论坛首页 Java企业应用论坛

系统权限模块设计(ps:有图有真相!)

浏览 16950 次
精华帖 (0) :: 良好帖 (0) :: 新手帖 (0) :: 隐藏帖 (1)
作者 正文
   发表时间:2011-01-22   最后修改:2011-01-27
    在百度百科里查到了权限管理系统的定义:
引用
权限管理,一般指根据系统设置的安全规则或者安全策略,用户可以访问而且只能访问自己被授权的资源,不多不少。权限管理几乎出现在任何系统里面,只要有用户和密码的系统。

    任何一个系统都有对应的权限管理模块,比较粗糙的系统是在开发的时候就定义了哪些类型的用户拥有某些权限,在开发过程中就把权限给定死了;有的则是通过模糊匹配url来进行权限的控制,但是这些日后维护起来会比较麻烦,可能还有其他很多种方式来进行权限的管理,但是不管通过何种方式,其目的都是为了能够安全、灵活、方便的操作,而且还不能影响系统性能。

    以下是我自己开发的后台管理系统的权限模块,分享一下我设计的权限模块的开发思路:
    后台管理系统是基于Spring + struts2.0 + hibernate + Ext 3.2.1架构开发的,因为前台主要是以Ext为主,所以权限模块也是在围绕Ext树进行设计的。使用Ext开发过的同学都知道Ext.tree.TreePanel的节点是由Ext.tree.TreeNode定义的,其中Ext.tree.TreeNode中有个href属性,接下来的权限控制就是围绕这个href进行控制的。
    先来看看数据模型:

从模型中可以看到权限表引用了菜单管理这张表,扩展这张权限表的目的是为了更灵活的对权限进行管理,而不单单只是围绕菜单树,然后通过权限关联表进行角色权限的维护。

    在找百度百科看看权限管理的分类
引用
权限管理分类
  从控制力度来看,可以将权限管理分为两大类:   
1,功能级权限管理;   
2,数据级权限管理。   
    从控制方向来看,也可以将权限管理分为两大类:   
1,从系统获取数据,比如查询订单、查询客户资料;   
2,向系统提交数据,比如删除订单、修改客户资料。


    接下来进入权限模块的开发阶段,系统是根据角色进行权限控制的,在用户登入系统的时候,获取用户的角色信息,然后获取角色的权限信息也就是URI列表保存在session中(ps:权限信息不一定保存在session中,也可以借助第三方存储,比如:memcache),通过过滤器来进行访问控制(判断请求的URI是否在列表当中)。当然前台js也要保存这些URI,这样就可以同时控制界面元素是否展现了。

过滤器控制:
List<String> roleAccessList = (List<String>) session.getAttribute(sessionKey);
		String URL = req.getServletPath();
		if(checkNoFilterType(URL) || checkNoFilterURI(URL) || roleAccessList.contains(URL)) {
			//如果是免过滤地址或免过滤类型则通过
			chain.doFilter(request, response);
		} else {
			
			String ajaxTag = req.getHeader("Request-By");//Ext
			resp.setCharacterEncoding("UTF-8");
			resp.setContentType("text/html;charset=utf-8");
			PrintWriter out = resp.getWriter();
			if(ajaxTag == null || !ajaxTag.trim().equalsIgnoreCase("Ext")){
				//resp.sendRedirect(this.redirectUri);
				out.print("权限受限!");
			}else{
				Map<String, Object> result = new HashMap<String, Object>();
				result.put("success", false);
				result.put("noPermission",true);
				result.put("redirectUri", this.redirectUri);
				out.print(Json.object2Json(result));
			}
			
			out.flush();
			out.close();
		}


前台js控制:
P_roleAccessUris = '<%=session.getAttribute("userRoleAccessList") != null ? session.getAttribute("userRoleAccessList").toString() : ""%>';//可访问权限uris
	
	/**
	* 判断用户是否有uri访问权限
	* @param url
	* @return boolean
	*/
	function Pfn_enableAccess(url){
		url = url.substr(P_basePath.length);
		if(P_roleAccessUris.indexOf(url) != -1){
			return true;
		}
		return false;
	}
	
	// Default headers to pass in every request
	Ext.Ajax.defaultHeaders = {
	    'Request-By': 'Ext'	//标识ajax请求
	};
	
	// ajax回调函数处理系统退出      
	Ext.Ajax.on('requestcomplete',checkStatus, this);         
	function checkStatus(conn,response,options){
    	var json = Ext.decode(response.responseText);
    	if(typeof json == 'object' 
			&& !json.success ){
			if(json.timeout){
				alert("登入超时,系统将自动跳转到登陆页面,请重新登入!");
				top.window.location.href = P_basePath + json.redirectUri;
				return false;	
			}else if(json.noPermission){
				alert("权限受限!");
				return false;
			}						
		}
	          
	} 


最后贴些图上来看看:

权限管理模块:


接下来看下一普通用户的权限信息及登入界面:
普通用户权限信息(选中为已分配权限):

普通用户登入界面:


补充说明:
有些同学可能没看明白,认为权限粒度太粗,这里我特别说明一下:控制不当单只是用户入口(菜单)的控制,也包括了操作控制(即包含了权限过滤器指定下的所有URL)。完全可以控制到每一个操作。
  • 大小: 18.7 KB
  • 大小: 37.6 KB
  • 大小: 30.7 KB
  • 大小: 22.3 KB
   发表时间:2011-01-24  
CMS?
如果是按url来划分权限,可以考虑正则
0 请登录后投票
   发表时间:2011-01-24  
菜单管理 和权限关联表 似乎没有直接关系呢
为啥加个箭头呢
求解。。。。
0 请登录后投票
   发表时间:2011-01-24  
pk3589 写道
菜单管理 和权限关联表 似乎没有直接关系呢
为啥加个箭头呢
求解。。。。

权限关联表维护了菜单管理和权限表,而权限表属于菜单管理下的子模块,通过权限关联表来对这两个表进行灵活的控制。也就是说,一个菜单对应一个连接,在这个链接下有一些操作功能,权限表就是来管理这些操作功能的。然后由权限关联表来统一维护。
0 请登录后投票
   发表时间:2011-01-24  
谢谢分享,让我茅塞顿开啊
0 请登录后投票
   发表时间:2011-01-24  
两个地方不明白,第一个有人提出了,关联表跟菜单,权限表是什么关系?
第二个是关联表有必要加个ID吗?
0 请登录后投票
   发表时间:2011-01-24  
楼主写着东为了让人赞扬获取快感和自信还是要让人批判从而提高自己呢?
0 请登录后投票
   发表时间:2011-01-24  
不太安全,有漏洞。 
0 请登录后投票
   发表时间:2011-01-24  
wtotal 写道
不太安全,有漏洞。 

还望指教,不知有何漏洞?
0 请登录后投票
   发表时间:2011-01-24  
这个权限中的URL能把系统中的URL完全包含吗?还有对以查询字符串结尾的URL该如何处理?
0 请登录后投票
论坛首页 Java企业应用版

跳转论坛:
Global site tag (gtag.js) - Google Analytics