eladmin框架之权限控制

最新推荐文章于 2024-06-01 09:50:29 发布
最新推荐文章于 2024-06-01 09:50:29 发布
阅读量3.5k 收藏 9
点赞数 3
文章标签: spring java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41585300/article/details/121486260
版权

     开始写之前:最近几个月一直在研究eladmin框架,在eladmin基础上实现自己的系统,由于这个开源框架的易用性和高效率,导致我并没有理解透彻框架本身,只是照葫芦画瓢的去做,几个月做下来学到的知识微乎其微。以前我也没有记录的习惯,即使遇到一个BUG,百度完了解决了,下次遇到同样的BUG还是同样是去百度解决,基于此,为了养成一个好的学习习惯,以后我要将学到的知识,遇到的问题,都记录于此,以供自己复盘和积累经验。

   新的一天开始啦———————————————————————————————————

   eladmin系统权限控制采用的是RBAC思想,由此构成“用户—权限—菜单”的授权模型,在这种模型中,用户与权限,权限与菜单之间构成了多对多的关系。eladmin系统采用的安全框架是Spring Security + Jwt Token,访问后端接口需在请求头中携带token进行访问,请求头格式如下:

1.Spring Security是什么?

   Spring Security是一个专注于为Java应用程序提供身份验证和授权、访问控制的框架。

   原理:创建大量的过滤器filter和拦截器interceptor来进行请求的验证和拦截,以此达到安全。

2.JWT(Json Web Tokens)是什么?

   JWT是一种开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间作为JSON对象安全地传输信息。

   JWT的基本原理,基本流程如下:

   (1)客户端使用账号和密码请求登录接口;

   (2)登录成功后服务器使用签名密钥生成JWT,然后返回JWT给客户端;

   (3)客户端再次像服务端请求其他接口时会带上JWT;

   (4)服务器收到JWT后验证签名的有效性,对客户端做出相应的响应。

   JWT的基本数据结构:它是由 Header(头部), PayLoad(负载),Signature(签名)组成的。

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJuYW1lIjoia29uZ3poaSIsImlhdCI6MTU0Mzc1MzczNX0.h1XmQo017udxlFsH-8US9Lg8dJ0IDsSbRbjEN5Nq0l4

3. 数据交互流程如下:

    用户登录 -> 后端验证登录返回 token -> 前端带上token请求后端数据 -> 后端返回数据。

4.权限注解:

   eladmin框架中Spring Security提供了Spring EL表达式,允许我们在定义接口访问的方法上面添加注解,来控制访问权限。下面的接口表示用户拥有admin、menu:edit权限中的任意一个就能能访问update方法, 如果方法不加@preAuthorize注解,意味着所有用户都需要带上有效的token后能访问update方法。

@Log(description = "修改菜单")
@PutMapping(value = "/menus")
@PreAuthorize("hasAnyRole('admin','menu:edit')")
public ResponseEntity update(@Validated @RequestBody Menu resources){
    // 略
}

   由于每个接口都需要给超级管理员放行,而使用hasAnyRole('admin','user:list')每次都需要重复的添加 admin 权限,因此在新版本 (2.3) 中加入了自定义权限验证方式,在验证的时候默认给拥有admin权限的用户放行。

/**
 * 自定义权限验证方式,在验证的时候默认给拥有admin权限的用户放行
 * @author Zheng Jie
 */
@Service(value = "el")
public class ElPermissionConfig {

    public Boolean check(String ...permissions){
        // 获取当前用户的所有权限
        List<String> elPermissions = SecurityUtils.getCurrentUser().getAuthorities().stream().map(GrantedAuthority::getAuthority).collect(Collectors.toList());
        // 判断当前用户的所有权限是否包含接口上定义的权限
        return elPermissions.contains("admin") || Arrays.stream(permissions).anyMatch(elPermissions::contains);
    }
}

 使用方式:

@PreAuthorize("@el.check('user:list','user:add')")

  接口放行:

  有些接口是不需要验证权限的,这个时候就需要我们给接口放行,使用方式如下:

(1)使用注解方式:只需要在Controller的方法上加入该注解即可

@AnonymousAccess

 

分割线————————————————————————————————————————

当我在页面想自己实现权限控制的时候,SecurityUtils是一个很有用的类,这个类中定义了获取当前登录的用户的相关信息可以供我们在查询时添加条件以此实现对数据显示的权限控制,因为目前框架实现的是对菜单、增删改查的控制,所以当我们想对前端显示的数据根据不同角色进行控制时,就可以在前端通过JPA的criteria查询增加条件实现,但需要注意的是,比如同时有两个条件时,查询的是两个条件的并集,如果查询两个条件的交集,还需要在serviceImpl中自定义实现:

controller层先将criteria进行赋值,service层查询时就会查=该条件的值

并集:

@GetMapping(value = "/user")
    @ApiOperation("用户日志查询")
    public ResponseEntity<Object> queryUserLog(LogQueryCriteria criteria, Pageable pageable){
        criteria.setLogType("INFO");
        criteria.setBlurry(SecurityUtils.getCurrentUsername());
        return new ResponseEntity<>(logService.queryAllByUser(criteria,pageable), HttpStatus.OK);
    }


 @Override
    public Object queryAllByUser(LogQueryCriteria criteria, Pageable pageable) {
        Page<Log> page = logRepository.findAll(((root, criteriaQuery, cb) -> QueryHelp.getPredicate(root, criteria, cb)), pageable);
        return PageUtil.toPage(page.map(logSmallMapper::toDto));
    }

 交集:

@Override
    public Map<String, Object> findByCurrentUser(AllResourcesDto query, Pageable pageable) {
        Sort sort = Sort.by(Sort.Direction.DESC, "id");
        List<Requirement> requirements = requirementRepository.findAll((root, criteriaQuery, criteriaBuilder) -> QueryHelp.getPredicate(root, criteria, criteriaBuilder),sort);
        List<RequirementDto> requirement = new ArrayList<>();
        String username = criteria.getCreateBy();
        String deptname = criteria.getDeptName();
        for (int i=0; i<requirements.size(); i++){
            if (requirements.get(i).getCreateBy().equals(username) || requirements.get(i).getDept().getName().equals(deptname) ){

                    requirement.add(requirementMapper.toDto(requirements.get(i)));
                    Long requirementId = requirements.get(i).getId();
                    List<String> projectName = requirementRepository.findProjectName(requirementId);
                    String projectNames = "";
                    for (int j=0; j<projectName.size(); j++){
                        projectNames += projectName.get(j)+".";
                    }
                    requirement.get(requirement.size()-1).setProjectNames(projectNames);
                }

        }
        return PageUtil.toPage(
                PageUtil.toPage(pageable.getPageNumber(),pageable.getPageSize(), requirement),
                requirement.size()
        );
	}

当我们想根据当前用户的等级控制前端可编辑字段时,我们可以在后端获取当前用户的等级并传递给前端,前端通过函数取得当前用户的等级后,在form表单中根据等级数据进行可编辑控制:

@Override
    public int getPower() {
        List<Integer> levels = roleService.findByUsersId(SecurityUtils.getCurrentUserId()).stream().map(RoleSmallDto::getLevel).collect(Collectors.toList());
        int min = Collections.max(levels);
        return min;
    }


@ApiOperation("获取权限值")
    @AnonymousPostMapping("/getPowers")
    @AnonymousAccess
    public ResponseEntity<Object> getPowers(){
        return new ResponseEntity<>(requirementService.getPower(), HttpStatus.OK);
    }
getPowers() {
        let form = new FormData();
        axios({
          method: "post",
          url: "/api/requirements/getPowers",
          headers: {
            "Content-type": "multipart/form-data",
            Authorization: getToken(),
          },
          data: form,
        }).then(
          (res) => {
            this.power = res.data
          },
          (err) => {
          }
        );
      },


[CRUD.HOOK.beforeRefresh](crud, form) {
        this.getPowers()
      },
<el-form-item label="备注" width="125" prop="comments">
<el-input type="textarea" autosize v-model="form.comments" :disabled="power>2 && grant === 0"/>
</el-form-item>

 

 

