溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
Matrxi-Web的權限設計是什么,很多新手對此不是很清楚,為了幫助大家解決這個難題,下面小編將為大家詳細講解,有這方面需求的人可以來學習下,希望你能有所收獲。
對于一個后端系統來說,權限是基礎設施,是安全保障。沒有權限,系統可能隨時面臨各種風險,所以權限設計對后端系統來說至關重要。在Javaweb開發中,有很多權限開發的框架,比如shrio、Spring security,但是都比較重量級。作為一個后端管理系統來說,用這樣的權限開發框架會拖慢開發進度。所以在這個項目中,我寫了一個更簡單的權限控制框架,使用很簡單。
在Matrxi-Web項目中,請求需要攜帶Token,請求經過Filter的時候(實際項目是使用Spring MVC的HandlerInterceptor),會判斷該請求Url是否有Token。如果有Token,解析Token獲取用戶信息,如果解析Token失敗,則進入白名單判斷的邏輯,如果解析成功,則請求通過。如果請求不攜帶Token或者解析Token失敗,則判斷是否Url白名單里(比如登錄接口,swagger文檔等接口),如果請求不在url白名單內,則提示無權限訪問。
在Filter層初步判斷,如果請求通過,則請求進入具體類的方法里,比如Controller的方法。如果類方法加上了自定義的注解@HasPermission,則該類在加載的時候會生成一個aroud類型的切面(即spring的aop),在執行具體類的方法前,會判斷該用戶是否具有對該方法的調用權限,從而起到權限控制的作用。
在權限控制數據層面,最常用的做法是RBAC(Role-Based Access Control),即基于角色的權限的控制。在RBAC中,權限與角色相關聯,用戶通過成為適當角色的成員而得到這些角色的權限。這就極大地簡化了權限的管理。
RBAC 認為授權實際上是Who 、What 、How 三元組之間的關系,也就是Who 對What 進行How 的操作,也就是“主體”對“客體”的操作。
在Matrix-Web項目中,也是使用了經典的RBAC,即每個用戶擁有一個或多個角色,角色賦予具體的菜單操作權限。Martrix-Web的數據庫設計標如下圖所示:
[外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-ziItvtN3-1590667416151)(https://static.javajike.com/img/2020/05/matrix/matrix-web009.jpg)]
用戶Id(user_id)和角色Id(role_id)綁定,角色Id(role_id)和menu_code(菜單編碼綁定),所以在創建用戶的時候需要錄入用戶的角色,而角色又需要綁定權限。前端界面錄入權限按鈕,展示圖如下:[外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-4S0rbHyf-1590667416151)(https://static.javajike.com/img/2020/05/matrix/mw010.jpg)]
用戶綁定角色,展示圖如下:[外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-aRbyW5HT-1590667416152)(https://static.javajike.com/img/2020/05/matrix/mw011.jpg)]
在系統設置中,有一個重要的東東是Token,Token代表了用戶,幾乎所有的請求都需要攜帶Token。那么Token是怎么來的呢?它是根據用戶名生成的。那么什么情況會生產呢?用戶登錄成功后,生成Token,返回給瀏覽器,瀏覽器存儲在LocalStorage里面,后續的所有請求必須攜帶Token。這樣根據Token,服務端就能知道每個請求的用戶是誰,從而判斷該請求的用戶是否有權限。
上面的幾個小結講述了Matrix-web整體實現的權限控制的思路。現在來做一下總結:
看完上述內容是否對您有幫助呢?如果還想對相關知識有進一步的了解或閱讀更多相關文章,請關注億速云行業資訊頻道,感謝您對億速云的支持。
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
