权限管理最佳实践:二,URL权限控制

最新推荐文章于 2018-12-20 18:10:58 发布
最新推荐文章于 2018-12-20 18:10:58 发布
阅读量524 收藏
点赞数 1
文章标签: 配置管理 Spring Cache Security 数据结构

-------------------------------------------- 总大纲 ---------------------------------

Ralasafe开源有段时间了,大约有2个月了。根据社区的反馈,我打算围绕Ralasafe最佳实践,书写一系列BLOG。

 

大体内容有:

1, 登录控制: 哪些页面需要登录后才能访问,登录用户名、密码验证,登录转向页面;

2, URL权限控制:哪些页面访问需要进行角色权限验证,怎样验证最简单有效,如何处理验证失败情况;

3, 数据级权限管理方案探讨:选择中间件呢还是框架?

4, Ralasafe体系结构: 用户怎么读取,用户有哪些字段,怎样与应用基础;

5, 数据级查询权限管理: 如何给不同的人分配不同的查询数据权限,返回where条件呢,还是直接返回结果集?

6, 数据级决策权限管理: 如何给不同的人分配不同的数据操作权限,当用户不具备权限怎么办?

7, 其他细小的权限控制: 如下拉框显示内容;按钮、链接是否显示,图片是否显示等。

-------------------------------------------- ------- --------------------------------

 

今天说的URL权限控制,内容主要有:URL权限控制,当用户访问某URL时,进行角色权限验证。如果有相应权限,则允许其正常访问;否则,转到拒绝页面。

我们依然通过一个Filter来实现,这样就无需在代码中增加权限判断,也无需套用任何框架。对于整个权限管理系统来说,本节内容也非常简单

理论分析

当软件实施人员进行系统实施的时候,会将一些访问菜单定义为权限。然后定义角色,让角色拥有权限。然后再将权限赋给用户。

所以,当用户请求某个URL的时候,要不该URL需要权限验证,要不就是不需要权限验证。

检验标准就是:看权限表里面有没有该URL。检验的时候,唯一需要注意的是:URL参数,比如employeeManage?op=add。

数据库模型

权限表:id<int>,name<varchar>,url<varchar>,description<varchar>   | pk(id)

角色表:id<int>,name<varchar>,description<varchar>                        | pk(id)

角色-权限关系表:roleId<int>,privilegeId<int>                                       | pk(roleId,privilegeId)

用户-角色关系表:userId<int>(根据你系统的情况,也可能是varchar等),roleId<int> | pk(userId,roleId)

Ralasafe方案

Ralasafe权限管理中间件(下载地址),既可以管理和控制功能级权限,也可以管理和控制数据级权限。开发者还可以根据需求,只选择功能级控制,或者只选择数据级控制。

 

安装好用户元数据的时候,Ralasafe自动创建所有权限表。相关权限数据,都由Ralasafe界面进行管理(即录入)。

 

Ralasafe的管理界面,在功能权限方面可以做到:

1,管理权限界面;

2,管理角色界面,并给角色赋权限;

3,给用户分配角色界面。这里还需要注意:不同用户管理可以给不同范围的用户分配角色。比如:总公司的管理员可以给所有人分配角色;分公司管理员可以给本分公司及下属子公司用户分配角色。

 

Ralasafe将最后一点视为数据级权限。详见:http://www.ralasafe.org/zh/guide/reference/safe.html#ralasafe 和

http://www.ralasafe.org/jforum/posts/list/11.page

 

org.ralasafe.webFilter.UrlAclFilter配置到web.xml即可,而且配置工作量极其少。

 

<filter>
	<filter-name>ralasafe/UrlAclFilter</filter-name>
	<filter-class>org.ralasafe.webFilter.UrlAclFilter</filter-class>
	<init-param>
		<param-name>loginPage</param-name>
		<param-value>/ralasafe/demo/login.jsp</param-value>
	</init-param>
	<init-param>
		<param-name>denyPage</param-name>
		<param-value>/ralasafe/demo/noPrivilege.jsp</param-value>
	</init-param>
</filter>
<filter-mapping>
	<filter-name>ralasafe/UrlAclFilter</filter-name>
	<url-pattern>/ralasafe/demo/*</url-pattern>
</filter-mapping>
 

 

该Filter具有这些功能:

1,在用户具有权限的时候,正常访问;

2,在用户不具有权限的时候,转到拒绝页面;

3,如果用户没用登录,转到登录页面,让用户先登录。

其他

这里我简单说说spring security。

spring security在控制功能权限的时候,还会帮助开发人员控制Dao/Service等组件。我个人认为这种控制是多余的。

因为,功能权限控制应该站在最终用户角度进行考虑。Dao/Service等编程开发级的组件,并不是最终用户关心的事情。所以无需进行功能权限控制。

另外,大家在使用spring security,我建议将功能级权限控制放在数据库里面,而不是annotation到java code里面。因为annotation到java code里面,最终用户就不能控制了。

 

注:ralasafe团队博客在javaeye/baidu/blogjava等空间,同步发布。ralasafe官方网站:http://www.ralasafe.org/zh

 

 

 

wangjbao1
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
shiro动态URL权限控制
04-14
Spring中整合shiro,使用shiro动态URL权限控制学习教程
单点登录系统(SSO)+权限管理
01-06
权限管理通常通过RBAC(Role-Based Access Control)模型实现,确保用户只能访问他们被授权的资源。 4. **源码分析**:`smart-master`可能代表了项目的主分支或主目录。在源码中,开发者可以找到认证和授权的相关...
第十九章 动态URL权限控制——《跟我学Shiro》
jinnianshilongnian的专栏
04-04 1013
  目录贴: 跟我学Shiro目录贴   用过Spring Security的朋友应该比较熟悉对URL进行全局的权限控制,即访问URL时进行权限匹配;如果没有权限直接跳到相应的错误页面。Shiro也支持类似的机制,不过需要稍微改造下来满足实际需求。不过在Shiro中,更多的是通过AOP进行分散的权限控制,即方法级别的;而通过URL进行权限控制是一种集中的权限控制。本章将介绍如何在Shiro...
shiro教程(1)-基于url权限管理
好好学java
03-30 676
一、 权限管理 1.1什么是权限管理 基本上涉及到用户参与的系统都要进行权限管理权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。 权限管理包括用户身份认证和授权两部分,简称认证授权。对于需要访问控制的资源用户首先经过身份认证,认证通过后用户具有该资源的访问权限方可访问。 1.2用户身份认证 1...
基于URL权限管理
踟蹰千年的博客
12-20 1253
转自https://www.cnblogs.com/qlqwjy/p/7251817.html   思路:先创建一个专门的类ActiveUser用于存储用户登录的信息,主要用于存储用户id,账户,名称,菜单,权限。 认证拦截器主要是查看用户是否已登陆,如果没有转发到登陆界面,用户用账户跟密码登录时候先验证账户密码认证。 如果正确登陆之后进入授权拦截器中,授权拦截器主要查看session域中...
基于URL实现权限控制
iteye_9685的博客
01-07 297
    最近一直在做毕业设计的后台管理模块。很早以前就想写一篇关于权限控制的文章,苦于一直不理解如何用URL实现。以至于当初设计数据库和编写页面实现的时候都没有权限URL考虑进去,当时只想直接匹配权限的名称就可以了。直到前几天在JavaEye论坛上看到了一篇题为《一个简易实用的web权限管理模块的应用与实现》的文章才对基于URL权限控制有了较深的认识。加上之前一直在用另一种方法来实现相同功...
基于Python的Flask WEB框架实现后台权限管理系统
最新发布
04-15
资源管理涉及对系统内可访问的URL特定功能的控制。通过定义资源和权限之间的关系,可以决定哪些用户或角色可以访问哪些资源。这通常通过装饰器完成,例如在视图函数上添加装饰器来限制访问。 机构管理则涉及到...
通用权限管理的后台源码
09-22
综上所述,"通用权限管理的后台源码"是一套完整的权限管理系统,它涉及到了用户认证、权限授权、角色管理等多个方面,采用Java技术栈并可能利用Spring Security等工具来实现。通过深入理解并研究这套源码,开发者...
OA办公软件三层架构权限管理
03-07
- **51Aspx源码必读.txt**:可能包含关于51Aspx平台的源码阅读指南或最佳实践。 - **最新Asp.Net源码下载.url**:指向Asp.Net最新源码下载的链接。 - **MyOA、WFOA**:可能是两个不同的OA办公软件实例或模块。 -...
PHP权限管理系统源代码
07-15
通过研究这个【PHP权限管理系统源代码】,开发者不仅可以学习到如何在PHP中实现权限控制,还可以掌握如何构建一个完整的Web应用程序,包括用户认证、数据库操作、路由设计以及安全实践等多个方面。这对于提升PHP开发...
url操作权限
08-09
NULL 博文链接:https://yin-bp.iteye.com/blog/2028025
Spring Security如何使用URL地址进行权限控制
08-25
主要介绍了Spring Security如何使用URL地址进行权限控制,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Ralasafe随记(一)
03-25
NULL 博文链接:https://chris-rock-f0.iteye.com/blog/1155094
基于URL权限管理
gltncx11的博客
11-09 1659
基于URL权限管理 什么是权限管理 只要有用户参与的系统一般都要有权限管理权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。 权限管理包括用户认证和授权两部分。 用户认证 1.用户认证,用户去访问系统,系统要验证用户身份的合法性。最常用的用户身份验证的方法:1、用户名密码方式、2、指纹打卡机、3、基于证书验证方法。。系统验证用户身份合法,用户...
实现基于url级别的权限控制
热门推荐
NsdnResponsibility的博客
04-05 1万+
很多系统只能控制用户的菜单权限,而不能控制用户直接输入url地址访问某些界面的权限,这个如何控制,比如用户张三没有菜单A(菜单A的action地址是:http://localhost:8080/xxx/xxx.do)的权限用户直接输入这个地址却能访问这个界面。目前后很多的系统都存在这样的权限问题: 下面给出几种解决方法: 1.url过滤:直接加一个filter,判断该url是否是用户直接输入
基于URL权限管理(三)
weixin_30624825的博客
07-28 100
思路:先创建一个专门的类ActiveUser用于存储用户登录的信息,主要用于存储用户id,账户,名称,菜单,权限。 认证拦截器主要是查看用户是否已登陆,如果没有转发到登陆界面,用户用账户跟密码登录时候先验证账户密码认证。 如果正确登陆之后进入授权拦截器中,授权拦截器主要查看session域中用户的菜单与权限(如果其权限满足能访问资源就放行)。用户每点一次按钮都会访问一个URL,...
基于URL权限管理学习总结
代码聚集地
03-05 554
其实就是一个简单拦截器功能,通过session进行权限控制 主要分了两步1.认证2.授权 1.认证的具体代码实现 配置拦截器<mvc:interceptor> <!-- 用户认证拦截 --> <mvc:mapping path="/**" /> <bean class="cn.itcast.ssm.controller.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值