您好,登錄后才能下訂單哦!
Matrxi-Web的權(quán)限設(shè)計(jì)是什么,很多新手對此不是很清楚,為了幫助大家解決這個(gè)難題,下面小編將為大家詳細(xì)講解,有這方面需求的人可以來學(xué)習(xí)下,希望你能有所收獲。
對于一個(gè)后端系統(tǒng)來說,權(quán)限是基礎(chǔ)設(shè)施,是安全保障。沒有權(quán)限,系統(tǒng)可能隨時(shí)面臨各種風(fēng)險(xiǎn),所以權(quán)限設(shè)計(jì)對后端系統(tǒng)來說至關(guān)重要。在Javaweb開發(fā)中,有很多權(quán)限開發(fā)的框架,比如shrio、Spring security,但是都比較重量級。作為一個(gè)后端管理系統(tǒng)來說,用這樣的權(quán)限開發(fā)框架會拖慢開發(fā)進(jìn)度。所以在這個(gè)項(xiàng)目中,我寫了一個(gè)更簡單的權(quán)限控制框架,使用很簡單。
在Matrxi-Web項(xiàng)目中,請求需要攜帶Token,請求經(jīng)過Filter的時(shí)候(實(shí)際項(xiàng)目是使用Spring MVC的HandlerInterceptor),會判斷該請求Url是否有Token。如果有Token,解析Token獲取用戶信息,如果解析Token失敗,則進(jìn)入白名單判斷的邏輯,如果解析成功,則請求通過。如果請求不攜帶Token或者解析Token失敗,則判斷是否Url白名單里(比如登錄接口,swagger文檔等接口),如果請求不在url白名單內(nèi),則提示無權(quán)限訪問。
在Filter層初步判斷,如果請求通過,則請求進(jìn)入具體類的方法里,比如Controller的方法。如果類方法加上了自定義的注解@HasPermission,則該類在加載的時(shí)候會生成一個(gè)aroud類型的切面(即spring的aop),在執(zhí)行具體類的方法前,會判斷該用戶是否具有對該方法的調(diào)用權(quán)限,從而起到權(quán)限控制的作用。
在權(quán)限控制數(shù)據(jù)層面,最常用的做法是RBAC(Role-Based Access Control),即基于角色的權(quán)限的控制。在RBAC中,權(quán)限與角色相關(guān)聯(lián),用戶通過成為適當(dāng)角色的成員而得到這些角色的權(quán)限。這就極大地簡化了權(quán)限的管理。
RBAC 認(rèn)為授權(quán)實(shí)際上是Who 、What 、How 三元組之間的關(guān)系,也就是Who 對What 進(jìn)行How 的操作,也就是“主體”對“客體”的操作。
在Matrix-Web項(xiàng)目中,也是使用了經(jīng)典的RBAC,即每個(gè)用戶擁有一個(gè)或多個(gè)角色,角色賦予具體的菜單操作權(quán)限。Martrix-Web的數(shù)據(jù)庫設(shè)計(jì)標(biāo)如下圖所示:
[外鏈圖片轉(zhuǎn)存失敗,源站可能有防盜鏈機(jī)制,建議將圖片保存下來直接上傳(img-ziItvtN3-1590667416151)(https://static.javajike.com/img/2020/05/matrix/matrix-web009.jpg)]
用戶Id(user_id)和角色I(xiàn)d(role_id)綁定,角色I(xiàn)d(role_id)和menu_code(菜單編碼綁定),所以在創(chuàng)建用戶的時(shí)候需要錄入用戶的角色,而角色又需要綁定權(quán)限。前端界面錄入權(quán)限按鈕,展示圖如下:[外鏈圖片轉(zhuǎn)存失敗,源站可能有防盜鏈機(jī)制,建議將圖片保存下來直接上傳(img-4S0rbHyf-1590667416151)(https://static.javajike.com/img/2020/05/matrix/mw010.jpg)]
用戶綁定角色,展示圖如下:[外鏈圖片轉(zhuǎn)存失敗,源站可能有防盜鏈機(jī)制,建議將圖片保存下來直接上傳(img-aRbyW5HT-1590667416152)(https://static.javajike.com/img/2020/05/matrix/mw011.jpg)]
在系統(tǒng)設(shè)置中,有一個(gè)重要的東東是Token,Token代表了用戶,幾乎所有的請求都需要攜帶Token。那么Token是怎么來的呢?它是根據(jù)用戶名生成的。那么什么情況會生產(chǎn)呢?用戶登錄成功后,生成Token,返回給瀏覽器,瀏覽器存儲在LocalStorage里面,后續(xù)的所有請求必須攜帶Token。這樣根據(jù)Token,服務(wù)端就能知道每個(gè)請求的用戶是誰,從而判斷該請求的用戶是否有權(quán)限。
上面的幾個(gè)小結(jié)講述了Matrix-web整體實(shí)現(xiàn)的權(quán)限控制的思路?,F(xiàn)在來做一下總結(jié):
看完上述內(nèi)容是否對您有幫助呢?如果還想對相關(guān)知識有進(jìn)一步的了解或閱讀更多相關(guān)文章,請關(guān)注億速云行業(yè)資訊頻道,感謝您對億速云的支持。
免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場,如果涉及侵權(quán)請聯(lián)系站長郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。