根据角色进行权限控制

最新推荐文章于 2023-01-12 17:23:47 发布
最新推荐文章于 2023-01-12 17:23:47 发布
阅读量2.4k 收藏
点赞数
分类专栏: Spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaosongwahaha/article/details/78947531
版权
 

Spring security实现登录验证+权限控制 

        上面这篇文章中是通过赋予admin账户URL来禁止其他用户访问,这样过于死板,现在用赋予每个角色可以访问的URL,然后将用户与URL绑定,来进行URL访问控制,前面的文章 根据角色加载菜单的思路(推荐使用) 是通过角色控制菜单是否显示,但是仅仅那样是不够的,还要通过控制URL的访问来进一步进行URL访问控制




1、通过首先将角色和该角色可访问的URL写入表中


@RequestMapping("urlAdd.json")
    public String urlAdd(ModelMap modelMap, HttpServletRequest request) {


        String urlType = request.getParameter("urlType");
        String urlResource = request.getParameter("urlResource");
        String menuName = request.getParameter("menuName");


        if (urlType == null || "".equals(urlType)) {
            urlType = "默认角色";
        }
        if (urlResource == null) {
            urlResource = "";
        }
       
        String[] urlList = urlResource.split(";");
        String[] menuList = menuName.split(";");
        int len = urlList.length;
        boolean bool = false;
        //首先看角色是否重复,角色名不可重复
        int countRole = filterService.confirmRole(urlType);
        if(countRole>0)
        {
        modelMap.put("status", bool);
        modelMap.put("menu", urlType);
        return "JSON";
        }
        //先添加角色表,因为角色只要添加一次,资源添加多次。
        bool = filterService.psRoleAdd(urlType);
        if(bool)//角色插入成功,再插入资源
        {
        for(int i=0;i<len;i++)
            {
        String resouceId = filterService.confirmUrlResource(urlList[i]);//确认这个url是否存在
                if(resouceId.equals(""))//没有这个资源需添加
                {
                bool = filterService.urlAdd(urlType, urlList[i], menuList[i], true);
                }
                else//只需添加role_resource关系表
                {
                bool = filterService.urlAdd(urlType, urlList[i], menuList[i], false);
                }
            }
        }
        modelMap.put("status", bool);
        return "JSON";
    }



 /**
     * 确认该角色名是否已经存在
     * */
    public int confirmRole(String roleName){
       String sql = "select count(*) from ps_role where role_name='"+roleName+"' ";
        return urlJdbcTemplate.queryForInt(sql);
   }


/*
     * 确认该URL是否存在
     * */
    public String confirmUrlResource(String urlResource){
    String sql = "select t1.id from ps_resource t1 where t1.value = ? ";
    String sourceId = getId(sql, urlResource, "id");
         return sourceId;
    }


//isFull这个参数比较重要

public boolean urlAdd(String urlType, String urlResource, String menuName, boolean isFull) {//添加url
        String sqlResouce = " INSERT INTO PS_RESOURCE(VALUE,SUMMARY) VALUES(?,?) ";
        String sqlRoleResource = " INSERT INTO PS_ROLE_RESOURCE(ROLE_ID,RESOURCE_ID) VALUES(?,?) ";
        String sqlResourceId = " SELECT ID FROM PS_RESOURCE WHERE VALUE= ? ";
        String sqlRoleId = "SELECT ID FROM PS_ROLE WHERE ROLE_NAME = ? ";
        boolean bool;
        try {
        if(isFull)
        {
        //插入资源表
                urlJdbcTemplate.update(sqlResouce, urlResource, menuName);
        }
            //获取刚刚插入资源表和角色表的ID,插入资源角色关联表
            String resourceId = getId(sqlResourceId, urlResource, "ID");
            String roleId = getId(sqlRoleId, urlType, "ID");
            urlJdbcTemplate.update(sqlRoleResource, roleId, resourceId);
            bool = true;
        } catch (Exception e) {
            bool = false;
        }
        return bool;
    }



