架构师一1.功能权限

已于 2023-12-07 15:32:55 修改
阅读量225 收藏 1
点赞数
文章标签: 架构设计
于 2023-12-07 15:31:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38564282/article/details/134855562
版权

1. RBAC 权限模型

系统采用 RBAC 权限模型,全称是 Role-Based Access Control 基于角色的访问控制。

简单来说,每个用户拥有多个角色,每个角色拥有多个菜单,菜单中存在菜单权限、按钮权限。这样,就形成了 “用户<->角色<->菜单” 的授权模型。 在这种模型中,用户与角色、角色与菜单之间构成了多对多的关系 

介绍完权限的设计思路接下看一下实现思路

2. Token 认证机制

安全框架使用的是 Spring Security+ Token 方案,整体流程如下图所示:

① 前端调用登录接口,使用账号密码获得到认证 Token。响应示例如下:

{
  "code":0,
  "msg":"",
  "data":{
    "token":"d2a3cdbc6c53470db67a582bd115103f"
  }
}

管理后台的登录实现:(....省)

用户 App 的登录实现(....省)

疑问:为什么不使用 Spring Security 内置的表单登录?

Spring Security 的登录拓展起来不方便,例如说验证码、三方登录等等。

Token 存储在数据库中,对应 system_oauth2_access_token 访问令牌表的 id 字段。考虑到访问的性能,缓存在 Redis 的 oauth2_access_token:%s 

疑问:为什么不使用 JWT(JSON Web Token)?

JWT 是无状态的,无法实现 Token 的作废,例如说用户登出系统、修改密码等等场景。

推荐阅读 《还分不清 Cookie、Session、Token、JWT?》 (opens new window)文章。

默认配置下,Token 有效期为 30 天,可通过 system_oauth2_client 表中 client_id = default 的记录进行自定义: 

  • 修改 access_token_validity_seconds 字段,设置访问令牌的过期时间,默认 1800 秒 = 30 分钟
  • 修改 refresh_token_validity_seconds 字段,设置刷新令牌的过期时间,默认 43200 秒 = 30 天
② 前端调用其它接口,需要在请求头带上 Token 进行访问。请求头格式如下:

### Authorization: Bearer 登录时返回的 Token
Authorization: Bearer d2a3cdbc6c53470db67a582bd115103f
  • 具体的代码实现,可见TokenAuthenticationFilter 过滤器

考虑到使用 Postman、Swagger 调试接口方便,提供了 Token 的模拟机制。请求头格式如下:

### Authorization: Bearer test用户编号
Authorization: Bearer test1
其中 "test" 可自定义,配置项如下:

### application-local.yaml

yudao:
  security:
    mock-enable: true # 是否开启 Token 的模拟机制
    mock-secret: test # Token 模拟机制的 Token 前缀

3. 权限注解

3.1 @PreAuthorize 注解

@PreAuthorize是 Spring Security 内置的前置权限注解,添加在接口方法上,声明需要的权限,实现访问权限的控制。

① 基于【权限标识】的权限控制

权限标识,对应 system_menu 表的 permission 字段,推荐格式为 ${系统}:${模块}:${操作},例如说 system:admin:add 标识 system 服务的添加管理员。

使用示例如下:

// 符合 system:user:list 权限要求
@PreAuthorize("@ss.hasPermission('system:user:list')")

// 符合 system:user:add 或 system:user:edit 权限要求即可
@PreAuthorize("@ss.hasAnyPermissions('system:user:add,system:user:edit')")

② 基于【角色标识】的权限控制

权限标识,对应 system_role 表的 code 字段, 例如说 super_admin 超级管理员、tenant_admin 租户管理员。

使用示例如下:

// 属于 user 角色
@PreAuthorize("@ss.hasRole('user')")

// 属于 user 或者 admin 之一
@PreAuthorize("@ss.hasAnyRoles('user,admin')")

实现原理是什么?

当 @PreAuthorize 注解里的 Spring EL 表达式返回 false 时,表示没有权限。

而 @PreAuthorize("@ss.hasPermission('system:user:list')") 表示调用 Bean 名字为 ss 的 #hasPermission(...) 方法,方法参数为 "system:user:list" 字符串。ss 对应的 Bean 是 类,所以你只需要去看该方法的实现代码

3.2 @PreAuthenticated 注解

@PreAuthenticated是项目自定义的认证注解,添加在接口方法上,声明登录的用户才允许访问。

主要使用场景是,针对用户 App 的 /app-app/** 的 RESTful API 接口,默认是无需登录的,通过 @PreAuthenticated 声明它需要进行登录。使用示例如下:

// AppAuthController.java

@PostMapping("/update-password")
@Operation(summary = "修改用户密码", description = "用户修改密码时使用")
@PreAuthenticated
public CommonResult<Boolean> updatePassword(@RequestBody @Valid AppAuthUpdatePasswordReqVO reqVO) {
    // ... 省略代码
}

具体的代码实现。PreAuthenticatedAspect 

4. 自定义权限配置

默认配置下,管理后台的 /admin-api/** 所有 API 接口都必须登录后才允许访问,用户 App 的 /app-api/** 所有 API 接口无需登录就可以访问。

