若依权限控制前端+后端实现思路梳理(PreAuthorize、hasPermi、v-hasPermi)

已于 2024-08-23 16:01:20 修改
阅读量617 收藏 12
点赞数 9
文章标签: 前端 java
于 2024-08-23 15:53:07 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51260764/article/details/141463352
版权

一、权限控制引发的思考

引言

最近接手了公司的一个项目,实施反馈说,客户那边要求对不同的权限的用户操作权限做限制。场景就是,比如一个项目列表,这部分数据有可能是针对某个公司某个部门的,对应不同的部门用户能看到的东西是被约束的,同时这个部门有些人员只能查看,而有些人员可以做一些修改,这部分权限控制应当如何实现呢?我当然是懵懵的,毕竟在我看来这样普适性很差,我需要做出很多个性的配置才行,甚至单单是一个前端的按钮显示我都要在每增加一个角色就做一些修改。所以我去了解了一下系统的权限体系,简单来说就是通过给不同用户不同角色,不同角色不同菜单权限来实现的。而这个用户的权限字符串,是在登录的时候进行传回的,至于这个权限字符串,是否安全存储、是否不可修改,这部分内容并不在今天文章的讨论中,这里就不多做介绍,这里我们就假设安全不可篡改。

实现思路

基本的实现思路,我们需要保证当前系统有着完善的菜单配置能力,加上一个权限字符的字段,如图,这里的系统展示图片展示均来自若依,感谢若依开源系统提供的思路。

有了这个字段,我们在配角色的时候,就可以通过查角色菜单,返回对应的权限字符了。而这个权限字符就是我们整个实现的重中之重。然后我们这个时候去配置角色 

通过给角色不同的菜单,给不同用户不同角色,这样就可以实现权限控制了。

这边梳理一下整个流程,如图

 二、具体实现

1、前端 

首先我们先梳理一下前端,后端整体和前端方法相同。

我们要知道前端是如何做到对不同的按钮、菜单做权限判断的,我们就需要先了解一下,vue的一个特性——自定义指令。

我们先来看看什么是指令,在vue中比较常见的指令:v-if、v-model、v-show,如此我们对指令就有一个比较清晰的判断了。那么我们这边为啥要用自定义指令呢,而不用v-if来进行判断呢?为什么呢,主要就是我们希望可以全局使用,而不用在每个vue文件进行编写,那我们就需要全局注册,这个时候我们可以使用v-if和挂载js文件方法来实现,还可以通过自定义指令v-xxx来实现。

这边选择了自定义指令,为什么呢,因为这更加方便且高效,可以在组件全生命周期下进行控制,且整体实现更加的优雅,且也符合vue自定义指令的初衷。

那么如何实现自定义指令呢?

先看看使用方式吧

 <el-button @click="handleAdd" v-hasPermi="['system:menu:add']">新增</el-button>

就是像使用v-if一样使用就行,传入的是一个数组类型的数据,很好理解,可查看权限是多样的,只单一配置显然是不够。

然后就开始写一下通用验证方法吧,代码如下

 /**
 * 操作权限处理
 * Copyright (c) 2019 ruoyi
 */
 
import store from '@/store'

export default {
  inserted(el, binding, vnode) {
    const { value } = binding
    const all_permission = "*:*:*";
    const permissions = store.getters && store.getters.permissions

    if (value && value instanceof Array && value.length > 0) {
      const permissionFlag = value

      const hasPermissions = permissions.some(permission => {
        return all_permission === permission || permissionFlag.includes(permission)
      })

      if (!hasPermissions) {
        el.parentNode && el.parentNode.removeChild(el)
      }
    } else {
      throw new Error(`请设置操作权限标签值`)
    }
  }
}

 接下来我来解释一下这整个代码,首先这个用户权限数据的来源,可以自定,这边不多赘述,接下来我们来重点看一下这个inserted,这个是什么?这其实是组件的一个生命周期,在插入页面时做判断。

接下来那三个参数分别是:

  • el:指令所绑定的元素,可以用来直接操作 DOM,进而实现组件的隐藏。

  • binding:我们通过自定义指令传递的各种参数,大多存在于这个对象中。

  • vnode:Vue 编译生成的虚拟节点。

 而我们这边其实只要使用binding的传的value,也就是我们传入的字符串数组,通过获取用户权限后与配置权限对比,通过就显示,不通过不显示。具体实现细节可以看代码,Arrays.some这个方法的逻辑就是遍历,只要有一个符合,就立刻中止返回true。如此我们的方法已经完成,接下来就是要变成指令。

import hasPermi from './permission/hasPermi'

const install = function(Vue) {
  Vue.directive('hasPermi', hasPermi)
}

if (window.Vue) {
  window['hasPermi'] = hasPermi
}

export default install

 如此进行注册,而后在main.js中全局注册就可以正常使用了。

如此我们前端就算是完成了,整体思路就是配置一个自定义指令,通过判断用户权限串,是否有和配置权限相同的权限字符,有则显示。

2、后端

接下来就是后端,整体实现也是获取用户的权限字符串,然后对比,不过使用的方式不同(肯定不一样啊)

这边我们需要了解一个注解 @PreAuthorize,这个注解是SpringSecurity下的一个注解,这个注解的主要作用就是,在方法执行前进行权限验证,支持Spring EL表达式,它是基于方法注解的权限解决方案。

那么这个注解就是一个天然的切点,如此我们就可以通过使用这个注解,从而对接口进行鉴权,实现方法级别的权限控制。

/**
  * 获取部门列表
  */
@PreAuthorize("@ss.hasPermi('system:dept:list')")
@GetMapping("/list")
public AjaxResult list(SysDept dept)
{
    List<SysDept> depts = deptService.selectDeptList(dept);
    return success(depts);
}

具体使用就如上述,至于这个@ss是一个具名的Service,通过.调用这个Service的具体方法,这个方法返回类型为Boolean类型。

我们来看看这个Service

package com.ruoyi.framework.web.service;

import java.util.Set;
import org.springframework.stereotype.Service;
import org.springframework.util.CollectionUtils;
import com.ruoyi.common.constant.Constants;
import com.ruoyi.common.core.domain.entity.SysRole;
import com.ruoyi.common.core.domain.model.LoginUser;
import com.ruoyi.common.utils.SecurityUtils;
import com.ruoyi.common.utils.StringUtils;
import com.ruoyi.framework.security.context.PermissionContextHolder;

/**
 * RuoYi首创 自定义权限实现,ss取自SpringSecurity首字母
 * 
 * @author ruoyi
 */
@Service("ss")
public class PermissionService
{
    /**
     * 验证用户是否具备某权限
     * 
     * @param permission 权限字符串
     * @return 用户是否具备某权限
     */
    public boolean hasPermi(String permission)
    {
        if (StringUtils.isEmpty(permission))
        {
            return false;
        }
        LoginUser loginUser = SecurityUtils.getLoginUser();
        if (StringUtils.isNull(loginUser) || CollectionUtils.isEmpty(loginUser.getPermissions()))
        {
            return false;
        }
        PermissionContextHolder.setContext(permission);
        return hasPermissions(loginUser.getPermissions(), permission);
    }

    /**
     * 验证用户是否不具备某权限,与 hasPermi逻辑相反
     *
     * @param permission 权限字符串
     * @return 用户是否不具备某权限
     */
    public boolean lacksPermi(String permission)
    {
        return hasPermi(permission) != true;
    }

    /**
     * 验证用户是否具有以下任意一个权限
     *
     * @param permissions 以 PERMISSION_DELIMETER 为分隔符的权限列表
     * @return 用户是否具有以下任意一个权限
     */
    public boolean hasAnyPermi(String permissions)
    {
        if (StringUtils.isEmpty(permissions))
        {
            return false;
        }
        LoginUser loginUser = SecurityUtils.getLoginUser();
        if (StringUtils.isNull(loginUser) || CollectionUtils.isEmpty(loginUser.getPermissions()))
        {
            return false;
        }
        PermissionContextHolder.setContext(permissions);
        Set<String> authorities = loginUser.getPermissions();
        for (String permission : permissions.split(Constants.PERMISSION_DELIMETER))
        {
            if (permission != null && hasPermissions(authorities, permission))
            {
                return true;
            }
        }
        return false;
    }

    /**
     * 判断用户是否拥有某个角色
     * 
     * @param role 角色字符串
     * @return 用户是否具备某角色
     */
    public boolean hasRole(String role)
    {
        if (StringUtils.isEmpty(role))
        {
            return false;
        }
        LoginUser loginUser = SecurityUtils.getLoginUser();
        if (StringUtils.isNull(loginUser) || CollectionUtils.isEmpty(loginUser.getUser().getRoles()))
        {
            return false;
        }
        for (SysRole sysRole : loginUser.getUser().getRoles())
        {
            String roleKey = sysRole.getRoleKey();
            if (Constants.SUPER_ADMIN.equals(roleKey) || roleKey.equals(StringUtils.trim(role)))
            {
                return true;
            }
        }
        return false;
    }

    /**
     * 验证用户是否不具备某角色,与 isRole逻辑相反。
     *
     * @param role 角色名称
     * @return 用户是否不具备某角色
     */
    public boolean lacksRole(String role)
    {
        return hasRole(role) != true;
    }

    /**
     * 验证用户是否具有以下任意一个角色
     *
     * @param roles 以 ROLE_NAMES_DELIMETER 为分隔符的角色列表
     * @return 用户是否具有以下任意一个角色
     */
    public boolean hasAnyRoles(String roles)
    {
        if (StringUtils.isEmpty(roles))
        {
            return false;
        }
        LoginUser loginUser = SecurityUtils.getLoginUser();
        if (StringUtils.isNull(loginUser) || CollectionUtils.isEmpty(loginUser.getUser().getRoles()))
        {
            return false;
        }
        for (String role : roles.split(Constants.ROLE_DELIMETER))
        {
            if (hasRole(role))
            {
                return true;
            }
        }
        return false;
    }

    /**
     * 判断是否包含权限
     * 
     * @param permissions 权限列表
     * @param permission 权限字符串
     * @return 用户是否具备某权限
     */
    private boolean hasPermissions(Set<String> permissions, String permission)
    {
        return permissions.contains(Constants.ALL_PERMISSION) || permissions.contains(StringUtils.trim(permission));
    }
}

具体实现逻辑就如上述代码所示,具体验证细节,这肯定是可以自定的,我们可以通过修改代码验证细节就可以实现简单的权限验证。

不过这个注解的我们必须要在SecurityConfig类下开启才可以正常使用。

@EnableGlobalMethodSecurity(prePostEnabled = true, securedEnabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {
}

结语

如此我们便可实现这些基本的接口级别的鉴权。整个实现下来,我们发现这必须要求整个系统在构建的伊始就必须要完善的配置结构,否则这个方案是很难流畅的使用的,所以我们在整个项目构建时就应该确定权限配置的基本结构。

然后整个方案其实就是简单的字符串匹配,直接for循环都可以,没什么高大上的,但是整个思路还是非常新奇的,而且也可以开拓视野,毕竟自定义指令、@PreAuthorize注解,这些都可以进行一个实战,整体学习下来收获还是很多的。

