基于URL的权限管理方法

最新推荐文章于 2023-12-01 21:09:44 发布
最新推荐文章于 2023-12-01 21:09:44 发布
阅读量373 收藏
点赞数
文章标签: java 系统安全
原文链接:http://www.cnblogs.com/yanmingyuan/p/10584812.html
版权

一、权限管理

1.1什么是权限管理

基本上涉及到用户参与的系统都要进行权限管理,权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。

权限管理包括用户身份认证和授权两部分,简称认证授权。对于需要访问控制的资源用户首先经过身份认证,认证通过后用户具有该资源的访问权限方可访问。

1.2认证

关键对象

Subject:主体

访问系统的用户,主体可以是用户、程序等,进行认证的都称为主体;

Principal:身份信息

是主体(subject)进行身份认证的标识,标识必须具有唯一性,如用户名、手机号、邮箱地址等,一个主体可以有多个身份,但是必须有一个主身份(Primary Principal)。

credential:凭证信息

是只有主体自己知道的安全信息,如密码、证书等。

1.3 授权

关键对象

授权可简单理解为who对what(which)进行How操作:

Who即主体Subject),主体需要访问系统中的资源。

What即资源(Resource),如系统菜单、页面、按钮、类方法、系统商品信息等。资源包括资源类型和资源实例,比如商品信息为资源类型,类型为t01的商品为资源实例,编号为001的商品信息也属于资源实例。

How权限/许可(Permission),规定了主体对资源的操作许可,权限离开资源没有意义,如用户查询权限、用户添加权限、某个类方法的调用权限、编号为001用户的修改权限等,通过权限可知主体对哪些资源都有哪些操作许可。

权限分为粗颗粒和细颗粒,粗颗粒权限是指对资源类型的权限,细颗粒权限是对资源实例的权限。

1.4访问控制

 基于角色的访问控制

RBAC基于角色的访问控制(Role-Based Access Control)是以角色为中心进行访问控制。

基于资源的访问控制

RBAC基于资源的访问控制(Resource-Based Access Control)是以资源为中心进行访问控制。

二、权限管理解决方案

2.1基于url拦截

基于url拦截是企业中常用的权限管理方法,实现思路是:将系统操作的每个url配置在权限表中,将权限对应到角色,将角色分配给用户,用户访问系统功能通过Filter进行过虑,过虑器获取到用户访问的url,只要访问的url是用户分配角色中的url则放行继续访问。

如下图:

2.1.1 activeUser用户身份类

用户登陆成功记录activeUser信息并将activeUser存入session。

public class ActiveUser implements java.io.Serializable {
    private String userid;//用户id
    private String usercode;// 用户账号
    private String username;// 用户名称

    private List<SysPermission> menus;// 菜单
    private List<SysPermission> permissions;// 权限
View Code

2.1.2anonymousURL.properties

anonymousURL.properties公开访问地址,无需身份认证即可访问。

2.1.3commonURL.properties

commonURL.properties公共访问地址,身份认证通过无需分配权限即可访问。

2.1.4用户身份认证拦截器

使用springmvc拦截器对用户身份认证进行拦截,如果用户没有登陆则跳转到登陆页面,本功能也可以使用filter实现 。

public class LoginInterceptor implements HandlerInterceptor {

    // 在进入controller方法之前执行
    // 使用场景:比如身份认证校验拦截,用户权限拦截,如果拦截不放行,controller方法不再执行
    @Override
    public boolean preHandle(HttpServletRequest request,
            HttpServletResponse response, Object handler) throws Exception {

        // 校验用户访问是否是公开资源地址(无需认证即可访问)
        List<String> open_urls = ResourcesUtil.gekeyList("anonymousURL");

        // 用户访问的url
        String url = request.getRequestURI();
        for (String open_url : open_urls) {
            if (url.indexOf(open_url) >= 0) {
                // 如果访问的是公开 地址则放行
                return true;
            }
        }

        // 校验用户身份是否认证通过
        HttpSession session = request.getSession();
        ActiveUser activeUser = (ActiveUser) session.getAttribute("activeUser");
        if (activeUser != null) {
            // 用户已经登陆认证,放行
            return true;
        }
        // 跳转到登陆页面
        request.getRequestDispatcher("/WEB-INF/jsp/login.jsp").forward(request,
                response);
        return false;
    }
View Code

2.1.5 用户授权拦截器

使用springmvc拦截器对用户访问url进行拦截,如果用户访问的url没有分配权限则跳转到无权操作提示页面(refuse.jsp),本功能也可以使用filter实现。

public class PermissionInterceptor implements HandlerInterceptor {

    // 在进入controller方法之前执行
    // 使用场景:比如身份认证校验拦截,用户权限拦截,如果拦截不放行,controller方法不再执行
    // 进入action方法前要执行
    @Override
    public boolean preHandle(HttpServletRequest request,
            HttpServletResponse response, Object handler) throws Exception {
        // TODO Auto-generated method stub
        // 用户访问地址:
        String url = request.getRequestURI();

        // 校验用户访问是否是公开资源地址(无需认证即可访问)
        List<String> open_urls = ResourcesUtil.gekeyList("anonymousURL");
        // 用户访问的url
        for (String open_url : open_urls) {
            if (url.indexOf(open_url) >= 0) {
                // 如果访问的是公开 地址则放行
                return true;
            }
        }
        //从 session获取用户公共访问地址(认证通过无需分配权限即可访问)
        List<String> common_urls = ResourcesUtil.gekeyList("commonURL");
        // 用户访问的url
        for (String common_url : common_urls) {
            if (url.indexOf(common_url) >= 0) {
                // 如果访问的是公共地址则放行
                return true;
            }
        }
        // 从session获取用户权限信息

        HttpSession session = request.getSession();

        ActiveUser activeUser = (ActiveUser) session.getAttribute("activeUser");

        // 取出session中权限url
        // 获取用户操作权限
        List<SysPermission> permission_list = activeUser.getPermissions();
        // 校验用户访问地址是否在用户权限范围内
        for (SysPermission sysPermission : permission_list) {
            String permission_url = sysPermission.getUrl();
            if (url.contains(permission_url)) {
                return true;
            }
        }

        // 跳转到页面
        request.getRequestDispatcher("/WEB-INF/jsp/refuse.jsp").forward(
                request, response);
        return false;
    }
View Code

2.2用户登陆

用户输入用户账号和密码登陆,登陆成功将用户的身份信息(用户账号、密码、权限菜单、权限url等)记入activeUser类,并写入session。

2.2.1controller

//用户登陆提交
    @RequestMapping("/loginsubmit")
    public String loginsubmit(HttpSession session,String usercode,String password,String randomcode) throws Exception{

        //校验验证码
        //从session获取正确的验证码
        String validateCode = (String)session.getAttribute("validateCode");
        if(!randomcode.equals(validateCode)){
            //抛出异常:验证码错误
            throw new CustomException("验证码 错误 !");
        }
        //用户身份认证
        ActiveUser activeUser = sysService.authenticat(usercode, password);
        
        //记录session
        session.setAttribute("activeUser", activeUser);
        
        return "redirect:first.action";
    }
View Code

2.2.3 service接口

    public ActiveUser authenticat(String usercode, String password)
            throws Exception;

    // 根据账号查询用户
    public SysUser findSysuserByUsercode(String usercode) throws Exception;

    // 根据用户id获取权限
    public List<SysPermission> findSysPermissionList(String userid)
            throws Exception;

    // 根据用户id获取菜单
    public List<SysPermission> findMenuList(String userid) throws Exception;
View Code

 

转载于:https://www.cnblogs.com/yanmingyuan/p/10584812.html

weixin_30294021
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
对应本博客:shiro、基于url权限管理章节的源代码
10-14
本博客主要关注的是如何利用Shiro进行基于URL权限管理,这对于构建一个用户友好且安全的Web系统至关重要。 **Shiro基础** 1. **身份验证(Authentication)**:这是确认用户身份的过程,通常涉及用户输入用户名...
直接获取页面url的前缀,请求时用
大熊猫ζ的博客
06-18 2607
//说明:在页面中进行请求的时候进行拼接,底下的方法是用来获取ip地址加端口号加项目名(在进行ajax请求的时候,url是底下的值加后端给的接口) function basePath() { //获取当前网址,如: http://localhost:80/jflow-web/index.jsp var curPath=window.document.location.href; console.log(curPath); //获取主机地址之后的目录,如: jflow-w
Shiro的使用(一)
yankun01的博客
10-18 1853
shiro第一天 基于url权限管理 shiro基础     1       课程目标: 1、了解基于资源权限管理方式 2、掌握权限数据模型 3、掌握基于url权限管理(不使用shiro实现权限管理) 4、shiro实现用户认证 5、shiro实现用户授权 6、shiro与企业web项目整合开发的方法   2       课程安排 整个课程是系统架构设计相关的课程。
基于URL权限管理
gltncx11的博客
11-09 1657
基于URL权限管理 什么是权限管理 只要有用户参与的系统一般都要有权限管理权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源权限管理包括用户认证和授权两部分。 用户认证 1.用户认证,用户去访问系统,系统要验证用户身份的合法性。最常用的用户身份验证的方法:1、用户名密码方式、2、指纹打卡机、3、基于证书验证方法。。系统验证用户身份合法,用户...
后端如何实现URL权限的校验
最新发布
qq_46130027的博客
12-01 157
实现核心是基于Spring Security提供的@PreAuthorize注解,这个注解可以添加在方法上,基于表达式判断,是否有权限权限表达式有两种,一种是基于角色标识的校验,一种是基于权限标识的校验。第三段逻辑则会遍历每一个权限,判断这个权限对应的菜单,最终在这个用户上有没有角色去满足。有的时候不是校验是否有权限,而是判断是否有某个角色,则可以使用hasRole这个方法。接着判断是否是超级管理员,如果是,也是return true。首先是判断权限是否为空,为空则说明已经有权限,返回true。
浏览器工作原理:从 URL 输入到页面展现到底发生了什么?
weixin_39307273的博客
03-01 2377
浏览器的地址栏输入URL并按下回车。 浏览器查找当前URL的DNS缓存记录。 没有缓存记录,DNS解析URL对应的IP。 查看浏览器缓存 没有数据缓存,根据IP建立TCP连接,发送HTTP请求并响应。 渲染页面,构建DOM树。 URL是什么 URL(Uniform Resource Locator),统一资源定位符,用于定位互联网上的资源,实际上就是网站网址。url的格式一...
基于Python的Flask WEB框架实现后台权限管理系统
04-15
本项目基于Python的轻量级Web框架Flask,旨在实现一个完整的后台权限管理功能,包括用户管理、角色管理、资源管理和机构管理。Flask因其简洁、灵活的特性,被广泛用于快速开发小型到中型的Web应用。 首先,让我们...
PHP权限管理系统源码
04-06
实现了基本的权限管理,本系统是基于权限节点进行认证,可控制菜单显示隐藏,基于角色控制权限节点。 1、前端框架:layui2.5.6 2、后端框架:ThinkPHP5.1.39LTS 3、后端界面基于layuimini 权限管理系统安装教程: 1...
SpringBoot+Shiro+JWT+Jedis+MybatisPlus+前后端分离+基于url通用权限管理系统
01-25
本系统“SpringBoot+Shiro+JWT+Jedis+MybatisPlus+前后端分离+基于url通用权限管理系统”就是针对这一需求而设计的,它结合了多种技术,提供了高效、安全且灵活的解决方案。 首先,SpringBoot是这个系统的核心,它...
基于SSM框架的用户权限管理
07-30
本项目以“基于SSM框架的用户权限管理”为主题,旨在设计和实现一个能够对用户权限进行精细化控制的系统。在该系统中,采用了RBAC(Role-Based Access Control,基于角色的访问控制)模型,通过角色来定义用户可以...
酒浓码浓 - 如何获取url前缀,绝对/相对路径
酒浓码浓
01-31 1556
如何设置不同环境的代码,不同环境的url 一般开发环境有 好几个, 线上环境的代码,写成绝对路径,也就是www.xxxxxxx.com 开发环境的代码,写成相对路径,也就是localhost:8000 / 127.0.0.1 (本地hosts配置的) 为什么这么写呢,因为绝对路径访问速度快,我们想做出个好产品,那各个细节就都要想到处理。 这样一来 开发环境 和 线上环境 很多文件的...
监听器(Listener,先实现接口)URL前缀,设置绝对路径
樂小伍
09-17 732
监听器(Listener,先实现接口)URL前缀,设置绝对路径 协议:地址:端口/项目名/ 资源名 因为前面的 。协议:地址:端口/项目名 。 是重复的,都相同的,所以可以设置为统一的一个${变量名} 的变量,如果要改变地址,只用改一次变量存的值就可以。 由于网络资源的访问,需要通过URL地址进行访问,若使用相对路径,则在目录层级结构比较复杂时,编码麻烦,且容易出错.所以一般,我们在访问网络资源时...
基于URL实现权限控制
GetStudyMessages的专栏
10-30 1万+
最近一直在做毕业设计的后台管理模块。很早以前就想写一篇关于权限控制的文章,苦于一直不理解如何用URL实现。以至于当初设计数据库和编写页面实现的时候都没有将权限URL考虑进去,当时只想直接匹配权限的名称就可以了。直到前几天在JavaEye论坛上看到了一篇题为《一个简易实用的web权限管理模块的应用与实现》的文章才对基于URL权限控制有了较深的认识。加上之前一直在用另一种方法来实现相同功能,所以这
权限管理最佳实践:二,URL权限控制
开源权限管理中间件Ralasafe
09-02 521
-------------------------------------------- 总大纲 --------------------------------- Ralasafe开源有段时间了,大约有2个月了。根据社区的反馈,我打算围绕Ralasafe最佳实践,书写一系列BLOG。   大体内容有: 1, 登录控制: 哪些页面需要登录后才能访问,登录用户名、密码验证,登录转向页...
