当前位置:   article > 正文

21.JavaWeb-RBAC访问控制模型

21.JavaWeb-RBAC访问控制模型

1.RBAC 

        RBAC(Role-Based Access Control)是一种基于角色的访问控制模型,用于管理系统中的权限控制。它是一种广泛应用的访问控制策略,可以确保用户只能访问其所需的资源,从而保证系统的安全性和完整性。

        RBAC核心是将用户、角色和权限之间建立关联,通过给用户分配角色,再将权限赋予角色,从而实现对系统资源的控制

1.1 RBAC数据库设计

        需要对一些服务接口做相应的权限控制,不同用户有不同的操作权限。

2.安全框架         

        安全框架提供了实现RBAC的功能和机制。通过安全框架,可以进行用户的身份认证、角色的授权以及权限的管理。安全框架可以提供用户管理、角色管理、权限管理等功能,帮助实现RBAC模型中的各项操作。

        常见的安全框架如Spring Security和Apache Shiro提供了RBAC的支持

3. 手动搭建低配Spring Security框架

3.1 自定义注解

        将注解包含到生成的文档当中、设定注解用于方法、设定子类会继承父类的该注解、定义一个value属性(使用注解时可以设置,用于存储权限信息)

  1. import java.lang.annotation.*;
  2. @Documented //可选
  3. @Target(ElementType.METHOD)
  4. @Retention(RetentionPolicy.RUNTIME)
  5. @Inherited //可选
  6. public @interface RequirePerms {
  7. String value() default ""; //默认属性
  8. }

3.2 创建权限拦截器鉴权(第一种)

3.2.1 继承HandlerInterceptorAdapter

  1. @Slf4j
  2. @Component
  3. public class PermsInterceptor extends HandlerInterceptorAdapter {

        HandlerInterceptorAdapter是Spring框架提供的一个适配器类,用于简化自定义拦截器的实现。它实现了HandlerInterceptor接口,并提供了一些默认的空方法实现

preHandle(HttpServletRequest request, HttpServletResponse response, Object handler)
在请求处理之前进行预处理。可以用于身份验证、权限检查等逻辑的处理。如果返回true,则继续处理请求,如果返回false,则终止请求处理。
postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView)
在请求处理之后、视图渲染之前进行后处理。可以对模型数据或视图进行修改。这个方法在控制器方法执行之后,但在视图渲染之前调用。
afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex)
在整个请求完成之后进行后处理。可以进行一些收尾工作,如清理资源、记录日志等。这个方法在视图渲染之后调用,即在整个请求处理流程完成后调用。

3.2.2 重写请求前处理方法(preHandle) 

        其中的handler为被拦截的方法对象

  1. @Override
  2. public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
  3. return super.preHandle(request, response, handler);
  4. }

3.2.3 判断拦截

        1.首先判断拦截的是不是方法,如果是方法,用反射获取RequirePerms的信息

        2.判断拦截的方法上是否有@RequirePerms注解,如果有注解,获取注解中的权限信息

        3.判断当前用户是否有权限,实现鉴权业务

        4.有权限放行,没权限返回借书信息并终止请求

  1. if(handler instanceof HandlerMethod){
  2. HandlerMethod handlerMethod = (HandlerMethod) handler;
  3. //获取即将访问的方法
  4. Method method = handlerMethod.getMethod();
  5. log.debug(method.getName());
  6. //判断该方法上是否有权限的注解
  7. if(method.isAnnotationPresent(RequirePerms.class)){
  8. log.debug("有@RequirePerms注解");
  9. //获取注解中的权限信息
  10. RequirePerms annotation = method.getAnnotation(RequirePerms.class);
  11. String value = annotation.value();
  12. log.debug(value);
  13. //判断当前用户是否有权限
  14. int uid = (Integer)JWTUtil.getuid(request.getHeader("authorization"));
  15. //用户id和授权信息作为查询条件查询是否有该权限,有则放行否则返回没有权限提示,终止请求
  16. if(permsService.findByUidAndPerms(uid,value)){
  17. log.debug("有该权限");
  18. }else{
  19. log.debug("没有该权限");
  20. //返回结束信息
  21. ResponseResult<Boolean> responseResult = new ResponseResult<>(401,"你没有相关权限",false);
  22. String json = new ObjectMapper().writeValueAsString(responseResult);
  23. response.setContentType("application/json;charset=utf-8");
  24. response.getWriter().write(json);
  25. //终止请求
  26. return false;
  27. }
  28. }
  29. }

3.2.4 实现鉴权业务

        PermsServiceImpl

  1. @Service
  2. public class PermsServiceImpl implements PermsService {
  3. @Resource
  4. private PermsMapper permsMapper;
  5. @Override
  6. public Boolean findByUidAndPerms(Integer uid, String perms) {
  7. Perms permss = permsMapper.findByUidAndPerms(uid, perms);
  8. if(permss!=null){
  9. return true;
  10. }
  11. return false;
  12. }
  13. }

        Mapper.xml

  1. <?xml version="1.0" encoding="UTF-8" ?>
  2. <!DOCTYPE mapper
  3. PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN"
  4. "https://mybatis.org/dtd/mybatis-3-mapper.dtd">
  5. <!--namespace:命名空间,用来避免id相同的sql语句冲突 一般使用一个完整的类名-->
  6. <mapper namespace="com.mall.mall100.mapper.PermsMapper">
  7. <select id="findByUidAndPerms" resultType="Perms">
  8. SELECT p.id,p.name,p.description from user_role ur,role r,perms p,role_perms rp
  9. where ur.rid = r.id AND r.id = rp.rid AND rp.pid = p.id
  10. AND ur.uid = #{uid} AND p.`name`= #{perms}
  11. </select>
  12. </mapper>

3.2.5 注册拦截器

        WebMvcConfigurer是Spring MVC提供的一个接口,用于配置Web MVC的相关设置

        重写其方法addInterceptors(InterceptorRegistry registry): 添加拦截器,可以通过InterceptorRegistry注册拦截器,并设置拦截路径

  1. @Configuration
  2. @Component
  3. public class InterceptorConfig implements WebMvcConfigurer {
  4. @Resource PermsInterceptor permsInterceptor;
  5. @Override
  6. public void addInterceptors(InterceptorRegistry registry) {
  7. //指定拦截器拦截哪些请求
  8. registry.addInterceptor(permsInterceptor).addPathPatterns("/**");
  9. }
  10. }

3.2.6 使用注解

        现在只要在某个方法上添加注解,就能实现根据角色访问控制

  1. @RequirePerms("goods:del")
  2. @DeleteMapping("delById/{id}")
  3. public ResponseResult<Boolean> delById(@PathVariable("id") Integer id,HttpServletRequest request){

3.3 通过过滤器鉴权(第二种) 

  1. public class PermsFilter implements Filter {
  2. @Override
  3. public void init(FilterConfig filterConfig) throws ServletException {
  4. Filter.super.init(filterConfig);
  5. }
  6. @Override
  7. public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
  8. //1.获取URI
  9. //2.查询URI对应的权限信息(数据库)
  10. //3.查询当前用户的权限信息(uid、权限信息)
  11. //4.判断有没有 有放行、没有结束
  12. }
  13. @Override
  14. public void destroy() {
  15. Filter.super.destroy();
  16. }
  17. }

3.4 两种鉴权方式对比

过滤器效率高、拦截器效率低

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/Gausst松鼠会/article/detail/459859
推荐阅读
  

闽ICP备14008679号