eladmin框架之权限控制

最新推荐文章于 2024-05-09 17:48:37 发布
最新推荐文章于 2024-05-09 17:48:37 发布
阅读量3.5k 收藏 8
点赞数 3
文章标签: spring java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41585300/article/details/121486260
版权

     开始写之前:最近几个月一直在研究eladmin框架,在eladmin基础上实现自己的系统,由于这个开源框架的易用性和高效率,导致我并没有理解透彻框架本身,只是照葫芦画瓢的去做,几个月做下来学到的知识微乎其微。以前我也没有记录的习惯,即使遇到一个BUG,百度完了解决了,下次遇到同样的BUG还是同样是去百度解决,基于此,为了养成一个好的学习习惯,以后我要将学到的知识,遇到的问题,都记录于此,以供自己复盘和积累经验。

   新的一天开始啦———————————————————————————————————

   eladmin系统权限控制采用的是RBAC思想,由此构成“用户—权限—菜单”的授权模型,在这种模型中,用户与权限,权限与菜单之间构成了多对多的关系。eladmin系统采用的安全框架是Spring Security + Jwt Token,访问后端接口需在请求头中携带token进行访问,请求头格式如下:

1.Spring Security是什么?

   Spring Security是一个专注于为Java应用程序提供身份验证和授权、访问控制的框架。

   原理:创建大量的过滤器filter和拦截器interceptor来进行请求的验证和拦截,以此达到安全。

2.JWT(Json Web Tokens)是什么?

   JWT是一种开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间作为JSON对象安全地传输信息。

   JWT的基本原理,基本流程如下:

   (1)客户端使用账号和密码请求登录接口;

   (2)登录成功后服务器使用签名密钥生成JWT,然后返回JWT给客户端;

   (3)客户端再次像服务端请求其他接口时会带上JWT;

   (4)服务器收到JWT后验证签名的有效性,对客户端做出相应的响应。

   JWT的基本数据结构:它是由 Header(头部), PayLoad(负载),Signature(签名)组成的。

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJuYW1lIjoia29uZ3poaSIsImlhdCI6MTU0Mzc1MzczNX0.h1XmQo017udxlFsH-8US9Lg8dJ0IDsSbRbjEN5Nq0l4

3. 数据交互流程如下:

    用户登录 -> 后端验证登录返回 token -> 前端带上token请求后端数据 -> 后端返回数据。

4.权限注解:

   eladmin框架中Spring Security提供了Spring EL表达式,允许我们在定义接口访问的方法上面添加注解,来控制访问权限。下面的接口表示用户拥有admin、menu:edit权限中的任意一个就能能访问update方法, 如果方法不加@preAuthorize注解,意味着所有用户都需要带上有效的token后能访问update方法。

@Log(description = "修改菜单")
@PutMapping(value = "/menus")
@PreAuthorize("hasAnyRole('admin','menu:edit')")
public ResponseEntity update(@Validated @RequestBody Menu resources){
    // 略
}

   由于每个接口都需要给超级管理员放行,而使用hasAnyRole('admin','user:list')每次都需要重复的添加 admin 权限,因此在新版本 (2.3) 中加入了自定义权限验证方式,在验证的时候默认给拥有admin权限的用户放行。

/**
 * 自定义权限验证方式,在验证的时候默认给拥有admin权限的用户放行
 * @author Zheng Jie
 */
@Service(value = "el")
public class ElPermissionConfig {

    public Boolean check(String ...permissions){
        // 获取当前用户的所有权限
        List<String> elPermissions = SecurityUtils.getCurrentUser().getAuthorities().stream().map(GrantedAuthority::getAuthority).collect(Collectors.toList());
        // 判断当前用户的所有权限是否包含接口上定义的权限
        return elPermissions.contains("admin") || Arrays.stream(permissions).anyMatch(elPermissions::contains);
    }
}

 使用方式:

@PreAuthorize("@el.check('user:list','user:add')")

  接口放行:

  有些接口是不需要验证权限的,这个时候就需要我们给接口放行,使用方式如下:

(1)使用注解方式:只需要在Controller的方法上加入该注解即可

@AnonymousAccess

 

分割线————————————————————————————————————————

当我在页面想自己实现权限控制的时候,SecurityUtils是一个很有用的类,这个类中定义了获取当前登录的用户的相关信息可以供我们在查询时添加条件以此实现对数据显示的权限控制,因为目前框架实现的是对菜单、增删改查的控制,所以当我们想对前端显示的数据根据不同角色进行控制时,就可以在前端通过JPA的criteria查询增加条件实现,但需要注意的是,比如同时有两个条件时,查询的是两个条件的并集,如果查询两个条件的交集,还需要在serviceImpl中自定义实现:

controller层先将criteria进行赋值,service层查询时就会查=该条件的值

并集:

@GetMapping(value = "/user")
    @ApiOperation("用户日志查询")
    public ResponseEntity<Object> queryUserLog(LogQueryCriteria criteria, Pageable pageable){
        criteria.setLogType("INFO");
        criteria.setBlurry(SecurityUtils.getCurrentUsername());
        return new ResponseEntity<>(logService.queryAllByUser(criteria,pageable), HttpStatus.OK);
    }


 @Override
    public Object queryAllByUser(LogQueryCriteria criteria, Pageable pageable) {
        Page<Log> page = logRepository.findAll(((root, criteriaQuery, cb) -> QueryHelp.getPredicate(root, criteria, cb)), pageable);
        return PageUtil.toPage(page.map(logSmallMapper::toDto));
    }

 交集:

@Override
    public Map<String, Object> findByCurrentUser(AllResourcesDto query, Pageable pageable) {
        Sort sort = Sort.by(Sort.Direction.DESC, "id");
        List<Requirement> requirements = requirementRepository.findAll((root, criteriaQuery, criteriaBuilder) -> QueryHelp.getPredicate(root, criteria, criteriaBuilder),sort);
        List<RequirementDto> requirement = new ArrayList<>();
        String username = criteria.getCreateBy();
        String deptname = criteria.getDeptName();
        for (int i=0; i<requirements.size(); i++){
            if (requirements.get(i).getCreateBy().equals(username) || requirements.get(i).getDept().getName().equals(deptname) ){

                    requirement.add(requirementMapper.toDto(requirements.get(i)));
                    Long requirementId = requirements.get(i).getId();
                    List<String> projectName = requirementRepository.findProjectName(requirementId);
                    String projectNames = "";
                    for (int j=0; j<projectName.size(); j++){
                        projectNames += projectName.get(j)+".";
                    }
                    requirement.get(requirement.size()-1).setProjectNames(projectNames);
                }

        }
        return PageUtil.toPage(
                PageUtil.toPage(pageable.getPageNumber(),pageable.getPageSize(), requirement),
                requirement.size()
        );
	}

当我们想根据当前用户的等级控制前端可编辑字段时,我们可以在后端获取当前用户的等级并传递给前端,前端通过函数取得当前用户的等级后,在form表单中根据等级数据进行可编辑控制:

@Override
    public int getPower() {
        List<Integer> levels = roleService.findByUsersId(SecurityUtils.getCurrentUserId()).stream().map(RoleSmallDto::getLevel).collect(Collectors.toList());
        int min = Collections.max(levels);
        return min;
    }


@ApiOperation("获取权限值")
    @AnonymousPostMapping("/getPowers")
    @AnonymousAccess
    public ResponseEntity<Object> getPowers(){
        return new ResponseEntity<>(requirementService.getPower(), HttpStatus.OK);
    }
getPowers() {
        let form = new FormData();
        axios({
          method: "post",
          url: "/api/requirements/getPowers",
          headers: {
            "Content-type": "multipart/form-data",
            Authorization: getToken(),
          },
          data: form,
        }).then(
          (res) => {
            this.power = res.data
          },
          (err) => {
          }
        );
      },


[CRUD.HOOK.beforeRefresh](crud, form) {
        this.getPowers()
      },
<el-form-item label="备注" width="125" prop="comments">
<el-input type="textarea" autosize v-model="form.comments" :disabled="power>2 && grant === 0"/>
</el-form-item>

