关于权限的设计与实现方案

最新推荐文章于 2022-06-16 20:44:36 发布
最新推荐文章于 2022-06-16 20:44:36 发布
阅读量465 收藏 3
点赞数 1
分类专栏: java 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/taenggu_w/article/details/101542900
版权

A.左侧菜单

[用户登录后只能看到自己对应权限的菜单]
用户登陆成功后通过用户id进行5表联查查询当前用户对应的所有菜单把查询出的结果。转换成json返回前端页面利用前端构建树形菜单工具展示在页面上。

@ResponseBody
@RequestMapping(value = "/list.do")
public List<Baisi_Menu> getMenusByPid(String menu_id, HttpSession session) {
	if (menu_id == null || menu_id.equals("")) {
		menu_id = 0 + "";
	}
	// session中取出登录的用户
	Baisi_User user = (Baisi_User) session.getAttribute("user");
	//通过用户id获取当前用户对应的所有菜单
	return service.getMenusByPid(menu_id, user.getUser_id());
}

但是用户仍然可以通过拼接url的方式访问到自己没有权限的页面
所以需要进行权限拦截↓↓↓

B.权限拦截

[基于springmvc拦截器实现权限拦截]

  1. 用户登陆后通过用户id拿到当前用户所有菜单权限存放到session中
//通过登录用户id获取所有menu_code
List<String> mlist = mservice.getMenusByUid(user.getUser_id());
session.setAttribute("mlist", mlist);
  1. 声明了一个自定义@PathChange注解
@Target(ElementType.METHOD)//注解作用的地方
//注解会在class字节码文件中存在,在运行时可以通过反射获取到
@Retention(RetentionPolicy.RUNTIME)
public @interface PathChange {

	String name() default "";
	
}

3.把自定义的注解放在controller方法上

//注解中需要传入一个请求标识符MENU_CODE
//这样每个菜单对应一个权限
@PathChange(name = "CDGL")
@ResponseBody
@RequestMapping(value = "/getAll.do")
public List<Baisi_Menu> getAll(String menu_id) {
	if (menu_id == null || menu_id.equals("")) {
		menu_id = 0 + "";
	}

	return service.getAll(menu_id);
}

4.在拦截器中先从session中取到当前用户的所有菜单权限List<>

List<String> list = (List<String>) request.getSession().getAttribute("mlist");

5.通过文档得知,第三个参数就是即将调用的控制器方法。于是我们可以通过反射得到@PathChange注解:

HandlerMethod h = (HandlerMethod) handler;
String menu_code = h.getMethodAnnotation(PathChange.class).name();
  • 但是实际运行中发现很严重的问题,那就是handler的实际类型并不总是HandlerMethod类型,因此第一行代码经常会扔ClassCastException。经过研究发现,只有当GET请求是请求静态文件时(在spring配置文件里会配置静态文件的URI),handler的实际类型会是DefaultServletHttpRequestHandler,此时强制转换就会报错。
  • 解决办法
    在执行强制转换之前用instanceof检查参数handler的实际类型。
String menu_code = "";
//检查参数handler的实际类型
if (handler instanceof HandlerMethod) {

	HandlerMethod h = (HandlerMethod) handler;
			
	if (h.getMethodAnnotation(PathChange.class) != null) {
		if (h.getMethodAnnotation(PathChange.class).name() != null
				&& !h.getMethodAnnotation(PathChange.class).name().equals("")) {
				menu_code = h.getMethodAnnotation(PathChange.class).name();
		}
	}
}
  1. 然后拿着取出的MENU_CODE和权限集合List进行对比对比成功则放行,失败则拦截并执行相应操作
if (list.contains(menu_code)) {

	return true;

