权限管理系统

最新推荐文章于 2024-06-04 16:36:47 发布
最新推荐文章于 2024-06-04 16:36:47 发布
阅读量1.7w 收藏 32
点赞数 10
分类专栏: 框架开发 javascript 权限管理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010469003/article/details/52683480
版权

菜单权限系统

在大学毕业时,写了一个权限管理系统,由于经验不够丰富,所以设计出来的作品,缺点多多。经过一年多的工作,对权限管理系统进行了更加系统的整理与学习,于是重构了整个权限管理系统。该文章主要讨论菜单权限,需要数据权限相关的,可以查看数据权限系统


设计目标

1.实现按钮,菜单所见即所得。也就是用户看到了按钮A,那么就能够操作按钮A,而不是点击后却提示用户无法操作
2.实现后端对每个用户的访问URL进行控制
比如:比如A用户是普通员工,却尝试hack系统,通过拼接URL的方式来尝试访问系统。防止发生数据泄露与误删除

设计原则

由于权限管理系统,大部分都是基于Role Base Access Control原则,在该设计中也沿用了该原则,然后进行了一些小细节的修改,比如简化分组的授权,简化直接给用户授权等特性。


数据库设计


界面技术选型

由于开发的系统是内部系统,整体使用boostrap框架。其中为了更方便的管理资源,使用ztree组件作为树的管理。


后台技术选型

后台还是采用擅长的spring + spring mvc + mybatis。


设计难点

在权限管理中,数据库的设计并不复杂,所以从技术上而言,难度不大。主要难度在于,如何能够快捷有效的进行授权,以及维护资源权限。为了达到授权与维护的方便,使用了多个尝试,由最开始的jqGrid tree特性,到ztree,再到拖动排序,以及数据库的设计等多次优化


后端实现

在后台,使用Filter对请求进行拦截,如果一个请求,当前用户具备该权限,那么允许访问。
代码逻辑如下 
/**
 * 判断某个用户请求的用户是否有权限访问
 * 如果无权限,直接返回,提示用户错误信息
 * 避免用户通过url的方式来攻击程序
 * @email luohong.lh@alibaba-inc.com
 */
public class AuthFilter implements Filter {
    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
    }

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest) servletRequest;

        //根据用户ID获取该用户可以访问的URL列表
        List<String> authUrls = getAuthUrls(request.getSession().getAttribute('userId')); 
        String uri = request.getRequestURI();

        if(authUrls.contains(uri)){
            filterChain.doFilter(servletRequest, servletResponse);
        }else{
            System.out.println('sorry,您无权限访问');
        }
    }

    @Override
    public void destroy() {
    }
}

注意点:这里面我们只需要对核心的URL拦截即可,比如比如变更数据库数据的URL等。对于一些无需权限控制的URL,直接通过访问即可。比如用户有一个编辑按钮,那么一般就会具备/id.json,以及/update.json两个URL,我们可以考虑只监控/update.json即可。


前端实现

在前端,由于需要实现所见即所得,所以对于没有访问权限的按钮,都需要隐藏起来。为了达到这个设计目标,系统在用户登陆时,会将所有的资源code列表,放回到前端js变量中,然后界面初始化时,根据是否具备权限,来控制按钮的显示与否。

代码逻辑如下

1.从后端获取当前用户可以访问的菜单权限
数据格式如下:['user.add', 'user.delete', 'user.update', 'user.delete', 'user.list']
2.前段渲染按钮时,判断是否具备某个权限,如果具备,那么按钮显示
{
	hasMenuAuth('user.add') && <button type='button' class='btn primary-btn'>Add</button>
}

小技巧:为了给每个菜单,按钮一个更加合理并且容易记忆的key,可以使用path规则。

规则如下:module1.module2.action

比如:用户管理模块,那么可以使用system.user.add,system.user.delete,system.user.update类似的key规则来组织


菜单管理界面的参考示意图

1.资源管理界面,左侧是菜单,右侧的是菜单关联的权限,以及每个按钮对应的URL,其中菜单允许拖动!!!

