聊聊 spring boot 后端大家如何玩权限?

2019-12-13 14:41:24 +08:00
 shazh520

前后端完全分离那就 token 了,UUID 或者 jwt,这个我估计大家都这么做;

但是前端渠道既有网页、APP 又有小程序,网页使用 thymeleaf 生成;这种情况下我用 spring security 就没法儿了,如果 token 的话,thymeleaf 这边就要憋屈一点,不能用 session,不用 token 的话 APP 和小程序又不行;

嗯哼?

6050 次点击
所在节点    Java
26 条回复
shazh520
2019-12-13 20:43:33 +08:00
@hantsy 大佬能不能给个 demo 学一下
meanhow
2019-12-14 09:26:42 +08:00
@shazh520 感谢回复。
接口分开应该不行,因为至少会有老板,经理,员工三层,而且接口数量也挺多的
不过我现在倒是有个想法,不知道能不能拦截所有 select,在角色表存一个数据权限的字段(个人,个人及部门),然后拦截所有 select,根据数据权限的字段在条件后面加上员工 ID
meanhow
2019-12-14 09:34:08 +08:00
@ShutTheFu2kUP 实际情况会更复杂一点,至少有员工,部门经理,老板三层。
倒是所有表都有创建人 id,可能要在查询上写上 in 条件吧
optional
2019-12-14 12:44:26 +08:00
spring security 用起来太恶心,不如自己写几个 filter
clancyliu
2019-12-14 14:15:18 +08:00
oauth2,我们用的这个,网页,小程序,安卓三端
zhazi
2019-12-16 17:38:30 +08:00
@shazh520
github.com/spring-io/sagan/blob/master/sagan-site/src/main/java/sagan/SecurityConfig.java
看下这个

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/628737

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX