关于RBAC的权限设计的问题,如何做都方法级别的控制

Java_er 2016-05-13 11:07:26
1、目前的权限设计的RBAC 五张经典的表结构
用户
角色
菜单

用户_角色
角色_菜单



2、页面只能对有无权限进行显示(例如用户无添加权限,自然页面也就看不到这个按钮)

现在的问题是:如果用户知道添加的action,他可以直接构造这个url请求地址,这样也是可以达到添加用户的目的的。

请问类似这样的需求该如何设计呢。
谢谢。
...全文
551 16 打赏 收藏 转发到动态 举报
写回复
用AI写文章
16 条回复
切换为时间正序
请发表友善的回复…
发表回复
买房动力十足 2016-07-14
  • 打赏
  • 举报
 回复
shiro的权限字符串就可以, 而且支持注解, 在你的方法上标注,/** * 只有拥有user:create权限的用户才能添加用户 * */ @RequiresPermissions("user:create") @RequestMapping("saveUser.do") 这样。
Java_er 2016-06-07
  • 打赏
  • 举报
 回复
引用 14 楼 qq_24663329 的回复:
后台生成token前台请求时带上这个token,然后在后台校验,正常页面的请求是有token的,没有token的一个都会被拦截
qq_24663329 2016-06-07
  • 打赏
  • 举报
 回复
后台生成token前台请求时带上这个token,然后在后台校验,正常页面的请求是有token的,没有token的一个都会被拦截
Java_er 2016-06-06
  • 打赏
  • 举报
 回复
好像权限管理不能做成通用的了,好麻烦。
Java_er 2016-06-03
  • 打赏
  • 举报
 回复
引用 11 楼 tiaoxixiaoji 的回复:
1、过滤器过滤(可以拦截所有请求,包括.jsp、.action、.css等) 2、拦截器,可以拦截.action请求 3、spring的aop拦截,和拦截器类似,不过拦截面更广,不过和拦截器一样都不可以拦截对jsp页面地访问 以上三种方法都需要对请求url进行权限验证,可以把用户权限列表放在session里或者即使连接数据库查询
有具体demo不 谢谢
Java_er 2016-05-31
  • 打赏
  • 举报
 回复
引用 9 楼 qq_31417619 的回复:
页面部分可以 [quote=引用 8 楼 Javainging 的回复:] [quote=引用 7 楼 qq_31417619 的回复:] [quote=引用 2 楼 Javainging 的回复:] ROLE_ADMIN:sysuser:add,edit,delete,search,view,export, 有sysuser:add 就表示这两个方法都有权限了还是?谢谢。
做的好,两个地方都要防,首先是添加的页面访问限制,最后是数据保存之前再判断一下。[/quote] 这两个都要防是什么意思,怎么做到呢,3Q[/quote] 页面部分可以用过滤器自己根据角色判断是不是有访问页面的权限或者用框架也行,其实你自己用过滤器也方便的,你可以在权限表里加个栏位保存地址路径,对应页面放在不同文件夹下面。 保存数据库之前判断下角色有没有对应数据库操作的权限。[/quote] 感觉这样有点麻烦了;谢谢
tiaoxixiaoji 2016-05-31
  • 打赏
  • 举报
 回复
1、过滤器过滤(可以拦截所有请求,包括.jsp、.action、.css等) 2、拦截器,可以拦截.action请求 3、spring的aop拦截,和拦截器类似,不过拦截面更广,不过和拦截器一样都不可以拦截对jsp页面地访问 以上三种方法都需要对请求url进行权限验证,可以把用户权限列表放在session里或者即使连接数据库查询
Nnick_s 2016-05-30
  • 打赏
  • 举报
 回复
页面部分可以
引用 8 楼 Javainging 的回复:
[quote=引用 7 楼 qq_31417619 的回复:] [quote=引用 2 楼 Javainging 的回复:] ROLE_ADMIN:sysuser:add,edit,delete,search,view,export, 有sysuser:add 就表示这两个方法都有权限了还是?谢谢。
做的好,两个地方都要防,首先是添加的页面访问限制,最后是数据保存之前再判断一下。[/quote] 这两个都要防是什么意思,怎么做到呢,3Q[/quote] 页面部分可以用过滤器自己根据角色判断是不是有访问页面的权限或者用框架也行,其实你自己用过滤器也方便的,你可以在权限表里加个栏位保存地址路径,对应页面放在不同文件夹下面。 保存数据库之前判断下角色有没有对应数据库操作的权限。
Java_er 2016-05-29
  • 打赏
  • 举报
 回复
引用 7 楼 qq_31417619 的回复:
[quote=引用 2 楼 Javainging 的回复:] ROLE_ADMIN:sysuser:add,edit,delete,search,view,export, 有sysuser:add 就表示这两个方法都有权限了还是?谢谢。
做的好,两个地方都要防,首先是添加的页面访问限制,最后是数据保存之前再判断一下。[/quote] 这两个都要防是什么意思,怎么做到呢,3Q
Nnick_s 2016-05-24
  • 打赏
  • 举报
 回复
引用 2 楼 Javainging 的回复:
ROLE_ADMIN:sysuser:add,edit,delete,search,view,export, 有sysuser:add 就表示这两个方法都有权限了还是?谢谢。
做的好,两个地方都要防,首先是添加的页面访问限制,最后是数据保存之前再判断一下。
代码间的舞者 2016-05-23
  • 打赏
  • 举报
 回复
我在网上搜到的,不知道对楼主有没有帮助: http://blog.sina.com.cn/s/blog_5183d2c80100iqc5.html
Java_er 2016-05-21
  • 打赏
  • 举报
 回复
权限这块,想做好,好麻烦。
Java_er 2016-05-21
  • 打赏
  • 举报
 回复
引用 4 楼 uyerp 的回复:
看到过类似系统,不过没看是怎么实现的。 我想的话,可以用spring切面来做,在执行增删改查前,先在切面方法中判断用户有无操作权限。
原理都是这个原理,SpringSecurity 也可以,不过还是shiro简单点
搞什么哦 2016-05-21
  • 打赏
  • 举报
 回复
看到过类似系统,不过没看是怎么实现的。 我想的话,可以用spring切面来做,在执行增删改查前,先在切面方法中判断用户有无操作权限。
Java_er 2016-05-19
  • 打赏
  • 举报
 回复
引用 1 楼 heardy 的回复:
别人知道url,但是他请求时,服务器可以后端可以过去权限表,检测用户是否有权限,没有,就拦截请求!有就通过请求!


比如权限是:


ROLE_ADMIN:sysuser:add,edit,delete,search,view,export,
表示 admin的角色有用户管理的 添加、编辑、查询、查看、导出权限。

现在在页面上,有添加、编辑、查询、查看、导出权限对应的按钮,

按钮可以隐藏显示,但是后台的方法确没有做出判断。

比如添加用户这个模块,一般来说 有一个导航到添加用户的方法 toAddUser(),添加的时候就是 addUser方法,


哪这两个方法怎么处理呢?

ROLE_ADMIN:sysuser:add,edit,delete,search,view,export, 有sysuser:add 就表示这两个方法都有权限了还是?谢谢。
heardy 2016-05-16
  • 打赏
  • 举报
 回复
别人知道url,但是他请求时,服务器可以后端可以过去权限表,检测用户是否有权限,没有,就拦截请求!有就通过请求!
Spring Boot-Shiro-Vue的权限管理思路.前后端都加以控制,到按钮/接口级别权限
基于 RBAC新解 . 通常我们的权限设计都是 用户--角色--权限 ,其中角色是我们写代码的人没法控制的,它可以有多条权限,每个用户又可以设计为拥有多个角色.因此如果从角色着手进行权限验证,系统都必须根据用户的配置动起来,非常复杂. 所以我们后台设计的关键点就在于: 后台接口只验证权限,不看角色. 角色的作用其实只是用来管理分配权限的,真正的验证只验证权限 ,而不去管你是否是那种角色.体现在代码上就是接口上注解为
基于RBAC的软件仓库安全管理模型研究
通过深入分析当前典型软件仓库应用框架及其安全性的不足,并结合基于角色的访问控制(Role-Based Access Control,RBAC)模型的特点,提出了一种基于RBAC的软件仓库安全管理模型,并对该模型控制下的软件仓库数据库实现进行设计。实践证明,将访问控制模型结合实际应用于软件仓库管理过程中,能够较好的实现对不同级别用户软件下载安装进行有效的权限控制,进一步提高软件管理平台的安全性。
Java健康档案管理系统源码.zip
SpringBoot2.X VUE2.6 Antd1.7.2 MyBatisPlus Shiro1.5.0 Java1.8 管理系统 JVM 权限设计 可作为毕业设计和快速开发 健康管理系统 项目所用技术 技术点 描述 备注 SpringBoot2.X 先进的Spring集成框架 集成了最新版 VUE2.6 前端交互框架 Antd1.7.2 阿里出品的前端UI框架 ANTD 阿里出品的图表框架 好用且好看 MyBatisPlus 基于MyBatis封装的ORM框架 方便查询 Shiro1.5.0 经典而好用的权限框架 Java1.8 最常用的Java版本 使用了Java8新特性 RBAC权限模型 纯动态的菜单权限设计,可控制权限到按钮级别 纯动态的菜单权限设计 项目特有优势 清晰的注释,每个方法,类,字段,都具备中文注释。 部署方便,作者编写了一键启动的脚本,可以让Java后端完美运行在主流服务器上。 代码符合行业规范,变量,类,命名简洁优雅。 应用多种市面上的先进技术,方便学习和开发。 具备完整的项目文档和技术文档,方便二次开发。 具备前后端代码生成器,一键生成VUE以及Jav
基于springboot+mybatis+shiro+vue的前后端分离汽车租赁管理系统,适合个人开发学习,毕业设计,课程设计
基于springboot+mybatis+shiro+vue的前后端分离汽车租赁管理系统,适合个人开发学习,毕业设计,课程设计等,项目经过测试,可完美运行! 功能模块包含以下几部分: 用户管理 角色管理 权限菜单管理 汽车管理 订单管理 RBAC权限设计 实现细粒度权限控制方案,精确到页面、按钮权限级别 基于springboot+mybatis+shiro+vue的前后端分离汽车租赁管理系统,适合个人开发学习,毕业设计,课程设计等,项目经过测试,可完美运行! 基于springboot+mybatis+shiro+vue的前后端分离汽车租赁管理系统,适合个人开发学习,毕业设计,课程设计等,项目经过测试,可完美运行! 基于springboot+mybatis+shiro+vue的前后端分离汽车租赁管理系统,适合个人开发学习,毕业设计,课程设计等,项目经过测试,可完美运行! 基于springboot+mybatis+shiro+vue的前后端分离汽车租赁管理系统,适合个人开发学习,毕业设计,课程设计等,项目经过测试,可完美运行! 基于springboot+mybatis+shi
Spring Boot-Shiro-Vue 提供一套基于SpringBoot-shiro-vue的权限管理思路.
Spring Boot-Shiro-Vue 提供一套基于SpringBoot-shiro-vue的权限管理思路. 前后端都加以控制,到按钮/接口级别权限 DEMO 测试地址 admin/123456 管理员身份登录,可以新增用户,角色. 角色可以分配权限 控制菜单是否显示,新增/删除按钮是否显示 更新记录 v2.0.0 2021.05.09 支持一个用户多个角色 使用token作为登录凭证,不使用session,避免跨域问题 使用自定义注解+aop 替代shiro的功能,简化了配置,增强了可拓展性 设计思路 核心 每个登录用户拥有各自的N条权限,比如 文章:查看/编辑/发布/删除 后端 基于 RBAC新解 . 通常我们的权限设计都是 用户--角色--权限 ,其中角色是我们写代码的人没法控制的,它可以有多条权限,每个用户又可以设计为拥有多个角色.因此如果从角色着手进行权限验证,系统都必须根据用户的配置动起来,非常复杂. 所以我们后台设计的关键点就在于: 后台接口只验证权限,不看角色. 角色的作用其实只是用来管理分配权限的,真正的验证只验证权限 ,而不去管你是否是那种角
Java EE

67,512

社区成员

225,881

社区内容

发帖
与我相关
我的任务
社区描述
J2EE只是Java企业应用。我们需要一个跨J2SE/WEB/EJB的微容器,保护我们的业务核心组件(中间件),以延续它的生命力,而不是依赖J2SE/J2EE版本。
社区管理员
  • Java EE
加入社区
  • 近7日
  • 近30日
  • 至今

加载中

查看更多榜单
社区公告
暂无公告

试试用AI创作助手写篇文章吧

+ 用AI写文章