由django的Authentication想到RBAC permission实现(Struts版)

最新推荐文章于 2024-06-24 23:15:34 发布
最新推荐文章于 2024-06-24 23:15:34 发布
阅读量178 收藏
点赞数
分类专栏: Java 文章标签: Django Struts Acegi JDK

先简单的说一下RBAC的概念:

主要有user, role 和 permission 这么三个元素,用户可以有多个角色,角色可以有多个 permission,这里的permission可以理解成对resource+operation。在这个基础上还可以增加group的概念,相信不难理解。

 

假设系统对于权限的要求是:能控制系统动态菜单的访问,控制其它的提交操作。

以下的想法是基于struts 1.2 + java 1.4 (部门最近一直比较保守,晕死)

 

个人觉得要实现这个模型的难点在于permission, 也就是其中的resource,应用中的资源应该包括动态资源和静态资源两类:

  • 动态资源:比如说用户上传的文档,不同的文档可能会给不同的角色分配不同的权限。
  • 静态资源:某些地方系统只要求控制固定的表单哪些角色可以查看,哪些角色可以更新。

个人认为动态资源相对比较容易处理,因为我们把这个动态资源的ID作为resource的ID,然后再加入一个resource type的属性就可以处理多种资源了。为什么说动态资源比较容易处理呢,因为我们处理这些动态资源的时候都是以ID来操作的,查询的时候也可以用ID进行过滤,唯一需要注意的可能会是性能问题,可以考虑使用缓存。

 

静态资源就有点麻烦了,说白了,其实控制静态资源就是控制角色是否可以访问系统中的某个方法。那么这时候我们怎么在permission里标识这个操作呢?有人会说,用URL,偶承认,这个绝对可以控制,但是这么做的话也就意味着权限是无法交给真正的用户来维护,除非你愿意维护一个URL与用户能看懂文字的对应列表,有点麻烦,也很难检查有没有遗漏的。

 

我想的办法是在自己的BaseFom(一般用struts的多少都会有这个东东)中加入一些代码:

public BaseForm extends .... {
...

    public static final String CREATE = "create";
    public static final String REVIEW = "view";
    public static final String UPDATE = "update";
    public static final String DELETE = "delete";

    private List operations = new ArrayList();

    //用于获取对用户友好的表单名称
    public String getFormName() {
        return "";
    }

    public List getOperations() {
         //map中的value也是考虑用户友好
         operations.add(new HashMap().put(CREATE, "Add new record"));
         operations.add(new HashMap().put(REVIEW, "Search and view the records"));
         operations.add(new HashMap().put(UPDATE, "Update the record"));
         operations.add(new HashMap().put(DELETE, "Delete the record"));

         return operations;
    }

...
}

 

接下来假设说我们有一个针对项目的新增/删除/修改/查询以及失效 操作,先来写我们的form:

public class ProjectForm extends BaseForm {

    private static final String FORMNAME = "Project Information";
    public static final String INVALID = "invalid";

    public String getFormName() {
        return FORMNAME;
    }

    public List getOperations() {
        List operations = supper.getOperations();
        operations.add(new HashMap().put(INVALID, "Set project as invalid"));
        return operations;
    }
...
}

 

再来看看action怎么写:

public ProjectAction extends ... {

    //创建项目,其它的方法类似
    public ActionForward createProject(....) {
        //从session中获取用户信息
        User user = ....;

        //假设我们有一个类专门处理权限检查
        PermissionChecker checker = new PermissionChecker();
        checker.setResource(form.getFormName());
        checker.check(user, ProjectForm.CREATE);
    }
}

 

上面action中的方法比较丑陋, 其实如果是JDK 5的话就可以用annotation解决就比较优雅了,而且上面的代码还可以进一步重构。

 

个人认为这么做相对URL的控制有几个好处:

  1. 很容易就检查到方法是否控制到;
  2. 方法名的修改不影响用户的配置;
  3. 在一个地方配置整个系统的URL很容易让人晕菜;
  4. 不同的模块可以分开指定有哪些需要的操作,比如说其它的模块还需要发布、撤销等操作;

其不足之处就是代码量有所增加,action的方法还需要自己调用一些API,如果用URL控制就可以用filter了。

 

系统部署后也可以遍历所有配置的form,根据现有的信息就可以配置出想要的permission并授权给角色。

 

写了半天没提到一点django,呵呵,其实django中自带的 Authentication 模块就是类似的做法,模块自带了CRUD的操作,用户可以在写自己的model的时候增加定制的操作,有兴趣的朋友可以参考这里: http://docs.djangoproject.com/en/dev/topics/auth/#topics-auth

