RBAC
一、RBAC的作用
在很多系统中,会要求不同的账户对应着不同的角色和权限。如教务管理系统,分为以下几种功能,不同的功能对应着不同的角色
如果要做到登录后根据账户的角色,给出相应的菜单,及规定当前角色只能做出对应其功能的操作(即不能越级访问,如学生不能修改成绩) 的时候,可以使用RBAC来作为一种解决方案。
二、 什么是 RBAC
RBAC(Role-Based Access Control )基于角色的访问控制。
RBAC 认为权限的过程可以抽象概括为:
判断【Who 是否可以对 What 进行 How 的访问操作(Operator)】
Who:权限的拥用者或主体
What:权限针对的对象或资源
How:具体的权限
Operator:操作。表明对 What 的 How 操作。也就是 权限+资源
Role:角色,一定数量的权限的集合。权限分配的单位与载体,目的是隔离用户与权限的逻辑关系
三、RBAC96模型
RBAC96包括了RBAC0~RBAC3四个概念模型
RBAC0、RBAC1、RBAC2、RBAC3四者之间关系
RBAC0:
是RBAC的基石,一般普通业务用RABC0已足够。
用户和角色是独立的,将角色赋给用户这个过程称为集合会话Session。角色又决定了当前这个用户有哪些权限。这个权限又决定了这个角色有哪些许可,能操作哪些对象
RBAC1:
把RBAC的角色Role分层而产生的模型
(RBAC1引入角色可以被继承的概念,有了继承就有了上下级的包含关系。如普通员工的权限所有角色都有,部门经理的权限包含普通员工所有的权限,因此可以让角色部门经理继承自角色普通员工)
RBAC2:
RBAC引入动态(静态)职责分离产生的模型。
RBAC2引入了职责分离的概念,即有一些特殊的角色不能分配给同一个用户。
RBAC3:
把RBAC1和RBAC2整合到一起产生的模型
四、实例说明
以上述的教务管理系统为例
1)实现用户登录功能
2)使用 RBAC0 模型管理系统权限
3)对系统的菜单以及菜单中的链接进行管理。
4)用户登录后首页根据用户角色显示该角色所对应的菜单
5)禁止用户越级访问
数据库设计
角色表
用户表
菜单表
将菜单标上序号,如图
编号1~ 4是一级菜单,二编号5~16则是二级菜单
给该表填充数据
角色_菜单表
根据菜单表可以看出,各角色对应的菜单如下
因此,角色_菜单表填充数据如下
实体类
User
//用户名
private String username;
//密码
private String pwd;
//角色id
private Integer roleid;
//角色
private Role role;
//菜单
private List<Menu> list;
Role
private Integer roleid;
private String rolename;
Menu
//菜单id
private Integer menuid;
//菜单名
private String menuname;
//对应的url
private String menuurl;
//父id
private Integer pid;
//对应的二级菜单
private List<Menu> list;
Funs
private Integer funid;
private String funname;
private String funurl;
private Integer menuid;
Mapper层
- RoleMapper
public interface RoleMapper {
//查询Role信息
public Role selectRole(int roleid);
}
<select id="selectRole" resultType="role">
select * from role where roleid=#{0}
</select>
- MenuMapper
public interface MenuMapper {
//菜单的查询
public List<Menu> selectMenu(int roleid,int pid);
}
<!--
查询角色id为arg0且pid为arg1的所有菜单
select menuid from role_menu where roleid = #{arg0}:查到的是改角色下所有的菜单id
-->
<select id="selectMenu" resultType="menu">
select * from menu where menuid in (select menuid from role_menu where roleid = #{0} ) and pid = #{1};
</select>
UserMapper
public interface UserMapper {
User findByUserName(String username);
}
<select id="findByUserName" resultType="user">
select * from user where username=#{0};
</select>
Service层
@Service
public class MenuService {
@Autowired
private MenuMapper menuMapper;
public List<Menu> findMenus(int roleid){
//获得该角色所有的一级菜单
List<Menu> list = menuMapper.selectMenu(roleid, 0);
for (Menu menu:list ){
//获得一级菜单的id
Integer menuid=menu.getMenuid();
//获得该角色下指定一级菜单下对应的二级菜单
List<Menu> list2 = menuMapper.selectMenu(roleid, menuid);
//将二级菜单放入指定的一级菜单中
menu.setList(list2);
}
return list;
}
}
@Service
public class UserService {
@Resource
private UserMapper userMapper;
@Resource
private RoleMapper roleMapper;
@Resource
private MenuService menuService;
public User login(User user){
String username = user.getUsername();
if (username!=null&&!"".equals(username)){
//根据用户名查询对象
User user1 = userMapper.findByUserName(username);
//若密码正确
if (user1.getPwd().equals(user.getPwd())){
//根据角色查询菜单
List<Menu> menus = menuService.findMenus(user1.getRoleid());
//把菜单列表放入User对象中
user1.setList(menus);
//根据roleid查询角色
Role role = roleMapper.selectRole(user1.getRoleid());
//将role保存中user对象中
user1.setRole(role);
return user1;
}
return null;
}
return null;
}
}
Controller层
@Controller
public class UserController {
@Resource
private UserService userService;
@RequestMapping("userLogin")
public String userLogin(User user, HttpServletRequest req){
User login = userService.login(user);
if (login!=null){
req.setAttribute("msg","登录成功");
System.out.println(login.getList());
req.getSession().setAttribute("list",login.getList());
//过滤器
req.getSession().setAttribute("user",login);
return "success1";
}else {
req.setAttribute("msg","登录失败");
return "error";
}
}
}
登录测试
- 管理员登录
- 教师登录
- 学生登录
用户登录过滤器
为了避免用户未登录就访问登录成功的页面,我们添加用户登录过滤器
public class UserLoginFilter implements Filter {
@Override
public void init(FilterConfig filterConfig) throws ServletException {
}
@Override
