权限设计,可控制每个接口的使用。

最新推荐文章于 2024-04-11 20:34:03 发布
最新推荐文章于 2024-04-11 20:34:03 发布
阅读量1.4w 收藏 26
点赞数 6
分类专栏: .net 权限设计 文章标签: .net 权限设计
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weirtang/article/details/90370112
版权

权限功能设计说明

1     功能介绍

1.1   已实现功能

用户管理

Ø  新增用户信息

Ø  删除用户信息

Ø  修改用户信息

Ø  查看用户信息

Ø  分配角色

角色管理

Ø  新增用户角色

Ø  删除用户角色

Ø  修改用户角色

Ø  查询用户角色

Ø  分配用户

权限验证

验证匿名用户权限:匿名用户只能访问登录、获取验证码、判断是否登录等无需授权功能。

验证授权用户权限:只允许访问公共接口(获取下拉数据、获取地址信息等接口)和已授权接口。

 

1.2   用户管理模块

见表结构介绍。

1.3   角色管理模块

见表接口介绍。

1.4   验证功能验证模块

未登录验证

客户端访问接口:访问服务器某个接口并至少传一个参数(这里用的是页面唯一编码)。

服务端验证权限:判断当前接口是否允许匿名用户访问。是:允许访问;否:不允许访问。

已登录验证

客户端访问接口:访问服务器某个接口并至少传一个参数(这里用的是页面唯一编码)。

服务端验证权限:判断当前接口是否允属于公共接口,是:允许访问;否:判断当前用户是否拥有该权限,是:允许访问;否:不允许访问。

 

 

权限验证流程图

1.5   表结构

Menu(菜单表)

用于存放菜单信息,包括菜单名称、图标、样式、菜单对应的URL等,多级菜单需要存菜单级别、父级ID。

MenuFunction(菜单功能表)

用于存放菜单所对应的接口编码、接口所属菜单(如果一个接口存在多个菜单下,同时需要存多条数据)、接口所属页面(只所以要存页面是为了控制页面上按钮的权限,方便前端做权限验证)、接口所属操作ID(页面按钮ID)。

Role(角色表)

用于处方用户和角色关系,目前用户和角色做的是一对一关系。

RoleFunction(角色功能表)

用于存放角色和功能接口对应关系,此表为业务核心表。用于验证用户是否有访问权限。

表结构详情:

Menu(菜单表)

名称

代码

主键ID

ID

菜单URL

MenuUrl

菜单名称

PageName

状态(1:启用,0禁用)

Status

菜单级别

Level

父级ID

ParentID

NO

NO

创建时间

CreateTime

修改时间

ModifyTime

排序

Sort

icon

icon

      

       MenuFunction(菜单功能表)

名称

代码

主键ID

ID

功能编码(功能分类)

FuncCategory

功能名称

Name

菜单ID

MenuID

页面编码

PageCode

操作id(页面按钮ID)

OperateID

接口id

Interface

类型(1:默认接口,2:对外接口,3:通用接口)

Type

NO

NO

创建时间

CreateTime

修改时间

ModifyTime

排序

Sort

状态(1:启用,2:禁用)

接口访问级别0匿名1登录即可访问2授权才能访问

Status

AccessLevel

 

       Role(角色表)

名称

代码

ID

ID

角色名称

RoleName

自动排序

NO

状态

Status

创建时间

CreateTime

修改时间

ModifyTime

用户微信昵称

CreateID

ModifyID

ModifyID

 

       RoleFunction(角色功能表)

名称

代码

主键ID

ID

自增量

NO

角色ID

RoleID

菜单id

MenuID

功能id

FuncID

功能分类

FuncCategory

按钮标识

OperateID

接口id

Interface

页面编码

PageCode

状态(1.启用,2.禁用)

Status

类型(1.菜单,2.功能,3.第三方接口)

Type

创建时间

CreateTime

修改时间

ModifyTime

排序

Sort

接口访问级别0匿名1登录即可访问2授权才能访问

AccessLevel

 

 

 

1.6   代码

前端

1.      封装get、post、getAsnyc和postAsync方法,传入pageCode参数。

 

2.      页面添加pageCode全局变量

 

3.      菜单根据用户权限自动加载

4.      页面按钮权限控制(在页面控制按钮权限,减少接口调用的压力)

后端

Ø  权限验证公共类:

1.      验证当前接口是否属于看匿名访问接口

2.      验证当前接口是否已授权

Ø  调用权限验证:

1.      Base类添加权限验证方法,此处分三部分验证1、验证当前调用的接口是否属于可匿接口;2验证当前用户是否登录超时;3、验证当前接口是否允许调用。

 

2.      集成Base类,执行功能前调用Base类中权限验证方法。

 

Weber_t
关注
  • 6
    点赞
  • 26
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
微人事-后端接口权限设计
azto的博客
06-08 735
后端接口权限设计思路实现 思路 hr 用户 hr_role role 角色 menu 菜单 menu_role 登录成功获取一个id 通过id获取角色 通过角色 知道可以操作哪些菜单 /** 是ant风格的路径匹配符 /** 匹配0或者更多的目录 /employee/basic/** 用户从前台发送http请求->需要通过id获取角色 查看用户是否有权限访问该接口,在有权访问的url中去匹配(拿到http请求后分析地址和url中的哪一个地址是相匹配的) 一级菜单不设置角色 实
权限校验设计
11-14
基于Dubbo Filter,每次请求时通过【调用方(用户令牌)+服务标识+被调接口+调用参数】访问权限管理微服务获取具体权限
用户权限结构设计_基于 Spring Session & Spring Security 微服务权限控制
weixin_39890332的博客
11-26 428
微服务架构网关:路由用户请求到指定服务,转发前端 Cookie 中包含的 Session 信息;用户服务:用户登录认证(Authentication),用户授权(Authority),用户管理(Redis Session Management)其他服务:依赖 Redis 中用户信息进行接口请求验证用户 - 角色 - 权限结构设计权限权限最小粒度的控制单个功能,例如用户管理、资源管理,结构示...
6.权限接口开发
m0_65436732的博客
09-27 155
小辣椒插件可以给我们自动生成geting、setting等等相关的一些方法。
使用二进制设计权限
最新发布
置酒天晴的博客
04-11 267
使用二进制设计权限
<优化接口设计的思路>:接口权限控制
qq_21305943的专栏
12-19 998
我们在做系统的时候,只要这个系统里面存在角色和权限相关的业务需求,那么接口权限控制肯定必不可少。但是大家一搜接口权限相关的资料,出来的就是整合Shrio、Spring Security等各种框架,然后下面一顿贴配置和代码,看得人云里雾里。实际上接口权限控制是整个系统权限控制里面很小的一环,没有设计好底层数据结构,是无法做好接口权限控制的。那么怎么做一个系统的权限控制呢?我认为有以下几步:那么接下来我就按这个流程一一给大家说明权限是怎么做出来的。
权限开发手册,数据权限接口权限配置
热门推荐
Java开发,人工智能,边缘计算,致力于掌握前沿技术
01-27 1万+
权限开发手册 一般来说,权限有许多种,我们经常用到的一般有操作权限和数据权限两种。 功能权限 所谓操作权限就是有或者没有做某种操作的权限,具体现形式就是你看不到某个菜单或按钮,当然也有的是把菜单或按钮灰掉的形式。操作权限一般都在显示界面做一次控制,过滤没有权限的操作菜单或按钮,另外在真正执行操作时,还要进行一次权限检查,确保控制非授权访问。操作权限都是围绕角色来开展的,目的就是要实现操作的角色化。 功能权限控制 在上图所示的ER图关系中,角色(blade_role)菜单(blade_menu)通过 角色
授权详细设计
weixin_33709590的博客
09-07 165
授权详细设计 使用场景 提供接口供其他系统使用,用于判断在某些情况下的某些人(或者系统)是否有权限调用当前函数。 名词字典 场景:业务规划的场景内容(比如用户、消息) 操作:业务规划的场景内操作(比如用户的增删改查、消息的增删改查的各个函数) 请求对象:希望调用当前函数的对象(可以是自然人:张三、李四;可以是角色:帖子的拥有者) 角色:在授权系统中充当中间数据载体的数据(操作可以赋予角色权利,请求...
浅谈权限设计(从接口权限到数据权限
single_cong的博客
09-03 7347
太久没写了,今天补一篇,本篇无实际代码,主要是设计思路。 关于JWT:在我所开发的系统中用户Token都是有意义的,都会携带部分数据,不过多用于userId 个人的权限系统使用历程: 基于Security(不加、角色放在Token中) 注解验证(乱七八糟) 使用Spring Security框架,将用户角色ROLE_USER写在account中,UserDetailsService的实现方法中封装UserDetails返回,然后在接口上添加注解进行权限校验 好处是简单,但是权限写在逻辑里面了。改权限
接口加密《二》: API权限设计总结
weixin_33932129的博客
04-13 373
来源:http://meiyitianabc.blog.163.com/blog/static/105022127201310562811897/ API权限设计总结: 最近在做API的权限设计这一块,做一次权限设计的总结。 1. 假设我们需要访问的API接口是这样的:http://xxxx.com/openapi/v1/get/user/?key=xxxxx&sign=sadasd...
关于细粒度控制接口权限设计思路
luoqiang616477607的专栏
09-06 544
前言: 目前安全问题越来越重要,以前只需要前端权限控制,目前前端的权限控制已经无法满足当前的安全需要了,一个更细粒度的控制,也就是接口粒度的控制变得越来越重要。 思路: 权限控制还是传统的RBAC(Role-Based Access Control: 基于角色访问控制)思想,添加了给角色绑定某个菜单的某些行为的能力。 用户,角色,菜单,行为 用户和角色绑定。 角色决定 有哪些菜单的哪些行为。 比如。 拥有某个菜单的行为( 添加、删除、修改、导出、导入、打印) 每个菜单在设计时,必须指定一个id,如xxxx
统一授权系统接口设计说明书
11-28
此文档描述统一授权平台的接口设计,主要是从各接口的说明,数据格式的定义进行描述。 包括单点登录、用户和组织机构管理、统一消息三大部分。
权限控制系统-概要设计说明书
10-23
权限控制系统-概要设计说明书详细的介绍了权限控制的原理和使用方法
ACL权限控制.docx
09-04
1. **用户角色管理**:在这个系统中,权限不是直接分配给每个用户的,而是通过角色来实现。这意味着管理员可以创建多个角色,并为每个角色赋予特定的权限。例如,一个“管理员”角色可能拥有所有权限,而“普通用户...
AclManager接口
09-04
`permission`字段通常会示一个或多个位,每个位对应一种权限,通过位运算可以组合多种权限。 此外,还有一个`delPermission`方法,用于删除指定用户、角色和模块的权限关联,这通常发生在撤销权限或者用户角色...
vue中如何实现后台管理系统的权限控制的方法示例
10-17
接口权限控制主要是验证每个接口请求的合法性。当用户登录成功,服务器会返回一个Token,前端需要将这个Token保存,如存储在`sessionStorage`中。每次发送HTTP请求时,Token会被添加到请求头中。Vue.js中,我们可以...
vue中如何实现后台管理系统的权限控制的方法步骤
10-16
示例代码中展示了如何在axios请求拦截器中自动添加Token,确保每个请求都携带认证信息。 ```javascript // 在请求拦截器中添加Token service.interceptors.request.use( config => { if (store.state.user.token)...
mvc权限控制案例
10-27