2.角色管理界面,左侧是角色列表,右侧是该角色授予的权限列表,这里面勾选时,需要具备级联操作,方便快速授权。



总结

设计一个资源管理系统,其实整体而言,方案还是非常简单的

主要的难点在于如何使得运营效率更高效,系统模型的简洁性与扩展性

1.选择合适的界面排版,使得可以快速拖动菜单,这里面使用的是ztree组件(拖动后需要递归处理关联的所有权限噢,该功能需要一些些编码的小小难度)

2.授权时,级联动作,方便批量授权

3.权限的key规则


后端方面可以考虑后端集成shiro的技术,这方便有兴趣的朋友可以参考下shiro。

骆宏
关注
  • 10
    点赞
  • 32
    收藏
    觉得还不错? 一键收藏
  • 11
    评论
专栏目录
C#的管理系统 用户权限菜单管理(1)
weixin_38682447的博客
06-12 7353
&lt;html xmlns="http://www.w3.org/1999/xhtml"&gt;&lt;head&gt;    &lt;meta http-equiv="Content-Type" content="text/html; charset=utf-8" /&gt;    &lt;meta name="viewport" content="width
权限管理系统设计方案
.
08-14 4121
用户和角色,角色和权限都是多对多的关系,这种模型是最通用的权限管理模型,节省了很大的权限维护成本, 但是实际的业务千变万化,权限管理的模型也需要根据不同的业务模型适当的调整,比如一个公司内部的组织架构是分层级的,层级越高权限越大,因为层级高的人不仅要拥有自己下属拥有的权限,二期还要有一些额外的权限。这种模型能够满足权限的基本分配能力,但是随着用户数量的增长,这种模型的弊端就凸显出来了,每一个用户都需要去分配权限,非常的浪费管理员的时间和精力,并且用户和权限杂乱的对应关系会给后期带来巨大的维护成本。
若依管理系统RuoYi-Vue(二):权限系统设计详解
最新发布
qq_20236937的博客
06-04 1192
本篇文章将会详细讲解若依管理系统权限分类、代码分析以及实战若依Vue系统中的权限管理部分的功能都集中在了系统管理菜单模块中,如下图所示。其中权限部分主要涉及到了用户管理、角色管理、菜单管理、部门管理这四个部分。
权限管理系统(Security)
Qbit编程学习笔记
03-20 1853
本系统设计的一个重要目标就是将权限的管理从业务系统中完全抽离出来。对于后端服务而言,他接受到的请求就一定是合法的,不单操作是合法的,包括操作中间的参数,也应该是符合权限管控的要求。权限相关的配置,例如角色配置,用户与角色的绑定都由权限管理系统完成。业务服务与权限系统尽可能少的交互仅限于用户添加租户添加的少数情况。
SpringCloud微服务架构前后端分离项目实践
weixin_50196917的博客
06-07 4904
一款 Java 语言基于 SpringCloud、Vue、ElementUI、MySQL等框架精心打造的一款前后端分离框架,致力于实现模块化、组件化、可插拔的前后端分离架构敏捷开发框架,可用于快速搭建前后端分离后台管理系统,本着简化开发、提升开发效率的初衷,目前框架已集成了完整的RBAC权限架构和常规基础模块,前端Vue端支持多主题切换,可以根据自己喜欢的风格选择想一个的主题的个性化呈现的需
PHP权限管理系统源码
04-06
权限管理系统安装教程: 1、搭建开发环境,推荐使用PhpStudy; 2、下载代码到本地,将代码拷贝至:E:/phpstudy_pro/www/目录下; 3、通过PhpStudy面板添加网站,并指向项目根目录的public/目录下; 4、新建数据库...
如何进行权限管理系统设计
卓越之识论道,平常之识论事,狭隘之识论人
08-11 446
如何进行权限管理系统设计
权限管理系统-03-1-casdoor部署
weixin_42146054的博客
12-02 1872