如下想要自定义权限配置,设置定义 API 接口可以匿名(不登录)进行访问,可以通过下面三种方式:

4.1 方式一:自定义 AuthorizeRequestsCustomizer 实现

每个 Maven Module 可以实现自定义的 AuthorizeRequestsCustomizer Bean,额外定义每个 Module 的 API 接口的访问规则。例如说 yudao-module-infra 模块的 SecurityConfiguration 类,代码如下:

@Configuration("infraSecurityConfiguration")
public class SecurityConfiguration {

    @Value("${spring.boot.admin.context-path:''}")
    private String adminSeverContextPath;

    @Bean("infraAuthorizeRequestsCustomizer")
    public AuthorizeRequestsCustomizer authorizeRequestsCustomizer() {
        return new AuthorizeRequestsCustomizer() {

            @Override
            public void customize(ExpressionUrlAuthorizationConfigurer<HttpSecurity>.ExpressionInterceptUrlRegistry registry) {
                // Swagger 接口文档
                registry.antMatchers("/swagger-ui.html").anonymous()
                        .antMatchers("/swagger-resources/**").anonymous()
                        .antMatchers("/webjars/**").anonymous()
                        .antMatchers("/*/api-docs").anonymous();
                // Spring Boot Actuator 的安全配置
                registry.antMatchers("/actuator").anonymous()
                        .antMatchers("/actuator/**").anonymous();
                // Druid 监控
                registry.antMatchers("/druid/**").anonymous();
                // Spring Boot Admin Server 的安全配置
                registry.antMatchers(adminSeverContextPath).anonymous()
                        .antMatchers(adminSeverContextPath + "/**").anonymous();
            }

        };
    }

}

友情提示

  • permitAll() 方法:所有用户可以任意访问,包括带上 Token 访问
  • anonymous() 方法:匿名用户可以任意访问,带上 Token 访问会报错

如果你对 Spring Security 了解不多,可以阅读艿艿写《芋道 Spring Boot 安全框架 Spring Security 入门 》。

4.2 方式二:@PermitAll 注解

在 API 接口上添加@PermitAll注解,示例如下:

// FileController.java
@GetMapping("/{configId}/get/{path}")
@PermitAll
public void getFileContent(HttpServletResponse response,
                           @PathVariable("configId") Long configId,
                           @PathVariable("path") String path) throws Exception {
    // ...
}

4.3 方式三:yudao.security.permit-all-urls 配置项

在 application.yaml 配置文件,通过 yudao.security.permit-all-urls 配置项设置,示例如下:

yudao:
  security:
    permit-all-urls:
      - /admin-ui/** # /resources/admin-ui 目录下的静态资源
      - /admin-api/xxx/yyy