 

想法是今天回家的路上想的,肯定有很多没考虑到的地方,不知道这种方式是否实际可操作,随后也打算学习一些acegi的原理。

 

popufig
关注
专栏目录
30--Django-后端开发-drf之RBAC表分析、simple-ui的使用、JWT签发认证的源码分析
摘 月
02-15 648
1.自定义User表实现jwt的token签发views.py。
Django实现Rbac权限管理
weixin_30532759的博客
11-26 160
权限管理 权限管理是根据不同的用户有相应的权限功能,通常用到的权限管理理念Rbac. Rbac 基于角色的权限访问控制(Role-Based Access Control)作为传统访问控制(自主访问,强制访问)的有前景的代替受到广泛的关注。在RBAC中,权限与角色相关联,用户通过成为适当角色的成员而得到这些角色的权限。这就极大地简化了权限的管理。在一个组织中,角色是为了完成各种工作而创造,用户则依...
django实现rbac权限管理系统
热门推荐
不会写后端的前端不是一个好运维。
02-13 1万+
django实现rbac权限管理系统
Django框架的权限组件rbac
菲宇运维
04-01 4073
1.基于rbac的权限管理 RBAC(Role-Based Access Control,基于角色的访问控制),就是用户通过角色与权限进行关联。简单地说,一个用户拥有若干角色,一个角色拥有若干权限。这样,就构造成“用户-角色-权限”的授权模型。在这种模型中,用户与角色之间,角色与权限之间都是多对多的关系。 简单的模型图示如下: 2.Rbac组件的基本目录结构: 3.按照写...
DjangoRBAC权限管理系统模块-理解
Allen . Liu
10-05 2061
今天文章分为两部分 :) PART1Pycharm使用技巧分享/ PART2 关于剑指offer开源项目分享 //// //// One MinutesPycharm: PART 1 你本可以朝九晚五..... 本片内容分享的宗旨: IDEA 从入门到精通 开发效率翻倍 早日实现五点下班???? PyCharm这款IDE功能虽然强大,但正因为它的强大,所以对于刚入手的人来说,在初期使用时会显得困难。今天这篇文章我就来写一下PyCharm的基本操作,让...
十二、基于Django实现RBAC权限管理
weixin_30485799的博客
01-19 562
一、RBAC概述 RBAC(Role-Based Access Control,基于角色的访问控制),通过角色绑定权限,然后给用户划分角色。 从企业的角度来说,基本上是按照角色来划分职能。比如,CEO,具有公司全局的权限;部门经理,具有部门全局的权限;部门主管,具有部门部分的权限;普通员工,具有部门一小部分权限。 不同的角色,能够获取的资源是不一样的,所以RBAC就是按照这个思维为公司建设权...
Django-rest-framework框架之RBAC-基于角色的访问控制,Casbin权限控制,后台管理simplui的介绍和使用
DiligentGG的博客
10-13 815
* 排序和过滤源码分析 * 基于jwt的认证类 * RBAC的介绍和使用 * Casbin权限控制 * 后台管理simplui的介绍和使用
基于djangoRBAC权限
m0_58310590的博客
06-24 1204
​ 基于角色的访问控制(RBAC)模型解决了许多与权限管理相关的问题,主要包括以下几个方面:简化权限管理:RBAC模型通过将权限授予角色而不是直接授予用户,简化了权限管理的复杂性。管理员可以根据用户的职责和职位将其分配到适当的角色,而不必为每个用户单独配置权限。这样可以减少管理工作量,提高效率。降低错误和风险:RBAC模型减少了手动配置权限的错误风险。由于权限是基于角色进行管理,管理员只需要为角色定义适当的权限,而不必考虑每个用户的具体权限。这样可以减少配置错误和意外授权的可能性,提高系统的安全性。
10. Django Auth认证系统
05-09
Django Auth系统提供的表单类如`AuthenticationForm`, `PasswordChangeForm`等,可以帮助你构建用户界面。同样,预定义的视图如`LoginView`, `PasswordResetView`等可以直接使用,只需根据需求定制模板即可。 **9. ...
Django-REST_FRAMEWORK
Wednesdayi的博客
06-24 490
目录 DRF REST是Representational State Transfer的简称,中文翻译为“表征状态转移”或“表现层状态转化”。 十条RESTful API设计指南 1、数据的安全保障 url一般采用https协议进行传输,可以提高数据交互过程中安全性 2、接口特征表现 使用api关键字标识接口url,代表该url是完成前后台数据交互的 3、多数据本共存 当一种数据资源有多个本,应在url中标识数据本 4、数据即资源 均使用名词复数表示数据资源 5、请求方式决定资源的操作方式
