热门标签
热门文章
- 1字节跳动社招5面(已拿offer):算法+微服务+多线程+JVM+数据库_字节5年社招
- 2Xcode如何利用预览(Preview)让SwiftUI视图快速适配不同尺寸的设备_xcode预览界面
- 3Android权限说明大全_accept_handover
- 4JAVA学习_e:\2024大三实训\test>javadoc -d e:\\java练习\\javadoc -a
- 5免费舆情监测方法和工具盘点
- 6chatgpt提示词学习指南,提示词工程,提示词汇总_提示词指南
- 7智能算法挑战赛决赛题目——初中组_智能算法应用挑战赛 往年题目
- 8js生成pdf
- 9腾讯云GPU服务器GN8/GN7/GN6S/GN10Xp/GI3X/GT4
- 10Core_v4.0 to Core_v4.2【历史修改】_core_v4.2 发送哪个原因手机不会重连
当前位置: article > 正文
21.JavaWeb-RBAC访问控制模型_java rbac框架
作者:盐析白兔 | 2024-04-18 20:18:41
赞
踩
java rbac框架
1.RBAC
RBAC(Role-Based Access Control)是一种基于角色的访问控制模型,用于管理系统中的权限控制。它是一种广泛应用的访问控制策略,可以确保用户只能访问其所需的资源,从而保证系统的安全性和完整性。
RBAC核心是将用户、角色和权限之间建立关联,通过给用户分配角色,再将权限赋予角色,从而实现对系统资源的控制
1.1 RBAC数据库设计
需要对一些服务接口做相应的权限控制,不同用户有不同的操作权限。
2.安全框架
安全框架提供了实现RBAC的功能和机制。通过安全框架,可以进行用户的身份认证、角色的授权以及权限的管理。安全框架可以提供用户管理、角色管理、权限管理等功能,帮助实现RBAC模型中的各项操作。
常见的安全框架如Spring Security和Apache Shiro提供了RBAC的支持
3. 手动搭建低配Spring Security框架
3.1 自定义注解
将注解包含到生成的文档当中、设定注解用于方法、设定子类会继承父类的该注解、定义一个value属性(使用注解时可以设置,用于存储权限信息)
- import java.lang.annotation.*;
-
- @Documented //可选
- @Target(ElementType.METHOD)
- @Retention(RetentionPolicy.RUNTIME)
- @Inherited //可选
- public @interface RequirePerms {
- String value() default ""; //默认属性
- }
3.2 创建权限拦截器鉴权(第一种)
3.2.1 继承HandlerInterceptorAdapter
- @Slf4j
- @Component
- public class PermsInterceptor extends HandlerInterceptorAdapter {
HandlerInterceptorAdapter是Spring框架提供的一个适配器类,用于简化自定义拦截器的实现。它实现了HandlerInterceptor接口,并提供了一些默认的空方法实现
preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) |
在请求处理之前进行预处理。可以用于身份验证、权限检查等逻辑的处理。如果返回true,则继续处理请求,如果返回false,则终止请求处理。 |
postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) |
| 在请求处理之后、视图渲染之前进行后处理。可以对模型数据或视图进行修改。这个方法在控制器方法执行之后,但在视图渲染之前调用。 |
afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) |
| 在整个请求完成之后进行后处理。可以进行一些收尾工作,如清理资源、记录日志等。这个方法在视图渲染之后调用,即在整个请求处理流程完成后调用。 |
3.2.2 重写请求前处理方法(preHandle)
其中的handler为被拦截的方法对象
- @Override
- public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
- return super.preHandle(request, response, handler);
- }
3.2.3 判断拦截
1.首先判断拦截的是不是方法,如果是方法,用反射获取RequirePerms的信息
2.判断拦截的方法上是否有@RequirePerms注解,如果有注解,获取注解中的权限信息
3.判断当前用户是否有权限,实现鉴权业务
4.有权限放行,没权限返回借书信息并终止请求
- if(handler instanceof HandlerMethod){
- HandlerMethod handlerMethod = (HandlerMethod) handler;
- //获取即将访问的方法
- Method method = handlerMethod.getMethod();
- log.debug(method.getName());
- //判断该方法上是否有权限的注解
- if(method.isAnnotationPresent(RequirePerms.class)){
- log.debug("有@RequirePerms注解");
- //获取注解中的权限信息
- RequirePerms annotation = method.getAnnotation(RequirePerms.class);
- String value = annotation.value();
- log.debug(value);
- //判断当前用户是否有权限
- int uid = (Integer)JWTUtil.getuid(request.getHeader("authorization"));
- //用户id和授权信息作为查询条件查询是否有该权限,有则放行否则返回没有权限提示,终止请求
- if(permsService.findByUidAndPerms(uid,value)){
- log.debug("有该权限");
- }else{
- log.debug("没有该权限");
- //返回结束信息
- ResponseResult<Boolean> responseResult = new ResponseResult<>(401,"你没有相关权限",false);
- String json = new ObjectMapper().writeValueAsString(responseResult);
- response.setContentType("application/json;charset=utf-8");
- response.getWriter().write(json);
- //终止请求
- return false;
- }
- }
- }
3.2.4 实现鉴权业务
PermsServiceImpl
- @Service
- public class PermsServiceImpl implements PermsService {
- @Resource
- private PermsMapper permsMapper;
- @Override
- public Boolean findByUidAndPerms(Integer uid, String perms) {
- Perms permss = permsMapper.findByUidAndPerms(uid, perms);
- if(permss!=null){
- return true;
- }
- return false;
- }
- }
Mapper.xml
- <?xml version="1.0" encoding="UTF-8" ?>
- <!DOCTYPE mapper
- PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN"
- "https://mybatis.org/dtd/mybatis-3-mapper.dtd">
- <!--namespace:命名空间,用来避免id相同的sql语句冲突 一般使用一个完整的类名-->
- <mapper namespace="com.mall.mall100.mapper.PermsMapper">
- <select id="findByUidAndPerms" resultType="Perms">
- SELECT p.id,p.name,p.description from user_role ur,role r,perms p,role_perms rp
- where ur.rid = r.id AND r.id = rp.rid AND rp.pid = p.id
- AND ur.uid = #{uid} AND p.`name`= #{perms}
- </select>
- </mapper>
3.2.5 注册拦截器
WebMvcConfigurer是Spring MVC提供的一个接口,用于配置Web MVC的相关设置
重写其方法addInterceptors(InterceptorRegistry registry): 添加拦截器,可以通过InterceptorRegistry注册拦截器,并设置拦截路径
- @Configuration
- @Component
- public class InterceptorConfig implements WebMvcConfigurer {
- @Resource PermsInterceptor permsInterceptor;
- @Override
- public void addInterceptors(InterceptorRegistry registry) {
- //指定拦截器拦截哪些请求
- registry.addInterceptor(permsInterceptor).addPathPatterns("/**");
- }
- }
3.2.6 使用注解
现在只要在某个方法上添加注解,就能实现根据角色访问控制
- @RequirePerms("goods:del")
- @DeleteMapping("delById/{id}")
- public ResponseResult<Boolean> delById(@PathVariable("id") Integer id,HttpServletRequest request){
3.3 通过过滤器鉴权(第二种)
- public class PermsFilter implements Filter {
-
- @Override
- public void init(FilterConfig filterConfig) throws ServletException {
- Filter.super.init(filterConfig);
- }
-
- @Override
- public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
- //1.获取URI
-
- //2.查询URI对应的权限信息(数据库)
-
- //3.查询当前用户的权限信息(uid、权限信息)
-
- //4.判断有没有 有放行、没有结束
- }
-
- @Override
- public void destroy() {
- Filter.super.destroy();
- }
- }
3.4 两种鉴权方式对比
过滤器效率高、拦截器效率低
声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/盐析白兔/article/detail/448015
推荐阅读
相关标签