认真学习的morning
关注
  • 3
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
ELADMIN-05 v-permission自定义指令实现元素的权限控制
kandan_cc的博客
01-07 1046
是一个自定义指令,它在文件中定义。这个自定义指令用于控制元素的显示权限。在文件中,定义了一个名为permission的对象,这个对象包含了一个inserted方法。这个inserted方法是Vue自定义指令的一个钩子函数,它会在被绑定的元素插入到父节点时被调用。insertedel和binding。el是被绑定的元素,binding是一个对象,包含了一些关于指令的信息,例如指令的参数、修饰符、绑定值等。在inserted方法中,首先从binding对象中获取绑定值value,这个值是一个权限标识数组。
eladmin按钮权限分配超详情很简单
EEstefan的博客
10-03 1625
前言 在最近的项目中,有对于不同用户分配不同权限的需求,以前写的时候知识跟着用,这次按照 登录-刷新-验证 打算自己去看一遍(使用element-ui) 话不多说,本文我分为两个角色去瞅一眼 管理员 登录 在login.vue页面 handleLogin() { this.$refs.loginForm.validate((valid) => { console.log(valid) const user = { username:
ELADMIN:全方位打造高效后台管理系统的利器!
最新发布
gitblog_00058的博客
06-01 271
ELADMIN:全方位打造高效后台管理系统的利器! 项目地址:https://gitcode.com/elunez/eladmin-mp 项目介绍 ELADMIN是一款基于最新技术栈构建的后台管理系统,它集成了Spring Boot 2.6.4、Mybatis-Plus、JWT、Spring Security、Redis和Vue等主流技术,旨在提供高效、安全、易扩展的管理界面。通过详细的开发文档和...
开源框架EL-ADMIN开发自己的 web应用(5)-后端权限控制
ws6afa88的博客
09-09 2966
第(4)节,我们已经对代码生器生成的界面“我的岗位管理”进行了优化,可以看到,已经与原eladmin的“岗位管理”基本一致,现在我们来看看eladmin是怎么定义权限控制的,我们如何应用到我们自己的界面当中。 1. 权限注解 首先用IDEA打开后端“我的岗位管理”的gen模块中的rest层(也就是Controller层),如下图: 可以看到标红的注解@PreAuthorize("@el.check(‘myJob:list’)"),这是什么意思呢?在IDEA环境下,按住ctrl键点击@el.check,可以
EL-ADMIN运行前端报错解决
hnzyycsdn的博客
01-19 876
可能是因为之前安装的方法错误,导致依赖不对,所以在安装的时候要进行重构,执行npm rebuild node-sass 就可以进行重构了。
什么是接口测试?这篇文章让你明白
程序员小谭的博客
12-09 3273
大家好,我是测试奇谭的作者风风。 要成为一名合格的测试工程师,接口测试相关的知识和技能,是不可缺少的。如今,我们随便打开一个大公司的JD,上面基本会要求接口测试经验。 那么,接口测试到底要测些什么? 我相信很多小伙伴跟几年前初入测试行业的我一样,对这个概念十分模糊。我的第一份工作,完全没有接触接口测试,我的第二份工作,又是纯接口测试,并且是没有任何UI界面,完全靠数据、任务驱动的后端接口测试工作。 因此,为了避免小伙伴们走弯路浪费时间,我打算做一个接口测试系列,把一些干货分享给大家。 接口 .
vue-element-admin登录报错405 Method Not Allowed
上善若水的博客
12-30 2979
main.js import { mockXHR } from ‘…/mock’ // if (process.env.NODE_ENV === ‘production’) { mockXHR() // } 把 “production” 改成 “development”即可,或者把这个判断语句去掉 在 development 环境下,启用mock服务 ...
eladmin 后台管理框架 前端源码
04-04
- **在eladmin中的应用**:eladmin 使用 Spring Security 进行权限控制,实现用户登录验证、角色权限分配,以及页面访问控制等功能。 4. **Redis** - **简介**:Redis 是一个开源的内存数据结构存储系统,可用作...