权限管理系统最开始是没有准备做的,最开始是为了解决统一授权问题,在Keycloak和Casdoor中选择了后者,前者虽说是红帽维护的,但是配置较为复杂,casdoor配置相对简单,而且支持多种语言,手册写的也比较详细,最终选择了Casdoor。在没有SSO的情况下,用户需要为每个系统单独进行身份验证,这既增加了用户的负担,也增加了管理成本。此外,SSO平台还可以通过集中的身份验证和访问控制,提高安全性,并减少了因密码遗忘和重置而产生的支持成本。正因为多系统都支持企微扫码,权限管理系统应运而生。
【一看就会系列】一个后台管理权限系统的简单设计实现
weixin_43601047的博客
08-27 1293
平台背景:为企业提供测试答题、抽奖等线上活动。分为小程序前台+管理员后台,小程序的使用者为参加活动的企业用户,管理后台的使用者为维护活动数据的管理员。其中管理员角色主要有三种:超级管理员、系统管理员以及企业管理员。权限系统是为了控制不同的用户能够合理访问对应资源,以防对系统进行误操作。RBAC权限模型是由用户、角色、权限三大要素组成,通过加入角色作为中介,将权限与用户进行解耦,实现权限的集中管理和灵活分配。
权限管理系统,可以这么设计
07-30 5638
权限管理,一般指根据系统设置的安全规则或者安全策略,用户可以访问而且只能访问自己被授权的资源,不多不少。对权限做管理的系统,就是权限管理系统。
基于RBAC的通用权限管理系统的详细分析与实现(理念篇——权限模型)
晓风残月淡的博客
02-07 2027
RBAC 授权模型的基本思想是通过分配和取消角色来完成用户权限的授予和取消,根据不同的职能岗位划分角色,资源访问许可被封装在角色中。用户通过赋予角色间接地访问系统资源和对系统资源进行操作。授权者根据需要定义各种角色,并设置合适的访问权限。而用户根据其工作性质和职责再被指派为不同的角色,完成权限授予。这样,整个访问控制过程就分成两个部分,即访问权限与角色相关联,角色再与用户关联,从而实现了用户与访问权限的逻辑分离。RBAC模型包含五种基本元素:用户集合、角色集合、对象集合、操作集合、权限集合。
Java权限管理系统完整案例
热门推荐
踮脚敲代码
12-30 1万+
一.开发工具 开发软件:JDK7.0、MyEclipse 2014 数据库:MySQL5.6 服务器:Tomcat7.0 二.系统介绍 本系统采用了 B/S 体系结构,以 MySql 作为数据库管理数据,以 JSP 作为前端开发语音,采用当前最流行的 SSM 框架(Spring+SpringMVC+MyBatis),标准的 MVC 模式,将整个系统划分为表现层,controller 层,service 层,dao 层四层。下面介绍主要功能: 2.1 权限管理 支持在线分配权限,以角色为表头、菜单为首列。动态
后台管理系统权限管理
半颗盐的博客
10-18 3766
后台管理权限方法
设计一个简单的权限管理系统
阳光宅男的博客
06-09 3413
权限项目需求分析
【数据库设计-2】权限设计-系统登录用户权限设计
weixin_34187822的博客
05-12 3247
需求分析---场景假设需要为公司设计一个人员管理系统,并为各级领导及全体员工分配系统登录账号。有如下几个要求:1. 权限等级不同:公司领导登录后可查看所有员工信息,部门领导登录后只可查看本部门员工的信息,员工登录后只可查看自己的信息;2. 访问权限不同:如公司领导登录后,可查看员工薪水分布界面,而员工则不能看到;3. 操作权限不同:如系统管理员可以在信息发布界面进行增删改查发布信息,而普通员工只可...
通用权限管理系统设计要点
权限管理系统设计 权限管理系统是oa系统不可缺少的一部分,它对系统的所有资源进行权限控制,包括静态资源(功能操作、数据列)和动态资源(数据)。在设计权限管理系统时,我们需要考虑到系统的所有对象资源和数据...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 11
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值