
                    }
                });
        return roles;
    }

    /**
     * 检查 权限值 是否唯一
     */
    public static void check() {
        ClassUtil.scanPackageByAnnotation("包名...", FioOfficeRole.class)
                .stream()
                .collect(Collectors.groupingBy(clazz -> clazz.getAnnotation(FioOfficeRole.class).value(), Collectors.toList()))
                .forEach((k, v) -> {
                    if (v.size() > 1) {
                        Class<?> aClass = v.get(0);
                        throw new RuntimeException(aClass.getSimpleName() + "的" + FioOfficeRole.class.getSimpleName() + "值重复,值:" + k);
                    }
                });

        ClassUtil.scanPackageByAnnotation("com.gason.backend.entity", FioOperateRole.class)
                .stream()
                .collect(Collectors.groupingBy(clazz -> clazz.getAnnotation(FioOperateRole.class).value(), Collectors.toList()))
                .forEach((k, v) -> {
                    if (v.size() > 1) {
                        Class<?> aClass = v.get(0);
                        throw new RuntimeException(aClass.getSimpleName() + "的" + FioOperateRole.class.getSimpleName() + "值重复,值:" + k);
                    }
                });

        ClassUtil.scanPackageByAnnotation("包名...", FioExtraRole.class)
                .stream()
                .collect(Collectors.groupingBy(clazz -> clazz.getAnnotation(FioExtraRole.class).value(), Collectors.toList()))
                .forEach((k, v) -> {
                    if (v.size() > 1) {
                        Class<?> aClass = v.get(0);
                        throw new RuntimeException(aClass.getSimpleName() + "的" + FioExtraRole.class.getSimpleName() + "值重复,值:" + k);
                    }
                });

        ClassUtil.scanPackageByAnnotation("包名...", FioManageRole.class)
                .stream()
                .collect(Collectors.groupingBy(clazz -> clazz.getAnnotation(FioManageRole.class).value(), Collectors.toList()))
                .forEach((k, v) -> {
                    if (v.size() > 1) {
                        Class<?> aClass = v.get(0);
                        throw new RuntimeException(aClass.getSimpleName() + "的" + FioManageRole.class.getSimpleName() + "值重复,值:" + k);
                    }
                });
    }


}

说明:Account表保存用户的账号信息,唯一的username,唯一的roleId

  1. FioUserDetails 根据用户的唯一角色roleId(包含了 Office, Operate, Extra, Manage), 查找所有注解对应的实体类,  将相应的增删改查权限装入用户的Authorities

      格式为: OFFCIE_CONTRACTOR_INSERT

      此格式为 OfficeAuthority 类加载:

/**
 * 权限
 *
 * @author liangzhuowei
 * @date 2021/12/10
 * @since open-jdk 11
 */
public class OfficeAuthority {

    /**
     * 0
     * 角色管理权限
     */
    @Service("ROLE")
    public static class ROLE {
        public final String INSERT = "OFFICE_ROLE_INSERT";
        public final String DELETE = "OFFICE_ROLE_DELETE";
        public final String UPDATE = "OFFICE_ROLE_UPDATE";
        public final String SELECT = "OFFICE_ROLE_SELECT";
    }

    /**
     * 1
     * 用户管理权限
     */
    @Service("ACCOUNT")
    public static class ACCOUNT {
        public final String INSERT = "OFFICE_ACCOUNT_INSERT";
        public final String DELETE = "OFFICE_ACCOUNT_DELETE";
        public final String UPDATE = "OFFICE_ACCOUNT_UPDATE";
        public final String SELECT = "OFFICE_ACCOUNT_SELECT";
    }
...
}

实体类和权限绑定

/**
 * <p>
 * 公司档案字段表
 * </p>
 *
 * @author MyBatisPlusGenerator
 * @since 2023-08-22
 */
@Data
@FioOfficeRole(52)
@TableName("fio_contractor")
@ApiModel(value = "Contractor对象", description = "公司档案字段表")
public class Contractor extends BasicCustomEntity {
......
}

权限检查

/**
 * 权限检验
 *
 * @author liangzhuowei
 * @date 2021/11/29
 * @since open-jdk 11
 */
@Service("ps")
public class PermissionService {
....
}

============================================================================

以上为真实项目的权限设计,点评如下:

  1. 授权的资源对象应该是Controller里的UrlMapping对应的API,这里的设计直接改为了实体类,并且每个实体类对应的权限固定为4个:增,删,改,查

  2. 授权操作应该是创建角色并将角色与资源对象关联,这里的设计没有角色的创建,直接创建了角色与资源对象操作的关联,请注意,这里的角色并没有与资源对象关联,而是直接关联资源对象的操作(增,删,改,查)

  3. 这里的设计是将资源对象分为4大类:OFFICE, OPERATE,MANAGE,EXTRA,授权操作不能直接作用的资源对象

  4. 每个用户的角色只有一个...

