jeecg权限模块学习

1. 权限控制

jeecg框架基于SpringMVC框架来做请求的路由控制，SpringMVC用Interceptor类来做过滤链处理，通过配置规则或注解，扫描到url与方法的映射关系。相关内容可查阅SpringMVC相应的资料，本笔记只关注jeecg框架的实现。jeecg进行权限拦截的主要逻辑放在AuthInterceptor.preHandle( )方法进行处理，大致步骤如下：

• 检查被拦截的Controller是否有自定义的@JAuth 注解对类或方法标明权限类型，如果是忽略权限检查，则返回；
• isAjax( )通过判断请求头"X-Requested-With"是否存在，如果有则是异步请求；
• 判断是否api接口，是否excludeUrls、excludeContainUrls
• 判断是否有菜单权限或者是admin
  • （个人思考：每次都要从数据库查询校验，为减轻数据库压力此处应该用缓存；admin字符串是hardcode了，可以改成配置的方式方便修改）
• 把控件权限设置到request对象里OPERATIONCODES
• 把功能对应的数据权限信息设置到request对象，有以下内容：dataRulecodes，数据规则对象集合，数据查询的sql片断
  • （个人思考：由于控件权限、数据权限的设计是依附于菜单，而每个人在某个菜单上权限是不一样的，所以设置在request上，也可以让每次请求能得到最新数据，但同样因为没有缓存，对数据库压力较大；通常对于不是经常变动的权限分配数据，应该是在用户登录后，把当前用户的所有权限数据缓存在session里，而不是每个请求都查一次数据库。）

2. 权限表关系图

JEECG权限管理主要表.jpg

一个权限管理系统一般都有这几张表：用户、角色、部门、资源，以及这几张表的关联关系表。jeecg也是实现了这样一套RBAC的权限管理模型。

从关系图可以看到，用户表用了两张表，主要是考虑用户的属性比较多，账号、密码放在基础表，扩展属性放在扩展属性表。用户与部门是多对多的关系，表示一个用户可以属于多个组织或部门，这样在做权限授权的时候也比较灵活，用户可以切换到不同组织的身份登录，展示的菜单和数据都可能不一样。

对于资源的授权，关系图中显示t_s_function表是与角色和部门权限组相关联的，而并没有与用户表发生直接关联。因此，要给用户授权，得先管理角色或部门权限组的资源权限，然后给用户分配角色或把用户加入到部门权限组去。与t_s_function表关联的还有两张表，分表是操作表和数据规则表。操作表对应的是页面资源上的控件，数据规则表则通过配置数据过滤的字段来控制数据的可见范围，资源表与这两张表是一对多的关系，通过它们，可以把某个资源的权限控制粒度做得更细。

理解好这张关系图后，基本就掌握了jeecg整套权限控制的逻辑，由于jeecg框架是不断从实际业务中总结完善的，这套权限模型基本能满足大部分管理系统的要求，即使有特殊需求，也只是增加一些辅助表即可。我们学习别人的业务框架，主要还是学习解决问题的思路，而不要拘泥于细节。

3. 登录检查逻辑

• LoginController.checkuser( )方法检查账号密码并获取session
• 检查验证码
• 检查用户是否存在
• 检查密码是否正确
• 如果一个用户对应多个org，弹窗让用户选择一个org
• 得到用户org后保存org相关信息到session