JSF项目中实现基于RBAC模型的权限管理设计(一)(转)

最新推荐文章于 2021-06-15 18:38:06 发布
最新推荐文章于 2021-06-15 18:38:06 发布
阅读量171 收藏 1
点赞数
分类专栏: JSF2 文章标签: 数据库 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/yuzhi2217/article/details/84370155
版权
本文深入探讨了在项目设计初期选择正确权限管理模型的重要性,并详细阐述了基于角色的访问控制(RBAC)模型。文章进一步介绍了如何在数据库中设计RBAC模型,包括基本模型和对资源分组后的模型,以及在JSF项目中实现RBAC的具体步骤,如资源分类、管理初始化、鉴权服务模块和权限验证模块设计。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1 概述

       几乎所有的项目都会涉及到权限控制的问题。在很多时候,设计者往往根据具体的需求来做权限控制而不理会通用性,但这样的设计往往造成一个项目一种模式,给日后的维护和升级扩展带来难度。

 

       对于一个软件产品,其初级版本往往是简单的,因此权限管理也会相对简单,但随着不断的升级,功能的增加使业务模型变得越来越复杂,设计者就会发现原来的权限控制机制过于简陋了或者缺乏弹性了。这个时候再调整往往意味着要修改大量的历史代码并重新进行测试,这无疑是痛苦和让人印象深刻的。

 

       因此,在项目设计的初期我们就需要为此作好充分的准备,这个准备包括两个方面:

l         选择一个正确的权限管理模型

l         建立一个独立的和业务代码无关的易于扩展的权限管理机制

 

2 RBAC权限管理模型

RBACRole-Based Access Control,基于角色的访问控制),就是用户通过角色与权限进行关联。简单地说,一个用户拥有若干角色,每一个角色拥有若干权限。这样,就构造成 -角色-权限的授权模型。在这种模型中,用户与角色之间,角色与权限之间,一般者是多对多的关系。

 

RBAC 模型作为目前最为广泛接受的权限模型。 NIST The National Institute of Standards and Technology,美国国家标准与技术研究院)标准RBAC模型由4个部件模型组成,这4个部件模型分别是基本模型RBAC0Core RBAC)、角色分级模型RBAC1Hierarchal RBAC)、角色限制模型RBAC2Constraint RBAC)和统一模型RBAC3Combines RBAC[1]RBAC0模型如图1所示。

 

    与另一种常用的权限管理模型ACL比较,RBAC模型对权限控制的颗粒度更细,更容易扩展和富有弹性。

 

3 基于RBAC0的数据库模型设计

3.1 基本的数据库模型

JSF项目中实现基于RBAC模型的权限管理设计(一) - laomaowww - laomaowww的博客

 

       这个模型用五张表来描述权限管理的模型。适用于角色和资源并不是太多的情况。

3.2 对资源分组后的数据库模型

JSF项目中实现基于RBAC模型的权限管理设计(一) - laomaowww - laomaowww的博客

 

       对于复杂的系统,角色众多,资源众多,给角色分配资源的工作就比较繁重,授权的管理页面篇幅就会比较大。因此,这个模型增加了Permission表,用于给资源进行分组(分配)处理后再给映射到角色。

4 JSF中的RBAC的实现

4.1 资源分类和管理

4.1.1 资源分类

对于WEB项目,权限管理的资源基本上可以分为两种类型,一种是文件、目录类型,比如页面文件、多媒体文件等,以及目录。这一类型的资源往往表现为一种路径的形式,我们称这种类型的资源为URL类型。

另一种是页面上的菜单、按钮等具体操作资源,笔者将这种类型称为ACTION类型。

4.1.2 资源管理和初始化

       对于一个信息管理型的项目来说,需要鉴权的资源是非常多的,因此对资源的管理也是后台管理的一个重要的组成部分。但我们的难题是这些资源在项目部署的时候如何轻松地导入到数据库中去呢。写SQL脚本,或者让后台管理员一条一条输入?

