WHCSRL 技术网

RBAC权限管理简单原理

RBAC

  • role-Base Access Control

    • 基于角色的访问控制

  • 组成

    • User
    • Role
    • Permission
      • 操作
      • 对象
    • user-role映射
    • role-permission映射

  • 安全原则

    • 最小权限原则
    • 责任分离原则
    • 数据抽象原则

数据库

  • user

    • id
    • user_name
    • password

  • role

    • id
    • role_name

  • user_role

    • u_id
    • r_id

  • permission

    • id
    • permission_name

  • role_permission

    • r_id
    • p_id

功能

  • 认证
    • authorization
  • 授权
    • authentication

aop

  • 定义注解
@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
public @interface HasPermission{
    String value();
}

  • 1
  • 2
  • 3
  • 4
  • 5
  • 使用注解
@HasPermission("user:delete")

  • 1
  • 解析注解
    • @before
    • @around
@Aspect
@Component
public class PermissionAop{
    @Around("@annotation(xxx.xxx.HasPermission)")
    // 环绕
    public Object around(ProceedingJoinPoint joinPoint){
        // 获取session
        ServletRequestAttributes sra = (ServletRequestAttributes)RequestContextHolder.getRequestAttributes();
        HttpSession session = sra.getRequest().getSession();
        // 获取session中的权限
        List<String> permissions = (List<String>) session.getAttribute("permission");
        // 获取注解内的值
        HasPermission annotation = ((MethodSignature)joinPoint.getSignature()).getMethod().getAnnotation(HasPermission.class);
        String value = annotation.value();
        
        boolean contains = permissions.contains(value);
        if(!contains){
            throw new Exception("没有该权限");
        }
        Object object = null;
        object =  joinPoint.process(joinPoint.getArgs());
        return object;
    }
}

  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24

封装

  • UserNameAndPasswordToken
public class UserNameAndPasswordToken{
    private String username;
    private String password;
    // get set
    
}

  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • Realm
// 认证和授权的核心
private interface Realm{
    // 认证,查询用户信息
    UserNameAndPasswordToken authentication(String username);
    // 授权,查询权限信息
    PermsisionInfo authorization(String username);

    
}

  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • PermissionInfo
// 用于存储权限信息
public class PermissionInfo{
    private List<String> roles;
    private List<String> permissions;
    // get set
}

  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • Subject
@Component
public class Subject{
    
    @Resource
    private Realm realm;
    
    private static Realm myRealm;
    
    // 所有session都存入ONLINE_SESSION
    private static Map<String,HttpSession> ONLINE_SESSION = new HashMap<String,HttpSession>();
    
    @PostConstruct
    public void init(){
        myRealm = realm;
    }

    public static volid login(String name,String pwd){
        UserNameAndPasswordToken token = myRealm.authentication(name);
        String username = token.getUsername();
        boolean usernameIsExist = ONLINE_SESSION.containsKey(username);
        if(usernameIsExist){
            // 踢出重名
            ONLINE_SESSION.get(username).invalidite();
        }
        if(!token.getPassword().equals(pwd)){
            throw new Exception("密码错误");
        }
        getSession().setAttribute("user",username);
        getSession().setAttribute("roles",myRealm.authorization(username).getRoles());
        getSession().setAttribute("permissions",myRealm.authorization(username).getPermissions());
        ONLINE_SESSION.put(username,getSession());
    }
    
    public static HttpSession getSession(){
         // 获取session
        ServletRequestAttributes sra = (ServletRequestAttributes)RequestContextHolder.getRequestAttributes();
        HttpSession session = sra.getRequest().getSession();
        return session;
    }
    
    
    public static Map<String,HttpSession> getOnline(){
        return ONLINE_SESSION;
    }
    
}

  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27
  • 28
  • 29
  • 30
  • 31
  • 32
  • 33
  • 34
  • 35
  • 36
  • 37
  • 38
  • 39
  • 40
  • 41
  • 42
  • 43
  • 44
  • 45
  • 46

使用封装

// 实现接口Realm
@Component
public class UserRealm implements Realm{
    @Autowrited
    private UserService userService;
    @Autowrited
    private RoleService roleService;
    @Autowrited
    private PermissionService permissionService;
    
    // 认证,查询用户信息
    public UserNameAndPasswordToken authentication(String username){
        if(StringUtils.isEmpty(username)){
            throw new Exception("用户名为空");
        }
        // 使用userService查询用户
        List<Usaer> userByName = userService.findUserByName(username);
        if(userByName==null || userByName.size()==0){
            throw new Exception("用户没有找到");
        }
        
        return new UserNameAndPasswordToken(userByName.get(0).getUsername(),userByName.get(0).getPassword());
    }
    // 授权,查询权限信息
    public PermsisionInfo authorization(String username){
        List<String> permissions =  permissionService.getPermissionsByUserName(username);
        List<String> roles = roleService.getRolesByUserName(username);
        PermissionInfo permissionInfo = new PermissionInfo();
        permissionInfo.setPermissios(permissions);
        permissionInfo.setRoles(roles);
        return permissionInfo;
    }
}

  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27
  • 28
  • 29
  • 30
  • 31
  • 32
  • 33
  • 登录时调用
Subject.login(username,password);

  • 1

过滤器

// 需要将过滤器加入springboot配置
public class LoginFilter implements Filter{
    
    public String[] ignoreUrl;
    
    public void init(FilterConfig filterConfig) throws ServletException{
        String ignore = filterConfig.getInitParameter("ignore");
        ignoreUrl = ignore.splot(",");
    }
    
    public void doFilter(ServletRequest servletRequest,ServletResponse servletResponse,FilterChain filterChain){
        boolean isIgnore = isIgnore(servletRequest);
        HttpServletRequest request = (HttpServletRequest)servletRequest;
        HttpServletResponse response = (HttpServletResponse)servletResponse;
        if(isIgnore){
            filterChain.doFilter(servletRequest,servletResponse);
        }else{
            
             HttpSession session = request.getSession();
             Object user = session.getAttribute("user");
             if(user==null){
                 // 未登录
                 // 重定向
                 response.sendRedirect("/");
             }else{
                 filterChain.doFilter(servletRequest,servletResponse);
             }
        }
    }
    
    public boolean isIgnore(HttpServletRequest request){
        for(String ignore: ignoreUrl){
            if(request.getRequestURU().equals(ignore)){
                return true;
            }
        }
        return false;
    }
}

  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27
  • 28
  • 29
  • 30
  • 31
  • 32
  • 33
  • 34
  • 35
  • 36
  • 37
  • 38
  • 39
推荐阅读

关于浏览器菜单列显示不了的问题 `SameSite=None` and `Secure`

1.问题描述A cookie associated with a cross-site resource at http://10.32.65.58/ was set without the `SameSite` attribute. It has been blocked, as Chrome now only delivers cookies with cross-site requests...

用pycharm写python老是提示错误_关于python:PyCharm显示有效代码的未解析引用错误..._weixin

我正在用Pycharm做一个项目。该项目已打开并配置了解释器,可以成功运行。远程解释器路径映射正确。这似乎是正确的配置,但是pycharm用"未解决的引用"错误突出显示了我的有效代码,即使对于内置的python函数也是如此。即使代码在运行,为什么不检测到这些?有没有办法让Pycharm正确识别这些?这个问题的具体实例是一个远程解释器,但是这个问题也出现在本地解释器上。有相同的问题和解决它。这里的解...

2022 大学生免费(24元)申请个人软著专利(微信小程序)原来这么简单_叶绿体不忘呼吸

申请软件著作专利其实很简单,需要的主要是等待的时间。16元打印材料+8元邮寄费用即可轻松get个人软著专利。手把手实现人手软著自由。

用户推荐Slope One算法与mapreduce&hive实现

下载本文代码用户推荐越来越热, Google使用MinHash, PLSI, LDA, SVD, SVM等算法,分析用户的喜好, 实现新闻的自动分类;新浪也用Slope One以及一些Item-based的算法对音乐进行推荐; 淘宝定期会启动MapReduce作业分析前一天或者一个月用户收藏的宝贝,给相同喜好的买家提供推荐服务。本文要描述的Slope One算法是一种对评分进行预测...

《敏捷迭代开发:管理者指南》—参考文献_weixin

本节书摘来自异步社区《敏捷迭代开发:管理者指南》一书中的参考文献,作者【美】Craig Larman,更多章节内容可以访问云栖社区“异步社区”公众号查看。参考文献敏捷迭代开发:管理者指南Ambler00 Ambler, S. 2000. The Unified Process—Elaboration Phase. R&amp;D Books.Ambl...