2、将用户和角色绑定

@RequestMapping("roleAdd.json")
    public String roleAdd(ModelMap modelMap, HttpServletRequest request) {


        String roleIdentity = request.getParameter("roleIdentity");
        String role = request.getParameter("role");
        String roleId = request.getParameter("roleId");


        if (role == null || "".equals(role)) {
            role = "默认角色";
        }
        if (roleIdentity == null) {
            roleIdentity = "";
        }
        boolean bool = false;
        int count = filterService.confirmRoleId(roleIdentity);//确认这个用户id是否存在
        if(count == 0)
        {
        bool = filterService.roleAdd(roleIdentity, role, roleId);
        }
        modelMap.put("status", bool);


        return "JSON";
    }


 /*
     * 确认该用户否存在
     * */
    public int confirmRoleId(String roleIdentity){
    String sql = " SELECT COUNT(*) FROM PS_MEMBER WHERE USER_NAME = '"+roleIdentity+"'";
         return urlJdbcTemplate.queryForInt(sql);
    }



/**
     * @param roleIdentity
     * @param role
     * @return
     */
    public boolean roleAdd(String roleIdentity, String role, String roleId) {//添加用户


        String sql = " INSERT INTO PS_MEMBER(USER_NAME,PASSWORD) VALUES(?,?) ";
        String sqlId1 = " SELECT ID FROM PS_MEMBER WHERE USER_NAME = ? ";
        //String sqlId2 = " SELECT id FROM PS_ROLE WHERE ROLE_NAME = ? ";
        String sql2 = " INSERT INTO PS_MEMBER_ROLE(MEMBER_ID,ROLE_ID) VALUES(?,?) ";
        boolean bool;


        try {
            urlJdbcTemplate.update(sql, roleIdentity, "1");
            String memberId = getId(sqlId1, roleIdentity, "ID");
            //String roleId = getId(sqlId2, role, "id");
            urlJdbcTemplate.update(sql2, memberId, roleId);
            bool = true;
        } catch (Exception e) {
            bool = false;
        }


        return bool;
    }



3、最后登录时过滤URL,具体怎样设置配置文件可参考 

Spring security实现登录验证+权限控制 ,下面的程序是对FilterSql.java的改造。

public boolean queryURL(String url, String user_id, List<String> user_role) {//url权限管理
        boolean permit = false;
        boolean noFilter = true;//不需要拦截


        Pattern p = Pattern.compile("\\.do");//需要过滤的后缀(*.do、*.json)
        Matcher m = p.matcher(url);
        while (m.find()) {
            noFilter = false;
        }


//        p = Pattern.compile("\\.json");
//        m = p.matcher(url);
//        while (m.find()) {
//            noFilter = false;
//        }


        if ("anonymousUser".equals(user_id) || noFilter) {//如果是用户登录,或者不是(*.do、*.json)
            return true;//不需要拦截
        }


        if (user_role.contains("ROLE_VISITOR") && !"/ps_admin/index.do".equals(url)) {//如果是访客且不是/admin/index.do,拦截。
            return false;//拦截
        }
        
        //首先只要用户角色是admin,所有的url都可以访问,另外所有的用户都可以访问/ps_admin/index.do
        if (user_role.contains("ROLE_ADMIN") || "/ps_admin/index.do".equals(url))
        {
        return true;
        }
        //然后再看哪些角色可以访问哪些URL
        List<String> list;
        Object[] roleObject = getObjectOfRole(user_role);
        String sql = " select t1.value from ps_resource t1,ps_role_resource t2,ps_role t3 where t1.id=t2.resource_id and t2.role_id=t3.id and t3.role_name= ? ";
        list = urlJdbcTemplate.query(sql, roleObject, new RowMapper<String>() {
            @Override
            public String mapRow(ResultSet rs, int i) throws SQLException {
                return rs.getString("VALUE");
            }
        });




        if (list.contains(url)) {//每个角色只能访问属于他的url
            permit = true;//允许
        }


