基本权限设计

2021-11-29  本文已影响0人  Real_man

业务上快速迭代,运营后台是必不可少的工具,每天根据业务的实时数据变化,调整业务上的各种策略,动作以适应复杂多变的场景。

但是其中有一个比较重要的点是后台的安全性,有一定的权限控制在其中

一般最基本的权限:

现在权限系统都是RBAC,基于决策的访问控制,默认情况下大家都是普通用户,存在部分超级用户。

但是运营操作的过程中有些无法操作的,要能正确的提示错误信息。

除了操作的权限, 后台中还可能有一些敏感的数据,这些敏感的数据如何控制呢?数据单独申请授权

实现流程

一般有AOP,拦截器的方式,假如采用拦截器的方式。

1、用户页面的请求URL,请求参数全部拿到(包括requestbody)的内容。

2、如果是超级管理员,直接通过。

3、如果是普通管理员,并且是删除和更新操作,那么不是同一个用户提醒没有权限。

4、部分数据页面,单独申请页面授权。

上一篇下一篇

猜你喜欢

热点阅读