2. **RoleGroupAppList**(组权限对应):这个记录每个权限组所包含的具体权限,包括RoleID、SysAppID、StartTime和EndTime,用于指定权限的有效时间范围。 3. **SysAppCate**(权限大类):当权限较多时,...
设计一个PHP的api接口需要注意什么?
09-11
### 回答1: 在设计 PHP 的 API 接口时,需要注意以下几点: 1. 接口的安全性:应确保 API 接口能够安全地保护数据和资源,并防止未经授权的访问。 2. 接口的可用性:应确保 API 接口能够稳定地提供服务,并保证高可用性。 3. 接口的简易性:应设计简单易用的 API 接口,方便开发人员调用。 4. 接口的文档:应为 API 接口提供详细的文档,包括接口地址、请求方式、请求参数、响应数据等信息。 5. 接口的版本控制:应对 API 接口进行版本控制,以便在不影响现有应用程序的情况下对接口进行更新。 6. 接口的访问限制:可以考虑对 API 接口设置访问限制,如 IP 限制、API key 验证等。 ### 回答2: 设计一个PHP的api接口时需要注意以下几点: 1. 安全性:API接口需要确保数据传输的安全性,可以使用HTTPS协议来加密数据传输。此外,还需要通过身份验证和访问控制来保护接口免受未授权访问。 2. 响应格式:API接口应该返回标准化的数据格式,如JSON或XML。这样可以方便客户端对返回数据进行解析和处理。 3. 错误处理:在接口设计中,需要考虑各种可能的错误情况,并返回相应的错误码和错误信息给客户端。这有助于客户端进行错误处理和故障排除。 4. 模块化设计:建议将API接口设计成模块化的形式,即将不同功能的接口封装成独立的模块。这样可以提高代码的可维护性和可扩展性。 5. 接口版本控制:如果API接口存在需求变更或新增功能的可能性,建议设计接口版本控制机制,以便客户端可以选择使用不同版本的接口。 6. 缓存处理:对于一些频繁请求但不经常变动的数据,可以考虑在接口中加入缓存机制,提高接口的性能和响应速度。 7. 日志记录:为了方便排查问题和监控接口的运行情况,需要在接口中加入日志记录功能,记录请求和响应的相关信息。 8. 文档和示例:为了便于开发者理解和使用接口,需要提供详细的接口文档和示例代码。文档中应包含接口的请求方式、参数列、返回值等信息。 9. 性能考虑:在接口设计时需要考虑接口的性能,尽量避免不必要的数据查询和计算,合理使用缓存和异步处理等技术手段来提高接口的性能。 10. 异常处理:在接口中需要考虑各种异常情况的处理,包括数据库连接异常、文件读写异常等。合理的异常处理可以提高接口的稳定性和可靠性。 ### 回答3: 设计一个PHP的API接口需要注意以下几点: 1. 功能明确:在设计API接口时,需要明确接口的功能,定义好每个API的用途和参数,确保功能的准确性和完整性。 2. 接口设计规范:遵守RESTful规范,通过合理的URI命名、请求方法(GET、POST、PUT、DELETE等)来实现不同操作,使接口易于理解和使用。 3. 参数验证与过滤:在接口中对传入的参数进行验证和过滤,确保参数的合法性,防止恶意攻击和错误数据的传入。 4. 错误处理与异常处理:当接口出现错误或异常时,需要进行相应的错误处理,返回合适的错误码和错误信息,方便接口调用者进行问题排查和调试。 5. 安全性考虑:对于涉及用户隐私或敏感数据的接口,需要进行身份验证和权限控制,确保只有合法的用户可以访问和操作接口。 6. 接口版本管理:当接口需要升级或变更时,需要考虑版本管理,防止因接口变更导致现有功能出错或不可用。 7. 接口文档和注释:设计API接口时,应编写清晰的接口文档和注释,描述接口的用法、参数和返回值,方便其他开发人员使用和理解。 8. 性能优化:在设计API接口时应考虑性能优化,例如使用缓存、减少数据库查询等方法,提高接口的响应速度和可扩展性。 9. 日志记录与监控:为了方便问题排查和系统监控,API接口需要进行日志记录,记录调用的请求和返回结果,方便定位问题和分析接口调用情况。 10. 接口的稳定性与兼容性:设计API接口时要考虑接口的稳定性和兼容性,尽量避免频繁的接口变更,确保接口的稳定性,减少对接口调用者的影响。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值