权限控制之角色
在阐述完若依框架中的菜单后,我们来看一下若依系统中的角色是如何设计的。
前端
在前端页面上,系统管理->角色管理中,我们可以看到其角色管理的主页面:
点击新增,我们来看一下一个角色需要配置什么信息:
除名称外,另外两个比较值得关注的,一个是菜单权限,一个是权限字符,我们分别来看。
权限字符
权限字符,我们展开label前面的提示信息:
控制器中定义的权限字符,如@PreAuthorize(@ss.hasRole("admin"))
可见,权限字符是可以做到后端接口权限控制的。
对于其中的PreAuthorize注解,我们稍后展开来讲。
菜单权限
这个也很好理解,就是该角色拥有查看哪些目录、菜单以及按钮的权限。
角色分配
我们再来看一下若依系统中是如何给用户分配角色的。
用户管理部分分配角色
可以在用户管理版块给用户分配角色,并且该处可以给一个用户分配多个角色。如下图:
角色管理部分分配用户
如下图所示,点击某个角色后面的更多按钮,在下拉框中点击“分配用户”,在分配用户界面去多选用户批量给一个角色分配用户。
经过测试,两个版块的操作数据是互通的。
PreAuthorize
接下来,我们阐述一下Spring-Security中的注解PreAuthorize。
该方法是在方法调用前进行权限检查。
比如,我们找到若依系统中的一个样例:
/**
* 查询代码生成列表
*/
@PreAuthorize("@ss.hasPermi('tool:gen:list')")
@GetMapping("/list")
public TableDataInfo genList(GenTable genTable)
{
startPage();
List<GenTable> list = genTableService.selectGenTableList(genTable);
return getDataTable(list);
}
我们可以点击查看hasPermi
方法,查看其执行逻辑:
/**
* RuoYi首创 自定义权限实现,ss取自SpringSecurity首字母
*
* @author ruoyi
*/
@Service("ss")
public class PermissionService
{
/**
* 验证用户是否具备某权限
*
* @param permission 权限字符串
* @return 用户是否具备某权限
*/
public boolean hasPermi(String permission)
{
if (StringUtils.isEmpty(permission))
{
return false;
}
LoginUser loginUser = SecurityUtils.getLoginUser();
if (StringUtils.isNull(loginUser) || CollectionUtils.isEmpty(loginUser.getPermissions()))
{
return false;
}
return hasPermissions(loginUser.getPermissions(), permission);
}
通俗的说,hasPermi
就是判断当前登录用户是否拥有某个权限,有则返回true,无此权限则返回false。
角色表设计
若依系统中的角色表为sys_role,我们来大致看一下其中的字段设计: