微人事-后端接口权限设计

最新推荐文章于 2024-04-26 22:27:42 发布
最新推荐文章于 2024-04-26 22:27:42 发布
阅读量735 收藏 3
点赞数 1
分类专栏: 项目 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39232166/article/details/106567873
版权

后端接口权限设计

思路

表hr 用户表
表hr_role

表role 角色

表menu 菜单
表menu_role

登录成功获取一个id 通过id获取角色 通过角色 知道可以操作哪些菜单

/** 是ant风格的路径匹配符 /** 匹配0或者更多的目录
/employee/basic/**
在这里插入图片描述

用户从前台发送http请求->需要通过id获取角色 查看用户是否有权限访问该接口,在有权访问的url中去匹配(拿到http请求后分析地址和url中的哪一个地址是相匹配的)
一级菜单不设置角色

实现

第一步根据用户的请求地址来分析需要的请求角色

package com.akk.vhr.config;

import com.akk.vhr.model.Menu;
import com.akk.vhr.model.Role;
import com.akk.vhr.service.MenuService;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.access.ConfigAttribute;
import org.springframework.security.access.SecurityConfig;
import org.springframework.security.web.FilterInvocation;
import org.springframework.security.web.access.intercept.FilterInvocationSecurityMetadataSource;
import org.springframework.stereotype.Component;
import org.springframework.util.AntPathMatcher;

import java.util.Collection;
import java.util.List;

// 该类的功能是启动权限访问,根据用户传来的请求地址,分析出请求需要的角色1
@Component
public class MyFilter implements FilterInvocationSecurityMetadataSource {
   
    @Autowired
    MenuService menuService;
    AntPathMatcher antPathMatcher = new AntPathMatcher();
    // Collection当前请求所需要的角色 Object是FilterInvocation对象
    @Override
    public Collection<ConfigAttribute> getAttributes(Object object) throws IllegalArgumentException {
   
        // 这里就是获取到了请求的地址
        String requestUrl = ((FilterInvocation) object).getRequestUrl();
        // 然后就是去数据库去匹配对应的角色 先做查询
        List<Menu> allMenusWithRole = menuService.getAllMenusWithRole();
        // 一条一条的遍历比较
        for (Menu menu : allMenusWithRole) {
   
            // 如果传进来的url在查询的数据中进行比较 当前调符合传进来的url 那么返回这个角色
           if (antPathMatcher.match(menu.getUrl(), requestUrl)) {
   
               //获取角色
                List<Role> roles = menu.getRoles();
                String[] strings = new String[roles.size()];
                for (int i = 0; i < roles.size(); i++) {
   
                    strings[i] = roles.get(i).getName();
                }
            // 由于要返回Collection<>类型 所以使用SecurityConfig.createList 他的参数是数组 所以进行了上面的循环遍历
                return SecurityConfig.createList(strings);
            }
        }
        // 没有匹配上的 登录之后访问
        return SecurityConfig.createList("ROLE_LOGIN");
    }

    @Override
    public Collection<ConfigAttribute> getAllConfigAttributes() {
   
        r
最低0.47元/天 解锁文章
azto
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
《优化接口设计的思路》系列:第四篇—接口权限控制
csx2804498964的博客
09-27 865
大家好!我是sum墨,一个一线的底层码农,平时喜欢研究和思考一些技术相关的问题并整理成文,限于本人水平,如果文章和代码有表述不当之处,还请不吝赐教。
接口加密《二》: API权限设计总结
weixin_33932129的博客
04-13 376
来源:http://meiyitianabc.blog.163.com/blog/static/105022127201310562811897/ API权限设计总结: 最近在做API的权限设计这一块,做一次权限设计的总结。 1. 假设我们需要访问的API接口是这样的:http://xxxx.com/openapi/v1/get/user/?key=xxxxx&sign=sadasd...
4-用户权限控制(后端
最新发布
qq_53568730的博客
04-26 381
在计算机系统中,用户权限控制是一种机制,用于限制用户对系统资源的访问和操作。它可以确保只有经过授权的用户可以执行特定的操作,并限制未经授权的用户的访问权限。Controller接收请求,然后调用对应的service接口,再具体实现类中实现(Result是一个封装类,在我的文章“2-token生成”有代码)此处只有不同用户返回不同的菜单,通过用户名判断(admin为超级管理员 其他为普通管理员)
关于后端开发的权限设计和鉴权的一点记录
weixin_45323886的博客
04-05 473
关于权限与鉴权的方式
权限校验表设计
11-14
基于Dubbo Filter,每次请求时通过【调用方(用户令牌)+服务标识+被调接口+调用参数】访问权限管理服务获取具体权限
浅谈权限设计(从接口权限到数据权限
single_cong的博客
09-03 7412
太久没写了,今天补一篇,本篇无实际代码,主要是设计思路。 关于JWT:在我所开发的系统中用户Token都是有意义的,都会携带部分数据,不过多用于userId 个人的权限系统使用历程: 基于Security(不加表、角色放在Token中) 注解验证(乱七八糟) 使用Spring Security框架,将用户角色ROLE_USER写在account表中,UserDetailsService的实现方法中封装UserDetails返回,然后在接口上添加注解进行权限校验 好处是简单,但是权限写在逻辑里面了。改权限
权限设计,可控制每个接口的使用。
weirtang的专栏
05-20 1万+
权限功能设计说明 1功能介绍 1.1已实现功能 用户管理 Ø新增用户信息 Ø删除用户信息 Ø修改用户信息 Ø查看用户信息 Ø分配角色 角色管理 Ø新增用户角色 Ø删除用户角色 Ø修改用户角色 Ø查询用户角色 Ø分配用户 权限验证 验证匿名用户权限:匿名用户只能访问登录、获取验证码、判断是否登录等无需授权功能。 ...
后端接口权限验证
热门推荐
bleuesprit的专栏
01-08 1万+
接口验证有两种,一种是基于人的验证,比如需要调用者提供人员信息.第二种则是基于接口本身.接口本身的验证是因为很多调用者并不是一个人,可能仅仅是一个定时启动的脚本,无法采用用户名密码的形式来进行验证. 接口本身的验证基本方法就是在调用的时候在请求后方添加一个密钥,作为验证身份的令牌. # 基于简单密码 双方约定密码,密码正确验证通过 # 参数签名方式 步骤通常如下:
关于细粒度控制接口权限设计思路
luoqiang616477607的专栏
09-06 547
前言: 目前安全问题越来越重要,以前只需要前端权限控制,目前前端的权限控制已经无法满足当前的安全需要了,一个更细粒度的控制,也就是接口粒度的控制变得越来越重要。 思路: 权限控制还是传统的RBAC(Role-Based Access Control: 基于角色访问控制)思想,添加了给角色绑定某个菜单的某些行为的能力。 用户,角色,菜单,行为 用户和角色绑定。 角色决定 有哪些菜单的哪些行为。 比如。 拥有某个菜单的行为( 添加、删除、修改、导出、导入、打印) 每个菜单在设计时,必须指定一个id,如xxxx
springboot+vue人事管理-001
01-09
5. **前后端通信**:使用axios等库在Vue.js中发起HTTP请求,与后端接口对接。 6. **Vue组件开发**:创建Vue组件,如EmployeeList.vue显示员工列表,EmployeeDetail.vue展示和编辑员工信息。 7. **状态管理和路由配置...
毕业设计-JSP人事工资系统改进版
08-21
【描述】"完整课程设计及源码"表明该资源不仅包括了系统的前端界面和后端逻辑,还提供了完整的源代码,为学习者或开发者提供了可参考和研究的对象。这种类型的项目通常会涵盖数据库设计、用户交互、数据处理等多个...
企业人事管理系统(java 毕业设计 J2EE 源码)
12-31
5. **MVC(Model-View-Controller)模式**:企业人事管理系统可能采用了MVC设计模式,分离了业务逻辑(Model)、用户界面(View)和控制流程(Controller)。这种模式有利于代码组织,提高可维护性和可扩展性。 6. ...
人事管理系统(课程设计)源码.zip
06-19
2. 后端Java、Python或Node.js,配合Spring Boot、Django或Express等后端框架,提供API接口处理数据交互。 3. 数据库:MySQL、PostgreSQL或SQLite,用于存储和管理人事数据。 4. 开发工具:IDE如IntelliJ IDEA、...
计算机毕业设计人事管理后台项目
03-11
接口设计则考虑各模块间的交互,如前端与后端的数据交换。 3. **编程实现**: 开发工具可选用Java或Python等后端语言,搭配Spring Boot、Django等框架进行开发。前端使用HTML、CSS、JavaScript,配合React、Vue等...
人事——权限设置
Gsasuke的博客
01-21 153
2、Dao层 public interface RoleRepository extends JpaRepository<Role,Integer> { public List<Role> findAllById(Integer id); boolean existsById(Integer id); //删除Role表数据 @Modifying @Transactional @Query("delete from Role where id
人事(三)后端权限管理(访问策略)
一蓑烟雨任平生
12-28 566
权限管理:权限管理的主力是在后端,前端是做不了权限管理的,由于有抓包工具(如:Fiddler、Burpsuite等)可以伪造前端的参数,所以前端就算做了权限管理,也是不安全的。因此,前端注重的是用户体验,后端才是正在的主力。 (一)对Hr.java的改造 1.增加了roles属性,用于保存用户所拥有的角色 2.增加了getAuthorities()方法,用户将用户所拥有的角色放入SpringSecurity中 public class Hr implements UserDetails { private
人事(10)- 完善权限管理
一角残叶的博客
08-12 441
1 完善权限管理 关闭服务端, 启动前端项目 没有登录,直接访问菜单,error 有 response 字段 启动服务端 前端直接去访问 http://localhost:8081/login 思路: 在没有登录时,访问某个接口,不要重定向,直接告诉其结果。 启动服务端 解决页面空白,不是很友好。 现在是如果没有登录,访问 sys/basic ,会跳转到登录页面。 改进,在登录后,在跳回到 sys/basic ...
人事(3)- 动态权限控制(SpringCache、SpringSecurity)
weixin_44021967的博客
08-11 298
文章目录前端设计:左侧菜单设计后台设计:动态权限控制动态权限控制扩展知识1: 前端设计:左侧菜单设计 将每一级的菜单放到数据库中,而不是写死到前端 enabled表示当前项是否启用。 keepAlive表示不显示这个标签的时候,这个标签是隐藏还是销毁。 requireAuth表示组件是否需要登录才能访问。 后台设计:动态权限控制 数据库:hr、hr_role、role、menu_role、menu 用户->角色->权限:在menu中定义了当前权限的url接口,例如员工奖惩对应的url为/pers
人事(9)- 前后端分离权限
一角残叶的博客
08-12 370
1 前后端分离权限思路 http://www.javaboy.org/2019/0523/springboot-vue-permission.html 根据用户访问的 url ,可以获取 mid, 根据 mid 可以获取 rid, 根据 rid 查看用户是否具有这种角色 Service SELECT m.*,r.id as rid,r.name as rname,r.nameZh as rnameZh FROM menu m,menu_role mr, role r WHERE m.id=m
基于springboot+vue的人事管理系统的设计与实现
01-13
基于SpringBoot和Vue的人事管理系统的设计与实现如下: 1. 架构设计:系统采用前后端分离的架构,前端使用Vue框架,后端使用SpringBoot框架。前后端之间通过RESTful API进行数据交互。 2. 功能设计:系统包含员工管理、部门管理、职位管理、薪资管理、请假管理等基本功能。员工管理包括员工信息的增删改查,部门管理包括部门的添加和删除,职位管理包括职位的添加和删除,薪资管理包括工资的计算和发放,请假管理包括请假申请和审批等。 3. 数据库设计:系统采用MySQL数据库存储数据,设计了员工表、部门表、职位表、工资表和请假表等几个核心表。具体表结构根据具体需求设计。 4. 后端实现:后端使用SpringBoot框架进行开发,通过使用Spring Data JPA进行数据库访问,使用Spring Security进行权限控制。后端实现了RESTful API接口,提供给前端进行数据交互。 5. 前端实现:前端使用Vue框架进行开发,使用Vue Router进行路由管理,使用Element UI进行页面布局和组件使用。前端通过发送Http请求与后端进行交互,展示数据、进行操作等。 6. 部署与测试:系统可以部署在云服务器上,使用Nginx进行反向代理,保证系统的稳定性和安全性。使用Postman进行接口测试,保证系统的正确性和健壮性。 通过基于SpringBoot和Vue的人事管理系统的设计与实现,可以实现对员工的全生命周期管理,提高人力资源管理的效率和准确性。系统具有良好的扩展性和灵活性,可以根据需求进行功能拓展和定制。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值