通俗易懂权限管理模块设计-Java

最近一直在做CMS系统,发现一些内容其实都是重复出现的,例如权限管理模块。权限管理模块就是为了管理用户是否有权利访问某个权限,如果不能则拒绝访问。其实Java中已经有很成熟的权限管理框架,例如 Shiro,Spring Security等,也推荐大家使用。但是一些设计上的东西还是要重复再造过轮子才能发现里面的精髓,所以这份代码,供不太明白的同学也参考参考。

代码分享在 Github 上,欢迎大家指出问题: https://github.com/yixiaoming/cms

下面我将详细介绍一下这个简单的权限管理模块,以便大家可以拿去直接使用。

数据表

b384b36c-ccec-46bd-9cdb-c7590f918b2f.png

主要三张表

  • t_user:用户表,访问系统的对象
  • t_permission:权限表,每条记录就是一个权限,也就是一个 url 地址
  • t_group:用户组表,一个组可以包含多个权限,用户如果在这个组中,则享有所有权限

简单例子

来个简单的例子,例如一个CMS系统中,有一些权限:添加文章( /admin/article/add),查看文章( /admin/article/{id}),删除文章( /admin/delete/{id}),修改文章( /admin/article/update/{id}),每个权限其实对应一个controller的 requet 地址。这些内容存放在 t_permission 中。

然后系统中有一些用户都放在 t_user中,然后我可以为 每个user 分配一些权限,一个user叫 张三,我可以给他直接添加权限:查看文章。那么他只能查看,不能增删改。

然后用户组表可以看作一个部门,例如一个用户组叫:文章管理组,那么这个组可以添加:文章的增删改查4项权限。现在我再将 user分配到 文章管理组 中,那么张三就拥有了 文章的增删改查的所有权限。

最主要的思想就是:用户的权限,可以直接分配,也可以通过用户组来分配,用户的所有权限就是两者的并集

框架

  1. Spring 4.26
  2. Hibernate 5.10
  3. Java 8

例子采用 SpringMVC + Hibernate + Bootstrap搭建,简单实用,对于小项目使用绝对没有问题。
然后里面也用到了一些开源的Web前端项目,例如SB-Admin,Bootstrap Multiselect,MetisMenu,Bootstrap Validation等,由于我本来不是做前端的,所以UI上的东西只能借助开源项目来完成。下面展示一下效果:

登陆页

2059ba9e-e698-4b5a-8de3-493ab9459bd4.png

用户列表页,用户组列表页,权限列表页 都类似

c0dc39cc-1292-4c8c-bb62-c871a33747e1.png

用户添加,修改页:

7a3929cd-e7b6-4696-b8f2-9c99d74412c8.png

选择权限

44d54e8a-2ad0-4586-a4fc-70c7fb96f732.png

选择用户组

3628bba0-966f-45bd-9e5a-0c3b94a6457f.png

当选定了权限和用户组,那么用户的权限就是 权限+角色组所有的权限 的并集。

登陆成功后将所有权限放在session中:

LoginController

List<Permission> permissions = userService.listUserPermissions(user.getId());
    List<Integer> gids = userService.listUserGids(user.getId());
    List<Permission> groupPermissions = groupService.listGroupsPermissions(ListUtil.list2array(gids));

    for (Permission p : groupPermissions) {
      if (!permissions.contains(p)) {
        permissions.add(p);
      }
    }

    request.getSession().setAttribute(Constant.LOGIN_USER, user);
    request.getSession().setAttribute(Constant.LOGIN_PERMISSIONS, permissions);

然后写两个个拦截器,一个判断登录,一个判断权限,每次访问链接前先判断是否有这个权限,如果没有则抛出异常。这里有一点还需要注意,如果用户的类型使 Admin 的话,那么默认就拥有所有权限,所以不需要验证。通过 user 的 isAdmin 字段判断

LoginInterceptor

public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object o) throws Exception {
    User user = (User) request.getSession().getAttribute(Constant.LOGIN_USER);
    if (request.getRequestURL().toString().contains("/admin")) {
      if (user == null) {
        response.sendRedirect(request.getContextPath() + "/login");
        return false;
      }
    }
    return true;
  }

PermissionInterceptor

 public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object o) throws Exception {
    String url = request.getRequestURL().toString();
    if (url.contains("/admin")) {
      List<Permission> permissions = (List<Permission>) request.getSession().getAttribute(Constant.LOGIN_PERMISSIONS);
      User user = (User) request.getSession().getAttribute(Constant.LOGIN_USER);

      if (permissions == null || user == null) {
        response.sendRedirect(request.getContextPath() + "/login");
        return false;
      }

      // 如果是admin,就不需要权限验证
      if (user.getAdmin()) {
        return true;
      }

      boolean hasPermission = false;
      for (Permission permission : permissions) {
        if (url.contains(permission.getUrl())) {
          hasPermission = true;
          break;
        }
      }

      if (!hasPermission) {
        throw new CmsException("没有权限访问:" + url);
      }
    }

    return true;
  }

总结

这里洋洋洒洒的写了一些权限模块中的内容,只是里面的主线,细节的代码大家可以参考Github上的代码地址链接,大神略过。希望能给正在学习这个内容的同学一点帮助,反正造这个轮子,我学到了不少。。。

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 211,042评论 6 490
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 89,996评论 2 384
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 156,674评论 0 345
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 56,340评论 1 283
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 65,404评论 5 384
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,749评论 1 289
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,902评论 3 405
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,662评论 0 266
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,110评论 1 303
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,451评论 2 325
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,577评论 1 340
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,258评论 4 328
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,848评论 3 312
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,726评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,952评论 1 264
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,271评论 2 360
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,452评论 2 348

推荐阅读更多精彩内容