public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain chain) throws IOException, ServletException {
//获取用户访问的 URI
HttpServletRequest req=(HttpServletRequest) servletRequest;
String uri = req.getRequestURI();
//判断当前访问的 URI 是否是用户登录资源,如果是 则放行
if(uri.indexOf("login") != -1 || uri.indexOf("userLogin") != -1){
chain.doFilter(servletRequest, servletResponse);
}else {
//用户是否登录的判断
HttpSession session = req.getSession();
User user = (User)session.getAttribute("user");
if(user != null && user.getUsername().length() > 0){
chain.doFilter(servletRequest, servletResponse);
}else{
req.setAttribute("msg", "请登录");
req.getRequestDispatcher("/login").forward(servletRequest , servletResponse);
}
}
}
@Override
public void destroy() {
}
}
配置web.xml
<!--配置登录过滤器-->
<filter>
<filter-name>UserLoginFilter</filter-name>
<filter-class>com.shsxt.filter.UserLoginFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>UserLoginFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
权限管理
越级访问
学生登录后,在地址栏填写修改成绩的路径,便可访问该页面
为了避免这种情况,下面开始进行权限管理
补充funs表中的数据
修改 User 实体类添加与 Funs 的关联
//用户名
private String username;
//密码
private String pwd;
//角色id
private Integer roleid;
//角色
private Role role;
//菜单
private List<Menu> list;
//权限
private List<Funs> funs = new ArrayList<>();
添加FunsMapper
public interface FunsMapper {
List<Funs> selectbyRoleId(Integer roleid);
}
<select id="selectbyRoleId" resultType="funs">
select * from funs where menuid in (select menuid from role_menu where roleid = #{0});
</select>
修改UserService
@Resource
private UserMapper userMapper;
@Resource
private RoleMapper roleMapper;
@Resource
private MenuService menuService;
@Resource
private FunsMapper funsMapper;
public User login(User user){
String username = user.getUsername();
if (username!=null&&!"".equals(username)){
//根据用户名查询对象
User user1 = userMapper.findByUserName(username);
//若密码正确
if (user1.getPwd().equals(user.getPwd())){
//根据角色查询菜单
List<Menu> menus = menuService.findMenus(user1.getRoleid());
//把菜单列表放入User对象中
user1.setList(menus);
//根据roleid查询角色
Role role = roleMapper.selectRole(user1.getRoleid());
//将role保存中user对象中
user1.setRole(role);
//根据roldid查询权限
List<Funs> funs = funsMapper.selectbyRoleId(user1.getRoleid());
user1.setFuns(funs);
return user1;
}
return null;
}
return null;
}
创建权限过滤器
public class SafeFilter implements Filter {
@Override
public void init(FilterConfig filterConfig) throws ServletException {
}
@Override
public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain chain) throws IOException, ServletException {
HttpServletRequest req = (HttpServletRequest) servletRequest;
HttpServletResponse resp = (HttpServletResponse) servletResponse;
String uri = req.getRequestURI();
//对静态资源做放行处理
if(uri.endsWith(".js") || uri.endsWith(".css")|| uri.endsWith(".gif")){
chain.doFilter(servletRequest, servletResponse);
}else {
//对用户登录资源做放行
if(uri.indexOf("login") != -1 || uri.indexOf("userLogin") != -1){
chain.doFilter(servletRequest, servletResponse);
}else {
HttpSession session = req.getSession();
User user = (User)session.getAttribute("user");
List<Funs> funs = user.getFuns();
System.out.println(funs);
//权限
boolean flag = false;
for(Funs f:funs){
//判断当前访问的 URI 是否在功能数据中包含
if(uri.indexOf(f.getFunurl()) != -1){
flag = true;
break;
}
}
//根据flag的值来进行跳转
if (flag){
chain.doFilter(servletRequest, servletResponse);
}else {
resp.sendRedirect("roleerr");
}
}
}
}
@Override
public void destroy() {
}
}
配置权限过滤器
<!--权限过滤器-->
<filter>
<filter-name>SafeFilter</filter-name>
<filter-class>com.shsxt.filter.SafeFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>SafeFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
登录学生账户,访问修改成绩页面
hain.doFilter(servletRequest, servletResponse);
}else {
resp.sendRedirect(“roleerr”);
}
}
}
}
@Override
public void destroy() {
}
}
配置权限过滤器
```xml
<!--权限过滤器-->
<filter>
<filter-name>SafeFilter</filter-name>
<filter-class>com.shsxt.filter.SafeFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>SafeFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
登录学生账户,访问修改成绩页面,则会跳转至角色错误页面
五、代码及文档
文档、数据库及代码下载
提取码:gam6