浅析Spring 权限管理的实现

一、前言

权限管理在后台管理系统中较为常见,不同的管理员拥有不同的角色,不同的角色拥有不同的权限,不同的权限对应不同的资源。同时一个管理员可以拥有多种角色,一个

角色可以拥有多种权限,一个权限可以拥有多个资源。

二、原理

权限管理一般涉及到用户、角色、资源这三者之间的关系,当用户请求某个资源时,先判断该用户的角色,然后判断请求资源所需的角色,最后把用户角色和资源角色作比

较,如果相等,说明该用户拥有访问该资源的权限,如果用户角色没有一个和该资源角色相等,说明该用户没有访问该资源的权限。

三、实现策略

第一种:全部利用配置文件,将用户、权限、菜单、资源(url)硬编码在xml文件中,通过解析xml来判断某个角色是否拥有相关权限。

第二种:全部利用数据库存储,将用户,角色,菜单、资源存储在数据库中,并通过自定义拦截器来判断当前用户角色是否拥有访问权限,具体设计如下:

1、数据库设计(如下图)

Spring

① 管理员表 ②角色表 ③菜单表 ④ 管理员角色关联表 ⑤ 角色菜单关联表 ⑥资源表

2、设计思路

为了清晰易懂,我们从管理员操作的基本流程开始设计。(如下图)

权限

上述只是从界面的角度上,区分了不同角色不同权限,如何从安全的角度上真正意义上的权限控制?

首先,将指定角色对应的所有url请求,将这些url存放在一个list当中。

通过管理员登陆,获取相应的角色id,根据角色id获取相应的菜单id,先将菜单所对应的url存到list中(因为菜单也算资源的一种),接着通过菜单id在上述资源表中查出对

应的所有url链接,存放到list中,这些操作在管理员登陆验证成功之后获取,然后将其放入到session中。

配置spring拦截器,拦截所有请求,解析当前的url,与session中list里存放的url进行比对,如果有,则请求继续,没有则返回错误信息,提示权限不够。

如何为一个管理员分配角色?

超级管理员是直接向数据库里添加的,添加一条manager记录,super_manager属性设置为1(代表超级管理员,拥有最高权限),默认为0。为普通管理员分配角色其实

就是向【管理员角色关联表】插入数据,为了避免关联表中数据重复,可以先将该管理员id对应的所有记录删除,再根据分配重新插入即可。

如何为角色分配相应的菜单?

同上,向【角色菜单表】中插入分配的记录即可。避免数据重复,最好采用先删除再插入的规则。

每个菜单上对应的url如何获得?

需要超级管理员手动添加,或者直接操作数据库。


这样,就完成了一个普通的权限管理系统了。


您的回应...

相关话题

查看全部

也许你感兴趣

换一批

热门标签

更多