Django 自带的用户模块 与 JWT 的知识总结
wk123555的博客
01-30 313
1 什么是用户自带的用户模块 答:Django提供的用户系统可以快速实现基本的功能,并可以在此基础上继续扩展以满足我们的需求。类似写好的模板。 2 自带的用户模块提供的功能 1:提供用户模块(User Model) 2:权限验证(默认添加已有模块的增加删除修改权限) 3:用户组与组权限功能 4:用户鉴权与登录功能 5:与用户登录验证相关的一些函数与装饰方法 3 使用方法 1 setting 中配置 # 此处代码的作用是应为使用了 AbstractUser 继承了公用的用户模块 所以要在setting中
Django Rest Framework之认证组件
01-13 342
Django Rest Framework之认证组件一:认证组件源码二:认证组件的使用 一:认证组件源码 讲解DRF本的时候我们都知道了,在dispatch方法里执行了initial方法来初始化我们的本. 而在initial方法里有我们的认证、权限、频率组件,如下图 我们再点进去认证组件看看: 可以看到,我们的权限组件返回的是request.user,那么这里返回的request是新的还是...
读书札记:基于RBAC的权限设计模型--权限API和权限的实现
ann__1121的博客
06-13 154
getPermissionByOrgGuid(String orgGuid ) 通过传入一个org的Guid,拿到当前这个org对象都具有那些访问权限。 getSourcePermissionByOrgGuid(String orgGuid , String resouceGuid) 通过传入一个org的Guid和一个资源的Guid,返回改Org对当前这个...
c++leecode基础题十大排序数据结构基础_leecodeBasic.zip
最新发布
09-23
c++leecode基础题十大排序数据结构基础_leecodeBasic
【数字信号去噪】基于matlab花朵授粉算法FPA-ICEEMDAN信号去躁【含Matlab源码 7607期】.zip
09-23
CSDN海神之光上传的代码均可运行,亲测可用,直接替换数据即可,适合小白; 1、代码压缩包内容 主函数:main.m; 调用函数:其他m文件;无需运行 运行结果效果图; 2、代码运行本 Matlab 2019b或2023b;若运行有误,根据提示修改;若不会,私信博主; 3、运行操作步骤 步骤一:将所有文件放到Matlab的当前文件夹中; 步骤二:双击打开main.m文件; 步骤三:点击运行,等程序运行完得到结果; 4、仿真咨询 如需其他服务,可私信博主或扫描博客文章底部QQ名片; 4.1 博客或资源的完整代码提供 4.2 期刊或参考文献复现 4.3 Matlab程序定制 4.4 科研合作 功率谱估计: 故障诊断分析: 雷达通信:雷达LFM、MIMO、成像、定位、干扰、检测、信号分析、脉冲压缩 滤波估计:SOC估计 目标定位:WSN定位、滤波跟踪、目标定位 生物电信号:肌电信号EMG、脑电信号EEG、心电信号ECG 通信系统:DOA估计、编码译码、变分模态分解、管道泄漏、滤波器、数字信号处理+传输+分析+去噪(CEEMDAN)、数字信号调制、误码率、信号估计、DTMF、信号检测识别融合、LEACH协议、信号检测、水声通信
vue3+SSM校园失物招领信息系统微信微信小程序[编号:CS_71072]源码数据库.zip
09-23
本文介绍了使用SpringBoot作为后端框架,Vue作为前端框架,MyBatis-Plus进行持久层开 。详细描述了系统测试的目的、功能测试案例,包括登录验证和用户管理,以及数据库设计。 前端:vue3 开发工具:IDEA 或者eclipse都支持 编程语言: java 框架:springboot/ssm都支持 jdk本:jdk1.8以上均可 数据库: mysql 本不限 数据库工具:Navicat/SQLyog都可以
机器学习与R语言_[美]_Brett_Lantz_MachineLearning-with-R.zip
09-23
机器学习与R语言_[美]_Brett_Lantz_MachineLearning-with-R
Django框架下的RBAC权限管理系统实现
"本文主要讲解了如何在Django框架中实现基于RBAC(Role-Based Access Control)的权限组件。RBAC是一种将用户、角色和权限关联的访问控制模型,其中用户通过角色获得权限,角色与权限之间以及用户与角色之间为多对多...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值