 

 

认真学习的morning
关注
  • 3
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
eladmin 后台管理框架 前端源码
04-04
eladmin 一个简单且易上手的 Spring boot 后台管理框架,使用 SpringBoot、Jpa、Security、Redis、Vue等技术。
开源框架EL-ADMIN开发自己的 web应用(5)-后端权限控制
ws6afa88的博客
09-09 2894
第(4)节,我们已经对代码生器生成的界面“我的岗位管理”进行了优化,可以看到,已经与原eladmin的“岗位管理”基本一致,现在我们来看看eladmin是怎么定义权限控制的,我们如何应用到我们自己的界面当中。 1. 权限注解 首先用IDEA打开后端“我的岗位管理”的gen模块中的rest层(也就是Controller层),如下图: 可以看到标红的注解@PreAuthorize("@el.check(‘myJob:list’)"),这是什么意思呢?在IDEA环境下,按住ctrl键点击@el.check,可以
自定义@PreAuthorize抛出异常security.access.AccessDeniedException: Access is denied
单筱风的博客
07-22 5150
1.问题由来 最近在开发中使用@PreAuthorize("@el.check(‘user’)")自定义了一个验证规则,当验证通过时返回true程序没有问题,但是返回false时却抛出了异常security.access.AccessDeniedException: Access is denied @ApiOperation(value = "获取菜单") @GetMapping("getPermission") @PreAuthorize("@el.check('user')")
el-admin 获取当前登录用户
最新发布
qq_33240556的博客
05-09 461
El-Admin内部已经集成了对Spring Security的使用,因此你可以通过Spring Security的API轻松获取当前登录用户。例如,El-Admin中可能已经有封装好的方法直接获取当前登录用户的信息,你可以查阅项目的文档或源码来找到更具体的实现方式。如果你的应用中User实体类有特定的字段或者你使用了El-Admin默认的用户管理模块,你可能还需要从数据库中进一步查询用户的具体信息,可以通过用户名调用UserService来获取详细的User对象。
EL-ADMIN权限管理
写代码的渣渣苏
11-07 3613
EL-ADMIN权限管理详解
自定义注解获取当前登录人信息
xu990128638的专栏
10-28 835
import java.lang.annotation.*; /** * * 获取当前登录人信息 * 该注解可用于 类 ,方法,参数上 * @author * @since 2020-06-18 */ @Documented @Retention(RetentionPolicy.RUNTIME) @Target({ElementType.TYPE, ElementType.METHOD,ElementType.PARAMETER}) public @interface TaiJi...
对vue-element-admin从后台动态查询菜单并生成路由信息
热门推荐
acoolper的专栏
07-24 7万+
项目是github下载的 地址 https://gitee.com/panjiachen/vue-element-admin 由于分支较多,最初我下载的master版本的 但是由于不知道在那块处理国际化 系统默认是英文 所以我下载的 i18n版本 特此说明防止大家版本不一样导致文件目录有差异. 修改最大的地方就是 src/store/modules/permission.js 标红部分是...
Spring Security 5 获取当前用户用户名
百般回首曾经的相遇,留下的只是一缕残忆
08-09 2622
html 在网页上获取当前用户 <!-- 是否登陆 --> <div sec:authorize="isAuthenticated()"> <!-- 用户姓名 --> <span sec:authentication="name"></span> <!-- 用户权限 --> <span sec:authenticatio...
eladmin 后台管理框架 后端源码
04-04
eladmin 一个简单且易上手的 Spring boot 后台管理框架,使用 SpringBoot、Jpa、Security、Redis、Vue等技术。
EL-ADMIN是一个非常火的java框架 , EL-ADMIN Flutter,EL-ADMIN APP 源码
06-15
EL-ADMIN官网看了介绍,框架使用了最新技术栈、前后端分离、完全响应式布局、代码生成器......,似乎已经完美....。 EL-ADMIN这个框架java非常火,后端和前端的技术非常先进,发现缺少一个原生APP,经过一段时间...
