权限管理组件的设计、开发思路

最新推荐文章于 2022-09-26 01:22:35 发布
最新推荐文章于 2022-09-26 01:22:35 发布
阅读量1.8k 收藏 2
点赞数
分类专栏: 功能组件 文章标签: acegi string list spring permissions 框架
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yan_dk/article/details/7226117
版权

        应用软件中通常包含用户的权限管理功能,往往不同应用系统对权限管理功能的需求不同,有自己的权限模型,权限的授权、鉴权策略。权限管理是相对独立的一个功能模块,由于功能需求不同、采用模型设计、实现技术等的不同,往往给设计开发人员带来很大的负担,开发出来的东西往往耦合性大、不易扩展维护,给项目带来很大风险。为适应软件开发组件模块开发趋势,把它设计成通用、灵活复用嵌入应用系统的组件模块不是一件容易的事情。业界曾提供了许多通用权限管理的组件或解决方案。参照一些资源,以及我的一些开发项目经验,试图探索一些权限组件设计开发的一些思路,也希望能得到阅读本文的意见和建议,持续改进完善它。现在我主要从以下方面介绍:1)权限模型;2)基础框架技术组件

权限模型

       包括授权模型、鉴权模型(也叫权限验证模型)。授权模型有DAC、MAC、ACL、RBAC。鉴权模型,给出一个图解如下

比较著名的授权模型是RBAC(基于角色的访问控制)。这个资料很多,不用详细说了。主要涉及的实体有用户users(USERS)‏ 、角色roles(ROLES)‏ 、目标objects(OBS)‏ 、操作operations(OPS)‏ 、许可权permissions(PRMS)‏ 。

权限技术组件选型

      基础框架的技术组件,比较著名的应该是Acegi Security(以下简称Acegi),它是一个能为基于Spring的企业应用提供强大而灵活安全访问控制解决方案的框架,Acegi已经成为Spring官方的一个子项目,所以也称为Spring Security。Acegi提供的权限管理方面功能可以说非常全面,但是它的设计比较细致、复杂,需要一定时间学习和掌握它的框架结构和使用原理,才能得到比较好应用。属于比较重量级的组件,如果权限方面的有更多特性化的业务需求,需要定制扩展该组件时,就需要非常熟悉掌握到一定程度,甚至需要修改扩展Acegi源码,如果不够熟悉组件架构原理,就会改不好,甚至引来一些不必要的麻烦。对于开源的组件,我个人建议是对于设计的重量级的组件,如果应用系统目前用到的功能没有那么全面,只用部分功能的话,就可以了解到它的架构机制原理后,把需要使用的部分功能从开源组件中抽取出来,整合舍弃一些不太用到的源码,简单化,封装成一个相对轻量级的组件,这样既可以满足应用系统的功能,也能充分利用开源组件的框架机理(毕竟开源组件是经过很多项目的检验,可以借鉴的,很多地方比我们个人考虑更成熟)。这样形成的轻量级组件植入我们的应用系统,变得更可控,更容易维护、灵活扩展。

      Acegi实现机制可以参看文档http://blog.csdn.net/yan_dk/article/details/7228167

总体来说,Acegi实现还是功能集成度高、复杂、重量级的。笔者建议还是把它拆分成不同的功能部分,根据需要分别来用不同组件实现比较好,比如认证处理我们可以采用SSO组件就可以,权限资源拦截我们可以自己编写权限资源访问匹配方法,这样比较灵活一些。下面谈一个权限资源拦截的一个设计、编码实例。

设计思路主要是:

1.一个单例(AuthorityContextSingleton):保存当前用户拥有的所有权限资源路径,用于在权限资源拦截时提供可用权限资源;

2.一个过滤器(AuthorityInterceptorFilter):对请求资源进行拦截,根据上述单例中保存的用户拥有的权限资源路径进行匹配,如果不能正确匹配,就属于无权访问资源,进行拒绝访问的处理。

