用户权限管理体系及其SpringBoot实现

最新推荐文章于 2025-02-10 23:04:42 发布
原创 最新推荐文章于 2025-02-10 23:04:42 发布 · 3.2k 阅读 · 14 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #spring boot #数据库

这篇博客探讨了用户权限管理体系的演变,从早期的简单逻辑判断到URL拦截,再到RBAC模型的引入。详细介绍了如何使用SpringBoot实现基于角色的访问控制,包括用户表、角色表、资源表的设计,以及用户角色、角色资源的关联。通过自定义注解和AOP实现权限验证,确保用户只能访问匹配其权限的URL。

用户权限管理体系及其SpringBoot实现

用户管理体系的演变

最早期的实现

流程

不同的用户有不同的角色,用一个role_status表示

比如0代表学生1代表老师

用户根据用户名密码登录后程序通过if else等简单的逻辑判断看用户的role_status从而判断用户是否可以访问相关页面,操作相关菜单按钮。

在这里插入图片描述

缺陷

  1. 耦合性太高,每个方法中都会有大量的if else来判断用户的role_status从而决定什么给用户展现
  2. 扩展性太低,如果新加入一种role_status,那势必要大量的更改代码,几乎重写所有的方法

拦截器拦截URL

流程

通过拦截器拦截所有的请求这些请求就是@GetMapping等注解上的url

并设置拦截的规则,如不会拦截登录请求,不会拦截静态资源。

不同的用户可以方法不同的url,数据库中维护着所有的url,并维护着用户和他能访问的url的对应关系(就是那些用户能访问那些url)

缺点

没有统一的标准

粒度太细,在资源层面上无法统一。

在这里插入图片描述

RBAC权限模型

流程

RBAC是基于角色的访问控制,是用户通过角色与权限进行关联,为什么不直接给用户分配权限呢?简单来说,一个用户拥有多个角色,每个角色拥有若干权限。这样就构成了“用户-角色-权限”的授权模型。在这个模型中,用户与角色、角色与权限之间是多对多的关系。(这样解决上面的粒度太细的问题

根据角色授权的思想,我们需要设计五张表

(1)三张主表

​ 用户表(user)

​ 角色表(role)

​ 资源表(resource)

(2)两张中间表

​ 用户角色表(user_role)

​ 角色资源表(role_resource)

一个用户可以有多种角色,一种角色可以访问多种资源。当一个用户使用系统时会通过联表查询他的角色,查询他的角色具有的资源,从而判断他是否可以使用某些共能,查看某些界面

在这里插入图片描述

使用springboot实现权限验证

流程图下

在这里插入图片描述

首先是登录,验证登录信息并生成token

为了方便用户名和密码直接写死了

    @PostMapping("login")
    public ResultJson login(@RequestParam String userName, @RequestParam String password){
        User user=null;
        if(userName.equals("lala")&&password.equals("lala")){
            List<String> au=new ArrayList<>();
            au.add("look");
            user=new User("lala","lala",au);
        }
        if(user!=null){
            //生成令牌
            String token=UUID.randomUUID()+"";
            System.out.println(token);
            //存入redis中
            redisTemplate.opsForValue().set(token,user,30l,TimeUnit.MINUTES);
            return ResultJson.ok(token);
        }
        return ResultJson.failure(ResultCode.NOT_FOUND);
    }

这里为了方便,用户名和密码直接写死了,并未建立RBAC权限模型几张表,而是直接其具有的权限作为了一个写死的字段

自定义一个注解用于标记访问那些url需要的权限

其中value值为权限

@Retention(value = RetentionPolicy.RUNTIME)
@Target({ElementType.METHOD,ElementType.TYPE})
@Inherited
@Documented
public @interface PreAuthorize {
    String value();
}

将该注解用于方法上,其中的value代表访问该方法需要的权限

再通过AOP的环绕通知的方式以上面定义的注解为切点,定义一个方法,在用户通过url访问时,先执行该方法。

该方法会获取注解上的权限字段,通过token从redis中取出用户信息,然后判断该用户有无权限访问该url

@Aspect
@Component
public class AuthorizeAspect {
    @Resource
    private RedisTemplate<String,Object> redisTemplate;
    @Pointcut("@annotation(com.wu.myAnnotaion.PreAuthorize)")
    public void logPointCut() {
    }
    @Around("logPointCut()")
    public Object myAround(ProceedingJoinPoint pjp) throws Throwable{
        Object[] args = pjp.getArgs();
        String name = pjp.getSignature().getName();
        HttpServletRequest arg=(HttpServletRequest)args[0];
        String token=arg.getHeader("token");//得到token
        Signature signature = pjp.getSignature();
        MethodSignature msg=(MethodSignature) signature;
        Object target = pjp.getTarget();
        //获取注解标注的方法
        Method method = target.getClass().getMethod(msg.getName(), msg.getParameterTypes());
        //通过方法获取注解
        PreAuthorize annotation = method.getAnnotation(PreAuthorize.class);
        Object proceed = null;
        try {
            User user= (User) redisTemplate.opsForValue().get(token);
            if(user==null){
                proceed=ResultJson.failure(ResultCode.NOT_LOGIN,"该用户未登录");
                return proceed;
            }
            //annotation.value()获取注解的value值
            if(!user.getAuthority().contains(annotation.value())){
                proceed=ResultJson.failure(ResultCode.NOT_AUTH,"该用户没有该权限");
            }else {
                proceed = pjp.proceed(args);
            }
        } catch (Exception e) {
            System.out.println("【环绕异常通知】【"+name+"】方法出现异常,异常信息:"+e);
            throw new RuntimeException(e);
        } finally{
            System.out.println("【环绕后置通知】【"+name+"】方法结束");
        }
        return proceed;
    }
}

运行结果

首先使用用户名lala和密码lala登录获取token
在这里插入图片描述

在上面我给用户设置了权限"look"

此时访问有"look2"权限的方法

将@PreAuthorize(“look2”)放在方法上

@GetMapping("getUserOfLogin")
@PreAuthorize("look2")
public ResultJson getUserOfLogin(HttpServletRequest request){
    return ResultJson.ok();
}

在这里插入图片描述

将上面的权限换为"look"后再访问

@GetMapping("getUserOfLogin")
@PreAuthorize("look")
public ResultJson getUserOfLogin(HttpServletRequest request){
    return ResultJson.ok();
}

在这里插入图片描述

admin3335
关注
RBAC权限系统分析、设计实现
╱/.独﹄無㈡oоΟ的博客
02-14 1188
目前,使用最普遍的权限管理模型正是RBAC(Role-Based Access Control)模型,这些文章也主要是介绍基于RBAC的权限管理系统,这篇文章从RBAC是什么、如何设计RBAC两部分来介绍。 我所负责的项目涉及到角色权限的问题全部是通过RBAC来实现的,以前只是出于熟练使用的层面,现在学习一下RBAC更深层次的理论知识。 一、RBAC是什么 1、RBAC模型概述 RBAC认为权限授权的过程可以抽象地概括为:Who是否可以对What进行How的访问操作,并对这个逻辑表达式进行判断是否为.
Spring Boot权限管理(最终)
08-17
Spring Boot权限管理
基于Spring Boot的企业员工管理设计实现_8rxd27hj
最新发布
qq_1262330535的博客
02-10 728
在信息化科技飞速发展的今天,企业员工管理已经成为企业经营管理不可或缺的重要部分。传统的纸质管理方法存在工作量大、容易出错、管理效率低下等问题。因此,开发一个基于Spring Boot的企业员工管理系统,有助于提高企业信息化管理水平,降低管理成本,提高工作效率。开发语言:Java框架:springbootJDK版本:JDK1.8服务器:tomcat7数据库:mysql数据库工具:Navicat11开发软件:eclipse/myeclipse/ideaMaven包:Maven。
一个炫酷的 springboot 后台模板,有菜单,权限用户 管理的基本功能
09-21
一个后台管理系统,包含有菜单管理,比如新增、删除、修改菜单,同理有权限用户角色管理,多样报表,饼图,线形图,柱形图等 ,还有登录校验,当天登录次数过多限制,ip登录过多限制。等基本功能。后续可根据业务需求扩展。
基于SpringBoot用户权限管理系统
sky_aizaixin的博客
05-31 3531
本文介绍了一个基于SpringBoot用户权限管理系统的设计实现,包括数据库设计、后端接口的设计实现、前端页面的设计实现等方面。通过本文的学习,读者可以了解到如何使用SpringBoot等技术栈来开发一个简单的权限管理系统,也可以对数据库设计和后端开发有更深入的认识。
Shiro 架构
mengxianglong123的博客
10-17 364
架构图: 1.1 Subject Subject即主体,外部应用subject进行交互,subject记录了当前操作用户,将用户的概念理解为当前操作的主体,可能是一个通过浏览器请求的用户,也可能是一个运行的程序。 Subject在shiro中是一个接口,接口中定义了很多认证授相关的方法,外部程序通过subject进行认证授,而subject是通过Secu...
SpringBoot2.0整合Shiro实现用户权限管理详解
资源摘要信息:"SpringBoot2.0整合Shiro框架实现用户权限管理的示例,是一篇详细讲解如何在现代化Java开发中集成Apache Shiro安全框架以实现完整用户认证授权机制的技术文章。该文结合Spring Boot 2.0这一主流...
基于SpringBootSpring Security,Vue & naiveUi 实现的前后端分离权限管理简易系统.zip
03-09
Vue.js用于构建用户界面,实现前端后端的交互,包括数据双向绑定、组件化开发、路由管理和状态管理等。 **4. naiveUi** naiveUi是基于Vue 3的UI组件库,提供了丰富的UI组件,如按钮、表格、模态框等,用于快速...
基于SpringBoot权限管理系统设计实现
“后台管理”意味着系统提供一个可视化的Web管理界面,供管理员进行用户管理、角色分配、菜单配置、日志查看等操作。前端部分虽然未在文件列表中明确指出,但通常会采用Vue.js、Thymeleaf或Bootstrap等技术栈后端...
vue+springboot实现权限管理
01-10
### 使用 Vue 和 Spring Boot 实现权限管理 #### 动态权限管理系统概述 在构建企业级应用程序时,动态权限管理是一个重要的组成部分。它允许管理员灵活配置不同角色用户的访问权限,而无需重新启动服务或修改源代码...
基于springboot的后台权限管理系统
05-25
该后台管理系统,基于springboot开发,使用freemarker模板引擎,页面使用easyUI,bootstrap等前段框架,数据库使用mysql
spring boot用户管理系统
11-03
spring boot用户管理系统,主要使用了spring boot整合开发技术
springboot+jpa+security用户权限
11-04
springboot+jpa+mysql+security的用户权限管理代码 。
基于SpringBoot的RBAC权限管理后台系统
该项目采用主流Java技术栈构建,包括SpringBoot、MyBatis、Maven、JSP和MySQL等核心技术,具备良好的可维护性可拓展性,适用于中小型企业的管理系统开发或作为学习RBAC权限体系的实践案例。 从标题“console:权限...
SpringBoot2.0 整合 SpringSecurity 框架,实现用户权限安全管理
【积累】,是一个长期持续的过程。
07-17 1611
一、Security简介 1、基础概念 Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring的IOC,DI,AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为安全控制编写大量重复代码的工作。 2、核心API解读 1)、Securi......
Springboot权限管理
zkk的博客
09-05 2622
现在鉴权模块已经非常成熟,以上仅为个人心得和实践,还有很多改进的地方欢迎评论,后续还会补充通过Shiro框架实现的鉴权这一模块。
springboot 实现权限管理(一)
qq_44654974的博客
01-22 1万+
一、背景 1、 为什么进行权限管理? 生活在形形色色的世界之中,我们各自扮演着各自的角色,拥有不同的权利和义务。映射在计算机系统之中,也一样需要 角色权限 来进行对用户的分类,限制访问资源,保证资源地合理被使用,使人各司其职。 2、应用场景 假设 管理员可以对用户进行CRUD的管理,而普通用户往往只拥有对资源的查看,无法进行删除等高级权限。 3、SpringBoot实现主要的方式 (1)采用注解+拦截器 (2)Shiro框架 (3)Spring Security 4、重点理解 (1)理解用户角色权限
用户权限管理体系 (RBAC)
帆的博客
09-06 2322
RBAC
小白的springboot之旅(十一) - springboot用户权限管理(一)
热门推荐
shanjingyuan的专栏
05-31 6万+
关键词:springboot,jpa,spring security,mysql通常我们的网站都有权限控制,就像一个公司有产品、开发、运维之分,各自负责各自的业务,相互独立,有相互协作,共同完成一个任务。拥有不同权限用户查看不同的页面,进行不同的操作。这篇来简单的说一下使用springboot+jpa+springsecurity实现简单的用户权限管理角色用户的关系通过数据库配置控制。角色可...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值