        return permit;
    }

xiaosongwahaha
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
简单的RBAC用户角色权限控制
求知若饥、虚心若愚
02-28 1万+
Java web项目中,无论项目是大是小,或多或少都会涉及到用户访问权限控制权限管理总体的设计思路就是,不该看的不看,不该的不!据我目前的了解,我所知道的几种实现访问权限控制的方式有:JQuery的zTree设计权限树; 权限框架shiro; 基于角色的访问控制RBAC;这是我所知道的几种权限管理,如果有误或是还有其他的方法,望指正! 而今天我要说的就是基于角色的访问控制RBAC的权限
基于角色权限控制(RBAC)介绍
老徐的博客只有干货
04-13 1069
什么是RBAC RBAC(Role-Based Access Control)基于角色权限控制。其基本思想是,对系统操作的各种权限不是直接授予具体的用户,而是在用户集合与权限集合之间建立一个角色集合。每一种角色对应一组相应的权限。一旦用户被分配了适当的角色后,该用户就拥有此角色的所有操作权限。 有什么好处 这样的好处是,不必在每次创建用户时都进行分配权限的操作,只要分配用户相应的角色即可,而且角色权限变更比用户的权限变更要少得多,这样将简化用户的权限管理,减少系统的开销。 RBAC系统都包含哪些模
react实现不同用户角色可访问不同的页面(路由权限管理)
lingliu0824的博客
10-16 3200
需求:可制定不同的角色以及对应角色可以访问的页面 实现:1.登录后根据用户角色字段获取该角色能够访问的页面路径2.将能够访问的路径存储到全局(这里用的是localstorage)3.在涉及权限的路由下使用自定义路由组件PrivateRoute代替Route(关于某一菜单/路径是否是需要权限的页面,可以在配置菜单数组的时候新增一个字段,值为true/false对应是否需要权限) import React from "react"; import { Route } from "react-router-dom
项目一5 对用户分配角色 用户登录 构造权限数据 日志
AdamCafe的博客
06-18 1431
# 回顾 角色管理 模块管理 分配权限( ztree, 构造ztree的json数据,分配权限 ) 1 分配角色 1.1 进入分配页面 实现步骤: 根据用户id查询用户数据 查询所有的角色数据 根据用户id查询此用户的所有角色数据 循环构造用户所有角色的id字符串 controller service dao 1.2 实现角色分配 当传递同名参数的时候,在controlle...
delphi基于角色权限控制.pdf
12-26
- **权限分配**:根据角色ID(RID)查询角色权限对应表(tbRole_Privilege),进而获得该角色下的所有权限ID(PID)集合。 - **权限验证**:在用户尝试访问某项功能时,系统会检查用户拥有的权限ID(PID)集合中是否包含对应...
实例说明asp.net中的简单角色权限控制
10-29
在本实例中,我们将探讨一种基于角色权限控制机制,这通常被称为“角色权限控制”。这种模式是基于Windows权限模型,其中用户被分配到不同的角色,每个角色具有特定的权限集合。 首先,我们有两个核心表:`Hope_T...
Spring Security如何使用URL地址进行权限控制
08-25
Spring Security如何使用URL地址进行权限控制 Spring Security是一个功能强大且广泛应用的Java安全框架,它提供了许多功能,包括身份验证、授权、加密等。其中,权限控制是Spring Security的一个重要组件,它允许...
Java如何利用Mybatis进行数据权限控制详解
08-25
1. 减少接口数量和复杂度:无需为每个角色创建不同的接口,所有角色共享同一接口,权限控制由底层处理。 2. 提升灵活性:当角色权限发生变化时,只需要更新配置,无需改动业务代码。 然而,这种方案也有其局限性...
SDN学习
01-27
本文来自于博客园,本文主要介绍SDN定义的接口以及OpenFlow可以看是接口的一种实现,进行定义与处理,更多详细内容请阅读下文。 SDN(软件定义网络)是一个概念、是一个思想、一个框架、是一种网络设计理念,它有三个特征1.控制平面与转发平面分离2.控制平面集中化3.网络可编程 OpenFlow是控制平面和转发平面之间的通讯协议,类比编程中的概念,SDN可以看是定义的接口,OpenFlow可以看是接口的一种实现OpenvSwitch(下面简称为OVS)是由Nici
