10基于访问权限控制和细粒度控制的方式访问资源

news2024/12/24 7:21:39

访问权限控制

RBAC

基于角色的访问控制(Role-Based Access Control)是按角色进行授权,如主体的角色为总经理时才可以查询企业运营报表和员工工资信息等

  • 缺点:查询工资所需要的角色变化为总经理和部门经理,此时就需要修改判断逻辑为判断用户角色是否为总经理或部门经理,系统可扩展性差
    在这里插入图片描述

基于资源的访问控制(Resource-Based Access Control)是按资源/权限进行授权,把权限打包给角色(角色拥有一组权限)分配给用户(用户拥有多个角色)

  • 优点:系统设计时定义好查询工资的权限标识,即使查询工资所需要的角色变化为总经理和部门经理也不需要修改授权代码,系统可扩展性强

在这里插入图片描述

权限数据模型

**基于资源的访问控制最少包括用户表、角色表、用户角色表、权限表、角色权限表五张表 **

在这里插入图片描述

用户表: 记录系统中的用户信息

在这里插入图片描述

角色表: 根据系统业务决定系统中所需要的角色
在这里插入图片描述

菜单权限表: 记录系统中操作相关资源的权限

在这里插入图片描述

用户角色表: 指定用户和对应角色的关联关系,一个用户可以有多个角色,一个角色可以被不同用户使用

在这里插入图片描述

角色权限表: 指定角色和权限的关联关系,一个角色可以拥有多个权限,一个权限也可以被多个角色使用

在这里插入图片描述

查询/删除/分配权限

查询用户所拥有的权限: 先根据用户Id查询用户所拥有的角色Id,根据用户的角色Id查询用户所拥有的权限Id,根据权限Id查询具体的权限内容

# 一个用户可以拥有多个角色Id,一个角色Id可以有多个权限
SELECT * FROM xc_menu WHERE id IN(
    SELECT menu_id FROM xc_permission WHERE role_id IN(
        SELECT role_id FROM xc_user_role WHERE user_id = '49'
    )
)

给用户的角色添加权限

  • 首先根据用户的Id查询用户对应的角色,如果没有角色需要先给用户分配角色,有了角色后找到需要分配的权限主键ID,在角色权限关系表中添加一条记录指定用户角色对应的权限
  • 分配完权限后需要重新登录刷新令牌中保存的权限信息

删除用户权限的两种方式

  • 第一种: 给用户换角色(不含删除的权限),此时新角色下的权限就是用户的权限
  • 第二种: 删除角色权限关系表相应记录,此时拥有该角色的用户都将删除此权限

实现用户授权

开发中可以使用图形化的权限管理界面操作数据库完成给用户分配权限、查询用户权限等需求

在这里插入图片描述

环境搭建

nginx.conf中进行配置代理教学机构的管理页面

upstream uidevserver{
    server 127.0.0.1:8601 weight=10;
}
# 前端教学机构管理页面对应虚拟机
server {
    listen       80;
    server_name  teacher.51xuecheng.cn;
    
    // .................
  
    location / {
        proxy_pass   http://uidevserver;
    }

    location /api/ {
        proxy_pass http://gatewayserver/;
    } 
}

实现用户授权

使用Spring Security进行授权,首先在生成jwt令牌前根据用户Id查询用户拥有的权限,然后将查询到的权限写入令牌

在这里插入图片描述

第一步: 在内容管理模块集成Spring Security,在需要授权的接口处使用@PreAuthorize("hasAuthority('权限标识符')")示执行此方法需要授权

  • 如果当前用户请求接口没有权限则抛出异常org.springframework.security.access.AccessDeniedException并提示不允许访问
@RestController
@Api(value = "课程信息编辑接口", tags = "课程信息编辑接口")
public class CourseBaseInfoController {
    @Resource
    CourseBaseInfoService courseBaseInfoService;
	
    
    // 指定访问/course/list接口时需要拥有权限xc_teachmanager_course_list
    @ApiOperation("课程查询接口")
    @PreAuthorize("hasAuthority('xc_teachmanager_course_list')")
    @PostMapping("/course/list")
    public PageResult<CourseBase> list(PageParams pageParams, @RequestBody QueryCourseParamDto queryCourseParams) {
        SecurityUtil.XcUser user = SecurityUtil.getUser();
        Long companyId = null;
        if (StringUtils.isNotEmpty(user.getCompanyId())) {
            companyId = Long.parseLong(user.getCompanyId());
        }
        PageResult<CourseBase> result = courseBaseInfoService.queryCourseBaseList(companyId, pageParams, queryCourseParams);
        return result;
    }
}

第二步: 在base工程下的统一异常处理器GlobalExceptionHandler中处理该异常,为了避免在base工程引入Spring Security依赖(工程也依赖了base工程,引入就会管控工程资源)

@Slf4j
@RestControllerAdvice
public class GlobalExceptionHandler {
	
    // 在系统异常中处理AccessDeniedException类型的异常
    @ResponseBody
    @ExceptionHandler(Exception.class)
    @ResponseStatus(HttpStatus.INTERNAL_SERVER_ERROR)
    public RestErrorResponse exception(Exception e) {
        log.error("【系统异常】{}",e.getMessage(),e);
        e.printStackTrace();
        if(e.getMessage().equals("不允许访问")){
            return new RestErrorResponse("没有操作此功能的权限");
        }
        return new RestErrorResponse(CommonError.UNKOWN_ERROR.getErrMessage());
    }
}

第三步: 编写DAO方法根据用户ID查询用户的权限

public interface XcMenuMapper extends BaseMapper<XcMenu> {
    @Select("SELECT * FROM xc_menu WHERE id IN (
            SELECT menu_id FROM xc_permission WHERE role_id IN (
                SELECT role_id FROM xc_user_role WHERE user_id = #{userId} ))
    ")
    List<XcMenu> selectPermissionByUserId(@Param("userId") String userId);
}

第四步: 修改UserServiceImpl类的getUserPrincipal方法,当认证通过后从数据库中查询用户的权限信息并封装到UserDetails的Username属性中,最后将信息写入到JWT令牌中

@Override
public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException {
    // 将包含认证参数的Json格式的字符串如username={"username":"yunqing","authType":"password","password":"111111"}`转换为AuthParamsDto对象
    AuthParamsDto authParamsDto = null;
    try {
        authParamsDto = JSON.parseObject(s, AuthParamsDto.class);
    } catch (Exception e) {
        log.error("认证请求数据格式不对:{}", s);
        throw new RuntimeException("认证请求数据格式不对");
    }
    // 获取认证类型,beanName由认证类型和后缀组成,如password_authservice
    String authType = authParamsDto.getAuthType();
    // 根据认证类型从Spring容器中取出对应的bean
    AuthService authService = applicationContext.getBean(authType + "_authservice", AuthService.class);
    // 不同认证方式的认证逻辑不同,但最后都是调用execute方法完成认证
    XcUserExt user = authService.execute(authParamsDto);
    // 认证通过后,查询用户信息并将查询到的信息封装到UserDetails的Username属性中
    return getUserPrincipal(user);
}
public UserDetails getUserPrincipal(XcUserExt user){
    String password = user.getPassword();
    // 默认权限,当用户权限为空时如果不设置权限则报Cannot pass a null GrantedAuthority collection
    String[] authorities=  {"test"};
    // 根据用户id查询用户的所有权限
    List<XcMenu> xcMenus = menuMapper.selectPermissionByUserId(user.getId()); 
    if(xcMenus.size()>0){
        List<String> permissions =new ArrayList<>();
        xcMenus.forEach(m->{
            // 获取用户拥有的权限标识符(菜单编码)并添加到集合里,如xc_teachmanager_course_add表示添加课程权限
            permissions.add(m.getCode());
        });
        //  将permissions转成数组
        authorities = permissions.toArray(new String[0]);
    }    
    // 将用户权限放在XcUserExt中
    user.setPermissions(permissions);
    // 为了安全在令牌中不放密码
    user.setPassword(null);
    // 将user对象转json
    String userString = JSON.toJSONString(user);
    // 设置用户的权限
    String[] authorities = permissions.toArray(new String[0]);
    // 返回UserDetails包含查询到的用户权限信息,最终安全框架会把这些信息写入生成的JWT令牌中
    UserDetails userDetails = User.withUsername(userString).password(password).authorities(authorities).build();
    return userDetails;
}

第五步: 使用教学机构用户登录系统, 点击教学机构首先访问课程查询接口,如果当前登陆用户没有xc_teachmanager_course_list权限报没有此操作的权限错误

在这里插入图片描述

细粒度授权(数据权限)

细粒度授权也叫数据范围授权,即不同的用户虽然所拥有的操作权限相同,但是能够操作的数据范围是不一样的

  • 如用户A和用户B都拥有查询课程权限,但是查询课程时只允许用户查询自己所属的教学机构下的课程信息

细粒度授权涉及到不同的业务逻辑,通常在service层实现,根据不同的用户进行校验,根据不同的参数查询或操作不同的数据

  • 获取当前登录的用户所属教育机构的Id,然后查询该教学机构下的课程信息
@ApiOperation("课程查询接口")
@PreAuthorize("hasAuthority('xc_teachmanager_course_list')")//拥有课程列表查询的权限方可访问
@PostMapping("/course/list")
public PageResult<CourseBase> list(PageParams pageParams, @RequestBody QueryCourseParamsDto queryCourseParams){
    // 使用工具类取出用户身份
    XcUser user = SecurityUtil.getUser();
    // 获取用户所属教育机构的Id
    String companyId = user.getCompanyId();
    return courseBaseInfoService.queryCourseBaseList(Long.parseLong(companyId),pageParams,queryCourseParams);
}
@Slf4j
public class SecurityUtil {
    public static XcUser getUser() {
        try {
            // 通过SecurityContextHolder获取user_name属性的值即包含用户信息的Json字符串
            Object principal = SecurityContextHolder.getContext().getAuthentication().getPrincipal();
            if (principal instanceof String) {
                // 将包含用户信息的Json字符串转换为XcUser对象
                String userJson = principal.toString();
                XcUser xcUser = JSON.parseObject(userJson, XcUser.class);
                return xcUser;
            }
        } catch (Exception e) {
            log.error("获取当前登录用户身份信息出错:{}", e.getMessage());
            e.printStackTrace();
        }
        return null;
    }
    // 这里使用内部类是为了不让content工程去依赖auth工程
    @Data
    public static class XcUser implements Serializable {
        private static final long serialVersionUID = 1L;
        private String id;
        private String username;
        private String password;
        private String salt;
        private String name;
        private String nickname;
        private String wxUnionid;
        private String companyId;
        /**
        * 头像
        */
        private String userpic;
        private String utype;
        private LocalDateTime birthday;
        private String sex;
        private String email;
        private String cellphone;
        private String qq;
        /**
        * 用户状态
        */
        private String status;
        private LocalDateTime createTime;
        private LocalDateTime updateTime;
    }
}
@Override
@Transactional
public PageResult<CourseBase> queryCourseBaseList(Long companyId, PageParams pageParams, QueryCourseParamDto queryCourseParams) {
    // 构建条件查询器
    LambdaQueryWrapper<CourseBase> queryWrapper = new LambdaQueryWrapper<>();
    // 构建查询条件,按照机构ID查询
    queryWrapper.eq(CourseBase::getCompanyId, companyId);
    // 构建查询条件:按照课程名称模糊查询
    queryWrapper.like(StringUtils.isNotEmpty(queryCourseParams.getCourseName()), CourseBase::getName, queryCourseParams.getCourseName());
    // 构建查询条件,按照课程审核状态查询
    queryWrapper.eq(StringUtils.isNotEmpty(queryCourseParams.getAuditStatus()), CourseBase::getAuditStatus, queryCourseParams.getAuditStatus());
    // 构建查询条件,按照课程发布状态查询
    queryWrapper.eq(StringUtils.isNotEmpty(queryCourseParams.getPublishStatus()), CourseBase::getStatus, queryCourseParams.getPublishStatus());
    // 分页对象
    Page<CourseBase> page = new Page<>(pageParams.getPageNo(), pageParams.getPageSize());
    // 查询数据内容获得结果
    Page<CourseBase> pageInfo = courseBaseMapper.selectPage(page, queryWrapper);
    // 获取数据列表
    List<CourseBase> items = pageInfo.getRecords();
    // 获取数据总条数
    long counts = pageInfo.getTotal();
    // 构建结果集
    return new PageResult<>(items, counts, pageParams.getPageNo(), pageParams.getPageSize());
}        

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1541346.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

02课程发布模块之部署Nginx

部署Nginx 部署网关 通过Nginx访问后台网关&#xff0c;然后由网关再将请求转发到具体的微服务,网关会把请求转发到具体的服务 upstream gatewayserver{server 127.0.0.1:63010 weight10; } # 网站首页对应的虚拟机 server {listen 80;server_name www.51xuecheng.cn…

AtCoder ABC346 A-E题解

比赛链接:ABC346 Problem A: 签到题。 #include <bits/stdc.h> using namespace std; const int maxn105; int A[105],B[105]; int main(){int N;cin>>N;for(int i1;i<N;i)cin>>A[i];for(int i1;i<N;i){B[i]A[i1]*A[i];cout<<B[i]<<end…

【Godot4.2】像素直线画法及点求取函数

概述 基于CanvasItem提供的绘图函数进行线段绘制只需要直接调用draw_line函数就可以了。 但是对于可以保存和赋值节点直接使用的纹理图片&#xff0c;却需要依靠Image类。而Image类没有直接提供基于像素的绘图函数。只能依靠set_pixel或set_pixelv进行逐个像素的填色。 所以…

Linux 的 app :一般到哪里下载 ?(**)

利用 appimagetool 工具对开发好的项目进行打包 &#xff08;***带笔记*&#xff09; https://blog.csdn.net/ken2232/article/details/131313613 1. 首选&#xff0c;直接通过 OS发行版的官网仓库&#xff1a;简单、方便&#xff1b;可能相对最可靠。 如&#xff1a; sudo a…

matlab基于Simulink的模糊逻辑控制应用

一、原理 模糊逻辑指模仿人脑的不确定性概念判断、推理思维方式&#xff0c;对于模型未知或不能确定的描述系统&#xff0c;以及强非线性、大滞后的控制对象&#xff0c;应用模糊集合和模糊规则进行推理&#xff0c;表达过渡性界限或定性知识经验&#xff0c;模拟人脑方式&…

基于YOLOv8深度学习的橙子病害智能诊断与防治系统【python源码+Pyqt5界面+数据集+训练代码】深度学习实战、目标分类

《博主简介》 小伙伴们好&#xff0c;我是阿旭。专注于人工智能、AIGC、python、计算机视觉相关分享研究。 ✌更多学习资源&#xff0c;可关注公-仲-hao:【阿旭算法与机器学习】&#xff0c;共同学习交流~ &#x1f44d;感谢小伙伴们点赞、关注&#xff01; 《------往期经典推…

算法:bfs(深度优先搜索)

// dfs习题&#xff1a; // 输入9行&#xff0c;0代表未知 // 输出9行即最终结果 #include <stdio.h> #include <stdlib.h> int main() {int table[9][9];//输入数据for (int i 0; i < 9; i) {for (int j 0; j < 9; j) {scanf("%d", &table[…

js工具方法记录

校验数字是否有效的11位手机号 function isValidPhoneNum(value: string) {return /^[1][3,4,5,6,7,8,9][0-9]{9}$/.test(value) }手机号中间4位掩码 function maskPhoneNum(phone: string, space false) {if (!phone) {return }const reg /(\d{3})\d{4}(\d{4})/return pho…

【测试开发学习历程】MySQL分组查询与子查询 + MySQL表的联结操作

目录 1 MySQL分组查询与子查询 1.1 数据分组查询 1.2 过滤分组 1.3 分组结果排序 1.4 select语句中子句的执行顺序 1.5 子查询 2 MySQL表的联结操作 2.1 关系表 2.2 表联结 2.3 笛卡尔积 2.4 内部联结 2.5 外联结 2.6 自联结 2.7 组合查询 1 MySQL分组查询与子查询…

LangChain-Chatchat知识库对话

前言 上次我们完成了Chatchat的本地部署&#xff0c;使用了LLM对话的功能。这次我们尝试一下其他的功能&#xff0c;之前总是有报错没有跑通&#xff0c;这次处理了几个问题之后才跑通了知识库对话和文件对话。 知识库对话 原理: 首先我们看这个图可以明白&#xff0c;知识库…

Redis学习二--常见问题及处理

基本概念 Redis基本概念数据结构 机制 持久化机制&#xff1a; RDB(内存快照)&#xff1a;某一时刻的内存快照以二进制的方式写入磁盘&#xff0c;可以手动触发和自动触发。 优点&#xff1a;生成文件小&#xff0c;恢复速度快&#xff0c;适用于灾难恢复。 缺点&#xff1a…

03-SparkSQL入门

0 Shark Spark 的一个组件&#xff0c;用于大规模数据分析的 SQL 查询引擎。Shark 提供了一种基于 SQL 的交互式查询方式&#xff0c;可以让用户轻松地对大规模数据集进行查询和分析。Shark 基于 Hive 项目&#xff0c;使用 Hive 的元数据存储和查询语法&#xff0c;并基于Hiv…

MySQL5.6.11安装步骤(Windows7 64位)

MySQL5.6.11安装步骤&#xff08;Windows7 64位&#xff09; 1. 下载MySQL Community Server 5.6.21&#xff0c;注意选择系统类型&#xff08;32位/64位&#xff09; 2. 解压MySQL压缩包 将以下载的MySQL压缩包解压到自定义目录下。 3. 添加环境变量 变量名&#xff1a;MYS…

【项目设计】基于MVC的负载均衡式的在线OJ

项目代码&#xff08;可直接下载运行&#xff09; 一、项目的相关背景 学习编程的小伙伴&#xff0c;大家对力扣、牛客或其他在线编程的网站一定都不陌生&#xff0c;这些编程网站除了提供了在线编程&#xff0c;还有其他的一些功能。我们这个项目只是做出能够在线编程的功能。…

“低代码+平台”:驱动企业数字化转型与创新的新引擎

“低代码平台”作为一种新兴的软件开发范式&#xff0c;正逐渐成为企业快速响应市场变化、优化业务流程、提升数字化水平的重要手段。它的价值在于&#xff0c;将传统软件开发的复杂性大大降低&#xff0c;赋予了非技术人员或轻量级开发者快速构建应用的能力&#xff0c;并能灵…

可视化驯龙高手:Portainer——轻松驾驭Docker的图形化管理利器

在Docker容器技术的海洋中&#xff0c;Portainer如同一艘满载智能导航系统的旗舰&#xff0c;为我们提供了直观且易用的图形化管理界面&#xff0c;让繁杂的容器管理和运维工作变得轻松愉悦。本文将带你了解Portainer的基本功能&#xff0c;掌握其安装方法&#xff0c;并体验其…

摘录笔记——2024年3月22日

目录 一、背景 1.1 新人的选择困局 1.2 高人才密度环境下普通员工的成长效率困局 1.3 业务发展和个人成长的二元对立困局 1.4 中年打工人低费效比引发的职场生涯终结困局 二、人的本质 2.1 人的本质的定义 2.2 由“人的本质”引出的几个关键过程 2.2.1 认知指引实践&a…

【前端寻宝之路】学习和总结HTML表格的实现和合并

&#x1f308;个人主页: Aileen_0v0 &#x1f525;热门专栏: 华为鸿蒙系统学习|计算机网络|数据结构与算法|MySQL| ​&#x1f4ab;个人格言:“没有罗马,那就自己创造罗马~” #mermaid-svg-IWDj0gWiFt6IMq3x {font-family:"trebuchet ms",verdana,arial,sans-serif;f…

啥是反射???

在Java编程中&#xff0c;反射&#xff08;Reflection&#xff09;是一种强大的工具&#xff0c;它允许程序在运行时检查类、接口、字段和方法的信息&#xff0c;并且可以动态地创建和操作对象。 一、反射的基本概念 反射是Java语言的一个特性&#xff0c;它允许程序在运行时对…

QML ShapePath绘制虚线

一.qml PathLine介绍 在 QML&#xff08;Qt Modeling Language&#xff09;中&#xff0c;PathLine 是 Path 元素的一个子类型&#xff0c;用于创建两点之间的直线段。Path 类型用于描述一个二维路径&#xff0c;可以用来绘制形状、曲线和直线。PathLine 是所有路径曲线中最简单…