RBAC权限模型(Role-Based Access Control)
前面主要介绍了元数据管理和业务数据的处理,通常一个系统都会有多个用户,不同用户具有不同的权限,本文主要介绍基于RBAC动态权限管理在crudapi中的实现。
概要
RBAC简介
RBAC权限模型(Role-Based Access Control)即:基于角色的权限控制。模型中有几个关键的术语:
用户:系统接口及访问的操作者
权限:能够访问某接口或者做某操作的授权资格
角色:具有一类相同操作权限的用户的总称
用户角色权限关系
一个用户有一个或多个角色
一个角色包含多个用户
一个角色有多种权限
一个权限属于多个角色
Spring security
Spring Security是Spring项目组中用来提供安全认证服务的框架,可以很方便的实现动态权限管理。
表单配置
系统内置和5个表单,这些表单和权限相关,和具体业务无关
资源resource
其中url是ANT格式表达式,用于配置url来确定是否拥有某个资源的权限。
用户user
用户表记录登录用户信息
角色role
角色
用户角色行userRoleLine
用户和角色的中间表,参考之前表关系管理,利用两个一对多建立多对多关系,
角色资源行roleResourceLine
角色和资源的中间表,同样的利用两个一对多建立多对多关系
表关系
| 原表 | 目标表 | 关系 |
| user | userRoleLine | 一对多 |
| userRoleLine | role | 多对一 |
| role | roleResourceLine | 一对多 |
| roleResourceLine | resource | 多对一 |
权限控制原理
根据登录用户首选获取角色列表,每个角色对应多个资源,最终用户的权限为多个角色对应的资源叠加。如果拥有某个资源权限就返回数据,否则提示无权限。
默认如果没有匹配任何资源,表示该资源无需特别权限,只需要登录用户即可。
验证
添加客户资源,ANT url为/api/business/customer/**,操作为*,表示GET,PATCH,DELETE,POST都需要授权。 如果操作为DELETE,表示值控制DELETE操作,其它操作不限制。
通过UI访问客户时候提示没有权限,和期望的效果一致
添加角色“客户管理员”,该角色拥有客户访问权限
给“超级管理员”添加“客户管理员”角色,这样“超级管理员”就拥有了客户访问权限
因为用户重新分配了角色,需要需要注销重新登录,登录之后又可以正常访问客户资源了。
核心源码
@Slf4j
@Component
public class DynamicSecurityMetadataSource implements FilterInvocationSecurityMetadataSource {
private static Map<String, ConfigAttribute> configAttributeMap = null;
@Autowired
private DynamicSecurityService dynamicSecurityService;
@PostConstruct
public void loadDataSource() {
configAttributeMap = dynamicSecurityService.loadDataSource();
}
public void clearDataSource() {
log.info("DynamicSecurityMetadataSource clearDataSource");
configAttributeMap.clear();
configAttributeMap = null;
}
@Override
public Collection getAttributes(Object o) throws IllegalArgumentException {
if (configAttributeMap == null) {
this.loadDataSource();
}
List configAttributes = new ArrayList<>();
FilterInvocation fi = (FilterInvocation) o;
String method = fi.getRequest().getMethod();
log.info("getAttributes method = " method);
//获取当前访问的路径
String url = fi.getRequestUrl();
String path = URLUtil.getPath(url) "_" method;
log.info("getAttributes url = " url);
log.info("getAttributes path = " path);
PathMatcher pathMatcher = new AntPathMatcher();
Iterator iterator = configAttributeMap.keySet().iterator();
//获取访问该路径所需资源
while (iterator.hasNext()) {
String pattern = iterator.next();
if (pathMatcher.match(pattern, path)) {
log.info("match success = " pattern ", " path);
configAttributes.add(configAttributeMap.get(pattern));
}
}
// 未设置操作请求权限,返回空集合
return configAttributes;
}
@Override
public Collection getAllConfigAttributes() {
return null;
}
@Override
public boolean supports(Class<?> aClass) {
return true;
}
}
继承FilterInvocationSecurityMetadataSource,实现getAttributes接口,通过http url加http method进行匹配
@Slf4j
@Component
public class DynamicAccessDecisionManager implements AccessDecisionManager {
@Override
public void decide(Authentication authentication, Object object,
Collection configAttributes) throws AccessDeniedException, InsufficientAuthenticationException {
// 当接口未被配置资源时直接放行
if (CollUtil.isEmpty(configAttributes)) {
log.info("empty configAttributes decide passed!");
return;
}
FilterInvocation fi = (FilterInvocation) object;
String method = fi.getRequest().getMethod();
log.info("decide method = " method);
List needAuthorityList = new ArrayList();
Iterator iterator = configAttributes.iterator();
while (iterator.hasNext()) {
ConfigAttribute configAttribute = iterator.next();
//将访问所需资源或用户拥有资源进行比对
String needAuthority = configAttribute.getAttribute();
needAuthorityList.add(needAuthority);
for (GrantedAuthority grantedAuthority : authentication.getAuthorities()) {
if (needAuthority.trim().equals(grantedAuthority.getAuthority())) {
return;
}
}
}
throw new AccessDeniedException("对不起,您没有资源:" String.join(",", needAuthorityList) "的访问权限!");
}
@Override
public boolean supports(ConfigAttribute configAttribute) {
return true;
}
@Override
public boolean supports(Class<?> aClass) {
return true;
}
}
继承AccessDecisionManager,实现decide接口,将访问所需资源或用户拥有资源进行比对,如果拥有权限则放行,否则提示无权限。
小结
本文介绍了RBAC在crudapi中的实现原理,首先引入Spring security框架,然后利用配置生成用户,角色,资源等表单,通过配置实现基本的CRUD功能,最终实现了动态权限精细化管理。因为用户,角色等表与业务无关,所以会作为系统内置表单。
内容出处:,
声明:本网站所收集的部分公开资料来源于互联网,转载的目的在于传递更多信息及用于网络分享,并不代表本站赞同其观点和对其真实性负责,也不构成任何其他建议。如果您发现网站上有侵犯您的知识产权的作品,请与我们取得联系,我们会及时修改或删除。文章链接:http://www.yixao.com/customer/21257.html
微信扫一扫
支付宝扫一扫
相关推荐
-
Web2.0环境下企业品牌与个人品牌的博弈
国内有那些企业将员工的博客,微博客账户进行整理,对外公布?类似阿里巴巴集团,有那么多员工活跃在互联网圈中,企业为什么不将这些散开的个人“微品牌”进行整合。正如笔者唐兴通之前的博文《五个国外社会化媒体营销经典案例》那样将企业的社会化媒体参与渠道列表出来。
-
网站URL静态化还是不静态化对用户友好?
在网站SEO中URL静态化的问题一直在业界备受争议和关注。很多人建议网站进行URL静态化处理,这样做的理由就是搜索引擎只会抓取静态的地址。但是事实上呢,搜索引擎并非不能抓取动态地址内容,只是相对而言有些难度而已。不可否认对于搜索引擎来说,它更喜欢静态的地址页面。
-
建立用户体验过程的实用指南
也许你刚刚来到一家公司,他们希望进行一些“可用性”工作。你可能是一名UI设计师,业务分析师,或前端开发人员,一名产品经理,或者负责用户体验部门的经理或副总。你知道,如果更好地了解使用产品/软件/郑州网站建设的人,就可能开发出更好的产品/软件/郑州网站建设。不管怎么样,不管你是谁,也不管你在哪里,用户体验这件事,现在就归你管了。
-
如今下载一款软件可能比10年前难多了
在当代互联网上冲浪,你需要很多技巧,其中之一就是知道该如何下载软件。 「不会吧不会吧?不会真的有人不会下载软件吧?」当看到上面一段文字时,或许有人在心里这样犯嘀咕。 实际上,即便你…
-
实战黑客入侵:廉价的隐私
写在前面,图片全部打码,所涉及到的漏洞,均已告知网站管理员。 为了不对别人的业务造成影响,特地延迟发文。 没什么技术含量,三流技术水平就能做到本文的效果。 一)被骗的…
-
MacOS Ventura升级初体验
苹果 macOS 13 Ventura 带来了台前调度、连续互通相机、FaceTime 通话接力等功能。今天收到升级提醒后果断给Mac Mini升级了Ventura,升级包大小超过…
-
滴滴大数据让在看清你酣然入睡后的北京城
图1 北京21:00-22:00车辆行驶轨迹 上面这张图,是滴滴出行大数据绘出的夜晚21时至22时的北京车辆行驶轨迹图,不同的人看了这张图,会有不同的感受。 有位同学说看了这张图有…
-
大数据作恶时代,比预期来得更快
最近几年,大数据是一个相当热门的概念。在和AI等新潮技术结合后,它更是时常出现在各路互联网厂商的营销文案中。借助它,科技企业为我们描绘出一副技术改变世界、每位用户的个性化需求被无微…
-
如何保证界面适合老年用户阅读体验
老年用户群仍然有巨大的增长潜力。但就像其他任何用户群体一样,老年用户需要我们设计出符合他们需求的体验。随年龄而产生的局限意味着,数字科技中一些常规的吸引用户手段对老年用户不管用。 …