基于权限的访问控制(Role Based Access Control),由于需要把权限抽象出来,做成taglib,所以最近看了一点理论,主要有:
专注于为中小企业提供网站建设、成都网站制作服务,电脑端+手机端+微信端的三站合一,更高效的管理,为中小企业法库免费做网站提供优质的服务。我们立足成都,凝聚了一批互联网行业人才,有力地推动了成百上千家企业的稳健成长,帮助中小企业通过网站建设实现规模扩充和转变。
;thread=10122
;thread=7309
及其他jdon里的一些文章。
具体实现的时候,大家作的都不太一样,而且对这个理论的认同度好像也有差异。
我现在疑惑的是:
1 现在有没有一套经过实践证明好用的基于java语言的RBAC实现,可以直接使用的。
2 sun的jaas是不是基于RBAC思想设计的,具体实现时,它对这样的授权(比如谁能添加,谁能修改什么栏目的什么记录,)支不支持,如果支持,sun的jaas在这方面有没有参考实现,忘了在什么地方看的,说chinaxp论坛用的是jaas来实现权限管理,不知是不是这样。
3 jive3的权限管理是不是基于RBAC的,因为我在看帮助时,看到了“role-based administration",而且在管理jive的过程中,我感觉确实和自己了解的RBAC理论停相符的,当然,我对RBAC的理解可能有偏差。jive3的权限管理能在多大程度上抽象出
禁止的权限规则集
如果权限规则不是一个集合,因为只有与用户或角色关联的权限规则才允许访问,所以用户的权限是一个闭合区域,不想用户拥有某些权限时,只要不进行关联授权即可。如果权限规则使用通配符变成一个集合,那么用户的权限将变成一个开放区域,比如上面的论坛文章列表,假设论坛文章按照“版面/作者/文章标题”作为资源命名,那么将(阅览, 版面/作者/*)授权给某用户时,该用户允许阅览该版面下该作者的所有文章,假设现在有一种管理需求要求某用户可以阅览某版面下某作者除某几种文章标题外的所有文章,这样单纯的允许授权难以实现这个管理需求。
法律有许可和禁止的区别,那么权限管理也应该有许可和禁止两种授权,上面的不允许访问某几种文章标题的文章就是一种禁止规则,如果将这种禁止规则合并到允许规则中,就可以解决上面的问题。这就相当于画了一个大圈表示可以访问的区域,但是大圈里面的某些小圈是不可以访问的区域。这又带来一个问题,假设允许的和禁止的规则重叠,以谁为准?这个没有一个准则,不过基于安全性考虑,应该采用禁止优先,只要是禁止的集合,就算有允许的集合重叠,也不允许访问。
提高权限验证效率
使用关系数据库存储权限数据时,权限数据表更新和查询的操作频繁度通常小于1:9,也就是这是一个典型的OLAP系统,以查询为主,所以可以采用OLAP的优化策略进行优化,但是大多数优化策略都不具备实时性,如果兼顾实时性和效率要求,可以单独创建一个内存数据库,这个内存数据库只存放用户、资源、操作关联关系,也就是(用户, 操作, 资源)集合,如果用户通过角色关联到权限规则,那么将这些用户到权限规则的间接传递关系转变成直接传递关系保存。这个内存数据库就相当于权限数据的缓存,可以保证很高的查询效率,并且该内存数据库与权限管理保持同步,可以保证实时性。
安装和配置
附件是权限管理和权限验证的实现,也有用户管理的演示,不过用户管理很粗糙,实际使用需要做进一步开发,之所以没有开发相对完善的用户管理,是因为现在已有的系统通常都有完善的用户管理。
下面简单讲解安装配置,只在Tomcat5523+MySQL5037+jre1.5.0_12下测试过。
1. 下载rbac+profile.rar,解压,得到一系列文件,文件用途如下:
profile.admin.src.v1.jar 用户管理源代码
rbac.admin.src.v2.jar 权限管理源代码
rbac.auth.src.v2.jar 权限验证源代码
profile.v1.MySQL5.sql 用户管理用户数据表
profile.war 用户管理WEB系统
rbac.v2.MySQL5.sql 权限管理数据表
rbac.war 权限管理WEB系统
2. 创建数据库profile,使用UTF-8导入profile.v1.MySQL5.sql到profile,使用下面SQL创建用户root/1:
Insert into T_PROFILE(USER_ID, USER_NAME, USER_PASSWORD) values(‘1’, ‘root’, sha1(‘1’));
如果创建过先前SSO单点登陆的用户数据表,可以跳过这步,使用先前的数据表。
3. 创建数据库rbac,使用UTF-8导入rbac.v2.MySQL5.sql到rbac。
4. 拷贝profile.war和rbac.war到Tomcat5523/webapps/,会自动生成profile和rbac目录。
5. 参考配置单点登陆,因为权限管理和用户管理需要依赖单点登陆。
6. 下载相关依赖Java库:
下载cglib最新版本,拷贝asm.jar和cglib-2.1.3.jar到Tomcat/shared/lib。
下载c3p0最新版本,拷贝c3p0-0.9.1.1.jar到Tomcat/shared/lib。
下载mysql-connector最新版本,拷贝mysql-connector-java-5.0.4-bin.jar到Tomcat/shared/lib。
下载dwr最新版本,拷贝dwr2.0.1.jar到Tomcat/shared/lib。
7. 打开profile/ WEB-INF/classes/的rbac_auth.properties、sso_agent.properties、profile_admin.properties。
# 修改为合适配置
# rbac_auth.properties
rbac.auth.db.ds.c3p0.url=jdbc:mysql://localhost/rbac
rbac.auth.db.ds.c3p0.user=root
rbac.auth.db.ds.c3p0.password=1
# sso_agent.properties
sso.passport.login=
sso.passport.logout=
# profile_admin.properties
profile.admin.db.ds.c3p0.url=jdbc:mysql://localhost/profile
profile.admin.db.ds.c3p0.user=root
profile.admin.db.ds.c3p0.password=1
8. 打开rbac/WEB-INF/classes/下的rbac_admin.properties、rbac_auth.properties、sso_agent.properties。
# 修改为合适配置
# rbac_auth.properties
rbac.auth.db.ds.c3p0.url=jdbc:mysql://localhost/rbac
rbac.auth.db.ds.c3p0.user=root
rbac.auth.db.ds.c3p0.password=1
# sso_agent.properties
sso.passport.login=
sso.passport.logout=
# rbac_admin.properties
rbac.admin.profile.explorer=?
rbac.admin.profile.profile=?
rbac.admin.db.rbac.ds.c3p0.url=jdbc:mysql://localhost/rbac
rbac.admin.db.rbac.ds.c3p0.user=root
rbac.admin.db.rbac.ds.c3p0.password=1
java低代码开发平台,能快速开发,节省人工成本,提高开发效率。
国内快速开发平台如目前流行的低代码快速开发平台(如有天翎 ?,普元,天纵,等厂家)myApps微服务架构,多租户模式,门户集成,单点登录,移动端(企业微信,钉钉,APP),功能模板都是可视化配置(如表单引擎,视图引擎,流程引擎,报表引擎,像操作word或Excel,扩展性强,提供源代码,支持国产数据库,操作系统((瀚高,达梦,统信,中标麒麟等)如天翎java平台后端核心框架:Spring MVC+SpringBoot2.X,视图框架:Spring MVC,缓存框架:Ehcache+Redis,持久层框架:Hibernate+JDBC+File System Serilizable,安全框架:Spring security+antisamyt等
设个等级啊 就是角色表里设个字段 代表等级
或者像楼上说的 用rbac 这是一套很成熟的权限管理模型了
售后响应及时
7×24小时客服热线数据备份
更安全、更高效、更稳定价格公道精准
项目经理精准报价不弄虚作假合作无风险
重合同讲信誉,无效全额退款