杭州架构师
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
首页的架构以及权限
宠歆小王子的博客
10-25 175
  &lt;uses-permission android:name="android.permission.INTERNET" /&gt; &lt;uses-permission android:name="android.permission.MOUNT_UNMOUNT_FILESYSTEMS" /&gt; &lt;uses-permission android:name="android...
架构师论文范文.docx
05-09
该项目采用了一种层次化的软件架构,包括应用层、服务层和数据层,旨在满足教育平台的需求,如一对一欧美外教视频教学、社交圈、公众直播等功能。 首先,软件架构风格的选择对于系统设计至关重要,它定义了系统的...
通用权限架构设计
weixin_30571465的博客
11-12 215
权限架构设计 一、设计说明 由于现在系统的设计具有很多不可知的因素,可能存在未来的扩展,故此,在设计本权限架构时,尽可能的顾及到了未来的系统扩充和可操作性、可维护性。把此权限架构作为一个独立的模块进行开发,方便未来的其他系统应用。 设计说明: 本架构采用树型权限模型处理,所有节点,都可以作为权限的实体存在。 如: |--权限A |---...
ruoyiAPI 接口无需登录就可以访问的配置
最新发布
z3zz3691的博客
06-14 903
默认配置下,管理后台的所有 API 接口都必须登录后才允许访问,用户 App 的所有 API 接口无需登录就可以访问。每个 Maven Module 可以实现自定义的Bean,额外定义每个 Module 的 API 接口的访问规则。例如说模块的类,代码如下:@Override// Swagger 接口文档// Spring Boot Actuator 的安全配置// Druid 监控// Spring Boot Admin Server 的安全配置@Override。
权限架构~
weixin_44742328的博客
08-07 542
这种架构的优势就是当我们为了一个User 添加角色时 如果这个User 的角色比较多比如说他又是经理 又是项目管理者等角色 我们给他添加的时候就需要一个一个添加,这个时候我们就可以给这个将这个角色添加到一个group中,下一次有User还是这些角色我们就可以直接给他添加Group就可以了,就不用在一个一个添加,这就是这个架构的优势,但是这个架构要在角色较多的系统中才能体现出来,在角色较少是反而会成为累赘。④ user_to_resources(user跟role的中间表)② 角色表 Role。...
权限架构0408
weixin_44718708的博客
04-08 84
设计的权限架构
初探系列 — Pharbers用于单点登录的权限架构
weixin_34161032的博客
11-05 102
一. 前言 就职公司 法伯科技是一家以数据科技为驱动, 专注于医药健康领域的循证咨询公司. 以数据科学家身份, 赋能医药行业. 让每位客户都能享受数据带来的价值, 洞察业务, 不止于数据, 让决策更精彩。 法伯拥有多套自主研发的数据分析工具, 为企业带来高效, 便捷, 实用的解决方案. MAX © :市场动态监测工具 TMIST © :铁马区域管理模拟平台 PET © :推广评估优化工具 适用...
Linux云计算架构师千页资料(新版).pdf
08-11
Linux云计算架构师千页资料是针对想要深入了解Linux和云计算领域的新手所设计的一份详尽教程。这份资料从Linux的基础开始讲解,逐步引导读者进入云计算的高级架构设计。以下是其中涉及的一些关键知识点: 1. **...
系统架构设计师模拟试题3.doc
10-26
1. 设计职务工资关系的数据库约束:在设计职务工资关系的数据库时,需要确保任何一名员工的工资值必须在其职务对应的工资范围之内。这可以通过建立“EMP 职务”向“P 职务”的参照完整性约束来实现。 2. 统一软件...
系统架构设计师模拟试题8.doc
10-26
【系统架构设计师模拟试题8】 1. 在客户机/服务器系统开发中,分布式数据和应用结构(C)意味着数据层和数据处理层位于服务器,而应用逻辑层、表示逻辑层和表示层则位于客户机。这种结构使得客户端可以处理用户交互...
Java架构师面试题
01-18
Java架构师面试题涵盖了许多关键领域,包括J2EE开发、大数据处理、日志管理、权限分配、服务扩展性、负载均衡、性能调优、系统整合、软件开发模型、云计算理解以及框架比较与安全性分析。以下是对这些知识点的详细...
Saas架构和权限设计
08-01
干货分享,强烈推荐!基于多租户的Saas架构和权限系统设计。
架构的核心---权限
weifaqiang的博客
06-03 1813
一、权限管理综述 通观系统,用户和系统使用范围之间的关系被称作权限权限是可以被定义的,即是这种关系是可以被定义的,这种关系的对象就是用户和系统使用范围;用户有各种各样的分类,一般是按部门,也可以按属性进行分类;系统使用的范围,一般都有各级菜单,菜单里面是页面,页面上面是操作,操作里面有数据,数据里面有字段等等,粒度越来越细,权限管理越来越精准,可定义,很灵活。 二、普通权限管理回顾
权限系统 RGCA 四步架构法
微软技术栈
08-24 1294
在目标阶段提出了与解决方案无关的过程:拦截,一个模糊抽象的过程,没有说明由谁来拦截,以什么方式来拦截与解决方案无关的操作对象:受保护的资源,一个抽象的对象,由需求导出了对象的分类,但是仍然没有特别具体,没有具体的场景到了概念阶段需要提出具体解决方案过程:从解决方案不相关,到与解决方案相关解决方案是帮助我们解决问题的,在目标阶段大致定义了需要解决什么问题,功能层面只是说明了产品的优势具体的解决方案是在概念阶段提出的,它体现出如何把功能进行详细的描述,所以需要推导到到与解决方案相关的场面。
权限框架Shiro入门,功能简介和架构。
ipllt
03-05 479
Apache Shiro 是 Java 的一个安全(权限)框架。 Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE 环境,也可以用在 JavaEE 环境。 Shiro 可以完成:认证、授权、加密、会话管理、与Web 集成、缓存等功能。 下载地址:http://shiro.apache.org 功能简介 • Authentication:身份认证/登录,验证用户是不是拥有相...
【shiro】权限框架——基础篇
qq_43097451的博客
11-30 836
shiro是什么 Apache Shiro是一个强大且易用的Java安全框架,有身份验证、授权、密码学和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。 shiro的作用 Shiro 开发团队称为“应用程序的四大基石” ——身份验证,授权,会话管理和加密作为其目标。 Authentication(身份认证) : ...
一:shiro简介、权限管理、核心架构(p1~p3)
张老师的博客
09-06 251
(视频:https://www.bilibili.com/video/BV1uz4y197Zm?from=search&seid=14549578519459407376&spm_id_from=333.337.0.0) 一:Shiro 简介: 1) 2) 3) 4) 5) 二:权限管理: 1)什么是 权限管理:(认证授权) ...
【若依】@PreAuthorize
weixin_45995287的博客
12-01 7314
Spring Security提供了Spring EL表达式,允许我们在定义接口访问的方法上面添加注解,来控制访问权限来源于若依官方文档,记一下帮助记忆!
系统架构设计师 pan.baidu.com
07-09
系统架构设计师需要设计合理的身份验证和权限管理机制,以保护用户数据不被非法获取和篡改。 综上所述,作为系统架构设计师,我将通过分析和规划、设计数据存储方案、考虑平台的扩展性和可维护性以及关注系统的安全...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

杭州架构师

你的鼓励你创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值