eladmin_java_eladmin权限管理_eladmin管理系统_eladmin_
10-03
eladmin 的核心功能之一就是权限管理,它实现了RBAC(Role-Based Access Control)模型,通过角色来控制用户的权限。用户可以被赋予不同角色,每个角色拥有不同的权限,包括访问特定的菜单、执行特定的操作等。这种...
eladmin.zip
02-22
6. **权限控制**: eladmin 通常会集成 RBAC(Role-Based Access Control)权限模型,用户通过角色与权限进行关联,实现灵活的权限分配。这有助于保护敏感数据和操作,确保系统安全。 7. **模块化设计**: eladmin ...
eladmin-master_eladmin_
09-30
- **菜单及权限**:eladmin有完善的权限控制机制,通过角色分配不同的菜单权限,实现不同级别的操作权限。 - **数据字典**:用于管理系统的静态数据,方便数据维护和更新。 - **日志管理**:系统记录用户的操作...
eladmin-doc:EL-ADMIN文档
02-05
这个压缩包包含的"eladmin-doc-master"目录是整个文档的源码,供开发者学习和参考。 **1. EL-ADMIN项目介绍** EL-ADMIN是一款基于SpringBoot 2.x开发的后台管理系统,它提供了丰富的功能模块,如权限管理、系统日志...
自定义注解获取当前登录人信息
xu990128638的专栏
10-28 847
import java.lang.annotation.*; /** * * 获取当前登录人信息 * 该注解可用于 类 ,方法,参数上 * @author * @since 2020-06-18 */ @Documented @Retention(RetentionPolicy.RUNTIME) @Target({ElementType.TYPE, ElementType.METHOD,ElementType.PARAMETER}) public @interface TaiJi...
封装了请求拦截器,每次请求都是携带token,但是某一个接口不想携带token,
PRN_20_6_1的博客
06-23 642
封装了请求拦截器统一携带token,但是某个接口不想携带token
SpringSecurity 配置(登陆验证,session失效等等)
共勉
09-28 1979
SpringSecurity安全配置—SSH整合 项目中使用了SpringSecurity,将SpringSecurity安全配置整理出来,实现SpringSecurity安全配置登陆,供需要的朋友参考 使用Springsecurity首先要提的就是jar包了,Springsecurity的jar下载地址:http://static.springsource.org/spring-secur...
EL-ADMIN学习笔记
09-17 663
EL-ADMIN学习笔记 一,支持接口限流,避免恶意请求导致服务层压力过大 常见的限流功能一般有两个关注点: 1.限流原则,即以什么样的条件对请求进行识别以及放行。常见的作法是给予每个调用API的系统不同的唯一编码,用于监控某一编码的调用是否超出上限。 2.限流机制,即通过什么样的机制实现限流。常见的作法是通过Redis中Key的TTL失效机制来限制访问频率。 比较常见的处理方案是使用Redis中Key的TTL失效机制来限制访问频率,然后通过切面实现处理限流逻辑,并使用自定义注解将零散的关注点集中
Vue element-admin权限控制 之 按钮
这个柠檬有丶酸的博客
05-01 2853
在项目中一般的权限控制都是精确到按钮的分配,那么在 elemen-admin中如何实现这一操作呢 第一步 需要创建 hasPermi.js 当然名称可以自定义这个js文件是做权限的匹配的 /** * v-hasPermi 操作权限处理 */ import store from '@/store' function checkPermission(el, binding) { const { value } = binding //通用权限测试用的偷懒的写法 const al.
vue+elementUI中el-check的小bug
Binary的博客
03-18 334
vue+elementUI中el-check的小bug vue+elementUI中多个按钮调用同一个组件(内含表单),其中el-check选中后关闭,再次打开此组件会造成选中状态没有消失 这时可以给el-form表单增加:key属性 例如: 第一次打开后选中红色方框中两个按钮 关闭后再打开发现选中状态没有消失(虽然是选中状态,但保存后没有值) 解决方法如下: ...
