@玛雅牛 你好,想跟你请教个问题:
JFinalShiroPlugin url能不能读取数据库不想通过每次修改shior.ini的方式实现
类似于
我觉得这是两个不同方向: 1、完全抛弃注解的方法,通过数据库来做管理,灵活性高,但我觉得此权限的管理过于灵活,如有误操作或者管理者账号泄密有隐患,系统权限配置如果全部被删,有可能造成整个系统暴露无遗。 2、结合注解的方法,数据库只存放可变的用户权限信息和用户角色,灵活性稍低,且需要维护数据库权限的增删,我觉得安全性更高,即使入侵,且不易影响所有用户。
对不起,断网了。
http://www.oschina.net/question/925382_114550
http://www.oschina.net/question/437232_88358
在每个控制器/方法/按钮等一切需要权限控制的地方声明需要的权限(字符串),比如,user:create,user:update,然后在数据库中存储用户,用户所属角色,角色,角色所属权限,权限(类似user:create,user:update),用户登录时读取用户所属的角色和所有权限。
回复如果出现系统泄漏的问题,你只需要修改权限数据就能修复,但你如果是注解,那你就完蛋了,你要把项目撤下来吗?
没找到文章链接啊
可以参考以下文章:
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
暂无简介
文章 0 评论 0
接受
发布评论
评论(5)
我觉得这是两个不同方向: 1、完全抛弃注解的方法,通过数据库来做管理,灵活性高,但我觉得此权限的管理过于灵活,如有误操作或者管理者账号泄密有隐患,系统权限配置如果全部被删,有可能造成整个系统暴露无遗。 2、结合注解的方法,数据库只存放可变的用户权限信息和用户角色,灵活性稍低,且需要维护数据库权限的增删,我觉得安全性更高,即使入侵,且不易影响所有用户。
对不起,断网了。
http://www.oschina.net/question/925382_114550
http://www.oschina.net/question/437232_88358
在每个控制器/方法/按钮等一切需要权限控制的地方声明需要的权限(字符串),比如,user:create,user:update,然后在数据库中存储用户,用户所属角色,角色,角色所属权限,权限(类似user:create,user:update),用户登录时读取用户所属的角色和所有权限。
回复
如果出现系统泄漏的问题,你只需要修改权限数据就能修复,但你如果是注解,那你就完蛋了,你要把项目撤下来吗?
没找到文章链接啊
可以参考以下文章: