权限框架的搭建

最新推荐文章于 2024-04-15 09:29:19 发布
最新推荐文章于 2024-04-15 09:29:19 发布
阅读量193 收藏 2
点赞数
文章标签: java
原文链接:https://blog.csdn.net/u014077165/article/details/50300055
版权

一. 思路
二. 具体实现
     2.1 配置拦截器
     2.2 具体拦截器的处理方法
     2.3 注解的配置
     2.4 权限的配置
     2.5 注解的使用
     2.6 总结
三. 提升(白名单,默认全都要有权限

一. 思路

          总体思路还是 利用 拦截器拦截每一个请求。
请求过来,拦截器拦截。
取得 该请求的方法,对应取得方法上(或者是类上)的权限注解。
再 通过 请求 传来的 用户Id 来得到用户被赋予的权限。
对比 方法上的权限注解 和 用户被赋予的权限。
匹配上 则让其通过,否则,不让其通过。 

 

二.具体实现


2.1 配置 拦截器。

Spring Boot 配置拦截器可以继承 WebMvcAutoConfigurationAdaptor。如下代码: 

import org.springframework.boot.autoconfigure.web.WebMvcAutoConfiguration.WebMvcAutoConfigurationAdapter;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
 
@Configuration
public class PrivilegeConfiguration extends WebMvcAutoConfigurationAdapter{
	
	@Bean
	public PrivilegeInterceptor createPrivilegeFilter(){
		return new PrivilegeInterceptor();
	}
	
	@Override
	public void addInterceptors(org.springframework.web.servlet.config.annotation.InterceptorRegistry registry) {
		registry.addInterceptor(createPrivilegeFilter());
	};
}

2.2 具体的拦截器的处理方法:

@Slf4j
public class PrivilegeInterceptor implements HandlerInterceptor{
	
	@Autowired
	private StaffService staffService;
	
	@Override
	public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler)
			throws Exception {
	
		log.info("PrivilegeInterceptor class ... preHandle function ... ");
		
		//获得类的权限注解 和方法的权限注解
		HandlerMethod handlerMethod = (HandlerMethod) handler;
		
		PrivilegeRequired privilegeRequiredClass = handlerMethod.getBeanType().getAnnotation(PrivilegeRequired.class);
		PrivilegeRequired privilegeRequiredMethod = handlerMethod.getMethodAnnotation(PrivilegeRequired.class);
		
		log.info("PrivilegeInterceptor class ... privilegeRequiredClass = {}.",privilegeRequiredClass);
		log.info("PrivilegeInterceptor class ... privilegeRequiredMethod = {}.",privilegeRequiredMethod);
		
		//如果没有,那么则允许通过
		if(privilegeRequiredClass == null && privilegeRequiredMethod == null) return true;
		
		
		//如果有,那么 先把权限收集,最后比较
		Set<Privilege> priv = new HashSet<>();
		if(privilegeRequiredClass != null){
			 priv.addAll(Arrays.asList(privilegeRequiredClass.value()));
		}
		if(privilegeRequiredMethod != null){
			 priv.addAll(Arrays.asList(privilegeRequiredMethod.value()));
		}
        Privilege[] privileges = priv.toArray(new Privilege[priv.size()]);
			
		//对用户进行权限比较
		String staffId = request.getParameter("staffId");
        if(staffId == null || staffId.isEmpty())  return false;
        
        Staff staff = staffService.findStaffById(staffId);
        if(staff == null) return false;
        
        Set<Role> granted = (Set<Role>) staff.getRoleList();
        log.info("PrivilegeInterceptor class ... granted = {}.",granted);
        
        for (Privilege privilege : privileges) {
        	for (Role role : granted) {
        		if (role.getRoleName().equals(privilege.getPrivilege())) {
        			
        			log.info("PrivilegeInterceptor class ... granted pass. -> role.getRoleName() = {}. privilege.getPrivilege() = {}.",
        					role.getRoleName(),privilege.getPrivilege());
        			
                    return true;
                }
			}
            
        }
		
        log.info("PrivilegeInterceptor class ... method not allowed.Beacuse of no authority.");
        
		return false;
	}
 
	@Override
	public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler,
			ModelAndView modelAndView) throws Exception {
	}
 
	@Override
	public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex)
			throws Exception {
		
	}
 
}

Ps:这里的 二重 for 循环 可以改为 JDK1.8 的 并行流,提高效率。


2.3 注解的配置

@Documented
@Retention(value = RetentionPolicy.RUNTIME)
@Target(value = {ElementType.TYPE, ElementType.METHOD})
public @interface PrivilegeRequired {
    /**
     * The name/code of the privileges required
     * 
     * @return 
     */
    public Privilege[] value();
}

2.4 权限的配置:

@ToString
public enum Privilege {
	
	STAFF("STAFF"), //员工权限
	
	ADMIN("ADMIN");  //管理员权限
	
	private String privilege;
	
	private Privilege(String privilege){this.privilege = privilege;}
	
	public String getPrivilege(){
		return this.privilege;
	}
}

2.5 注解的使用:


在方法前(或者是类的前面)加入:
 

@PrivilegeRequired(Privilege.ADMIN)

2.6 总结:


          拦截器的配置 和 权限之间的对比都不是特别的困难。就是 注意 如何取得类前面的权限 和方法前面的权限。使用利用了  HandlerMethod,该类的对象可以被 handler强转,然后就可以取得目前要访问的方法,从而也有方法获得权限相关的信息,也可以获得类上面的信息。
               另外还有一个就是如何定义注解的问题。


三. 提升(白名单,默认全都要有权限)


          有些程序员(包括本人)经常会忘记在方法前面写权限限制,这是不好的习惯,也和程序员自身水平有关。上面的Demo 的做法是 不写权限的注解,那么就默认没有权限,所有人都可以访问,这样其实不是特别好,因为实际上有些是需要权限的,只是程序员忘了。
          所以另外一个解决办法可以是:默认所有的方法都不可以进入,需要权限才可以进入。如果实际上是真的不需要权限就可以进入,那么也要加一个 FreePrivilege 之类的注解。也就是说,没有权限也是权限的一种。