范例代码如下:

/**
 * 权限资源上下文单例                                                                                                                                                                                                                                                       
 * @author yandk
 * @date Jan 30, 2012
 */
public class AuthorityContextSingleton {
 protected Log log = LogFactory.getLog(getClass());
 private LoginService loginService;
 private String authoritySwitch;//权限资源拦截开关,true启用;false不启用。


 public void setLoginService(LoginService loginService) {
  this.loginService = loginService;
 }
 public void setAuthoritySwitch(String authoritySwitch) {
  this.authoritySwitch = authoritySwitch;
 }

 public String getAuthoritySwitch() {
  return authoritySwitch;
 }


 private Map<String,List> mapSecurityResource=new HashMap<String,List>();//安全资源映射表,包含(操作员编码,安全资源路径)的键值对。
 
// private volatile static AuthorityContextSingleton authorityContextSingleton ;
 private AuthorityContextSingleton(){
  
 }
 
 synchronized public void setSecurityResource(Oper oper){
  List<String> list_funcPath= new ArrayList<String>();
  String operName = oper.getOperName();
//  判断当前用户是否是超级用户角色,若是则开放所有访问资源,*.do
  List<Role> list_role= oper.getRoleList();
  for (Role role : list_role) {
   String roleType = role.getRoleType();
   if( 是超级管理员角色){//管理员角色类型是超级管理员时,拥有所有权限
    list_funcPath.add("*.do");
    mapSecurityResource.put(operName , list_funcPath);
    return;
    
   }
  }
//  取得参数用户的权限资源
  list_funcPath=loginService.getFuncPath(oper);
//  将参数用户及其权限资源存入安全资源映射表
  mapSecurityResource.put(PubConstant.user_authrity_Key_prefix+operName, list_funcPath);
 }

 public Map<String, List> getMapSecurityResource() {
  return mapSecurityResource;
 }

注:本单例类通过spring注入上下文使用。

/**
 * 安全资源访问的拦截控制:用户访问系统时,拦截控制只能访问被授权的资源(功能路径),如果访问未授权资源,则提示拒绝访问                                                                                                                                                                                                                                            
 * @author yandk
 * @date Jan 29, 2012
 */
public class AuthorityInterceptorFilter implements Filter {
 protected Log log = LogFactory.getLog(getClass());
 
 public final static String USERDEFINE_FUNCPATH_INIT_PARAM = "userdefine.open.funcpath";//用户自定义的开放资源(url功能路径)
 private String userdefine_funcpath;//用户自定义的开放资源-值
 
 @Override
 public void init(FilterConfig config) throws ServletException {
  userdefine_funcpath = config.getInitParameter(USERDEFINE_FUNCPATH_INIT_PARAM);  
 }
 @Override
 public void doFilter(ServletRequest request,
   ServletResponse response, FilterChain chain) throws IOException, ServletException{
  HttpServletRequest httpRequest = (HttpServletRequest) request;
  HttpSession httpSession = ((HttpServletRequest) request).getSession();
  HttpServletResponse httpResponse = (HttpServletResponse)response;
    
