当我在MVC中为一个用户分配超过396个角色时，登录失败

当在MVC中为一个用户分配超过396个角色时，可能会导致登录失败的问题。这是因为在MVC架构中，用户角色的分配通常是通过权限管理系统来实现的。每个角色都有一组与之关联的权限，当用户登录时，系统会验证用户所拥有的角色和相应的权限。

然而，当一个用户被分配了大量的角色时，会导致登录过程变得复杂且耗时。这可能会导致登录请求超时或系统资源不足的错误。此外，大量角色的分配也会增加系统的复杂性和维护成本。

为了解决这个问题，可以考虑以下几个方案：

优化角色分配：重新设计角色和权限的分配方式，避免一个用户被分配过多的角色。可以通过角色的继承关系来减少角色的数量，将一些常用的权限集中到少数几个角色中。
引入角色组：将相似的角色归类到角色组中，然后将角色组分配给用户。这样可以减少直接分配给用户的角色数量，提高系统的性能和可维护性。
引入缓存机制：将用户的角色和权限信息缓存起来，避免每次登录都重新计算用户的角色。可以使用缓存技术如Redis来提高系统的响应速度。
引入分布式架构：如果系统规模较大，可以考虑将角色和权限的管理分布到多个服务器上，通过负载均衡来提高系统的性能和可扩展性。

总结起来，当在MVC中为一个用户分配超过396个角色时，登录失败的问题可以通过优化角色分配、引入角色组、引入缓存机制和引入分布式架构等方式来解决。具体的解决方案需要根据系统的实际情况和需求来确定。

相关·内容

项目之通过Spring Security获取当前登录的用户的信息(6)

补全：学生注册时分配角色在“学生注册”的业务中，应该及时获取新插入的用户数据的id，并将该用户id和角色id（学生角色的id固定为2）插入到user_role数据表中，以记录新注册的学生的角色。...处理登录时获取权限以上注册过程中添加了“分配角色”，而各角色是对应某些权限的，所以，“分配角色”的过程就是“分配权限”的过程！...在用户登录时，应该读取用户的权限，以完成Spring Security在验证过程中的授权，以保证后续在进行某些访问时，能给出正确的判断，使得某些用户可以执行某些操作，而另一些用户可能因为没有权限而不能执行这些操作...同时，还应该将一些数据标识为老师： UPDATE user SET type=1 WHERE id IN (1, 2, 3); 在用户角色分配表中，清空原有数据，将一部分账号的角色改为管理员、老师： -...框架尝试注入参数值时，注入的是同一个对象！

1.8K1 0

shiro用的好的话抗住千万流量没问题！自定义过滤器鉴权｜Java 开发实战

所以这也是shiro给我们唯一为数不多的代码编写的接口，我们只需要在这接口提供我们自己的认证和角色权限分配就行了。<!...首先来看看在认证登录中我们有哪些值得注意的地方doGetAuthenticationInfo中实现登录认证出现的几种异常* UnknownAccountException：获取的user为空*...，其次就是权限分配了，doGetAuthorizationInfo(授权)，在doGetAuthorizationInfo里我们通过PrincipalCollection这个身份集合，当我们只配置了一个...然后通过用户名去数据库获取权限菜单。最后返回一个带有角色和权限的 SimpleAuthorization的信息，意思就是一下角色具有哪些权限。...，在登录操作是不进行检查的，因为登录的时候根本就不存在用户。

2251 0

手摸手教你定制 Spring Security 表单登录

用户、角色配置在上述的规则中配置了一些资源需要特定的角色才可以访问，比如user、admin，那么这些角色如何去指定呢？...在security中提供了配置的方式，代码如下：上述的代码配置很简单，创建了两个用户且指定了角色，分别如下： user：密码123456，赋予的角色为user admin：密码123456，赋予的角色为...")：用户名是user password(passwordEncoder().encode("123456"))：密码是加密之后的123456 roles()：方法用于指定用户的角色，一个用户可以有多个角色...当我们登录失败的时候，是由AuthenticationfailureHandler进行登录结果处理，默认跳转到failureUrl配置的路径对应的资源页面（一般也是跳转登录页login.html，重新登录...该类中默认实现了登录验证失败的跳转逻辑，即登陆失败之后回到登录页面。我们可以利用这一点简化我们的代码。

7251 0

聊聊登录那些事

前言原来分享过一篇文章，Java自定义注解及应用，当时为了能突出重点，直接在url中传了用户的所属角色，并写了一般的做法。...1）用户知道的URL名，（2）部署人员知道的内部名，（3）实际的文件名加入使用Spring MVC时要在web.xml中配置如下内容 <?...用户在服务器A上登录，结果在服务器B上查看购物车信息，因为在A上登录，HttpSession存在A服务器上，当访问B服务器上的购物车信息因为获取不到用户登录的HttpSession，就会认为用户没有登录...中，当然cookie和这个hash都可以设置过期时间客户端在随后的访问中服务器从cookie中拿到这个token，根据这个token去Redis中取到用户信息当用户登出时只要删除key为token的...，当用户登录时先对登录的密码进行MD5，然后和数据库中的密码比对，正确则登录成功，失败则登录失败 image.png 以为这样就足够安全了？

4402 0

Shiro教程7(整合SSM项目-授权)

角色的用户才可以看到标签内的容，name属性中只能填写一个角色的名称 shiro:hasAnyRoles 表示拥有多个角色中的一个即可 <shiro:hasAnyRoles name="admin,user...属性中只能填写一个权限的名称 shiro:lacksRole 表示不拥有某一角色 这个用户不拥有admin的角色 说明：只有成功登录后，且不具有admin角色的用户才可以看到标签内的内容，name属性中只能填写一个角色的名称 shiro:lacksPermission 表示不拥有某一权限...> 说明：只有成功登录后，且不具有admin:delete权限的用户才可以看到标签内的内容，name属性中只能填写一个权限的名称 shiro:notAuthenticated 表示没有通过验证 <shiro...说明：只有没有通过验证的才可以看到标签内的内容，包括通过记住我（remember me）登录的 shiro:principal 表示用户的身份取值取的是你登录的时候，在Realm 实现类中的new

7202 0

Shiro 集成 Spring

其实他是 Shiro 的权限过滤器，用来在 web 环境下对权限进行过滤，既然是一个 Filter，显然我们还需要在 web.xml 中增加 Shiro 的 Filter 配置: ...，返回 login success，登录失败则返回对应的异常信息。...认证/登录测试认证失败先来试试用户名错误 (使用 admin, 123456 来进行登录)，返回结果为当前账户不存在，因为我们在 Realm 中抛出了 UnknownAccountException...认证成功使用正常的账号密码进行登录，返回结果为 login success。由此可见认证成功和失败的功能是正常的。...下面测试，假设以账号是 zhao 为例 (具备 user 角色)：未登录情况下：访问 user.jsp 会跳转到登录页面。已登录 zhao 且具备相应的角色：可以正常访问 user.jsp。

7062 0

shiro+SSM

，可以非常容易的集成到Web环境； Caching 缓存，比如用户登录后，其用户信息、拥有的角色/权限不必每次去查，这样可以提高效率； Concurrency shiro支持多线程应用的并发验证，即如在一个线程中开启另一个线程...用于调度各种Shiro框架的服务 Realms Realms则是用户的信息认证器和用户的权限认证器执行认证（登录）和授权（访问控制）时,Shiro会从应用配置的Realm中查找很多内容 Realm...认证什么是认证身份认证,就是判断一个用户是否为合法用户的处理过程通过核对用户输入的用户名和口令,看其是否与系统中存储的该用户的用户名和口令一致,来判断用户身份是否正确关键对象 Subject...3.将securityManager设置到运行环境中 4.创建一个Subject实例 5.创建token令牌 6.用户登录 7.用户退出 /*1.构建securityManager工厂*...使用ini形式配置权限信息在ini文件中用户、角色、权限的配置规则用户名=密码，角色1，角色2… 首先根据用户名找角色，再根据角色找权限，角色是权限集合。

2041 0

【二饭管理系统】从零搭建一个轻量级快速开发平台

10、登录验证码：系统默认登录验证码时效为5分钟，该功能使用具有时效的AgingMap来存储验证码。 11、注册验证码：注册时验证码默认为邮箱验证码注册，并且默认会给注册成功的账号为“用户”角色。...这里以生成页面举例，当我需要在一个模块下生成一个页面时，我只需指定模块的名称和页面的名称，系统会先在路由表中找到模块，再继续在模块中寻找是否存在要生成的页面，如果不存在，那么就生成一个。...因为系统只会赋予TA对自己拥有的资源权限进行角色分配，举个例子：当前资源权限有① ② ③三个资源权限，其中①是角色管理的资源权限，当A用户拥有① ②两个资源权限时，A用户并不可以使自己或其他角色拥有③这个资源权限...为了系统更高的安全性，“超级管理员”这个角色并不存在于数据库中，而是在系统的yml配置文件中，系统管理员可以实时地修改这个配置文件来修改超级管理员的登录账号和密码，其他的角色也无法获取到超级管理员的账号密码...当然，你也可以在配置文件中修改超过多少条请求才会进入拒绝策略，默认情况下是十条。而且该验证码已经被使用过了就不会记录在内，比如你使用这个验证码登录成功了，该次验证码的请求就不会被记录在十条之内。

6452 0

Shiro框架学习，Shiro综合实例

为了简单性，如用户-角色，角色-资源关系直接在实体（用户表中的role_ids，角色表中的resource_ids）里完成的，没有建立多余的关系表，如要查询拥有admin角色的用户时，建议建立关联表，否则就没必要建立了...在存储关系时如role_ids=1,2,3,；多个之间使用逗号分隔。...用户组、组织机构组本实例没有实现，即可以把一组权限授权给这些组，组中的用户/组织机构就自动拥有这些角色/权限了；另外对于用户组可以实现一个默认用户组，如论坛，不管匿名/登录用户都有查看帖子的权限。...，其中shiro authc拦截器进行登录，登录失败的话会把错误存到shiroLoginFailure属性中，在该控制器中获取后来显示相应的错误信息。...登录成功后到达整个页面主页，并根据当前用户权限显示相应的菜单，此处菜单比较简单，没有树型结构显示 ? 然后就可以进行一些操作，如组织机构维护、用户修改、资源维护、角色授权 ? ? ? ?

8791 0

ASP.NET MVC 随想录——探索ASP.NET Identity 身份验证和基于角色的授权，中级篇

那么在本篇文章中，我将继续ASP.NET Identity 之旅，向您展示如何运用ASP.NET Identity 进行身份验证（Authentication）以及联合ASP.NET MVC 基于角色的授权...由ASP.NET Runtime 触发它，在该事件中，它会验证并解析该Cookie为对应的用户对象，它是一个实现了 IPrincipal接口的对象。...在该事件中，请求的URL会依据web.config中的authorization 配置节点进行授权，如下所示授予Kim以及所有Role为Administrator的成员具有访问权限，并且拒绝John以及匿名用户访问...这是一个典型的 "鸡生蛋还是蛋生鸡"问题。要解决这个问题，我们一般是在数据库中内置一个管理员角色，这也是我们熟知的超级管理员角色。...小结在这篇文章中，探索了使用ASP.NET Identity 进行身份验证以及联合ASP.NET MVC 基于角色的授权。最后实现了对角色的管理。

3.4K6 0

正确认识 MVCMVPMVVM

在 MVC 中，对应用程序划分出了三种角色：Model、View、Controller。三者有各自的具体用途和职责，并通过彼此的相互通信实现程序功能。...因此，在实际应用中，一个 Model 并不只是简单的一个对象，而是一个更广泛的层级。...比如，一个注册按钮产生的事件被 Controller 接收之后，那它就会解释该事件，可能先校验用户的输入是否为空，如果为空则请求 View 提示让用户填写用户名和密码等；如果校验通过，那就请求 UserModel...另外，在 App 应用里，Controller 从 Model 请求数据时，通常会比较耗时，所以 Model 会异步通知 Controller。 MVC总结先对 MVC 做一个小总结。...LoginView 和 LoginActivity 都明确划分到 View 层，LoginView 定义了登录流程中涉及到的几个UI层的接口方法，包括显示和隐藏加载框，以及登录失败时的错误信息展示，和登录成功后的处理

2.6K3 2

实现安全登录的两种方法

，则证明是真正的用户，所以放弃拦截（拦截器也因此失效）；如果登录失败，则重新返回登录界面，且无法输入其他动作跳转到其他界面。...：由于验证机制是可以将用户类和管理员类区分开，登录后进入不同的界面，所以我们要增加一个角色类Role，它有三个属性：id,roleName和roleDesc，还有它们的get/set方法以及toString...另外在UserInfo类中添加新的属性roleList（一个人可能对应多个角色）及其对应的方法。...先在tb_user_role表中根据userid查询该用户的roleid，再在tb_Role表中查找该roleid对应的角色是什么。...需要把角色给放入用户中 userInfo.setRoleList(roleList); // 4.

6942 0

ASP.NET安全

ASP.NET MVC为Forms认证提供了很多支持，并且有很强自定义性。从通过表单登录到用户信息存储在什么地方，到怎么样去验证这些用户信息。...一旦某个用户登录到域中，Windows能够在应用程序中自动认证他们。...当我们在某一个Controller上应用Authorize属性时，也就意味着这个Controller下所有的Action都必须是经过认证的用户才允许访问。　　...在Forms认证中, ASP.NET为我们提供了一个角色管理器（role provider）我们可以通过它来方便和将我们的角色信息存储到SQL中，并且进行管理。我们只需要点击一个按钮即可： ?...MVC 会为我们生成一个唯一标识放在form中的一个隐藏域中，该标识还会被存放到cookie中在客户端和服务器的请求中传输。

2.6K8 0

ASP.NET Core集成现有系统认证

首先认证并不是登录。认证是一个知道用户是谁的一个过程。我们最早使用的基于Session的认证，拿到用户输入的用户名和密码到数据库里面校验一，看看是否正确，如果是正确的我们就放到session里面。...这是一个完成认证的过程，系统现在知道你是我的某一个用户了。那么何谓授权？现在用户登录之后我们跳转到了另一个页面，这个页面可能会写一段这样的代码。...我们需要在ASP.NET Core中根据当前用户header里面的token来判断是否为一个合法的用户。用Middleware拦截第一种简单粗暴的方法即用Middleware来拦截。...在ASP.NET Core下，MVC以一个Middleware加入到整个HTTP管道。...当Request的Headers中没有一个值为“jessetalk.cn” 以及 name为” token”的项的时候，我们就返回401状态，并且不执行后面的处理。

2.7K9 0

Spirng Security知识点整理

404 ---- 认证过程其他常用配置失败跳转表单处理中成功会跳转到一个地址，失败也可以跳转到一个地址。...这些方法一般都用于用户已经被认证后，判断用户是否具有特定的要求 hasAuthority(String) 判断用户是否具有特定的权限，用户的权限是在自定义登录逻辑中创建 User 对象时指定的。...参数取值来源于自定义登录逻辑 UserDetailsService实现类中创建 User 对象时给 User 赋予的授权。在给用户赋予角色时角色需要以：ROLE_开头，后面添加角色名称。...例如：ROLE_abc 其中 abc 是角色名，ROLE_是固定的字符开头。使用 hasRole()时参数也只写 abc 即可。否则启动报错。给用户赋予角色：在配置类中直接写 abc 即可。...ROLE_开头，也可以不以ROLE_开头,但是配置类不能以ROLE_开头 ---- RememberMe功能实现 Spring Security 中 Remember Me 为“记住我”功能，用户只需要在登录时添加

1.4K2 0

ASP.NET Identity V2

（在MVC 4中使用）都有所不同。...且在MVC 5中默认使用EntityFramework作为Microsoft.AspNet.Identity的数据存储实现。...IUserLockoutStore: 在尝试一定的失败次数后允许锁定一个账号 IUserEmailStore: 使用邮件地址做确认 (例如通过邮件进行确认...2.0 MVC5 - ASP.NET Identity登录原理 - Claims-based认证和OWIN MVC使用ASP.NET Identity 2.0实现用户身份安全相关功能,比如通过短信或邮件发送安全码...identity 2.2.0 中角色启用和基本使用（三） asp.net identity 2.2.0 中角色启用和基本使用（四）

1K8 0

【ASP.NET Core 基础知识】--身份验证和授权--使用Identity进行身份验证

一、Identity的基础知识 1.1 Identity的组成在ASP.NET Core中，Identity是一个用于处理用户身份验证和授权的框架。...User（用户）：表示应用程序中的用户。Identity框架提供了一个名为IdentityUser的默认实现，你也可以通过继承这个类来定义自定义用户。 Role（角色）：表示应用程序中的角色。...创建、验证用户，分配角色，进行登录等操作都可以通过 UserManager, SignInManager 和 RoleManager 来完成。...这是一个基本的身份验证流程，涵盖了用户登录、凭据验证、身份标识生成、Cookie管理以及访问控制等方面。在实际应用中，可能还涉及到密码重置、双因素认证等更复杂的身份验证流程。...角色和声明： Identity 提供了角色和声明的概念，使得对用户进行更精细的授权变得更容易。你可以定义角色，将用户分配到角色中，并使用声明添加更细致的授权。

4540 0

跟我学Springboot开发后端管理系统7：Matrxi-Web权限设计

在Javaweb开发中，有很多权限开发的框架，比如shrio、Spring security，但是都比较重量级。作为一个后端管理系统来说，用这样的权限开发框架会拖慢开发进度。...在RBAC中，权限与角色相关联，用户通过成为适当角色的成员而得到这些角色的权限。这就极大地简化了权限的管理。...在Matrix-Web项目中，也是使用了经典的RBAC，即每个用户拥有一个或多个角色，角色赋予具体的菜单操作权限。...)(https://static.javajike.com/img/2020/05/matrix/mw011.jpg)] Token设计在系统设置中，有一个重要的东东是Token，Token代表了用户...后续浏览器发起请求时都携带该Token，请求达到后端后，会在Filter进行判断，首选判断是否为白名单url（比如登录接口url），如果是则放行；否则进入Token验证。

5292 0

spring整合shiro(含MD5加密)shiro简介:开发环境及技术:一、数据库设计:二、项目环境搭建:三、项目功能实现四、项目测试五、知识点补充总结:

-- 当获取连接失败时重试次数 --> <!...三、项目功能实现登录验证: 项目功能描述: 在数据库中有两个用户，一个tom，角色为admin，对应的权限有create,delete,query和update，另一个用户cat，角色为guest，...MyRealm extends AuthorizingRealm { @Autowired private UserService userService; /** * 为登录用户授予权限和角色...点此登录权限认证失败时跳转到此页面，因为在spring-shiro.xml中配置过。...图片发自简书App 2、用cat登录分析:cat具有guest角色和create 以及query权限，所以success.jsp的第一个链接不能访问，会跳转到unauthor.jsp，第二个链接可以访问

1.6K13 0

利用EntLib授权机制实现对ASP.NET页面的自动授权

这是一个逻辑表达式，前缀I：和R：分别表示用户名（Identity）和角色（Role），整个表达式表示的授权逻辑是：“帐号为Foo的用户和所有具有Admin角色的用户”有权限方法与此表达式关联的操作或者资源...具体的定义如下所示：如果用户名为Bar，我们让当前的Principal具有Admin角色，对于其他帐号的登录用户，角色列表为空。...，意味着当我们以账户Foo和Bar登录后才能访问该页面，“自动化授权”可以通过下图得到证实：当前用户为Foo和Bar时，页面得以正常显示；而当我们以Baz的身份登录后，显示“Access denied…...MVC中以特性的方式应用到Controller类型和Action方法上，这里我们则将它应用到Web页面对应的类上。...如下面的代码片断所示，在重写的ProcessRequest方法中实现了对应用在当前类型上的AuthorizationFilterAttribute特性的解析和执行，进而提供了对授权的实现。

1.1K9 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云