霍比特大狗
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SpringBoot 后台权限框架搭建
02-22
SpringBoot 后台权限框架搭建:主要实现后端权限管理系统,包括用户管理、 角色管理、部门管理、菜单管理等。 项目采用前后端分离模式开发,后端使用springboot+shiro+mybatis+MySQL等。前端选用Element UI框架,...
Spring Security学习笔记
Shawn的个人博客
05-09 1904
文章目录一、Security简介1、简介2、security框架快速搭建二、Spring Security认证1、登录校验流程2、SpringSecurity原理初探2.1 过滤器介绍2.2 认证流程详解3、SpringBoot整合前期准备3.1 思路分析3.2 数据库与框架搭建3.3 相应工具类创建4、自定义UserDetailsService5、自定义登录接口6、认证过滤器7、退出登录8、自定义认证(可选)三、Spring Security授权1、 权限系统初步介绍1.1 介绍1.2 授权基本流程1.3
Shiro权限管理框架
king220022的博客
04-11 1118
对于细颗粒度的权限管理不建议做成系统架构级别的功能,因为对数据级别的控制是系统的业务需求,随着业务需求的变更业务功能变化的可能性很大,建议对数据级别的权限控制在业务层个性化开发,比如:用户只允许修改自己创建的商品信息可以在service接口添加校验实现,service接口需要传入当前操作人的标识,与商品信息创建人标识对比,不一致则不允许修改商品信息。对资源类型的管理称为粗颗粒度权限管理,即只控制到菜单、按钮、方法,粗粒度的例子比如:用户具有用户管理的权限,具有导出订单明细的权限
【Spring Security系列】一文带你了解权限框架与Spring Security核心概念
小威的博客
04-15 1万+
权限框架是软件开发中用于管理用户权限和访问控制的工具。在企业或者我们毕设复杂的系统中,不同的用户或角色需要拥有不同的访问和操作权限,以确保系统的安全性和数据完整性。今天我们就讨论一下Java中的安全框架
权限管理框架】一文看懂Shiro权限管理框架
互联网小阿祥
11-03 2357
一文看懂Shiro权限管理框架
shiro入门
trasewell的博客
09-25 842
目录: 1.pom.xml 2.applicationContext.xml 3.applicationContext-mybatis.xml 4.SpringBaseTest 5.优化分页 1.pom.xml <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4...
shiro权限
天地无名
09-30 664
一、权限框架介绍 1.什么说权限框架? 权限说简单点就是我们字面理解的意思,项目中,例如普通用户和超级管理园 权限管理包括用户身份认证和授权两部分,简称认证授权。对于需要访问控制的资源用户首先经过身份认证,认证通过后用户具有该资源的访问权限方可访问。 1.1 用户身份认证 身份认证,就是判断一个用户是否为合法用户的处理过程。最常用的简单身份认证方式是系统通过核对用户输入的用户名和口令,看其是否与系统中存储的该用户的用户名和口令一致,来判断用户身份是否正确。对于采用指纹等系统,则出示指纹;对于硬件K
react+antd搭建后台管理框架
05-20
react+antd搭建前端管理框架(***支持响应式***),主要模块分为:菜单、选项卡、面包屑;通过路由监听,实现三个模块之间的联动(同时监听浏览器);状态采用react-redux进行集中管理。目前只包含前端代码,未与...
SSH框架搭建源码
10-19
这个压缩包文件"SSHdemo"提供了一个SSH框架搭建登录功能的示例,帮助开发者了解并实践如何整合这三个框架来构建一个完整的Web应用程序。 **Struts2** 是一个基于MVC(Model-View-Controller)设计模式的Java Web...
SSH2框架搭建实例源码
04-25
总的来说,SSH2框架搭建实例是一个学习和理解Java Web开发的好素材。通过实践这个项目,开发者可以深入理解如何整合三大框架,以及如何利用它们来实现常见的业务功能。同时,这也是提升数据库操作、MVC设计模式和...
winform权限管理系统框架
最新发布
05-09
Winform权限管理系统框架是一种基于Windows Forms(Winform)开发的,用于实现企业级应用权限控制的解决...通过研究和学习这个框架,可以快速搭建起自己的权限管理系统,同时也可以对其进行定制以满足特定业务需求。
一篇文章轻松搞定SpringSecurity权限框架
路漫漫其修远兮,吾将上下而求索
01-07 2611
Spring Security是非常流行的安全(权限框架,Web应用框架。主要有两大作用:一个是认证,一个是授权。本质上,它就是Filter过滤器。而且是过滤器链。SpringSecurity与Shiro的区别Spring Security的特点:Spring家族的,能很好的整合Spring。专门为Web应用开发设计的。提供专业全面的权限。重量级的。依赖于很多其他组件。在SSM中整合比Shiro麻烦。但在springboot中提供了自动配置方案。
权限管理+安全框架shiro+密码加密器
不惧困难 顽强拼搏
07-05 324
权限管理+安全框架shiro+使用shiro完成认证功能,完成授权功能+密码加密器+密码匹配器使用在shiro
权限架构~
weixin_44742328的博客
08-07 540
这种架构的优势就是当我们为了一个User 添加角色时 如果这个User 的角色比较多比如说他又是经理 又是项目管理者等角色 我们给他添加的时候就需要一个一个添加,这个时候我们就可以给这个将这个角色添加到一个group中,下一次有User还是这些角色我们就可以直接给他添加Group就可以了,就不用在一个一个添加,这就是这个架构的优势,但是这个架构要在角色较多的系统中才能体现出来,在角色较少是反而会成为累赘。④ user_to_resources(user跟role的中间表)② 角色表 Role。...
shiro权限框架
欢迎来到编程小栈
04-20 2291
文章目录Shiro架构与功能介绍1.认证与授权相关基本概念2.Shiro四大核心功能3.Shiro三个核心组件spring security和shiro的区别相同点:不同点:第一章 权限概述1、什么是权限2、认证概念【1】什么是认证【2】认证流程【3】关键对象3、授权概念【1】什么是授权【2】授权流程【3】关键对象第二章 Shiro概述1、Shiro简介【1】什么是Shiro?【2】Shiro 的特点2、核心组件第三章 Shiro入门1.1什么是shiro1.2shiro功能简介2.1外部来看Shiro2
Spring Security权限框架
热门推荐
皮卡丘博客
05-06 1万+
目录 为什么需要权限管理? 权限管理的核心是什么? 权限框架主要有? Spring Security Spring Security实战 1.搭建springbooot环境 2.只要能登录即可的例子 2.基于内存的权限设置 3.角色进行拦截 为什么需要权限管理? 安全性:误操作,人为破坏,数据泄露等 数据隔离:不同权限能看到及操作不...
Shiro权限管理框架详解
WGH100817的博客
01-25 1573
1 权限管理1.1 什么是权限管理 基本上涉及到用户参与的系统都要进行权限管理,权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。 权限管理包括用户身份认证和授权两部分,简称认证授权。对于需要访问控制的资源用户首先经过身份认证,认证通过后用户具有该资源的访问权限方可访问。 1.2 用户身份认证1.2...
Shiro权限控制+整合shiro
Armymans的博客
03-02 1万+
Shiro权限控制 0.1传统的权限认证方式 特点:为每个人单独的分配权限模块,能够实现权限控制,但是当公司人员庞大之后,非常难管理 上述权限控制如何设计表? 关系:员工和菜单权限的关系:多对多 员工id 菜单名称 1 取派管理 2 快递员管理 2 运单管理 好处:可以方便的 实现权限控制 缺陷:比如当修改权限的时候,公司统一的给组长级别的人 加一个“计算工资”权限,...
springboot 后台权限框架搭建
05-13
在使用SpringBoot开发Web应用程序时,如果需要为...以上步骤可以用来搭建后台权限框架,以确保只有授权的用户才能访问受保护的资源。实现后,可以通过使用Spring Security提供的安全注释保护希望限制访问的方法或URL。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值