  try {
    ServletContext servletContext = httpSession.getServletContext();   
       ApplicationContext ctx = WebApplicationContextUtils.getWebApplicationContext(servletContext);
    AuthorityContextSingleton authorityContextSingleton = (AuthorityContextSingleton)ctx.getBean("authorityContextSingleton");
    if("true".equals( authorityContextSingleton.getAuthoritySwitch())){//如果权限资源拦截开关未启用,则不拦截
   String requestPath = httpRequest.getRequestURI();
   String ls_requestPath = UrlUtils.buildFullRequestUrl(httpRequest.getScheme(), httpRequest.getServerName(), httpRequest.getServerPort(), requestPath, null);
   Oper oper = (Oper) httpSession.getAttribute("oper");
   if(oper!=null && userdefine_funcpath!=null){//在登录之后进行权限资源的拦截处理
//                String operCode =oper.getOperCode();
    String operName = oper.getOperName();
//    判断请求路径是否与设置参数userdefine_funcpath相匹配,若匹配可以开放访问
    PathMatcher matcher = new AntPathMatcher();
    String userdefinePaths[] = null; 
    userdefinePaths = userdefine_funcpath.split(",");
    boolean flag;
    flag = matchRequestPath(matcher,ls_requestPath,userdefinePaths);
    if (flag) {//若匹配开放资源,则不拦截
     log.info(" AuthorityInterceptorFilter request path '"+ls_requestPath+"'is matched,filter chain will be continued."); 
    }else{
//       authorityContextSingleton.setSecurityResource(operCode);//aa
       Map<String,List> mapSecurityResource=authorityContextSingleton.getMapSecurityResource();
       List list_funcPath = mapSecurityResource.get(PubConstant.user_authrity_Key_prefix+operName);
       if(list_funcPath!=null&&!list_funcPath.isEmpty()){
      Object[] funcPaths = list_funcPath.toArray();
      boolean flag2;
      flag2= matchRequestPath(matcher,ls_requestPath,funcPaths);
      if(!flag2){
       httpResponse.sendRedirect(httpRequest.getContextPath()+"/accessDenied.jsp");
       return;
      }
     }  
    }
   }
   chain.doFilter(request, response);
    }
  } catch (Exception ex) {
   log.debug("SecurityResourceInterceptorFilter: " + ex.toString());
   ex.printStackTrace();
  }
 }
 
 private boolean matchRequestPath(PathMatcher matcher,String requestPath,Object[] resourcePaths){
  boolean flag=false;
  for (Object resourcePath : resourcePaths) {
    flag = matcher.match("**/"+(String)resourcePath, requestPath);
    if (flag) {
   flag=true;
   break;
    }
  }
  return flag;
 }

 @Override
 public void destroy() {
  // TODO Auto-generated method stub
  
 }

 

}

在web.xml文件中写入对过滤器组件的引用,如下

...

<!-- 安全资源拦截控制 --> 
 <filter>  
  <filter-name>authorityInterceptorFilter</filter-name>
  <filter-class>cn.ceopen.bss.pub.login.util.AuthorityInterceptorFilter</filter-class>
  <init-param>
   <param-name>userdefine.open.funcpath</param-name>
   <param-value>
   **/pub/login.do,**/pub/leftMenu.do
   </param-value>
  </init-param>
  
 </filter>
 <filter-mapping> 
  <filter-name>authorityInterceptorFilter</filter-name>  
  <url-pattern>*.do</url-pattern>
 </filter-mapping>

...

 

这样,在就可以实现对权限资源的拦截控制。


 

