权限系统设计

一、概念

权限管理就是管理用户对于资源的操作，CRM（客户管理软件）基于角色操作权限来实现的，就是用户通过角色和权限来实现的。

二、数据库

一共涉及5张表

三张主表

user表（用户表）

role表（角色表）

module表（模块表，资源表）

两张中间表

user_role表（user，role中间表）

role_module表（role，module中间表）

--创建用户表
create table users(
--主键
id number(10) primary key,
--用户名
username varchar2(100),
--密码
password varchar2(100),
--地址
address varchar2(100)
);
--创建角色表
create table role(
--主键
id number(10) primary key,
--角色名称
name varchar2(100)
);
--创建模块表
create table module(
--主键
id number(10) primary key,
--模块名称
name varchar2(100),
--模块级别
level_ number(3),
--父模块id
pid number(10),
--模块路径
url varchar2(100)
);
--创建用户角色中间表
create table user_role(
--用户表外键
u_id number(10),
--角色表外键
r_id number(10)
);
--创建角色模块中间表
create table role_module(
--角色表外键
r_id number(10),
--模块表外键
m_id number(10)
);
--往用户表插入数据
insert into users values(1,'zhangsan','123456','郑州');
insert into users values(2,'lisi','123456','郑州');
--往角色表插入数据
insert into role values(1,'普通用户');
insert into role values(2,'管理员');
--往模块表插入数据
insert into module values(1,'系统管理',1,null,null);
insert into module values(2,'订单管理',1,null,null);
insert into module values(3,'用户管理',2,1,'user/list.do');
insert into module values(4,'角色管理',2,1,'role/list.do');
insert into module values(5,'模块管理',2,1,'mod/list.do');
insert into module values(6,'出库单管理',2,2,'ckd/list.do');
insert into module values(7,'入库单管理',2,2,'rkd/list.do');
--为张三用户赋予管理员的角色，为李四赋予普通用户的角色
insert into user_role values(1,2);
insert into user_role values(2,1);
--让管理员可以看到所有的菜单 普通用户只能看到订单管理下所有的菜单
insert into role_module values(2,1);
insert into role_module values(2,2);
insert into role_module values(2,3);
insert into role_module values(2,4);
insert into role_module values(2,5);
insert into role_module values(2,6);
insert into role_module values(2,7);
insert into role_module values(1,2);
insert into role_module values(1,6);
insert into role_module values(1,7);
select * from users;
select * from role;
select * from user_role;
select * from module;
select * from role_module;

三、权限管理的步骤

第一步，用户登陆成功之后，根据用户的id查询出用户所能操作的模块，模块一般包含两级。

sql语句的作用：根据用户id查询用户能操作的模块

 查询出来之后，把用户能操作的模块封装到List中：

第二步，在登陆之后跳转到主界面，用jstl标签库把用户能操作的模块动态的遍历出来

 第三步，登陆校验

1、用户登陆成功之后，把当前用户对象放置到session中

 

2、声明用户登陆的拦截器

package com.aaa.ssm.interceptor;
import com.aaa.ssm.common.Constants;
import com.aaa.ssm.entity.Users;
import org.springframework.web.servlet.handler.HandlerInterceptorAdapter;import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSessionimport java.util.List;
/**
* 用户登录校验拦截器
*/
public class LoginInterceptor extends HandlerInterceptorAdapter {
private List<String> allowUrls;
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler)
throws Exception {
//获取当前请求的路径
String path = request.getServletPath();
//判断当前请求的路径是否在运行直接访问的路径中，如果在直接返回true
if(allowUrls.contains(path)){
return true;
}
//获取Session
HttpSession session = request.getSession();
//获取Session中的用户对象
Users user = (Users)session.getAttribute(Constants.SESSION_USER);
//判断user对象是否为空，如果为空跳转到登录界面
if(user==null){
//跳转到登录界面
response.sendRedirect(request.getContextPath()+"/login.jsp");
return false;
}else{
return true;
}
}
public List<String> getAllowUrls() {
return allowUrls;
}
public void setAllowUrls(List<String> allowUrls) {
this.allowUrls = allowUrls;
}
}

3、在spring mvc主配置文件中声明拦截器

第四步、权限校验

1、用户登陆成功之后把用户能操作的所有的路径信息放置到list中，并把该信息存储到session中

/**
* 查询用户能操作的所有二级模块的命名空间
* @param moules
* @return
*/
public List<String> queryPermitUrls (List<Module> moules){
List<String> strs = new ArrayList<String>();
for(Module oneModule : moules){
List<Module> twoModules = oneModule.getChildren();
for(Module twoModule : twoModules){
String url = twoModule.getUrl();
strs.add(url.substring(0,url.indexOf("/")));
}
}
return strs;
}

2、声明用户权限校验的拦截器

package com.aaa.ssm.interceptor;
import com.aaa.ssm.common.Constants;
import org.springframework.web.servlet.handler.HandlerInterceptorAdapter;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSessionimport java.util.List;
/**
* 用户权限校验拦截器
*/
public class PermitInterceptor extends HandlerInterceptorAdapter {
private List<String> allowUrls;
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler)
throws Exception {
//先获取请求的路径
String path = request.getServletPath();
//判断当前请求的路径是否在运行直接访问的路径中，如果在直接返回true
if(allowUrls.contains(path)){
return true;
}
//判断用户当前的请求，在不在权限范围之内
//可以根据用户id查询出来所有用户能操作的模块的路径，把这些路径放置到List集合中，
//让后再判断该list集合中有没有当前请求的路径，如果有的话 返回true继续访问，否则跳转到权限不足界面
//上面做法的第一个问题：如果在拦截器中每次都查询数据库，前台基本上所有请求都会经过该拦截器，势必响原先
//请求的访问效率。我们可以在用户登录成功之后把用户能操作的模块的信息放置到session中，这样在拦截每次都从
//session中获取数据，速度就快多了。
HttpSession session = request.getSession();
//获取用户能操作的模块的命名空间
List<String> permitNamespaces = (List<String>)session.getAttribute(Constants.PERMIT_URLS);
//判断path是否在permitNamespaces中，如果在证明有权限 返回true 否则返回false 跳转到权限不足的界//获取当前请求的路径命名空间
String namespace = path.substring(1,path.lastIndexOf("/"));
if(permitNamespaces.contains(namespace)){
return true;
}else{
response.sendRedirect(request.getContextPath()+"/error.jsp");
return false;
}
}
public List<String> getAllowUrls() {
return allowUrls;
}
public void setAllowUrls(List<String> allowUrls) {
this.allowUrls = allowUrls;
}
}

3、把拦截器加入到spring mvc 主配置文件中

总结：

动态菜单：

第一个要点：表结构和数据 用户表 角色表 模块表 用户角色中间表 角色模块中间表

第二个要点：用户登录成功之后，先根据的用户id获取用户能操作的一级模块，再循环遍历一级模块，把用户 能操作的二级模块封装到一级模块的children属性中。

第三个要点：jsp界面使用两个c:foreach把用户能操作的菜单动态的输出出来。

登录校验

第一个要点：用户登录成功之后，把当前的用户对象放置到Session中

第二个要点：声明登录校验的拦截器，需要不拦截一些特定的请求，如登录请求。拦截器中获取session，获 取session中的用户对象，如果用户对象不存在，跳转到登录界面。存在，继续访问。

第三个要点：配置拦截器。

权限校验 为了防止没有权限的用户通过其他手段直接请求控制器方法。

第一个要点：用户登录成功之后，把用户能操作的命名空间保存到session中。List.

第二个要点：声明权限校验拦截器。需要不拦截一些特定的请求，如登录请求。获取sesson，获取session的 用户能操作的命名空间，获取用户的当前的请求路径，根据请求路径可以把命名空间截取出来。然后判断用 户当前请求的命名空间在不在session中保存用户可操作的命名空间中。如果在直接访问。不在跳转到权限不 足的界面。