详细介绍一下eladmin框架和diboot框架
08-06
### 回答1: eladmin是一款基于springboot + vue 前后端分离的开源快速开发平台,它采用了最新的前端技术栈,支持多种登录方式,拥有完善的接口文档及自动化测试,可以帮助开发者更快捷的搭建一个企业级中后台产品。diboot是一个基于Springboot的快速开发框架,它提供了一系列的功能,例如快速构建后台管理系统、快速实现数据库操作、简洁的权限控制、RESTful API封装、灵活的组织机构配置等,可以帮助开发者快速构建一个中后台产品。 ### 回答2: Eladmin框架是一种基于Spring Boot和Vue的开源后台管理系统框架。它提供了丰富的功能和灵活的配置选项,可以快速开发出高质量和易于维护的后台管理系统。 Eladmin框架的主要特点有以下几点: 1.权限管理:Eladmin框架提供了灵活的用户、角色和权限管理功能,可以根据实际需求进行配置和扩展。 2.代码生成器:Eladmin框架内置了代码生成器,可以根据数据库表结构自动生成基础的增删改查接口和前端代码,大大提高了开发效率。 3.多租户支持:Eladmin框架支持多租户模式,可以为不同的租户提供定制化的功能和界面。 4.日志管理:Eladmin框架提供了日志管理功能,可以记录用户的操作日志,方便追溯和审计。 5.数据可视化:Eladmin框架集成了Echarts图表库,可以简单地生成各种图表,帮助用户实时监控和分析数据。 Diboot框架是一种基于Spring Boot的开源快速开发框架。它采用了轻量级、模块化和灵活的设计理念,致力于提供更简单、高效和易于扩展的开发体验。 Diboot框架的主要特点有以下几点: 1.简化开发:Diboot框架提供了一系列的简化开发工具,例如注解、代码生成器和模板引擎等,可以大大减少开发工作量。 2.灵活配置:Diboot框架支持灵活的配置选项和可插拔的模块,可以根据实际需求进行定制和扩展。 3.强大的数据绑定:Diboot框架支持强大的数据绑定功能,可以将前端请求参数与后端实体对象进行自动映射,大大简化了数据处理的过程。 4.多数据库支持:Diboot框架可以很好地支持多种数据库,如MySQL、Oracle和SQL Server等,开发人员可以根据需求选择适合的数据库进行开发。 5.安全性和稳定性:Diboot框架对安全性和稳定性的要求非常高,采用了一系列的安全机制和异常处理策略,保证了系统的可靠性和可扩展性。 总的来说,Eladmin框架和Diboot框架都是优秀的开源框架,它们提供了丰富的功能和便捷的开发工具,可以帮助开发人员快速构建高质量的后台管理系统和业务应用。 ### 回答3: eladmin框架是一款基于Spring Boot和Spring Security开发的开源后台管理系统。它提供了一套快速构建后台管理系统的解决方案,包含了用户管理、角色管理、菜单管理、日志管理等常用功能模块。eladmin框架还集成了代码生成器,可以根据数据库表结构自动生成前后端代码,大大提高了开发效率。 eladmin框架采用前后端分离的架构,前端使用了Vue.js框架、ElementUI组件库等技术,实现了响应式的管理界面。同时,eladmin框架提供了丰富的API接口,方便客户端进行数据的交互和访问。 另外,eladmin框架还实现了权限管理功能,可以灵活地定义角色和权限,并进行精确的访问控制。它还内置了日志管理功能,可以对系统的操作日志进行记录和查看,方便系统的监控和追踪。 diboot框架是一款基于Spring Boot开发的低代码开发框架,旨在提高开发效率和代码质量。diboot框架采用了注解驱动的开发方式,通过减少手写重复代码的方式,大大简化了开发流程。 diboot框架提供了一套简洁易用的API接口,可以轻松实现数据的增删改查操作。它支持多种数据库类型,包括MySQL、Oracle、SQL Server等,并提供了数据库操作的封装,方便开发人员进行数据库的操作和管理。 diboot框架还提供了权限管理功能,可以根据角色和权限进行精确的访问控制。同时,diboot框架支持多租户架构,可以为不同的租户提供独立的数据和功能,满足多租户场景的需求。 总的来说,eladmin框架和diboot框架都是基于Spring Boot开发的高效开发框架,它们都提供了丰富的功能和易用的API接口,可以帮助开发人员快速构建高质量的后台管理系统。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值