云焰
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
安卓组件开发架构,设计思路,代码大全
07-29
本篇将深入探讨“安卓组件开发架构,设计思路,代码大全”,并结合使用javapoet库来实现,确保高度的兼容性。 首先,组件化的核心思想是解耦合。在传统的一体化开发模式下,各个功能模块相互依赖,导致代码结构...
聊聊React中的权限组件设计
小王的技术库
10-13 1699
它将VUE的各个知识点进行了总结,整理成了《Vue 开发必须知道的36个技巧》。内容比较详实,对各个知识点的讲解也十分到位。
权限管理(权限列表+角色列表)开发
我的博客
08-23 2111
目录 新建rights分支并且切换到这个分支 git checkout -b rights 权限管理业务分析 用户和不同的角色绑定,而不同角色拥有不同的权限(增删改查) 权限列表开发流程 权限列表的基本布局 通过发起一次请求获取权限列表数据,发起什么样的请求要查看API文档https://download.csdn.net/download/YINZHE__/21390085 将获取到的数据渲染成一个table表格,并做一定的美化 plugins/element.js comp...
【Vue 开发实战】实战篇 # 33:更加精细化的权限设计(权限组件、权限指令)
学习前端这门手艺,栈底到栈顶依次是:浏览器架构、Web 网络、事件循环机制、JavaScript 核心、V8 的内存管理、浏览器的渲染流程、Web 安全、CSS、React、Vue、Node、构建工具链等
09-26 340
组件式相对来说比较灵活,但是需要用的都要嵌套一层。指令的缺点就是如果权限是动态的,就不好处理,具体可以根据业务选择。实现两种方式实现权限组件的控制,比如下面两个地方的按钮控制,如果是user用户,就没有权限控制。【Vue 开发实战】学习笔记。
粤嵌星计划打卡第三十二天(对象的销毁和垃圾收集机制)(java实现一个权限管理系统)
你是人间四月天
09-16 533
#粤嵌我来了##粤嵌星计划# 粤嵌星计划挑战 今天打卡第三十二天 今天学习内容 知识清单 1.了解基于资源的权限管理方式 2. 掌握权限数据模型 3. 掌握基于url的权限管理(不使用Shiro权限框架的情况下实现权限管理) 4. shiro实现用户认证 5. shiro实现用户授权 6. shiro与企业web项目整合开发的方法 权限管理原理知识 什么是权限管理 只要有用户参与的系统一般都要有权...
vue权限管理实现思路
ilovexiaoming1的博客
04-08 1万+
前端权限管理的意义: 1、降低非法操作的可能性 2、尽可能排除不必要的请求,减轻服务器的压力 3、提高用户体验 前端权限控制的思路: 1、菜单控制:在登录请求当中,会得到权限数据,权限需要在多个组件之间共享,所以可以通过vuex保存数据并且展示相应的菜单,页面刷新的情况下会丢失数据,所以把权限数据存入sessionStorage中。 2、界面控制:如果用户没有登录,手动输入url地址,应该阻止并跳转到登录页面,通过路由导航守卫来实现。动态路由可以让不具备权限的界面在路由规则中不存在 3、按钮控
详解spring整合shiro权限管理与数据库设计
08-30
Spring整合Shiro权限管理与数据库设计 本文主要介绍了Spring整合Shiro权限管理...本文介绍了Spring整合Shiro权限管理与数据库设计的相关知识点,并提供了一些基本的实现步骤和思路。希望这篇文章能够对读者有所帮助。
权限组件设计思路(推荐)
04-22
本篇文章将深入探讨权限组件设计思路,帮助开发者理解如何有效地实现这一重要功能。 首先,权限组件的核心目标是实现对用户操作的精细化控制。这包括对资源(如数据、功能模块)的访问权限进行定义、分配、检查...
通用权限系统-中台组件
11-11
对于企业中的项目绝大多数都需要进行用户权限管理、认证、鉴权、加密、解密... 本项目同时也是一个微服务开发框架,集成了基础的公共组件,包括数据库、缓存、日志、表单验证、对象转换、防注入和接口文档管理等工具。
java 物流管理系统 毕业设计
最新发布
04-25
此外,项目文档"基于Java web技术的物流综合管理信息系统设计开发1.doc"可能包含了系统设计思路、架构选择、数据库设计、需求分析等内容,是理解整个系统的重要参考资料。而"logistics_project"可能是一个包含源...
通用权限管理组件权限管理
06-20
