权限管理系统中功能权限&数据权限以及权限模块的实现

一 权限的概述

1.1  权限的概述

我们一般说权限的时候是在说功能权限和数据权限

功能权限指用户登陆系统后能看到什么模块,能看到哪些页面

而数据权限指的是用户在某个模块里能看到几条数据,能看到哪些数据

1.2  功能权限

在企业系统中,通过配置用户的功能权限可以解决不同的人分管不同业务的需求,基于RBAC模型,RBAC(Role Based Access Control)模型,它的中文是基于角色的访问控制,主要是将功能组合成角色,再将角色分配给用户,也就是说角色是功能的合集。

1.2.1 为何要基于RBAC

企业A一共有12个功能,需要创建100个用户,这些用户中有管财务的、有管人事的、有管销售的等等。如果不引入RBAC模型,我们需要每创建一个用户就要分配一次功能,至少(每个用户只有一个功能)操作100次,如果人数增加到1000甚至10000,并且一个用户可能会有多个功能的时候,操作会非常繁琐,如图:
权限管理系统中功能权限&数据权限以及权限模块的实现_第1张图片

经过多次操作发现:分配给某些人的功能都是相同的,比如分配给A、B等10个用户的功能都是客户管理、订单管理及供应商管理这几个模块,那是不是可以把这几个功能模块打成一个包整体分给需要的用户呢?

这个包就叫做角色。由于角色和功能的对应关系相对固定,给用户分配权限的时候只分配角色即可。

权限管理系统中功能权限&数据权限以及权限模块的实现_第2张图片

总结:

1. 解耦用户和功能,降低操作错误率;

2. 降低功能权限分配的繁琐程度。

权限管理系统中功能权限&数据权限以及权限模块的实现_第3张图片

1.2.2 功能粒度

功能的粒度从粗到细一般分为模块级->页面级->接口级(接口级的功能权限指的是哪个角色能调用哪些接口)。

从后台角度:为了系统安全,代码肯定都会实现到接口级。那我们做粒度选择的意义是什么?当然是为用户降本增效。只是粒度越粗,用户操作越简单,灵活性却越低

1.2.3 用户的优先级

我们常用的优先级顺序是查看详情>查看列表>增加、删除、编辑、其他操作按钮

1.3  数据权限

数据权限解决的是用户能看到多少数据量和什么数据的问题,例如A和B两个用户都能看到销售模块,但A能看到320条数据,B只能看到100条数据,且A能看到的320条数据中包含着B能看到的100条数据,这些都是由数据权限决定的。

1.3.1 数据权限和什么有关系

数据权限一般和企业的组织架构相关,而组织架构分为树状和扁平状的(还有更复杂组织架构,此处暂不做说明)

权限管理系统中功能权限&数据权限以及权限模块的实现_第4张图片

数据权限主要和组织架构有关,组织架构中树状架构较为复杂,需要统一或者分模块的定义层级间数据共享问题。

数据权限定义过程中如果出现同一结点下的【用户间层级问题(上下级)】需要回到功能权限的【角色定义】去解决。(???不明白其何意)

https://blog.csdn.net/weixin_42524883/article/details/112639969?utm_medium=distribute.pc_relevant.none-task-blog-baidujs_title-1&spm=1001.2101.3001.4242

二  数据权限的操作步骤

2.1 思想

数据权限的控制是通过部门的菜单展示来实现的。

2.2  用到数据权限的地方

1.用户添加时候,选择部门的下拉框

权限管理系统中功能权限&数据权限以及权限模块的实现_第5张图片

2 部门管理的列表

权限管理系统中功能权限&数据权限以及权限模块的实现_第6张图片

3.角色管理,新增弹框页面,选择部门的树状菜单

权限管理系统中功能权限&数据权限以及权限模块的实现_第7张图片

 2.3 部门管理中部门列表的数据权限

2.3.1 . controller层加载部门列表,加载全部部门信息

权限管理系统中功能权限&数据权限以及权限模块的实现_第8张图片

2.3.2. sevice层逻辑:将当前登录用户所拥有的部门id设置成查询部门列表的where的筛选条件

权限管理系统中功能权限&数据权限以及权限模块的实现_第9张图片

权限管理系统中功能权限&数据权限以及权限模块的实现_第10张图片

2.3.3.定义一个commonDataservice层:获取用户所具有的所有部门ids

1.在commonDataService类中的getCurrUserDataDeptIds()方法,获取当前登录用户的部门数据ids列表

权限管理系统中功能权限&数据权限以及权限模块的实现_第11张图片

2.如果当前登录用户id为超级管理员,则加载全部菜单信息,如下图所示: 

权限管理系统中功能权限&数据权限以及权限模块的实现_第12张图片

3.如果当前登录用户id不为超级管理员,通过用户id,获取sys_role_dpet,sys_user_role这两张表进行关联(已拥有制定部门的权利且未占用),获取该登录用户所属的部门id

权限管理系统中功能权限&数据权限以及权限模块的实现_第13张图片

4.用户已经分配且已经拥有的部门(已拥有制定部门的权利且已占用),作用是选择了一个一级部门,那么一级部门所包含的二级部门,三级部门等也要赋值给用户,也就是说拥有的部门下面还有子部门,那么也具有该部门以及子部门的拥有权,使用递归算法全部遍历获得。如下图所示

 

权限管理系统中功能权限&数据权限以及权限模块的实现_第14张图片

权限管理系统中功能权限&数据权限以及权限模块的实现_第15张图片

权限管理系统中功能权限&数据权限以及权限模块的实现_第16张图片

5.将当前登录用户所拥有的部门id通过逗号进行拼接

权限管理系统中功能权限&数据权限以及权限模块的实现_第17张图片

 2.4 用户新增弹框中的部门列表的数据权限

同样调用的是SysDepartController中的depart/list的方法,逻辑见2.3节

权限管理系统中功能权限&数据权限以及权限模块的实现_第18张图片

权限管理系统中功能权限&数据权限以及权限模块的实现_第19张图片

 2.5 角色管理中新增弹框中的部门列表的数据权限

同样调用的是SysDepartController中的depart/list的方法,逻辑见2.3节

权限管理系统中功能权限&数据权限以及权限模块的实现_第20张图片

 

权限管理系统中功能权限&数据权限以及权限模块的实现_第21张图片

2.6 操作案例

例如用户debug用户的角色为操作权限角色,分配部门为开发一部下面的测试部门

权限管理系统中功能权限&数据权限以及权限模块的实现_第22张图片

 

2.使用超级管理员,给操作权限角色分配数据权限,这里选择新分配一个开发二部下面的测试部,如下图所示:

权限管理系统中功能权限&数据权限以及权限模块的实现_第23张图片

3.使用debug用户登录查询

权限管理系统中功能权限&数据权限以及权限模块的实现_第24张图片

 

 

 

你可能感兴趣的:(shiro安全框架)