JeeSite 中同是管理员确不能修改角色的秘密
太阳火神的美丽人生 (http://blog.csdn.net/opengl_es)
本文遵循“署名-非商业用途-保持一致”创作公用协议
源码位置:
com.thinkgem.jeesite.modules.sys.entity.User.java
注释部分:
说明:
isAdmin 判断只有 id 是 1 的系统用户才是管理员。
判断是否管理员所在模板文件位置:
/src/main/webapp/WEB-INF/views/modules/sys/roleList.jsp
其中判断显示 “修改” 按钮部分:
其中, shiro 权限判定 sys:role:edit ,在菜单配置部分设置:
所以,菜单配置功能,
一是确定要显示的菜单项,以及菜单项对应的 URL (至于 URL 是否作授权验证,需进一步分析)
二是增加隐藏项,以增加角色许可标识,在模板显示时做判断是否显示相应按钮,另外就是控制器方法前做 Shiro 权限验证:
Shiro 判断判断当前用户是否拥用相应的许可如,sys:role:view,
而这些许可是在授权时加载的:
/**
* 获取权限授权信息,如果缓存中存在,则直接从缓存中获取,否则就重新获取, 登录成功后调用
*/
protected AuthorizationInfo getAuthorizationInfo(PrincipalCollection principals) {
if (principals == null) {
return null;
}
AuthorizationInfo info = null;
//info = (AuthorizationInfo)UserUtils.getCache(UserUtils.CACHE_AUTH_INFO);
if (info == null) {
info = doGetAuthorizationInfo(principals);
if (info != null) {
UserUtils.putCache(UserUtils.CACHE_AUTH_INFO, info);
}
}
return info;
}
/**
* 授权查询回调函数, 进行鉴权但缓存中无用户的授权信息时调用
*/
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
Principal principal = (Principal) getAvailablePrincipal(principals);
// 获取当前已登录的用户
if (!Global.TRUE.equals(Global.getConfig("user.multiAccountLogin"))){
Collection<Session> sessions = getSystemService().getSessionDao().getActiveSessions(true, principal, UserUtils.getSession());
if (sessions.size() > 0){
// 如果是登录进来的,则踢出已在线用户
if (UserUtils.getSubject().isAuthenticated()){
for (Session session : sessions){
getSystemService().getSessionDao().delete(session);
}
}
// 记住我进来的,并且当前用户已登录,则退出当前用户提示信息。
else{
UserUtils.getSubject().logout();
throw new AuthenticationException("msg:账号已在其它地方登录,请重新登录。");
}
}
}
User user = getSystemService().getUserByLoginName(principal.getLoginName());
if (user != null) {
SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
List<Menu> list = UserUtils.getMenuList();
for (Menu menu : list){
if (StringUtils.isNotBlank(menu.getPermission())){
// 添加基于Permission的权限信息
for (String permission : StringUtils.split(menu.getPermission(),",")){
info.addStringPermission(permission);
}
}
}
// 添加用户权限
info.addStringPermission("user");
// 添加用户角色信息
for (Role role : user.getRoleList()){
info.addRole(role.getEnname());
}
// 更新登录IP和时间
getSystemService().updateUserLoginInfo(user);
// 记录登录日志
LogUtils.saveLog(Servlets.getRequest(), "系统登录");
return info;
} else {
return null;
}
}
以上代码中 UserUtils.getMenuList(); 方法如下:
/**
* 获取当前用户授权菜单
* @return
*/
public static List<Menu> getMenuList(){
@SuppressWarnings("unchecked")
List<Menu> menuList = (List<Menu>)getCache(CACHE_MENU_LIST);
if (menuList == null){
User user = getUser();
if (user.isAdmin()){
menuList = menuDao.findAllList(new Menu());
}else{
Menu m = new Menu();
m.setUserId(user.getId());
menuList = menuDao.findByUserId(m);
}
putCache(CACHE_MENU_LIST, menuList);
}
return menuList;
}
其中,管理员取得所有权限的方法在 Mapper 中的位置:
/src/main/resources/mappings/modules/sys/MenuDao.xml
<select id="findAllList" resultType="Menu">
SELECT
<include refid="menuColumns"/>
FROM sys_menu a
<include refid="menuJoins"/>
WHERE a.del_flag = #{DEL_FLAG_NORMAL}
ORDER BY a.sort
</select>
其中还有 findByUserId 方法
<select id="findByUserId" resultType="Menu">
SELECT DISTINCT
<include refid="menuColumns"/>
FROM sys_menu a
LEFT JOIN sys_menu p ON p.id = a.parent_id
JOIN sys_role_menu rm ON rm.menu_id = a.id
JOIN sys_role r ON r.id = rm.role_id AND r.useable='1'
JOIN sys_user_role ur ON ur.role_id = r.id
JOIN sys_user u ON u.id = ur.user_id AND u.id = #{userId}
WHERE a.del_flag = #{DEL_FLAG_NORMAL} AND r.del_flag = #{DEL_FLAG_NORMAL} AND u.del_flag = #{DEL_FLAG_NORMAL}
ORDER BY a.sort
</select>