基于RBAC用户权限控制的校验

最新推荐文章于 2025-07-19 16:35:43 发布
最新推荐文章于 2025-07-19 16:35:43 发布
阅读量2.1k 收藏 1
点赞数 1
CC 4.0 BY-SA版权
文章标签: 缓存 权限管理 用户角色权限
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/xiaobai66073/article/details/63253654
本文介绍了基于RBAC的用户权限控制,通过用户登录后将权限存入缓存,利用拦截器对每个请求进行权限校验。详细步骤包括:配置拦截器、实现缓存、编写拦截器代码以及用户登录后的权限存储操作。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

在上一次的文章中,简单的说明了基于RBAC用户权限控制的菜单显示和表结构的设计,而往往在企业项目中,仅仅控制用户菜单是不够的,而是要控制到每一个按钮,也就是每一个请求。

首先,用户权限校验的基本流程是,当用户登录成功后,将用户对应的权限存放在缓存中,用户每次发起一个请求时,在拦截器里面判断用户是否具有这个权限。

第一步:拦截器的配置

拦截器的配置是在spring-mvc.xml这个配置文件中的。
代码如下:

<!--配置拦截器, 多个拦截器,顺序执行 -->
    <mvc:interceptors>
        <mvc:interceptor>
            <!-- 匹配的是url路径, 如果不配置或/**,将拦截所有的Controller-->
            <mvc:mapping path="/**" />
            <!-- 需排除拦截的地址 -->
            <mvc:exclude-mapping path="/login.ding.jsp"/>
            <mvc:exclude-mapping path="/login.pcding.jsp"/>
            <mvc:exclude-mapping path="/login.index.jsp"/>
            <mvc:exclude-mapping path="/user/toIndex"/>
            <mvc:exclude-mapping path="/user/toLogin"/>
            <mvc:exclude-mapping path="/www/login.jsp"/>
            <bean class="com.siweisoft.interceptor.UserInfoLoginInterceptor"></bean>
        </mvc:interceptor>
        <!--<mvc:interceptor>-->
            <!--&lt;!&ndash; 匹配的是url路径, 如果不配置或/**,将拦截所有的Controller&ndash;&gt;-->
            <!--<mvc:mapping path="/**" />-->
            <!--<bean class="com.siweisoft.interceptor.LogInterceptor"></bean>-->
        <!--</mvc:interceptor>-->
        <!-- 当设置多个拦截器时,先按顺序调用preHandle方法,然后逆序调用每个拦截器的postHandle和afterCompletion方法 -->
        <mvc:interceptor>
            <!-- 匹配的是url路径, 如果不配置或/**,将拦截所有的Controller-->
            <mvc:mapping path="/**" />
            <!-- 需排除拦截的地址 -->
            <mvc:exclude-mapping path="/login.ding.jsp"/>
            <mvc:exclude-mapping path="/login.pcding.jsp"/>
            <mvc:exclude-mapping path="/login.index.jsp"/>
            <mvc:exclude-mapping path="/user/toIndex"/>
            <mvc:exclude-mapping path="/user/toLogin"/>
            <mvc:exclude-mapping path="/www/login.jsp"/>
            <bean class="com.siweisoft.interceptor.Interceptor1"></bean>
        </mvc:interceptor>
    </mvc:interceptors>

第二步:写一个缓存用于存放用户权限

Java中常用的缓存有memcache ,redis, ehcache ,这里使用一个本地的缓存类来实现一个简单的缓存。
代码如下:

/**
 * 缓存管理类,待优化
 * Created by Robin on 2017-01-16.
 */
public class CacheManager {
    private static HashMap cacheMap = new HashMap();
    private static CacheManager cacheManager=null;

    //单实例构造方法
    private CacheManager(){
        super();
    }

//    /**
//     * 获取缓存实例(单例)
//     * @return
//     */
//    public static CacheManager getCacheManager() {
//        if (cacheManager == null) {
//            cacheManager = new CacheManager();
//        }
//        return cacheManager;
//    }

    /**
     * 清除制定的缓存
      * @param key 待清除缓存项的key
     */
    public synchronized static void clearOnly(String key) {
        cacheMap.remove(key);
    }