对于软件的使用者或者维护者来说,这样的方式都是一场噩梦。所以,作为软件开发者,必须为用户考虑到这一点。明智的做法是:预先定义好绝大部分的资源,写成xml形式的文件,在系统部署的时候导入到数据库中。而后台的资源管理模块(页面)仅仅把它当作一个查漏补缺的功能吧。

 

很多WEB项目往往会做一个install页面,这个页面要求用户输入一个超级管理员账号和信息。在用户提交时在后台完成数据库建库、初始化数据(给某些需要的表插入预定义记录)和其它一些初始化配置的工作。这是一个很好的习惯,我们对资源的初始化也可以在Install中完成,包括预定义的角色、以及预定义角色的资源分配。

4.2 鉴权服务模块

       根据用户、角色、资源这个三者的关系,设计一个鉴权服务类以供调用是一个明智的想法。

具体的代码就不在此罗列了。

4.3 权限验证模块设计

一个好的权限管理机制在项目中应用时,最好不要让程序员在具体业务代码的方法中来判断用户权限。因为这意味着大量重复的代码。同时,也会导致权限机制的修改造成所有业务代码都需要修改一遍。

最好办法是实现与具体业务代码无关的独立的权限验证模块。这个模块可以拦截用户对资源的访问请求,并且在该请求被实施前做出权限判断,将权限不符的访问导向警告或提示页面。

 

       在普通的JSP项目中,我们往往会利用TomcatServlet filter机制来实现这样的功能,但filter机制的颗粒度不够,无法做到ACTION级别。另一个问题是,在JSF项目中,页面的跳转默认使用的是Forward形式,而不是redirect形式的URL重定向,因此Filter往往无法截获页面的转向。

 

       因此,在JSF项目中我们首先需要解决如何截获到用户对资源的访问的问题。

jsf的访问权限控制(控制访问页面)思路
hornbilltofy的专栏
10-16 2602
     把可以访问的页面地址(url)保存到数据库中,用户登录后把他们存放到个数组中,然后扩展jsf的PhaseListener类,在这个扩展类中(假如叫listener.SecurityPhaseListener)afterPhase(PhaseEvent event)事件编写过滤函数,如果用FacesContext.getCurrentInstance().getViewRoot().ge
JSF阶段事件(生命周期事件)中控制页面的访问权限
我的博客
10-07 2686
我们知道在JSF中,每个页面视图都具有自己的生命周期事件,我们也称阶段事件,我们可以在faces-config.xml中配置阶段事件监听器类,如: Sing.web.jsf.SingPhaseEvent 该监听器类必须实现javax.faces.event.PhaseListener接口,且必须实现该接口的三个
JSF 访问权限
jsjqjy的博客
03-12 176
JSF  是基于事件驱动的 所以 下面 就 基于 在JSF阶段事件(生命周期事件)中控制页面的访问权限  <!--EndFragment-->   主要是 实现个生命周期监听接口  javax.faces.event.PhaseListener   public class SecurityLifeListener implements PhaseListener{ ...
JSF的权限设计(待续)。
Zeal Vampire真诚的吸血鬼
04-04 4629
1. 角色受限采访URL。     由于JSF的流程在Servlet Filter之后, 所以不能使用Filter的层面获取到JSF些请求路径信息,即javax.faces.context.FacesContext.getCurrentInstance()应该是空的。    这里可以使用javax.faces.event.PhaseListener来获取请求和输出路径信息。在face-
JSF应用单点权限认证的构建与实现
mty的专栏
06-14 683
WEB应用的权限认证设计向不易。怎么样做到让某些特定的url需要用户登陆后才能访问呢?怎么样做到如果Session超时后能自动迁移到 用户登陆画面呢?怎么样能透明地实现以上功能而不影响其他功能模块呢?下面我们探讨下在JSF应用里怎么实现以上功能。我们的设计目标是:1,    实现逻辑尽可能简单2,    尽量不影响其他功能,也就是让其他功能模块不必考虑权限等问题。3,    能比较灵活的加以
基于JavaWeb的课程设计管理系统源代码,JSP+MySQL实现
02-14
项目是基于JavaWeb技术的课程设计管理系统源代码,采用了JSP(Java Server Pages)作为前端展示技术,与后端MySQL数据库相结合,实现个完整的系统。这样的系统设计模式通常用于构建动态、交互式的Web应用程序...
构建基于JSF和Spring的网络文件管理系统
基于角色的权限管理RBAC,Role-Based Access Control)是信息系统的安全管理策略之,通过定义角色来管理用户权限。 - **角色分配**:不同的用户根据其工作职能被分配到不同的角色中。 - **权限控制**:每个角色...
Java实现的用户信息与权限管理系统
Java提供了基于角色的访问控制(RBAC),可以通过权限管理系统(例如Spring Security)来实现复杂的权限检查和控制逻辑。管理员可以根据用户的角色为其分配不同的权限,例如,某些用户可能只能查看信息而不能修改,...
个完整的权限管理系统
01-29
压缩包中的"rbac"可能是指Role-Based Access Control(基于角色的访问控制)的缩写,这是权限管理系统的核心机制。RBCA允许管理员将权限分配给特定的角色,而不是单独的用户。用户通过加入不同的角色来获取相应的...
JSFuck的两种解密方法
热门推荐
m0_52919536的博客
06-15 1万+
什么是JSFuck? JSFuck是基于JavaScript原子部分的深奥和教育性编程风格。它仅仅使用六个不同的字符来编写和执行代码。 分别是:{ } [ ] + ! 它不依赖于浏览器,因此可以在Node.js上运行。 演示:jsfuck.com ...
Java图片处理ImageIO.read()问题
o-oand0-0菜鸟先飞
07-12 5359
环境: weblogic8.1,RedHat5(64bit),JDK1.4   在对图片进行读取ImageIO.read()并缩放时,出现如下错误:   启动后首次使用报错:   javax.faces.FacesException: Error calling action method of component with id billform1:saveUpload      ...
JSF的权限设计
算法 股票 java,Ajax,Spring,Hibernate,Ejb3
05-20 190
角色受限采访URL。 由于JSF的流程在Servlet Filter之后, 所以不能使用Filter的层面获取到JSF些请求路径信息,即javax.faces.context.FacesContext.getCurrentInstance()应该是空的。 这里可以使用javax.faces.event.PhaseListener来获取请求和输出路径信息。在face-conf...
JSF深入--控制跳(权限控制)
weixin_30337157的博客
01-28 294
JSF深入--控制跳 B/S通常我们的权限控制包括以下几个方面:1,Web层访问权限控制(包括URL级或Button/Link级);2,业务逻辑访问控制,主要指业务逻辑中方法级的权限控制;3,数据访问权限控制,主要指对Table, View的访问控制,严格的控制会到Row级,甚至是Field级。 问题引入: 我们通常的系统中仅仅做了Web层访问权限控制,因为大多系统只有Web方式的...
JSF项目实现基于RBAC模型权限管理设计(二)
yuzhi2217的专栏
12-20 202
4.3 权限验证模块设计 个好的权限管理机制在项目中应用时,最好不要让程序员在具体业务代码的方法中来判断用户权限。因为这意味着大量重复的代码。同时,也会导致权限机制的修改造成所有业务代码都需要修改遍。 最好办法是实现与具体业务代码无关的独立的权限验证模块。这个模块可以拦截用户对资源的访问请求,并且在该请求被实施前做出权限判断,将权限不符的访问导向警告或提示页面。          ...
ActionListener接口--事件处理基础
Gbookman的博客
07-10 2638
对事件处理不太熟悉,ok,或许这篇博客对你有点帮助 package demo01; import java.awt.event.*; import javax.swing.*; public class HandleEvent extends JFrame{ //HandleEvent 继承JFrame public HandleEvent()
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值