C# winform 权限控制 包括角色 用户 权限设置
10-31
本教程将详细讲解如何在C# WinForm环境中实现基于角色权限控制,包括角色、用户和权限的设置。 首先,我们需要理解几个基本概念: 1. **用户**:在系统中进行操作的个体,可以是实际的人或者代表某个实体的程序...
RBAC(基于角色权限访问控制)
wyy的博客
07-10 1993
第一节.RBAC简介 英文全称(Role-Based Access Control) 中文全称:基于角色权限访问控制 rbac: 一种数据库设计思想,根据设计数据库设计方案,完成项目的权限控制. 经常需要添加权限的情景 4.1 不同用户登录后看到的菜单是不一样的. 4.2 不同用户看到的页面效果不一样 4.2.1 有的用户可以看见”授权”按钮,或有的用户可以看见”删除”按钮 4.3 不同用户完成的功能是不一样的. 4.3.1 有的用户可以执行删除,有的可以执行新增. 学习RBAC需要掌握的两项
【项目六】用户 角色 权限 数据交互
最新发布
爱玩亚索的程序员
01-12 312
vue 项目
Java实现用户权限控制功能
BXERP(集成小程序的多商户开源收银系统)。代码托管在CodeChina和GitHub
12-21 1886
项目中使用数据库表+视图+存储过程+缓存的方式实现用户权限控制。通过用户表、角色表、权限表以及用户角色表、角色权限表两个中间表可以得到一个用户对应的权限有哪些。创建一个视图将这五个表连接起来,可以查询出每个用户对应的权限有哪些。Java层通过调用存储过程,存储过程再查询该视图,用户权限可以传递到Java层。Java层将用户权限缓存起来,可以提高效率。本文主要介绍:“涉及到的数...
基于角色权限控制模型RBAC
一个搬砖工人
07-29 3231
RBAC(Role-Based Access Control)即:基于角色权限控制。通过角色关联用户,角色关联权限的方式间接赋予用户权限。 在RBAC模型里面,有3个基础组成部分,分别是:用户、角色权限。 RBAC通过定义角色权限,并对用户授予某个角色从而来控制用户的权限,实现了用户和权限的逻辑分离,极大地方便了权限的管理。 User(用户):每个用户都有唯一的UID识别,并被授予不同的角色。 Role(角色):不同角色具有不同的权限。 Permission(权限):访问权限。 用户-角色映射:用户
Laravel Permission 实现 RBAC 权限实操详解
努力奔跑的少年
03-06 1991
版本5.6,centos7,php7.2 更新2018-6-26 了解laravel Permission https://packagist.org/packages/spatie/laravel-permission 第一篇laravel Permission:https://www.jianshu.com/p/434bf3a8ebd0 原理 管理员通过多态找到角色角色找到权限是通...
我说 SELECT COUNT(*) 会造成全表扫描,面试官让我回去等通知
python爬虫人工智能大数据
05-26 1085
前言上篇 SQL 进阶技巧(下) 中提到使用以下 sql 会导致慢查询SELECTCOUNT(*)FROMSomeTable SELECTCOUNT(1)FROMSomeTa...
shiro权限管理的一个interceptor
一个有趣、有料、有内涵的地方!
01-08 866
import java.util.List; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import org.apache.commons.logging.Log; import org.apache.commons.logging.LogFactor
Java角色基础的权限控制详解与模型比较
《Java基于角色权限控制》是一本深入解析RBAC在Java环境中的实施与应用的专业书籍,对于开发人员、安全专家和系统管理员来说,是一份宝贵的学习资料,可以帮助他们理解和设计高效、灵活的角色权限管理系统。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值