    //获取缓存信息
    public static Object getCache(String key) {
        if(key == null || "".equals(key)) {
            throw new NullPointerException("待获取缓存对象的key为null");
        }
        return cacheMap.get(key);
    }

    //设置缓存
    public static synchronized  boolean setCache(String key,Object object) {
        if(key == null || "".equals(key)) {
            throw new NullPointerException("待获取缓存对象的key为null");
        }
        if(hasCache(key)) {
            throw new CacheManagerException("同名缓存已经存在!");
        }
        cacheMap.put(key,object);
        return true;
    }

    //判断缓存key是否已经存在
    public static boolean hasCache(String key) {
        return cacheMap.containsKey(key);
    }

    //获取缓存的数目
    public static int getCacheSize() {
        return cacheMap.size();
    }

    //获取缓存对象中的所有键值名称
    public static ArrayList getCacheAllkey() {
        ArrayList a = new ArrayList();
        try {
            Iterator i = cacheMap.entrySet().iterator();
            while (i.hasNext()) {
                java.util.Map.Entry entry = (java.util.Map.Entry) i.next();
                a.add((String) entry.getKey());
            }
        } catch (Exception ex) {} finally {
            return a;
        }
    }

    //清除所有缓存
    public synchronized static void clearAll() {
        cacheMap.clear();
    }

    public static void main(String[] args) {
        CacheManager.setCache("1",1);
        System.out.println("cache:"+ CacheManager.getCache("1"));

        CacheManager.setCache("2",2);

        System.out.println(CacheManager.getCache(""));
    }
}

第三步:编写拦截器,对每一个请求进行校验
代码如下:

/**
 * Created by Robin on 2017-3-10.
 */
public class RequestInterceptor implements HandlerInterceptor {

    //boolean:表示是否需要将当前的请求拦截下来
    //Object handler : 表示当前被拦截的请求的目标对象
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        //获取当前的对象
        User user = (User) request.getSession().getAttribute("user");
        //当前请求的相对url
        String requestUrl = request.getRequestURI();
        //当前缓存中的URL
        List<Map<String,Object>> list = (List<Map<String, Object>>) CacheManager.getCache("UserPer");
        boolean statu = false;
        if (list != null) {
            for (int i = 0; i < list.size(); i++) {
                String url = (String) list.get(i).get("permission_url");
                statu |= requestUrl.equals(url);
          }
        }else{
            statu = false;
        }

//      判断是异步请求还是同步请求,如果是ajax请求响应头会有x-requested-with
        String xrw  = request.getHeader("X-Requested-With");
        if (!statu && xrw!=null){
           response.setStatus(403);
        }
//       同步请求
        if (!statu && xrw == null) {
            response.setHeader("Content-type", "text/html;charset=UTF-8");
            response.setCharacterEncoding("UTF-8");
            response.getWriter().print("<script >alert('您没有此访问权限!');history.go(-1);</script>");
        }
        return statu;
    }

    //返回modelAndView之前执行
    @Override
    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {
    }

    //执行Handler完成执行此方法
    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
    }
}

第四步:用户登录成功时,将用户权限存储在缓存类中
代码如下:

//   登录成功后跳转到首页
    @RequestMapping(value="toIndex",method= RequestMethod.GET)
    public String toIndex(int id,HttpServletRequest request) {
        String url = "";
        try {
            User user = userService.selectByPrimaryKey(id);
            if(user!=null&&!user.equals("")){
                request.getSession().setAttribute("user",user);
                //这里将用户的登录信息存储在缓存中
                LoginUserCache.put(user,30*60);
                //通过userID查当前用户的所有权限
                List<Map<String,Object>> list = permissionService.findPermissionByUserId(id);
                CacheManager.clearAll();
                // 这里将用户的权限信息存储在缓存中
                CacheManager.setCache("UserPer",list);
                url = "../../swindex";
            }else{
                url = "../../index";
            }
        } catch (Exception e) {
            e.printStackTrace();
        }
        return url;
    }

这样,一个比较完善的用户权限控制就完成了,如有错误之处,还望及时指出。

xiaobai66073
关注
项目笔记之权限校验
weixin_73348815的博客
09-23 1030
Spring Security概述Spring Security 的前身是 Acegi Security ,是 Spring 项目组中用来提供安全认证服务的框架。官网地址: https://projects.spring.io/spring-security/Spring Security 为基于J2EE企业应用软件提供了全面安全服务。特别是使用领先的J2EE解决方案-Spring框架开发的企业软件项目。人们使用Spring Security有很多种原因,不过通常吸引他们的是在J2EE Servlet规范或
Spring Security介绍(四)权限校验
w_t_y_y的博客
02-29 2600
(1)自定义拦截器或者AOP校验:对需要鉴权的接口做拦截,用户权限从SecurityContextHolder中获取,接口访问权限可以通过自定义Annotation注入,具体参照。用户认证+授权后,就可以进行接口权限控制。思路是拿用户(已授予的)权限与接口所需权限进行比较,不包含则视为无权。和shiro类似,sercurity也提供了注解式权限校验
权限校验表设计
11-14
基于Dubbo Filter,每次请求时通过【调用方(用户令牌)+服务标识+被调接口+调用参数】访问权限管理微服务获取具体权限
【项目实战篇】RBAC权限设计
weixin_47002803的博客
07-19 722
RBAC(Role-Based Access Control,基于角色的访问控制)是一种广泛应用于系统权限管理的模型,它将权限角色关联,用户通过成为适当角色的成员而获得这些角色权限RBAC是一种灵活且强大的权限模型,通过合理的规划和实现,可以满足大多数系统的权限管理需求,同时保持系统的安全性和可维护性。结合以上所有特性,用户可以在会话中激活角色的子集。:系统中需要被保护的对象。:提供友好的权限管理界面。:对系统资源的操作许可。:只授予必要的最小权限。:检查权限分配是否合理。:避免角色过多或过少。
基于RBAC的通用权限管理系统的详细分析与实现(理念篇——权限对象、权限项、功能权限、数据权限权限组、权限设计)
晓风残月淡的博客
10-02 6805
在与人沟通的过程中,我们很多次提到了权限,但是权限具体的含义每个人理解的含义都不明确,这样很容易造成双方信息不对称,有的人就只是把权限理解成某个页面的是否可访问,但是有的人却理解成其他的东西。 所以我们要彻底的定义一下权限是什么? “权限”这个词语,我们谈论时到底是名词属性还是动词属性?这对于权限的含义很重要。 如果是名词属性的话,那么它应该是有具体的指代物;如果是动词,则应该具有行为表示。 - 权限的名词属性:api接口、页面、业务功能等。 - 权限的动词属性:可访问、新增、编辑、可操作、不可操作等
Springboot实现RBAC权限校验
qq_57031340的博客
08-27 2095
Springboot实现RBAC权限校验 实现方式:Springboot+AOP切面+自定义注解+redis+jwt+mybatis+token拦截器
osce排考+基于RBAC角色资源权限控制(自定义注解)
最新发布
08-06
以给出的“osce排考+基于RBAC角色资源权限控制(自定义注解)”为例,我们可以推测,这是一个涉及到考试排考系统中的权限控制模块。在这个系统中,可能会有不同级别的用户角色,如管理员、教师、学生等,每个角色...
基于RBAC权限控制模型的后台管理系统
01-20
  该项目主要展示 RBAC权限控制效果,并提供员工管理模块以供测试。用户登录系统后,根据用户所关联的角色,查询角色拥有的权限,如:菜单权限、按钮权限。不同角色用户,所显示的菜单可能也不尽相同。 系统...
基于SSM的rbac权限控制.zip
11-24
基于SSM的RBAC权限控制,实质上是在SSM框架的基础上实现了一套角色权限管理系统。该系统的实现涉及到用户认证、权限校验角色分配等多个层面。用户在系统中可能扮演一个或多个角色,而每个角色都关联一系列权限,...
基于角色权限管理系统(RBAC),采用Springboot开发
11-21
后端则在API接口层进行权限校验,确保只有具备相应权限用户才能访问特定资源。 7. **数据库设计**:通常,我们需要设计三个核心表:用户表(User)、角色表(Role)和权限表(Permission)。此外,角色权限关联表...
【Java源码】基于RBAC模型设计的权限管理架构.zip
12-14
它允许管理员通过简单的角色分配来控制用户权限,极大地提高了工作效率,并且在审计和合规方面也有明显优势。 此外,随着技术的发展和业务需求的变化,RBAC模型也在不断发展和演进,比如引入了属性角色访问控制...
RBAC权限管理系统,是一个开源的
11-19
通用的一个.net權限系統.非常好用,喜欢的可以下载看看
权限校验
iteye_19299的博客
11-12 216
package com.newer.liu.system.comment; import java.io.IOException;import java.lang.reflect.Method;import java.util.List; import javax.servlet.ServletException;import javax.servlet.http.HttpServletReq...
权限系统之RBAC设计(基于角色权限认证 思想)
Wang________的博客
03-24 455
权限系统之RBAC RBAC模型(Role-Based Access Control:基于角色的访问控制)模型是20世纪90年代研究出来的一种新模型,但其实在20世纪70年代的多用户计算时期,这种思想就已经被提出来,直到20世纪90年代中后期,RBAC才在研究团体中得到一些重视,并先后提出了许多类型的RBAC模型。其中以...
RBAC用户角色权限管理
qq_51386003的博客
08-22 5503
RBAC(Role-Based Access Control,基于角色的访问控制),就是用户通过角色权限进行关联。简单地说,一个用户拥有若干角色,每一个角色拥有若干权限。这样,就构造成“用户-角色-权限”的授权模型。在这种模型中,用户角色之间,角色权限之间,一般者是多对多的关系。可以看出角色表起到了一个承接的作用把权限下发给每一个角色,而用户可以选择角色来间接的获取权限User(用户):每个用户都有唯一的UID识别,并被授予不同的角色Role(角色):不同角色具有不同的权限
权限校验系统设计
2301_79418644的博客
06-06 602
本文介绍了一个基于Spring AOP和Redis的权限控制方案。该方案通过自定义@PreAuthorize注解和AuthorizeAspect切面实现权限校验,具有以下特点: 采用声明式权限控制,业务逻辑与权限校验解耦 基于RBAC模型设计,权限数据存储在Redis实现高效校验 通过权限标识符精确匹配控制访问,支持模块化权限分级 提供403无权限错误处理,权限变更时可动态生效 系统包含权限表、角色表等数据库设计,支持菜单、API等多级权限控制,适用于需要细粒度权限管理的应用场景。
自定义权限校验
AE86的博客
05-14 639
最近写一个小应用,有涉及到权限控制的,不想引入SpringSecurity等权限框架,感觉用框架太重了,于是自己用拦截器简单实现了下。思路就是自定义一个注解,标注在需要权限控制Contoller的方法上,该注解有一个roles属性,表示接口需要的角色,定义一个拦截器,拦截每个请求,根据请求头携带的Token查询用户信息,判断用户角色中是否有注解声明的某个角色,如果有权限就放行,没有就拦截抛异常。 数据库表结构 登录 因为会拦截所有请求,从请求头中获取TokenID查询用户信息,而这个TokenID就是.
RABC权限管理
01-05 1202
RABC(Role-Based Access Control,基于角色的访问控制),就是用户通过角色权限进行关联。 简单的说,就是一个用户拥有若干角色,每个角色拥有若干权限。这样,就构成“用户-角色-权限”的授权模型。 在这种模型中,用户角色之间,角色权限之间,一般是多对多的关系 角色是什么呢?可以理解为有一定数量的权限的集合,权限的载体。 比如,一个论坛系统,“超级管理员”,“
项目中添加权限校验
KOBE24forever的博客
03-29 1595
背景:在项目中,通常会给某些模块或者功能添加权限,只有有权限的人才能查看或者操作,本文记录下如何在项目中添加权限位的校验。 实现: 1、在页面刷新的时候,通过接口获取当前用户所拥有的权限。 在接口正常返回之后,将返回的权限存储到Vuex(也可以自行选择存储方式)中。 代码如下:this.$store.commit('SET_AUTHS', "要存储的数据"); 2、在项目中封装权限校验的方法$auth(目录可在src下面的plugin中) import Vue from 'vue'; Vue.use({
SSH框架下基于RBAC权限管理系统开发实践
例如,编写用户登录验证、角色分配、权限校验等逻辑。 6. **实现控制器层**:在Struts框架中定义Action类,处理来自客户端的请求,并调用Service层的业务逻辑,最后返回结果。 7. **构建前端页面**:使用JSP或HTML...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值