精华内容
下载资源
问答
  • 权限管理系统

    万次阅读 热门讨论 2016-09-27 18:50:25
    菜单权限系统在大学毕业时,写了一个权限管理系统,由于经验不够丰富,所以设计出来的作品,缺点多多。经过一年多的工作,对权限管理系统进行了更加系统的整理与学习,于是重构了整个权限管理系统。该文章主要讨论...

    菜单权限系统

    在大学毕业时,写了一个权限管理系统,由于经验不够丰富,所以设计出来的作品,缺点多多。经过一年多的工作,对权限管理系统进行了更加系统的整理与学习,于是重构了整个权限管理系统。该文章主要讨论菜单权限,需要数据权限相关的,可以查看数据权限系统


    设计目标

    1.实现按钮,菜单所见即所得。也就是用户看到了按钮A,那么就能够操作按钮A,而不是点击后却提示用户无法操作
    2.实现后端对每个用户的访问URL进行控制
    比如:比如A用户是普通员工,却尝试hack系统,通过拼接URL的方式来尝试访问系统。防止发生数据泄露与误删除

    设计原则

    由于权限管理系统,大部分都是基于Role Base Access Control原则,在该设计中也沿用了该原则,然后进行了一些小细节的修改,比如简化分组的授权,简化直接给用户授权等特性。


    数据库设计


    界面技术选型

    由于开发的系统是内部系统,整体使用boostrap框架。其中为了更方便的管理资源,使用ztree组件作为树的管理。


    后台技术选型

    后台还是采用擅长的spring + spring mvc + mybatis。


    设计难点

    在权限管理中,数据库的设计并不复杂,所以从技术上而言,难度不大。主要难度在于,如何能够快捷有效的进行授权,以及维护资源权限。为了达到授权与维护的方便,使用了多个尝试,由最开始的jqGrid tree特性,到ztree,再到拖动排序,以及数据库的设计等多次优化


    后端实现

    在后台,使用Filter对请求进行拦截,如果一个请求,当前用户具备该权限,那么允许访问。
    代码逻辑如下
    /**
     * 判断某个用户请求的用户是否有权限访问
     * 如果无权限,直接返回,提示用户错误信息
     * 避免用户通过url的方式来攻击程序
     * @email luohong.lh@alibaba-inc.com
     */
    public class AuthFilter implements Filter {
        @Override
        public void init(FilterConfig filterConfig) throws ServletException {
        }
    
        @Override
        public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
            HttpServletRequest request = (HttpServletRequest) servletRequest;
    
            //根据用户ID获取该用户可以访问的URL列表
            List<String> authUrls = getAuthUrls(request.getSession().getAttribute('userId')); 
            String uri = request.getRequestURI();
    
            if(authUrls.contains(uri)){
                filterChain.doFilter(servletRequest, servletResponse);
            }else{
                System.out.println('sorry,您无权限访问');
            }
        }
    
        @Override
        public void destroy() {
        }
    }

    注意点:这里面我们只需要对核心的URL拦截即可,比如比如变更数据库数据的URL等。对于一些无需权限控制的URL,直接通过访问即可。比如用户有一个编辑按钮,那么一般就会具备/id.json,以及/update.json两个URL,我们可以考虑只监控/update.json即可。


    前端实现

    在前端,由于需要实现所见即所得,所以对于没有访问权限的按钮,都需要隐藏起来。为了达到这个设计目标,系统在用户登陆时,会将所有的资源code列表,放回到前端js变量中,然后界面初始化时,根据是否具备权限,来控制按钮的显示与否。

    代码逻辑如下

    1.从后端获取当前用户可以访问的菜单权限
    数据格式如下:['user.add', 'user.delete', 'user.update', 'user.delete', 'user.list']
    2.前段渲染按钮时,判断是否具备某个权限,如果具备,那么按钮显示
    {
    	hasMenuAuth('user.add') && <button type='button' class='btn primary-btn'>Add</button>
    }

    小技巧:为了给每个菜单,按钮一个更加合理并且容易记忆的key,可以使用path规则。

    规则如下:module1.module2.action

    比如:用户管理模块,那么可以使用system.user.add,system.user.delete,system.user.update类似的key规则来组织


    菜单管理界面的参考示意图

    1.资源管理界面,左侧是菜单,右侧的是菜单关联的权限,以及每个按钮对应的URL,其中菜单允许拖动!!!

    2.角色管理界面,左侧是角色列表,右侧是该角色授予的权限列表,这里面勾选时,需要具备级联操作,方便快速授权。



    总结

    设计一个资源管理系统,其实整体而言,方案还是非常简单的

    主要的难点在于如何使得运营效率更高效,系统模型的简洁性与扩展性

    1.选择合适的界面排版,使得可以快速拖动菜单,这里面使用的是ztree组件(拖动后需要递归处理关联的所有权限噢,该功能需要一些些编码的小小难度)

    2.授权时,级联动作,方便批量授权

    3.权限的key规则


    后端方面可以考虑后端集成shiro的技术,这方便有兴趣的朋友可以参考下shiro。

    展开全文

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 67,906
精华内容 27,162
关键字:

权限管理系统