正确的使用方式请参考SpringSecurity的官方文档, 正确区分权限框架的使用场景

aries_it
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java程序设计项目案例化教程题库及答案
m0_63394128的博客
08-04 5791
1、 Java源程序文件的后缀是 *.javaJava字节码文件的后缀名称是 *.class 。2、 Java程序实现可移值性,依靠的是 JVM 。3、 Java语言的三个分支是: JAVA SE 、 JAVA ME 、 JAVA EE 。4、 Java程序由 类 组成,如果Java使用 public class 声明类,则文件名称必须与类名称一致。5、 Java执行是从 main() 方法开始执行的,此方法的完整定
JSP基于SSM学生选课管理系统设计源码案例设计.zip
04-19
总的来说,这个基于SSM的学生选课管理系统案例,通过整合Spring、SpringMVC和MyBatis的优势,为教育机构提供了一套高效稳定的选课解决方案,有助于提升教育管理的效率和质量。在实际使用,可根据具体需求进行定制...
Java课程实际项目案例分析
北方的张先生的博客
09-14 6993
Java课程实际项目案例分析项目式教学方式分析项目一 客户关系管理系统项目背景:项目目标:项目功能:项目涉及技术点:项目测试:项目上线:项目二 社交博客系统项目背景:项目目标:项目功能:项目涉及技术点:项目测试:项目上线:项目三 房屋租赁系统项目背景:项目目标:项目功能:项目涉及技术点:项目测试:项目上线:项目四 在线学习系统项目背景:项目目标:项目功能:项目涉及技术点:项目测试:项目上线:项目五 人力资源管理系统项目背景:项目目标:项目功能:项目涉及技术点:项目测试:项目上线:项目六 医疗管理系统项目
一个失败的项目管理案例
西门大官人
07-05 6283
文章目录1、背景介绍2、原因分析3、解决方案4、总结 1、背景介绍 从 2020 年三月底开始做一个设计管理平台的项目,我被指派为这个项目项目经理,项目成员包括产品经理(1)、后端(4)、前端(2)、UED(1)、UI(1),共 10 位成员。从项目正式启动,到七月初,第一个被需求方、发起人都认可的 V1.0 版本原型才确定。在这接近四个月的过程,几乎项目管理的全部坑都踩了个遍,特别是干系人管理、冲突管理以及变更管理与项目管理的基本要求几乎完成全部背离。这个项目为何会走到这个几乎失控的地步呢? 2、原
近十万字详解23种设计模式(含真实项目实战)
文艺青年学编程
06-07 2252
设计模式是一种被广泛应用于软件开发的解决问题的方法,它提供了一套可重用的解决方案,可以帮助开发人员更有效地解决各种软件设计问题。设计模式是由一些经验丰富的开发人员总结出来的,这些开发人员在实践发现了一些通用的问题和解决方案。设计模式可以帮助开发人员更好地组织代码,提高代码的可读性和可维护性,同时也可以提高代码的复用性和可扩展性。常见的设计模式包括单例模式、工厂模式、观察者模式、装饰者模式、适配器模式等等。在软件开发,选择合适的设计模式可以帮助开发人员更快地构建高质量的软件系统。
计算机优质毕设项目【实战案例】合集
计算机毕设经验分享/毕设指导
04-18 1222
基于Spring Boot的综合性B2C电商平台,需求设计主要参考天猫商城的购物流程:用户从注册开始,到完成登录,浏览商品,加入购物车,进行下单,确认收货,评价等一系列操作。作为迷你天猫商城的核心组成部分之一,天猫数据管理后台包含商品管理,订单管理,类别管理,用户管理和交易额统计等模块,实现了对整个商城的一站式管理和维护。🔹管理员模块:注册、登录、书籍管理、读者管理、借阅管理、借阅状态、修改个人信息、修改密码。🔹商品信息管理:包括商品的分类、名称、单价、库存数量等信息的管理和维护。
业务台--如何设计企业级权限管理系统
一个天秤座的架构师
08-03 2万+
不管是2C产品经理还是2B产品经理,都要将权限管理法则烂熟于心。只有熟悉权限管理法则,才能更好地理解自己产品的架构,做到每次产品迭代都心里有数。 产品经理在思考产品架构的过程,必须要有业务流程的参与。通过业务流,常常会抽象出对产品有诉求的多个角色,再依据角色的特性去梳理使用场景并设计需求。 当角色之间的使用场景不冲突,不需要隔离时,我们会综合考虑这些角色的使用场景来设计解决方案。比如QQ音乐同时需要为听歌和听电台的用户提供所有的功能需求。 当这些角色的使用场景完全不重叠、流程对立时,我们会设.
Java23种设计模式
热门推荐
呜呜老司机的博客家园
10-10 7万+
Java23种设计模式,包括简单介绍,适用场景以及优缺点等
运维项目经历案例
weixin_45372735的博客
08-03 2万+
一,期项目经验示例 1.1 新服务器上线搭建系统环境 1,根据现有结构部署工具(PXE+kickstart) 2,结合应用系统需求定制部署模版 3,制作系统优化等一键执行脚本 4,自动化部署实施 5,根据定制的优化内容对自动化部署效果进行检验 1.2 新服务器上线搭建软件环境 1,在新批量部署的服务器上部署LNMP环境; 2,对批量化部署的环境进行效果检验; 3,编制Nginx配置文件并批量化部署; 4,根据需求做Nginx服务相关的优化(expires/gizp等) 1.3 web服务器架构调整(从