eladmin_java_eladmin权限管理_eladmin管理系统_eladmin_
10-03
权限管理系统,通用形式的软件模型,可以快捷开发
eladmin自动代码生成步骤以及注意事项.docx
08-10
自己写的springboot模板eladmin二次开发时候自动写代码的一些注意事项,有问题可以私信我或者评论,看到了会及时回复,谢谢
ELADMIN-05 v-permission自定义指令实现元素的权限控制
kandan_cc的博客
01-07 991
是一个自定义指令,它在文件中定义。这个自定义指令用于控制元素的显示权限。在文件中,定义了一个名为permission的对象,这个对象包含了一个inserted方法。这个inserted方法是Vue自定义指令的一个钩子函数,它会在被绑定的元素插入到父节点时被调用。insertedel和binding。el是被绑定的元素,binding是一个对象,包含了一些关于指令的信息,例如指令的参数、修饰符、绑定值等。在inserted方法中,首先从binding对象中获取绑定值value,这个值是一个权限标识数组。
封装了请求拦截器,每次请求都是携带token,但是某一个接口不想携带token,
PRN_20_6_1的博客
06-23 615
封装了请求拦截器统一携带token,但是某个接口不想携带token
vue-element-admin,element-ui(获取后台信息,携带token请求头访问)
song766426的博客
09-01 4815
要求是每个请求需要将token放入请求头,所以先说设置请求头。 一.设置请求头 src->main下添加这些,代码会贴在后面。 import axios from 'axios' import VueAxios from 'vue-axios' axios.defaults.baseURL = '/api' Vue.use(VueAxios, axios) Vue.prototype.$axios = axios import { getToken, setToken, removeT
SpringSecurity @PreAuthorize注解引用yml变量
AdamShyly的博客
03-01 483
这是原本在Controller层配置的角色权限注解,可以看到角色控制符(0,1,2)都是固定写死的,可读性较差,若数据库中的role字段内容更新不易于维护代码。所以可以通过@environment.getProperty()注解方法来引用.yml配置文件中的自定义变量,实现动态更新。原方法修改为以下内容。
springboot判断有没有库_SpringBoot前后端分离后台管理系统分析,真香
weixin_32799203的博客
12-25 246
来源:https://mp.weixin.qq.com/s/TJwh1YrUmEDRCwYHcXl3Vg有很多读者都希望我出一些详细介绍 Java 实战类项目的文章,毕竟项目实战经验还是挺重要的,不论是对于找工作还是提高个人工程能力。我自己也发现很多读者不怎么会学习开源项目,不知道如何把开源项目的一些精华为自己所用。我们这里分析的是 eladmin[1] 这个基于 Spring Boot + Sp...
SpringSecurity 配置(登陆验证,session失效等等)
共勉
09-28 1966
SpringSecurity安全配置—SSH整合 项目中使用了SpringSecurity,将SpringSecurity安全配置整理出来,实现SpringSecurity安全配置登陆,供需要的朋友参考 使用Springsecurity首先要提的就是jar包了,Springsecurity的jar下载地址:http://static.springsource.org/spring-secur...
EL-ADMIN学习笔记
09-17 648
EL-ADMIN学习笔记 一,支持接口限流,避免恶意请求导致服务层压力过大 常见的限流功能一般有两个关注点: 1.限流原则,即以什么样的条件对请求进行识别以及放行。常见的作法是给予每个调用API的系统不同的唯一编码,用于监控某一编码的调用是否超出上限。 2.限流机制,即通过什么样的机制实现限流。常见的作法是通过Redis中Key的TTL失效机制来限制访问频率。 比较常见的处理方案是使用Redis中Key的TTL失效机制来限制访问频率,然后通过切面实现处理限流逻辑,并使用自定义注解将零散的关注点集中
详细介绍一下eladmin框架和diboot框架
08-06
另外,eladmin框架还实现了权限管理功能,可以灵活地定义角色和权限,并进行精确的访问控制。它还内置了日志管理功能,可以对系统的操作日志进行记录和查看,方便系统的监控和追踪。 diboot框架是一款基于Spring ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值