如果文章内容有错误欢迎大家留言指正。

整个思路来源若依,再次感谢若依管理系统对我学习的帮助。

望 望
关注
  • 9
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
若依管理系统RuoYi-Vue(二):权限系统设计详解
m0_54853420的博客
03-07 1万+
本篇文章试图讲解若依Vue系统中的权限设计原理以及实战,为什么是“试图”?因为这也是摸索着理解的,不一定准 若依Vue系统中的权限管理部分的功能都集中在了系统管理菜单模块中,如下图所示。其中权限部分主要涉及到了用户管理、角色管理、菜单管理、部门管理这四个部分。 一、若依Vue系统中的权限分类 根据观察,若依Vue系统中的权限分为以下几类 菜单权限:用户登录系统之后能看到哪些菜单 按钮权限:用户在一个页面上能看到哪些按钮,比如新增、删除等按钮 接口权限:用户带着认证信息请求后端接口,是否有权限访问,该接口
若依系统v-if和v-hasPermi有冲突
m0_67391683的博客
03-02 2582
项目场景: 使用若依框架开发业务系统 问题描述: 使用若依框架,若操作某一行数据,导致状态scope.row.status由’init’变为’success’,已知v-hasPermi为false,v-if为true,则会出现短暂的v-hasPermi失效,无权限的按钮“审核通过”出现在界面上: <el-button size="mini" type="text" icon="el-icon-edit"
若依系统v-hasPermi
热门推荐
qq_36429634的博客
11-15 1万+
若依系统,v-hasPermi
若依框架,页面设置了keepAlive=true,v-if和v-hasPermi作用在统一个按钮上时v-hasPermi失效
我的博客
04-13 1548
的数据状态改变,由 ==1 变成 ==2 的时候,后面的v-hasPermi判断失效。判断前两行为 true , 后两行没有在页面渲染元素,所以只校验了前两行的。不会移除元素,只是修改了css的样式为隐藏,这样进入当前列表页就会触发这四行的。当前列表页设置了缓存keepAlive=true,同时,在同一个按钮上使用。方法(v-if和v-show的区别),当后面修改了数据状态,后两行为 true,由于页面设置了缓存,根本没有加载。是因为一开始页面初始化时,
图片从前端回传到后端实现思路总结
qq_45327886的博客
04-22 8984
图片从前端回传到后端实现思路
前端+后端】七蚁电子合同-1.1.8
02-05
3. **认证与授权**:后端实现OAuth2或JWT(JSON Web Tokens)等认证机制,确保用户身份的安全性,并控制访问权限。 4. **签名算法**:电子合同的关键在于数字签名,后端可能使用RSA、ECDSA等加密算法,确保合同的...
柚子健身 V1.6.9 小程序前端+后端 小程序.rar
07-09
【柚子健身 V1.6.9 小程序前端+后端】是一个综合性的健身类小程序的完整开发套件,包含前端用户界面和后端服务器逻辑。这个版本号"V1.6.9"表明了这是一个经过多次迭代和优化的产品,通常意味着在功能、性能和用户...
拼多多客京东客蘑菇街V9.1.0 小程序前端+后端
12-27
该资源是关于拼多多客、京东客以及蘑菇街电商小程序的V9.1.0版本的前端后端源代码。这个版本的更新可能包含了优化的性能、新增的功能以及修复的已知问题,旨在提升用户体验和商家运营效率。 首先,我们要理解“小...
投票抽奖助手V4.5.95版本小程序源码前端+后端完整源码.rar
11-12
综上所述,"投票抽奖助手V4.5.95版本小程序源码"涵盖了完整的前端后端开发内容,对于希望学习小程序开发或构建类似应用的开发者来说,这是一个很好的学习资源。通过研究和理解这些源码,可以深入理解微信小程序的...
微信小程序(二手交易平台)-前端+后端+数据库
05-23
1、前端使用HbuilderX,主要是uniapp框架和内置组件。后端使用Eclipse软件(Servlet、Jsp)编写接口,返回JSON数据格式。数据库文件一并上传。 2、这里有一点坑的地方,因为创建项目时用的是vue3语法,后期使用...
前端字符串将其分割成长度为 32 的子字符串数组
人与人之间最小的差别是智商,最大的差别是坚持。
08-19 386
实现这个需求,可以编写一个简单的 JavaScript 函数来处理字符串并将其分割成长度为 32 的子字符串数组。将字符串切割后,对list数据进行数据处理。
