WHCSRL 技术网

RBAC权限管理简单原理

RBAC

  • role-Base Access Control

    • 基于角色的访问控制

  • 组成

    • User
    • Role
    • Permission
      • 操作
      • 对象
    • user-role映射
    • role-permission映射

  • 安全原则

    • 最小权限原则
    • 责任分离原则
    • 数据抽象原则

数据库

  • user

    • id
    • user_name
    • password

  • role

    • id
    • role_name

  • user_role

    • u_id
    • r_id

  • permission

    • id
    • permission_name

  • role_permission

    • r_id
    • p_id

功能

  • 认证
    • authorization
  • 授权
    • authentication

aop

  • 定义注解
@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
public @interface HasPermission{
    String value();
}

  • 1
  • 2
  • 3
  • 4
  • 5
  • 使用注解
@HasPermission("user:delete")

  • 1
  • 解析注解
    • @before
    • @around
@Aspect
@Component
public class PermissionAop{
    @Around("@annotation(xxx.xxx.HasPermission)")
    // 环绕
    public Object around(ProceedingJoinPoint joinPoint){
        // 获取session
        ServletRequestAttributes sra = (ServletRequestAttributes)RequestContextHolder.getRequestAttributes();
        HttpSession session = sra.getRequest().getSession();
        // 获取session中的权限
        List<String> permissions = (List<String>) session.getAttribute("permission");
        // 获取注解内的值
        HasPermission annotation = ((MethodSignature)joinPoint.getSignature()).getMethod().getAnnotation(HasPermission.class);
        String value = annotation.value();
        
        boolean contains = permissions.contains(value);
        if(!contains){
            throw new Exception("没有该权限");
        }
        Object object = null;
        object =  joinPoint.process(joinPoint.getArgs());
        return object;
    }
}

  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24

封装

  • UserNameAndPasswordToken
public class UserNameAndPasswordToken{
    private String username;
    private String password;
    // get set
    
}

  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • Realm
// 认证和授权的核心
private interface Realm{
    // 认证,查询用户信息
    UserNameAndPasswordToken authentication(String username);
    // 授权,查询权限信息
    PermsisionInfo authorization(String username);

    
}

  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • PermissionInfo
// 用于存储权限信息
public class PermissionInfo{
    private List<String> roles;
    private List<String> permissions;
    // get set
}

  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • Subject
@Component
public class Subject{
    
    @Resource
    private Realm realm;
    
    private static Realm myRealm;
    
    // 所有session都存入ONLINE_SESSION
    private static Map<String,HttpSession> ONLINE_SESSION = new HashMap<String,HttpSession>();
    
    @PostConstruct
    public void init(){
        myRealm = realm;
    }

    public static volid login(String name,String pwd){
        UserNameAndPasswordToken token = myRealm.authentication(name);
        String username = token.getUsername();
        boolean usernameIsExist = ONLINE_SESSION.containsKey(username);
        if(usernameIsExist){
            // 踢出重名
            ONLINE_SESSION.get(username).invalidite();
        }
        if(!token.getPassword().equals(pwd)){
            throw new Exception("密码错误");
        }
        getSession().setAttribute("user",username);
        getSession().setAttribute("roles",myRealm.authorization(username).getRoles());
        getSession().setAttribute("permissions",myRealm.authorization(username).getPermissions());
        ONLINE_SESSION.put(username,getSession());
    }
    
    public static HttpSession getSession(){
         // 获取session
        ServletRequestAttributes sra = (ServletRequestAttributes)RequestContextHolder.getRequestAttributes();
        HttpSession session = sra.getRequest().getSession();
        return session;
    }
    
    
    public static Map<String,HttpSession> getOnline(){
        return ONLINE_SESSION;
    }
    
}

  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27
  • 28
  • 29
  • 30
  • 31
  • 32
  • 33
  • 34
  • 35
  • 36
  • 37
  • 38
  • 39
  • 40
  • 41
  • 42
  • 43
  • 44
  • 45
  • 46

使用封装

// 实现接口Realm
@Component
public class UserRealm implements Realm{
    @Autowrited
    private UserService userService;
    @Autowrited
    private RoleService roleService;
    @Autowrited
    private PermissionService permissionService;
    