} else {
	//拦截后的操作
	return false;
}

C.按钮显隐
- 后续…

taenggu_w
关注
专栏目录
后端修改数据库_前、后端分离权限控制设计实现思路
weixin_39713814的博客
11-22 1065
作者:薛定谔的猫www.yuque.com/zhanghaofei/blog/xrpz9p简述近几年随着react、angular、vue等前端框架兴起,前后端分离的架构迅速流行。但同时权限控制也带来了问题。网上很多前、后端分离权限仅仅都仅仅在描述前端权限控制、且是较简单、固定的角色场景,满足不了我们用户、角色都是动态的场景。且仅仅前端进行权限控制并不是真正意义的权限控制,它只是减少页面...
权限管理的设计实现
04-08
权限管理的设计实现,从如何见表到如何拦截,拦截主要使用java的Filter和Aop
权限控制的应用程序实现
xieronghua246的博客
06-08 198
权限管理的做法,在WEB实现上,有以下几种:  ⑴ 利用Filter,对所有进入的URI进行解析,并取得当时Session中的User信息,然后通过RBAC的机制,将此链接需要的权限与用户拥有的权限进行比较,然后进行相应的处理。这种做法有很多好处:简单,容易实现,并且对系统侵入性也不强。这里URL就是RBAC中的资源了。这样做的缺点是所有对数据的操作必须通过URL来体现,这一点在现代的程序中不太...
权限设计方案
chengmi6360的博客
04-03 71
数据库设计 用户表、角色表、权限表 表关系 用户表与角色表关联(多对多) 角色表与权限表关联(多对多) 用户只能访问对应角色拥有的权限 转载于:https://...
角色权限设计方案
小北在远方
06-07 1万+
RBAC(Role-Based Access Control,基于角色的访问控制),就是用户通过角色与权限进行关联。简单地说,一个用户拥有若干角色,每一个角色拥有若干权限。这样,就构造成“用户-角色-权限”的授权模型。在这种模型中,用户与角色之间,角色与权限之间,一般者是多对多的关系。(如下图)角色是什么?可以理解为一定数量的权限的集合,权限的载体。例如:一个论坛系统,“超级管理员”、“版主”都是...
权限管理模块的应用与实现
liulehua的博客
12-25 525
http://yuetong.iteye.com/blog/300430 一个简易实用的web权限管理模块的应用与实现 本文介绍一个简易实用的web权限管理模块的应用与实现。 先介绍数据模型和应用界面,后继对实现细节做选择性阐述。 数据表关系如下: 该图标明了登陆用户、角色、部门(机构)、用户组、角色和模...
用户权限设计方案
05-28
用户权限设计方案是指通过建立用户、角色和权限等数据库表,并且建立之间的关系来实现用户认证管理的设计方案。该方案的主要目的是为了提供一种具有较强可扩展性的用户认证管理系统,能够满足不同类型的用户和角色...
权限管理设计方案(详细设计)
08-08
设计方案的主要内容包括用户认证管理设计、角色设计权限设计、用户与角色的关系设计权限与角色的关系设计等。 1.用户认证管理设计 用户认证管理设计权限管理设计方案的核心部分,主要包括用户、角色和权限...
权限管理系统设计方案
04-08
权限设计方案通过清晰的逻辑结构和用户友好的界面设计,确保了权限管理的高效性和灵活性,同时避免了权限越权问题,保证了系统的安全稳定运行。这种设计方法适用于大型企业或组织,以实现对复杂用户权限的有效管理...
角色-用户-权限控制设计实现
04-16
重点阐述在基于.NET开发的客户关系管理CRM示例系统中设计并实施的一套高透明度、细粒度的角色-用户-权限控制方案。该方案不依赖于具体的实施平台,也不会对架构产生限制。使用XML文件记录角色与页面的映射关系,需要...
转转统一权限系统的设计实现设计篇)
zhuanzhuantech的博客
06-16 1587
去年底转转启动建设统一权限管理系统,到今天公司大部分业务系统都已经用上了。本系列将会分为三部分来分享下转转新权限系统的设计实现。今天先分享第一部分设计篇,后续还将分享后端架构和前端架构部分。.........
实现自己的权限管理系统(八):权限模块开发
LinDongTian
09-12 889
有了部门模块、部门下面用户模块,接下来就是权限模块的开发。 一、参数校验 对模块名称、排序、状态、备注做校验,并指定默认的父id为0 public class AclModuleParam { private Integer id; @NotBlank(message = "权限模块名称不可以为空") @Length(min = 2, max = 20, mes...
基于Java Web的权限管理系统的设计实现
ShrMus的博客
06-01 1万+
权限管理系统在去年的项目中使用过,后来一直想单独拿出来做一个权限管理系统,一直拖着,今年做的博客当中也使用到了,趁着有时间就把这个Demo写出来了,使用的是SSM框架 + Maven实现的,利用过滤器和URL来控制用户访问的页面。本系统没有使用Apache Shiro。源代码地址:https://github.com/ShrMus/PrivilegeSystem我写的权限管理系统主要由权限、角色、...
权限管理设计总结
游士的博客
04-26 4326
权限设置一定要根据具体情况进行设计,不要千篇一律,更不要化简为繁,像继承,多角色等,目前我们公司没有,一个用户只有一个角色,管理起来很方便;而数据权限又是完全独立一套设计,基本思路也大差不差的!
Java Web权限管理设计实现
热门推荐
雨落成追忆
01-28 4万+
最近在做一个权限相关的功能,在项目原有权限管理上面进行扩展,一方面支持界面上控制到按钮级别,后端接口没有权限不能进行访问;另一个方面,对项目中应用管理模块的应用管理员授权,使其具有对其名下的应用添加用户的权限,而不必像原来一样,所有的用户都必须系统管理员进行添加。  整理了一下原有的权限和新增的功能,对整体做一下总结。项目做的是一个灰度发布平台,使用spring+springMvc+mybati
前后端分离模式下的权限设计方案
weixin_30477293的博客
12-12 353
前后端分离模式下,所有的交互场景都变成了数据,传统业务系统中的权限控制方案在前端已经不再适用,因此引发了我对权限的重新思考与设计权限控制到底控制的是什么? 在理解权限控制之前,需要明白两个概念:资源和权限。什么是资源,对于一个系统来说,系统内部的所有信息都可以理解为这个系统的资源。页面是资源、数据是资源、按钮是资源、图片是资源、甚至页面上一条分割线也可理解为是这个系统的资源。而权限就是访问...
系统角色权限设计实现
足迹
02-11 5076
1.设计理念  网上有很多角色权限验证的框架,这里是小编自己悟的一个思路不知道方便不方便大家伙可以参考一下角色权限设计思路。(本思路适合ifram嵌套页面和正常跳转页面两种,具体实现是ifram页面的具体实现) a:首先第一点就是设计数据库: 下面先说说说说涉及到的表吧-- 资源表(这里是存放项目资源信息的表,比如说项目的菜单URL,菜单的名称,功能菜单的URL,功能名称,及唯一的标识码...
企业OA系统权限管理设计原则与实现
与论坛或CMS(内容管理系统)的权限设计不同,OA系统更注重业务流程的精细控制和实际工作场景的应用。 首先,系统应支持根据职责分配权限。每个员工的角色和任务不同,因此他们对系统的访问权限也应有所不同。例如...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值