java设计模式案例及使用
qq_46107623的博客
08-30 2744
java设计模式 创建者模式 单例设计模式 单例模式有以下特点: 1、单例类只能有一个实例。   2、单例类必须自己创建自己的唯一实例。   3、单例类必须给所有其他对象提供这一实例。 //懒汉式单例类.在第一次调用的时候实例化自己 public class Singleton { private Singleton() {} private static Singleton single=null; //静态工厂方法 public static Singleton ge
四个架构设计案例及其思维方式
架构师波波的专栏
02-11 8845
一、介绍 架构的本质是管理复杂性,抽象、分层、分治和演化思维是我们工程师/架构师应对和管理复杂性的四种最基本武器。 在上一篇架构之道~四种核心架构思维,我先介绍了抽象、分层、分治和演化这四种应对复杂性的基本武器。在本篇《架构之道~四个架构设计案例及其思维方式》,我会通过四个案例,讲解如何综合运用这些武器,分别对小型系统,型系统,基础架构,甚至是组织技术体系进行架构和设计。 二、小型系统案例~...
基于Springboot+Vue的乐享田园系统源码案例设计.zip
04-20
乐享田园系统是一款集成了Springboot和Vue技术的毕业设计案例,旨在提供一个综合性的管理平台,以实现高效、便捷的农业业务处理。本系统的核心是利用现代化的开发框架和前端技术,构建出一个用户友好的界面和稳定的...
ASP.NET基于Web物物交换二手交易平台设计源码案例设计.zip
04-19
在这个“ASP.NET基于Web物物交换二手交易平台设计源码案例,我们可以深入学习如何利用ASP.NET技术构建一个在线二手商品交换平台。这个案例涵盖了多个关键知识点,包括但不限于: 1. **ASP.NET MVC架构**:本...
基于vue的订餐微信小程序springboot后端源码案例设计.zip
04-21
在这个案例,SpringBoot可能被用来处理来自微信小程序的HTTP请求,实现业务逻辑,如用户认证、订单处理、支付接口集成等。开发者可能使用Spring Data JPA进行数据库操作,Spring Security进行权限控制。 3. **...
基于Springboot+Vue的火车票订票系统的设计与实现源码案例设计.zip
04-20
总的来说,基于Springboot+Vue的火车票订票系统是一个综合性的项目,不仅提供了实际的在线预订功能,也是学习现代Web开发技术的优质案例开发者通过这个项目可以提升自己的技能,为未来的职业生涯打下坚实基础。
golang 接口
m0_70982551的博客
07-24 836
接口定义了一组方法,这些方法没有具体的实现。接口类型的变量可以存储任何实现了这些方法的类型的值。// 更多方法...在Go语言,接口值是指存储了实现某个接口的具体类型值的变量。接口值由两部分组成:1.动态类型:这是接口值当前存储的实际类型。2.动态值:这是实际存储的值,该值必须实现了接口定义的所有方法。
Swagger使用Map接受参数时,页面如何显示具体参数及说
a1058926697的博客
07-26 373
后端使用Map接受参数,要求在swagger页面上显示具体的参数名称、类型及说明。当Map接受参数数量少时,可以使用Swagger自带的注解。自定义注解 @ApiGlobalModel。编写处理注解对应的插件。
Java算法专场】二分查找(下)
最新发布
zhyhgx的博客
07-27 451
本道题是要在一个从0~n-1的数组找缺失的数,我们可以采用哈希表来解决,但此时时空复杂度达到了O(n),这是一个有序的数组,我们可以采用二分查找来解决,使时间复杂度达到O(logn).我们可以发现,每个数组的下标和其元素是相同的,那么我们可以通过判断下标和元素的大小,来确定缺失值的位置。3.mid=4+(5-4)/2=4,nums[mid]=5
springboot之自动装配
weixin_50153914的博客
07-23 520
Spring Boot 通过一系列注解和条件配置实现了自动装配机制,使得开发者无需手动配置大量的 XML 文件或 Java 配置类。自动配置机制利用文件的自动配置类,并结合条件注解和组件扫描,实现了灵活且强大的自动装配功能。这样,开发者可以专注于业务逻辑的实现,而无需处理繁琐的配置细节。
数据库设计入门:鲍威尔指南
10. **案例研究**:通过真实或模拟的案例,让读者了解如何将理论知识应用于实际的数据库设计。 《 Beginning Database Design》这本书旨在帮助读者从零开始掌握数据库设计的全过程,不仅理论知识全面,而且注重...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值