当前位置: 移动技术网 > IT编程>网页制作>CSS > JeeSite中同是管理员确不能修改角色的秘密

JeeSite中同是管理员确不能修改角色的秘密

2017年12月18日  | 移动技术网IT编程  | 我要评论

源码位置:

com.thinkgem.jeesite.modules.sys.entity.User.java

注释部分:

说明:

isAdmin判断只有 id是 1的系统用户才是管理员。

判断是否管理员所在模板文件位置:

/src/main/webapp/WEB-INF/views/modules/sys/roleList.jsp

其中判断显示 “修改”按钮部分:

其中, shiro权限判定sys:role:edit ,在菜单配置部分设置:

所以,菜单配置功能,

一是确定要显示的菜单项,以及菜单项对应的 URL (至于 URL是否作授权验证,需进一步分析)

二是增加隐藏项,以增加角色许可标识,在模板显示时做判断是否显示相应按钮,另外就是控制器方法前做 Shiro权限验证:

Shiro判断判断当前用户是否拥用相应的许可如,sys:role:view,

而这些许可是在授权时加载的:

	/**
	 * 获取权限授权信息,如果缓存中存在,则直接从缓存中获取,否则就重新获取, 登录成功后调用
	 */
	protected AuthorizationInfo getAuthorizationInfo(PrincipalCollection principals) {
		if (principals == null) {
            return null;
        }
		
        AuthorizationInfo info = null;

        //info = (AuthorizationInfo)UserUtils.getCache(UserUtils.CACHE_AUTH_INFO);

        if (info == null) {
            info = doGetAuthorizationInfo(principals);
            if (info != null) {
            	UserUtils.putCache(UserUtils.CACHE_AUTH_INFO, info);
            }
        }

        return info;
	}

	/**
	 * 授权查询回调函数, 进行鉴权但缓存中无用户的授权信息时调用
	 */
	@Override
	protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
		Principal principal = (Principal) getAvailablePrincipal(principals);
		// 获取当前已登录的用户
		if (!Global.TRUE.equals(Global.getConfig("user.multiAccountLogin"))){
			Collection sessions = getSystemService().getSessionDao().getActiveSessions(true, principal, UserUtils.getSession());
			if (sessions.size() > 0){
				// 如果是登录进来的,则踢出已在线用户
				if (UserUtils.getSubject().isAuthenticated()){
					for (Session session : sessions){
						getSystemService().getSessionDao().delete(session);
					}
				}
				// 记住我进来的,并且当前用户已登录,则退出当前用户提示信息。
				else{
					UserUtils.getSubject().logout();
					throw new AuthenticationException("msg:账号已在其它地方登录,请重新登录。");
				}
			}
		}
		User user = getSystemService().getUserByLoginName(principal.getLoginName());
		if (user != null) {
			SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
			List list = UserUtils.getMenuList();
			for (Menu menu : list){
				if (StringUtils.isNotBlank(menu.getPermission())){
					// 添加基于Permission的权限信息
					for (String permission : StringUtils.split(menu.getPermission(),",")){
						info.addStringPermission(permission);
					}
				}
			}
			// 添加用户权限
			info.addStringPermission("user");
			// 添加用户角色信息
			for (Role role : user.getRoleList()){
				info.addRole(role.getEnname());
			}
			// 更新登录IP和时间
			getSystemService().updateUserLoginInfo(user);
			// 记录登录日志
			LogUtils.saveLog(Servlets.getRequest(), "系统登录");
			return info;
		} else {
			return null;
		}
	}

以上代码中 UserUtils.getMenuList();方法如下: 
	/**
	 * 获取当前用户授权菜单
	 * @return
	 */
	public static List
getMenuList(){ @SuppressWarnings("unchecked") List menuList = (List )getCache(CACHE_MENU_LIST); if (menuList == null){ User user = getUser(); if (user.isAdmin()){ menuList = menuDao.findAllList(new Menu()); }else{ Menu m = new Menu(); m.setUserId(user.getId()); menuList = menuDao.findByUserId(m); } putCache(CACHE_MENU_LIST, menuList); } return menuList; }
其中,管理员取得所有权限的方法在 Mapper中的位置:

/src/main/resources/mappings/modules/sys/MenuDao.xml

	
		SELECT
			
		FROM sys_menu a
		
		WHERE a.del_flag = #{DEL_FLAG_NORMAL}
		ORDER BY a.sort

其中还有 findByUserId方法 
	
		SELECT DISTINCT
			
		FROM sys_menu a
		LEFT JOIN sys_menu p ON p.id = a.parent_id
		JOIN sys_role_menu rm ON rm.menu_id = a.id
		JOIN sys_role r ON r.id = rm.role_id AND r.useable='1'
		JOIN sys_user_role ur ON ur.role_id = r.id
		JOIN sys_user u ON u.id = ur.user_id AND u.id = #{userId}
		WHERE a.del_flag = #{DEL_FLAG_NORMAL} AND r.del_flag = #{DEL_FLAG_NORMAL} AND u.del_flag = #{DEL_FLAG_NORMAL} 
		ORDER BY a.sort

您可能感兴趣的文章:

如对本文有疑问, 点击进行留言回复!!

相关文章:

验证码:
最近更新的文章
大家感兴趣的文章
移动技术网