shiro学习笔记2——基于url权限管理
xinpz的博客
08-01 287
5 基于url权限管理  5.1 基于url权限管理流程       5.2 搭建环境  5.2.1数据库 mysql5.1数据库中创建表:用户表、角色表、权限表(实质上是权限资源的结合 )、用户角色表、角色权限表。   完成权限管理的数据模型创建。   ​​​​​​​5.2.2 开发环境 jdk1.7.0_72 eclipse 3.7 indigo 技...
权限控制方案之——基于URL拦截
热门推荐
任长江
03-28 1万+
概述:          在系统开发过程中需要考虑的一个重要的问题就是权限问题,权限问题也是安全问题的一个范畴,我们要求在用户登录系统之后,要控制用户可以访问的系统资源,使得用户只可以访问到系统事先分配好的资源;这里的资源可以是一个URL地址,也可以是页面上的菜单和按钮等。对于实现权限控制有多种方案,这里说明一下通过URL拦截的方式进行权限控制的实现方案。 基本流程:          对
spring security动态配置url权限认证
Purpletaro的专栏
10-24 3211
本文介绍的spring security动态配置url权限认证基于的是spring-boot-2.0.0、spring-security 5.X来编写的。 笔者浏览完spring security官方文档之后,发现并没有详细的介绍说明如何动态的配置我们的url权限认证。spring security默认的权限配置确只会在启动工程的时候初始化一次url权限配置。但是实际情况我们项目的权限会随时动态的更改,这样我们就需要重新启动项目以便新配置的权限生效。这样的处理显然不合理。当然spring是具有非常好的拓展
Spring Security 动态url权限控制
weixin_44809110的博客
11-25 1573
记录一下。。。
基于URL权限管理
踟蹰千年的博客
12-20 1251
转自https://www.cnblogs.com/qlqwjy/p/7251817.html   思路:先创建一个专门的类ActiveUser用于存储用户登录的信息,主要用于存储用户id,账户,名称,菜单,权限。 认证拦截器主要是查看用户是否已登陆,如果没有转发到登陆界面,用户用账户跟密码登录时候先验证账户密码认证。 如果正确登陆之后进入授权拦截器中,授权拦截器主要查看session域中...
基于django实现rbac权限管理
04-07
RBAC(Role-Based Access Control)是一种基于角色的访问控制,它将权限授予角色,然后将角色授予用户。在Django中,可以使用django-guardian或django-rules等第三方库来实现RBAC权限管理,也可以自己编写代码实现。 下面是一个基于Django自己编写的简单RBAC权限管理系统的实现过程: 1. 定义权限模型 在Django中,可以通过定义模型来表示权限。例如,可以定义一个Permission模型,用来表示系统中的所有权限: ``` from django.db import models class Permission(models.Model): name = models.CharField(max_length=255, unique=True) codename = models.CharField(max_length=100, unique=True) ``` 其中name字段表示权限的名称,codename字段表示权限的代码名称。 2. 定义角色模型 同样地,可以定义一个Role模型,用来表示系统中的所有角色: ``` from django.db import models class Role(models.Model): name = models.CharField(max_length=255, unique=True) permissions = models.ManyToManyField('Permission') ``` 其中name字段表示角色的名称,permissions字段表示角色拥有的权限。 3. 定义用户模型 可以使用Django自带的User模型或者自己定义一个用户模型。在用户模型中,可以添加一个roles字段,用来表示用户所拥有的角色: ``` from django.contrib.auth.models import AbstractUser from django.db import models class User(AbstractUser): roles = models.ManyToManyField('Role') ``` 4. 编写权限检查装饰器 在Django中,可以使用装饰器来检查用户是否拥有某个权限。下面是一个简单的权限检查装饰器的实现: ``` from functools import wraps from django.http import HttpResponseForbidden def permission_required(perm): def decorator(view_func): @wraps(view_func) def _wrapped_view(request, *args, **kwargs): if not request.user.has_perm(perm): return HttpResponseForbidden() return view_func(request, *args, **kwargs) return _wrapped_view return decorator ``` 在上面的代码中,permission_required装饰器接受一个权限codename作为参数,返回一个装饰器函数。这个装饰器函数接受一个视图函数作为参数,返回一个新的视图函数。新的视图函数在执行前会检查用户是否拥有该权限,如果没有则返回403禁止访问状态码。 5. 在视图函数中使用权限检查装饰器 在需要进行权限检查的视图函数上加上permission_required装饰器即可: ``` @permission_required('app.view_model') def my_view(request): # do something ``` 在上面的代码中,my_view函数需要拥有view_model权限才能访问。 6. 编写角色管理视图 可以编写一个简单的角色管理视图,用来管理系统中的角色和权限: ``` from django.shortcuts import render from .models import Role, Permission def role_list(request): roles = Role.objects.all() return render(request, 'role_list.html', {'roles': roles}) def role_detail(request, role_id): role = Role.objects.get(id=role_id) permissions = Permission.objects.all() return render(request, 'role_detail.html', {'role': role, 'permissions': permissions}) ``` 在上面的代码中,role_list函数返回所有角色的列表,role_detail函数返回指定角色的详细信息和所有权限的列表。 