    // 认证,查询用户信息
    public UserNameAndPasswordToken authentication(String username){
        if(StringUtils.isEmpty(username)){
            throw new Exception("用户名为空");
        }
        // 使用userService查询用户
        List<Usaer> userByName = userService.findUserByName(username);
        if(userByName==null || userByName.size()==0){
            throw new Exception("用户没有找到");
        }
        
        return new UserNameAndPasswordToken(userByName.get(0).getUsername(),userByName.get(0).getPassword());
    }
    // 授权,查询权限信息
    public PermsisionInfo authorization(String username){
        List<String> permissions =  permissionService.getPermissionsByUserName(username);
        List<String> roles = roleService.getRolesByUserName(username);
        PermissionInfo permissionInfo = new PermissionInfo();
        permissionInfo.setPermissios(permissions);
        permissionInfo.setRoles(roles);
        return permissionInfo;
    }
}

  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27
  • 28
  • 29
  • 30
  • 31
  • 32
  • 33
  • 登录时调用
Subject.login(username,password);

  • 1

过滤器

// 需要将过滤器加入springboot配置
public class LoginFilter implements Filter{
    
    public String[] ignoreUrl;
    
    public void init(FilterConfig filterConfig) throws ServletException{
        String ignore = filterConfig.getInitParameter("ignore");
        ignoreUrl = ignore.splot(",");
    }
    
    public void doFilter(ServletRequest servletRequest,ServletResponse servletResponse,FilterChain filterChain){
        boolean isIgnore = isIgnore(servletRequest);
        HttpServletRequest request = (HttpServletRequest)servletRequest;
        HttpServletResponse response = (HttpServletResponse)servletResponse;
        if(isIgnore){
            filterChain.doFilter(servletRequest,servletResponse);
        }else{
            
             HttpSession session = request.getSession();
             Object user = session.getAttribute("user");
             if(user==null){
                 // 未登录
                 // 重定向
                 response.sendRedirect("/");
             }else{
                 filterChain.doFilter(servletRequest,servletResponse);
             }
        }
    }
    
    public boolean isIgnore(HttpServletRequest request){
        for(String ignore: ignoreUrl){
            if(request.getRequestURU().equals(ignore)){
                return true;
            }
        }
        return false;
    }
}

  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27
  • 28
  • 29
  • 30
  • 31
  • 32
  • 33
  • 34
  • 35
  • 36
  • 37
  • 38
  • 39
推荐阅读

大数据爆炸时代,数据自由流动是企业实现数字化转型的重要基石

数据智能产业创新服务媒体——聚焦数字智能·变革商业随着信息技术呈现井喷式发展,以数字经济为代表的新型IT基础设施将成为新经济发展的动力。同时,以云计算、大数据、人工智能、区块链……为代表的数字技术, ,

kvm部署

kvm部署//关闭防火墙 [root@kvm ~]# systemctl stop firewalld[root@kvm ~]# vim /etc/selinux/config [root@kvm ~]# setenforce 0setenforce: SELinux is disabled//下载依赖包[root @kvm ~]# yum -y install epel-release vim wget net-tools unzip gcc gcc-c++//验证CPU是否支持K, ,

智慧农业气象站(4G版)

ShineBlink 是一款零门槛、零开发环境、低代码通用的物联网智能硬件开发板。机智云为开发者提供傻瓜式硬件上云、对接App/小程序的能力。结合 ShineBlink 和机智云开发人员,即使他们不懂嵌入式物联网开发,云和 App 开发也可以快速实现包括硬件、云和 App 的物联网智能硬件。一章功能介绍本章实现的气象站集成了各种常用的气象测量传感器(包括:温度、湿度、气压、紫外线、PM2.5、风速、雨量传感器),ShineBlink通用核心板采集这些传感器数据,然后上传到机智云,然后我们就可以走得更远了……, ,

智能工厂3D物联网可视化建模管理系统

工业物联网越来越频繁地出现在我们的业务中。在线信息可视化与设备拆装交互的融合已成为3D虚拟现实物联网的大势所趋。 3D和物联网是新一代网络信息技术的重要方向。 ,智能工厂的可视化是工业专业升级发展的重要目标。 Sundi 3D利用可视化、3D虚拟现实和3D建模打造智能工厂可视化——3D虚拟现实物联网管理系统,将工厂机械与在线可视化相结合,实现工业设备数据和工厂设备故障的实时在线展示。具体位置的展示等,将成为工业数字化转型技术发展的重要推动力。 3D 物联网在智能工厂可视化中的应用 智能工厂可视化 3D 物联网技术在不同的行业是不同的。 ,

Java基础高频面试题(2021年最新版)

最新Java基础高频面试题, ,

HC-02通过Labview与电脑通讯

HC-02为蓝牙2.0,可直接连接电脑和手机。无法通过搜索蓝牙设备来扫描低功耗蓝牙。网上的套路大多是Android或者C#。大家如果有通过Labview通过Bluetooth Low Energy连接电脑的方法,希望大家多多指教。谢谢... , ,

Linux系统下使用备份软件备份文件

1.进入备份系统。 2. 选择【文件保护】-【备份】新建备份任务。设置备份源,选择备份主机,将要备份的文件添加到备份列表中,点击【下一步】 3、设置备份方式,选择时间策略,有【按策略备份】和【一-】时间备份] 如果选择[按策略备份],则备份将按照设置的时间策略进行。三种备份类型:【完整备份】、【增量备份】、【差异备份】。 【全量备份】:备份源的所有数据。备份完成后,备份数据成为全量备份时间点,备份所有数据。 【增量备份】:在上次备份的基础上备份源数据。 ,

CV5200远距离WiFi图传输方案,远距离传输和低延迟传输特点

随着无人机、VR等技术的普及,对低延时远距离传输的需求日益提升。一般根据调制方式的不同,无线图传分为模拟图传和数字图传。模拟图传就是把最早期电视基带信号调制到射频载波上,其系统实现简单,传输延时低,但只能传输标清视频,而且接收端图像受损严重(偏色,花屏,闪烁等),系统抗干扰能力弱。数字图传则采用了现代通信的调制解调和纠错等先进技术,基本可以保证视频经压缩后数据的无损传输,是业内公认的未来图像传输技术发展的大方向。远距离WiFi图传技术对于优化无人机应用颇具价值。说到无人机,大家对这个词应该陌 ,

至暗时刻,只能割肉离场? Trister's Lend 陪你等待下一个春天!

9月24日,一则《关于进一步防范和处置虚拟货币交易炒作风险的通知》政策信息在圈内炸开。 9月25日,市场经历了连续暴跌。一是市场抛弃了HT和OKB,以HT和OKB为代表的交易所平台代币被砸;随后USDT闪崩,汇率倒挂,导致负溢价近10个点。火币交易所发布大陆用户退出公告,恐慌情绪再度蔓延。一大波用户割肉断臂倒在口袋里,仿佛94又出现了。谁能想到,24小时之内,市场会出现惊人的逆转。市场子弹开始陆续吸引了Stud FTT、Dydx、UNI、Sushi等DEX代表。在Dex的带领下,BTC和ETH的领头羊趋于稳定, ,

YumRepo 错误:所有镜像 URL 均未使用 ftp、http[s] 或文件。

YumRepo Error: All mirror URLs are not using ftp, http[s] or file.问题解决办法1.确保虚拟机网络是通的2.配置repo文件问题今天在VMware上安装了一台Linux(CentOS 6.5)虚拟机,在安装apache http web服务器时,出现了以下问题:二话不说,在网上搜了一大圈,结合网友的各种解决办法,这里,本人总结一下。解决办法1.确保虚拟机网络是通的首先要确保虚拟机网络是通的,可以ping通www.baidu.com , ,

5G手机销量创年末倒数第二,消费者对5G越来越冷

信息通信研究院公布了今年9月国内手机销量数据。数据显示,9月份5G手机销量仅为1511.8万部,仅略高于今年2月份的1507万部,可见消费者对5G手机的热情进一步消退。 2021年9月国内市场手... ,

蜜蜂网蜜蜂币突破1500万用户,pi币模式,24小时点击

蜜蜂网蜜蜂网用户已突破1500万,pi币模式,24小时点击。什么是蜜蜂网络:介绍我们是谁的组织是谁? Bee Network是由DAO(Decentralized Autonomous Organization)发起和创建的去中心化组织网络;我们为什么给它命名?顾名思义,我们取自凯文凯利的书“失控:机器的新生物学,社会,” ,

NanoPi NEO Air 使用六:使用相机

USB摄像头开发板提供了两个USB口,但是都是排针的方式,因此都需要转接座才能使用。开发板开机后,执行如下命令查看接入开发板的设备。ls /dev当接入USB摄像头后,重新执行ls /dev会看见多出来一个video设备,说明它就是我们刚才接入的摄像头。依次执行下列命令su rootcd /root/C/mjpg-streamermake等待make完成后执行vi start.sh找到下面的内容,把设备名称改为刚才接入的。./mjpg_streamer -i “./inpu , ,

Profibus DP-V1 从站解决方案

它是基于arm cortex-M的dp V1协议栈实现的。支持自适应波特率,速率高达3Mbps。大大降低了dp从站的开发成本,同时大大降低了从站的功耗,为PA设备的开发提供了良好的基础。持续提供冗余从站和PA协议栈。 xuji.zhao@foxmail.com 获取信息。 ..., ,

目前有区块链技术在医院转移吗?

有些医院愿意公开数据,但研究数据不公开。构建医院数据共享平台,有利于医学数据科学研究。 , ,