关于基于RBAC的用户权限管理的相关有关问题
日期:2014-05-18 浏览次数:20723 次
关于基于RBAC的用户权限管理的相关问题
关于基于RBAC的用户权限管理的相关问题
1、用户-角色-资源,还有两个关联表
用户登陆的时候,把用户信息和用户有权限的资源信息存放在session里面
2、在过滤器里面,对所有的.do结尾的请求进行拦截
如果是登陆、注销等的则不拦截,如下代码所示:
3、用户无权限的处理
这个权限,无权限不显示,这个很好弄。另一种情况是,用户手动在浏览器输入action地址,所以,我的做法是,
将用户请求的url(toSaveUser.do)和有权限的url(这个是存放在session中的)进行匹配,如果能匹配到,
则代表有权限,如果不能匹配到,则代表无权限。这个我通过rightFlag 可以判断到。
现在的问题是,后台的action太多太多,
比如 用户管理模块,我有
toSaveUser.do(到添加用户)、saveUser.do(添加用户)、listAllUser.do(列出所有用户)、
viewUserInfor.do(查看个人信息)等等,完成一个添加用户的操作需要几个action来完成。
难道我要一个个的都存到角色关联资源的那张表里面去吗?
特别是很多操作都需要通过action再跳转到页面进行操作。请问有神马比较好的实现方式,谢谢。
------解决方案--------------------
肯定要存到资源表里,如果不存咋判断用户是否有该资源的权限?我现在也在做这个权限,我用的spring的拦截器,拦截方法上标注有相关权限注解的方法的url
------解决方案--------------------
也要拦截呀?好比有2个方法a和b,a上面有权限注解,就在拦截器里的做相应处理,b没有的话,拦截器直接过去就是了
这是我的一部分代码
关于基于RBAC的用户权限管理的相关问题
1、用户-角色-资源,还有两个关联表
用户登陆的时候,把用户信息和用户有权限的资源信息存放在session里面
2、在过滤器里面,对所有的.do结尾的请求进行拦截
如果是登陆、注销等的则不拦截,如下代码所示:
@Override
public void doFilter(ServletRequest req, ServletResponse rsp,
FilterChain chain) throws IOException, ServletException {
HttpServletRequest request = (HttpServletRequest) req;
HttpServletResponse response = (HttpServletResponse) rsp;
String uri = request.getRequestURI();
HttpSession session = request.getSession();
Userinfo userInfo = (Userinfo) session.getAttribute("userInfo");
String urls = null;
String urlss[] = null;
boolean rightFlag = false;//是否有权限访问此资源
if(userInfo!=null){
urls = uri.replaceAll(request.getContextPath(), " ");
urlss = urls.split(";");
rightFlag = this.isAuthorized(urlss[0].split("/")[1], request);
}
//1.登录action不过滤 2.已登录有权限不过滤 3.noRight.do不过滤 4.退出不过滤
if((uri.endsWith("login.do")||uri.endsWith("toLogin.do")||uri.endsWith("noRight.do"))||(userInfo!=null)&&rightFlag){
chain.doFilter(request, response);
}else if(userInfo!=null&&!rightFlag){//用户已登录且无权限
response.sendRedirect("noRight.do");
}else {//跳转到登陆页面
session.setAttribute("loginStatus", "您访问的页面需要登陆,请登陆!");
response.sendRedirect("toLogin.do");
}
}
3、用户无权限的处理
这个权限,无权限不显示,这个很好弄。另一种情况是,用户手动在浏览器输入action地址,所以,我的做法是,
将用户请求的url(toSaveUser.do)和有权限的url(这个是存放在session中的)进行匹配,如果能匹配到,
则代表有权限,如果不能匹配到,则代表无权限。这个我通过rightFlag 可以判断到。
现在的问题是,后台的action太多太多,
比如 用户管理模块,我有
toSaveUser.do(到添加用户)、saveUser.do(添加用户)、listAllUser.do(列出所有用户)、
viewUserInfor.do(查看个人信息)等等,完成一个添加用户的操作需要几个action来完成。
难道我要一个个的都存到角色关联资源的那张表里面去吗?
特别是很多操作都需要通过action再跳转到页面进行操作。请问有神马比较好的实现方式,谢谢。
------解决方案--------------------
肯定要存到资源表里,如果不存咋判断用户是否有该资源的权限?我现在也在做这个权限,我用的spring的拦截器,拦截方法上标注有相关权限注解的方法的url
------解决方案--------------------
也要拦截呀?好比有2个方法a和b,a上面有权限注解,就在拦截器里的做相应处理,b没有的话,拦截器直接过去就是了
这是我的一部分代码
public class Authority extends HandlerInterceptorAdapter {
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
HandlerMethod h = (HandlerMethod)handler;
if(h.getMethod().isAnnotationPresent(AuthorityRequired.class)){
//获取请求的url
String url = request.getRequestURL().toString();
HttpSession session = request.getSess
免责声明: 本文仅代表作者个人观点,与爱易网无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