通用权限管理组件,通用权限管理组件,通用权限管理组件,通用权限管理组件,通用权限管理组件
OA系统权限管理设计方案
weixin_30650859的博客
10-19 1020
由于公司的大规模发展,应上层要求OA系统要跟上发展的步伐,我决定把系统重做一遍。 现在做前期系统分析,目前遇到一个困难:权限设计方案。。 在百度很快找到了解决方案,以下资料转载自网络: 不同职责的人员,对于系统操作的权限应该是不同的。优秀的业务系统,这是最基本的功能。 l 可以对“组”进行权限分配。对于一个大企业的业务系统来说,如果要求管理员为其下员工...
基于角色的权限管理系统设计思路
Mr.赵的专栏
05-18 1万+
概述权限管理功能是项目中重要的部分,通过权限系统可以控制系统中各用户所拥有的权限,比如能否打开一个页面,能否进行某项操作,合理的权限控制可以规避误操作的风险,提高系统的可用性。 权限管理思路一般为基于角色和基于资源两种,基于角色即对为用户赋予某些角色的权限,基于资源则为对用户赋予某些资源的权限。两种既可以单独实现,也可结合起来使用。设计思路系统中抽象出操作、角色、用户三个概念,其中操作由项目中抽
后台经验分享:如何做权限管理系统设计
热门推荐
人人都是产品经理
11-06 7万+
作者:橘子洲头 全文共 2210 字 5 图,阅读需要 6 分钟 ———— / BEGIN / ———— 在人人都是产品经理的网站上蛰居了4年,学习了四年,由于最近的工作方向偏向于后台,在设计后台时时常会查阅后台的相关资料,但是关于后台的文章等内容分享的太少了。 正好这一段时间在调整,想尝试撰写一系列的关于后台文章,希望跟大家一起来探讨、分享,希望对大家有所裨益。
权限管理设计思路
天然卷的博客
09-27 1057
title: “权限管理设计思路” date: 2019-02-28 tags: [“模块设计”] categories: 后台 最近公司的运营管理系统开发完毕,有时间来写点东西,就先来总结一下我再权限系统的设计思路吧,希望能有点用。 权限管理分为 功能权限以及数据权限。 功能权限 功能权限是指某个用户使用某个功能的权限 ,简单的说就是调用某个接口的权限。 功能权限比较简单,主要要有三个实体: ...
01_权限组件
专注Java(全栈)应用开发,求知若渴,虚心若愚,talk is cheap, show me the code.
03-30 248
表结构设计: 业务逻辑SQL: ------------------ 权限组件: 权限组件是常用系统的组件,我们来介绍一种实现的典型方案: 1.表结构设计: 1.三种表:系统角色表,角色权限表,用户角色表: SQL下载:https://download.csdn.net/my/uploads 2.业务逻辑SQL: 2.1 查出用户角色表信息 2.2 从角色表查出用户......
用户权限系统设计方案
10-23 3万+
用户权限系统设计方案钟峰·2004年10月[版本:1.0.0] 摘要  本文介绍一个应用于企业应用通用的用户权限系统的设计框架,其设计思想与主要文档来源自 SunWu Software Studio 的 iSecurityManager® 产品。本指南适用于体系结构设计人员和开发人员。目录简介 用户与角色 动作定义 应用模块 授权 总结
应用软件开发设计思路怎么写
04-03
应用软件开发设计思路应该包括以下几个方面: 1.需求分析:对软件开发的需求进行分析,包括功能需求、性能需求、用户界面需求等。 2.架构设计:根据需求分析的结果,设计软件的整体架构,包括系统模块划分、系统组件设计、系统接口设计等。 3.算法设计:根据软件系统的功能需求,设计相应的算法实现,包括数据处理、逻辑控制等。 4.界面设计设计软件的用户界面,包括界面布局、图形元素设计、交互设计等。 5.测试策略:设计软件的测试策略,包括单元测试、集成测试、系统测试、验收测试等。 6.安全设计设计软件的安全策略,包括身份认证、数据加密、权限控制等。 7.性能优化:对软件进行性能优化,包括代码优化、数据库优化、网络优化等。 8.文档编写:编写软件的使用说明、安装说明、开发文档等。 以上是应用软件开发设计思路的主要方面,设计思路的具体内容应该根据不同软件开发项目的实际情况进行具体的分析和设计

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

云焰

你的鼓励是我创作的最大动力。

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值