接口权限即通过HTTP可访问后端接口的控制,在前后端分离架构中,后端接口一般为Restful,在安全要求较高的业务中,需要控制每个接口的访问权限,防止不法用户通过HTTP工具模拟访问后端接口。
云程平台提供了可视化配置功能,通过菜单权限定义和角色授权,并与Shiro注解 @RequiresPermissions配合使用,进而实现按钮权限控制。
示例:以职务管理列表为例, 实现对职务“新增”接口的控制。
实现原理是后台Controller使用Shiro注解 @RequiresPermissions标识权限,即
在服务接口上增加@RequiresPermissions(“system:SysPosition:add”)注解,指令值“system:SysPosition:add”为授权标识,可对该授权标识进行访问控制。
注意:授权标识值system:SysPosition:add要与页面指令@RequiresPermissions(“system:SysPosition:add”)值对应,平台内部通过该关系进行控制。
在实际业务中,控制了后台接口权限,往往也需要控制前端页面按钮权限,云程平台实现了一个标识控制两类权限,即页面的v-has=” system:SysPosition:add ” 与@RequiresPermissions(“system:SysPosition:add”)的值保持一致,即可达到一箭双雕的效果。
建议阅读按钮权限配置:http://www.yunchengxc.com/help/doc/2021/02/537.html