RBAC
一、RBAC的作用
在很多系统中,会要求不同的账户对应着不同的角色和权限。如教务管理系统,分为以下几种功能,不同的功能对应着不同的角色
如果要做到登录后根据账户的角色,给出相应的菜单,及规定当前角色只能做出对应其功能的操作(即不能越级访问,如学生不能修改成绩) 的时候,可以使用RBAC来作为一种解决方案。
二、 什么是 RBAC
RBAC(Role-Based Access Control )基于角色的访问控制。
RBAC 认为权限的过程可以抽象概括为:
判断【Who 是否可以对 What 进行 How 的访问操作(Operator)】
Who:权限的拥用者或主体
What:权限针对的对象或资源
How:具体的权限
Operator:操作。表明对 What 的 How 操作。也就是 权限+资源
Role:角色,一定数量的权限的集合。权限分配的单位与载体,目的是隔离用户与权限的逻辑关系
三、RBAC96模型
RBAC96包括了RBAC0~RBAC3四个概念模型
RBAC0、RBAC1、RBAC2、RBAC3四者之间关系
RBAC0:
是RBAC的基石,一般普通业务用RABC0已足够。
用户和角色是独立的,将角色赋给用户这个过程称为集合会话Session。角色又决定了当前这个用户有哪些权限。这个权限又决定了这个角色有哪些许可,能操作哪些对象
RBAC1:
把RBAC的角色Role分层而产生的模型
(RBAC1引入角色可以被继承的概念,有了继承就有了上下级的包含关系。如普通员工的权限所有角色都有,部门经理的权限包含普通员工所有的权限,因此可以让角色部门经理继承自角色普通员工)
RBAC2:
RBAC引入动态(静态)职责分离产生的模型。
RBAC2引入了职责分离的概念,即有一些特殊的角色不能分配给同一个用户。
RBAC3:
把RBAC1和RBAC2整合到一起产生的模型
四、实例说明
以上述的教务管理系统为例
1)实现用户登录功能
2)使用 RBAC0 模型管理系统权限
3)对系统的菜单以及菜单中的链接进行管理。
4)用户登录后首页根据用户角色显示该角色所对应的菜单
5)禁止用户越级访问
数据库设计
角色表
用户表
菜单表
将菜单标上序号,如图
编号1~ 4是一级菜单,二编号5~16则是二级菜单
给该表填充数据
角色_菜单表
根据菜单表可以看出,各角色对应的菜单如下
因此,角色_菜单表填充数据如下
实体类
User
//用户名private String username;//密码private String pwd;//角色idprivate Integer roleid;//角色private Role role;//菜单private List<Menu> list;
Role
private Integer roleid;private String rolename;
Menu
//菜单id
private Integer menuid;
//菜单名
private String menuname;
//对应的url
private String menuurl;
//父id
private Integer pid;
//对应的二级菜单
private List<Menu> list;
Funs
private Integer funid;
private String funname;
private String funurl;
private Integer menuid;
Mapper层
- RoleMapper
public interface RoleMapper {//查询Role信息public Role selectRole(int roleid);
}<select id="selectRole" resultType="role">select * from role where roleid=#{0}</select>
- MenuMapper
public interface MenuMapper {//菜单的查询public List<Menu> selectMenu(int roleid,int pid);
}<!--查询角色id为arg0且pid为arg1的所有菜单select menuid from role_menu where roleid = #{arg0}:查到的是改角色下所有的菜单id--><select id="selectMenu" resultType="menu">select * from menu where menuid in (select menuid from role_menu where roleid = #{0} ) and pid = #{1};</select>UserMapper
public interface UserMapper {User findByUserName(String username);
}<select id="findByUserName" resultType="user">select * from user where username=#{0};
</select>
Service层
@Service
public class MenuService {@Autowiredprivate MenuMapper menuMapper;public List<Menu> findMenus(int roleid){//获得该角色所有的一级菜单List<Menu> list = menuMapper.selectMenu(roleid, 0);for (Menu menu:list ){//获得一级菜单的idInteger menuid=menu.getMenuid();//获得该角色下指定一级菜单下对应的二级菜单List<Menu> list2 = menuMapper.selectMenu(roleid, menuid);//将二级菜单放入指定的一级菜单中menu.setList(list2);}return list;}
}
@Service
public class UserService {@Resourceprivate UserMapper userMapper;@Resourceprivate RoleMapper roleMapper;@Resourceprivate MenuService menuService;public User login(User user){String username = user.getUsername();if (username!=null&&!"".equals(username)){//根据用户名查询对象User user1 = userMapper.findByUserName(username);//若密码正确if (user1.getPwd().equals(user.getPwd())){//根据角色查询菜单List<Menu> menus = menuService.findMenus(user1.getRoleid());//把菜单列表放入User对象中user1.setList(menus);//根据roleid查询角色Role role = roleMapper.selectRole(user1.getRoleid());//将role保存中user对象中user1.setRole(role);return user1;}return null;}return null;}
}
Controller层
@Controller
public class UserController {@Resourceprivate UserService userService;@RequestMapping("userLogin")public String userLogin(User user, HttpServletRequest req){User login = userService.login(user);if (login!=null){req.setAttribute("msg","登录成功");System.out.println(login.getList());req.getSession().setAttribute("list",login.getList());//过滤器req.getSession().setAttribute("user",login);return "success1";}else {req.setAttribute("msg","登录失败");return "error";}}
}
登录测试
- 管理员登录
- 教师登录
- 学生登录
用户登录过滤器
为了避免用户未登录就访问登录成功的页面,我们添加用户登录过滤器
public class UserLoginFilter implements Filter {@Overridepublic void init(FilterConfig filterConfig) throws ServletException {}@Overridepublic void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain chain) throws IOException, ServletException {//获取用户访问的 URIHttpServletRequest req=(HttpServletRequest) servletRequest;String uri = req.getRequestURI();//判断当前访问的 URI 是否是用户登录资源,如果是 则放行if(uri.indexOf("login") != -1 || uri.indexOf("userLogin") != -1){chain.doFilter(servletRequest, servletResponse);}else {//用户是否登录的判断HttpSession session = req.getSession();User user = (User)session.getAttribute("user");if(user != null && user.getUsername().length() > 0){chain.doFilter(servletRequest, servletResponse);}else{req.setAttribute("msg", "请登录");req.getRequestDispatcher("/login").forward(servletRequest , servletResponse);}}}@Overridepublic void destroy() {}
}
配置web.xml
<!--配置登录过滤器-->
<filter><filter-name>UserLoginFilter</filter-name><filter-class>com.shsxt.filter.UserLoginFilter</filter-class>
</filter>
<filter-mapping><filter-name>UserLoginFilter</filter-name><url-pattern>/*</url-pattern>
</filter-mapping>
权限管理
越级访问
学生登录后,在地址栏填写修改成绩的路径,便可访问该页面
为了避免这种情况,下面开始进行权限管理
补充funs表中的数据
修改 User 实体类添加与 Funs 的关联
//用户名
private String username;
//密码
private String pwd;
//角色id
private Integer roleid;
//角色
private Role role;
//菜单
private List<Menu> list;
//权限
private List<Funs> funs = new ArrayList<>();
添加FunsMapper
public interface FunsMapper {List<Funs> selectbyRoleId(Integer roleid);
}<select id="selectbyRoleId" resultType="funs">select * from funs where menuid in (select menuid from role_menu where roleid = #{0});</select>
修改UserService
@Resource
private UserMapper userMapper;
@Resource
private RoleMapper roleMapper;
@Resource
private MenuService menuService;@Resource
private FunsMapper funsMapper;public User login(User user){String username = user.getUsername();if (username!=null&&!"".equals(username)){//根据用户名查询对象User user1 = userMapper.findByUserName(username);//若密码正确if (user1.getPwd().equals(user.getPwd())){//根据角色查询菜单List<Menu> menus = menuService.findMenus(user1.getRoleid());//把菜单列表放入User对象中user1.setList(menus);//根据roleid查询角色Role role = roleMapper.selectRole(user1.getRoleid());//将role保存中user对象中user1.setRole(role);//根据roldid查询权限List<Funs> funs = funsMapper.selectbyRoleId(user1.getRoleid());user1.setFuns(funs);return user1;}return null;}return null;
}
创建权限过滤器
public class SafeFilter implements Filter {@Overridepublic void init(FilterConfig filterConfig) throws ServletException {}@Overridepublic void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain chain) throws IOException, ServletException {HttpServletRequest req = (HttpServletRequest) servletRequest;HttpServletResponse resp = (HttpServletResponse) servletResponse;String uri = req.getRequestURI();//对静态资源做放行处理if(uri.endsWith(".js") || uri.endsWith(".css")|| uri.endsWith(".gif")){chain.doFilter(servletRequest, servletResponse);}else {//对用户登录资源做放行if(uri.indexOf("login") != -1 || uri.indexOf("userLogin") != -1){chain.doFilter(servletRequest, servletResponse);}else {HttpSession session = req.getSession();User user = (User)session.getAttribute("user");List<Funs> funs = user.getFuns();System.out.println(funs);//权限boolean flag = false;for(Funs f:funs){//判断当前访问的 URI 是否在功能数据中包含if(uri.indexOf(f.getFunurl()) != -1){flag = true;break;}}//根据flag的值来进行跳转if (flag){chain.doFilter(servletRequest, servletResponse);}else {resp.sendRedirect("roleerr");}}}}@Overridepublic void destroy() {}
}
配置权限过滤器
<!--权限过滤器-->
<filter><filter-name>SafeFilter</filter-name><filter-class>com.shsxt.filter.SafeFilter</filter-class>
</filter>
<filter-mapping><filter-name>SafeFilter</filter-name><url-pattern>/*</url-pattern>
</filter-mapping>
登录学生账户,访问修改成绩页面
hain.doFilter(servletRequest, servletResponse);
}else {
resp.sendRedirect(“roleerr”);
}
}
}}@Override
public void destroy() {}
}
配置权限过滤器```xml
<!--权限过滤器-->
<filter><filter-name>SafeFilter</filter-name><filter-class>com.shsxt.filter.SafeFilter</filter-class>
</filter>
<filter-mapping><filter-name>SafeFilter</filter-name><url-pattern>/*</url-pattern>
</filter-mapping>
登录学生账户,访问修改成绩页面,则会跳转至角色错误页面
五、代码及文档
文档、数据库及代码下载
提取码:gam6