【js】各类前端输入校验方法
galaxyJING的博客
08-21 325
【代码】【js】各类前端输入校验方法。
vue中定义一个url文件,在vue文件中引入
最新发布
weixin_65767506的博客
08-22 192
1.在src/utils文件夹下创建一个url.js。3.在其他vue文件中引入。2.url.js的内容为。4.在挂载时打印一下。打印出来就可以用了.
浅谈JavaScript 框架在现代 Web 开发中的作用
08-21 450
随着近年来 Web 开发的快速发展,JavaScript 框架已成为用于构建任何应用程序的强大、灵活和可扩展元素的重要实用程序。一些框架,如Angular、React、Vue.JS等,有助于以系统的方式处理固有的网站开发复杂性,以提高效率。它们提供已经为基本编程功能和常规任务编写的 JavaScript 代码,从而缩短了必要的原始编码时间。此外,它们还增加了 Web 应用程序的功能和交互性,从...
【IC前端虚拟项目】用例的完善与补充
moon9999的博客
08-20 89
当然只不过是参考,个人不建议在寄存器测试这个环节投入太多的经历,也没有必要非在环境中讲寄存器模型以seq方式呈现,只要用起来方便就是最合适的。如果之后在实际的项目中寄存器模型时通过seq的方式集成到环境中的(比如我现在负责的项目,验证环境就是如此),那么转换过来也是没有什么难度的,这点大可放心。此外,在组织更多随机用例的过程中可以练习多种不同约束的transaction以不同的比例关系通过同一个seq/sqr uvm_do的操作。好了,具体的用例大家可以参考我的代码,尽量以自己的思路来进行扩充。
前端审查_Nginx
阿宝的博客
08-22 277
vueCli/vite/cra/umi等都是运行 build脚本build如何定义 打包生产环境代码配置在配置文件 vue.config.js中。
CORS error && 302 Found
zcxbd的博客
08-19 212
单点登录认证:访问A系统,在B系统登录认证此处代码为A系统。
SQL-约束篇
Broken_x的博客
08-19 764
SQL约束是数据库设计中不可或缺的一部分,通过合理使用各种约束,可以确保数据的完整性和一致性。在实际应用中,开发者应根据需求灵活运用这些约束,以提高数据管理的效率和安全性。
前端点击预览图片:Viewer.js 使用方法
mq1314520_zhl的博客
08-21 729
Viewer.js 是一款强大的图片查看器。我们通过Viewer.js 在页面上添加强大的图片查看功能,同时,这款优秀的插件配置操作起来也非常的方便。Viewer.js分为2个版本,js版本和jquery版本,下载地址分别为jQuery 版本:GitHub - fengyuanchen/jquery-viewer: A jQuery plugin wrapper for Viewer.js.
若依权限管理v-haspermi是干嘛的,的作用,具体如何使用
05-18
v-haspermi 是一个基于 Vue.js 的权限管理插件,可以帮助开发者轻松实现前端权限管理。其主要作用是通过对用户角色和权限的定义和管理,实现对应页面或组件的访问控制。 具体使用方法如下: 1. 安装 v-haspermi 插件: ``` npm install v-haspermi --save ``` 2. 在 main.js 中引入 v-haspermi 并注册: ``` import Vue from 'vue' import VHaspermi from 'v-haspermi' Vue.use(VHaspermi) ``` 3. 在需要进行权限控制的页面或组件中使用 v-has 来判断当前用户是否具有对应的权限: ``` <template> <div> <h1 v-has="'admin'">This is an admin-only page</h1> <h2 v-has="'user'">This is a user-only page</h2> </div> </template> <script> export default { name: 'MyPage' } </script> ``` 上述代码中,v-has 属性的值为当前用户的角色,如果用户的角色具有对应的权限,则显示该页面或组件,否则不显示。 需要注意的是,v-haspermi 插件只负责前端权限控制,对于后端接口的访问控制仍需要通过后端进行处理。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值