7. 编写用户角色管理视图 可以编写一个简单的用户角色管理视图,用来管理用户和角色的关联关系: ``` from django.shortcuts import render from django.contrib.auth.models import User from .models import Role def user_list(request): users = User.objects.all() return render(request, 'user_list.html', {'users': users}) def user_detail(request, user_id): user = User.objects.get(id=user_id) roles = Role.objects.all() return render(request, 'user_detail.html', {'user': user, 'roles': roles}) ``` 在上面的代码中,user_list函数返回所有用户的列表,user_detail函数返回指定用户的详细信息和所有角色的列表。 8. 编写用户角色管理视图的表单处理函数 可以编写一个简单的表单处理函数,用来处理用户和角色的关联关系: ``` from django.shortcuts import redirect from django.contrib.auth.models import User from .models import Role def assign_role(request, user_id): if request.method == 'POST': user = User.objects.get(id=user_id) role_ids = request.POST.getlist('roles') roles = Role.objects.filter(id__in=role_ids) user.roles.set(roles) return redirect('user_detail', user_id=user_id) ``` 在上面的代码中,assign_role函数接受一个用户ID作为参数,从POST请求中获取选中的角色ID,将这些角色和用户关联起来,然后重定向到用户详细信息页面。 9. 编写角色管理视图的表单处理函数 可以编写一个简单的表单处理函数,用来处理角色和权限的关联关系: ``` from django.shortcuts import redirect from .models import Role, Permission def assign_permission(request, role_id): if request.method == 'POST': role = Role.objects.get(id=role_id) permission_ids = request.POST.getlist('permissions') permissions = Permission.objects.filter(id__in=permission_ids) role.permissions.set(permissions) return redirect('role_detail', role_id=role_id) ``` 在上面的代码中,assign_permission函数接受一个角色ID作为参数,从POST请求中获取选中的权限ID,将这些权限和角色关联起来,然后重定向到角色详细信息页面。 10. 编写模板 最后,可以编写一些简单的模板来渲染上述视图函数返回的数据。 例如,可以编写role_list.html模板来渲染角色列表: ``` <ul> {% for role in roles %} <li><a href="{% url 'role_detail' role.id %}">{{ role.name }}</a></li> {% endfor %} </ul> ``` 可以编写role_detail.html模板来渲染角色详细信息和权限列表: ``` <h1>{{ role.name }}</h1> <h2>Permissions</h2> <form method="post" action="{% url 'assign_permission' role.id %}"> {% csrf_token %} {% for permission in permissions %} <label> <input type="checkbox" name="permissions" value="{{ permission.id }}" {% if permission in role.permissions.all %}checked{% endif %}> {{ permission.name }} </label> {% endfor %} <button type="submit">Save</button> </form> ``` 可以编写user_list.html模板来渲染用户列表: ``` <ul> {% for user in users %} <li><a href="{% url 'user_detail' user.id %}">{{ user.username }}</a></li> {% endfor %} </ul> ``` 可以编写user_detail.html模板来渲染用户详细信息和角色列表: ``` <h1>{{ user.username }}</h1> <h2>Roles</h2> <form method="post" action="{% url 'assign_role' user.id %}"> {% csrf_token %} {% for role in roles %} <label> <input type="checkbox" name="roles" value="{{ role.id }}" {% if role in user.roles.all %}checked{% endif %}> {{ role.name }} </label> {% endfor %} <button type="submit">Save</button> </form> ``` 至此,一个简单的RBAC权限管理系统就完成了。当然,实际应用中可能需要更复杂的权限管理需求,可以根据具体情况进行扩展。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值