您好,我是湘王,这是我的51CTO博客,欢迎您来,欢迎您再来~
把实体类及Service类都准备好了之后,就可以开始继续写业务代码了。Spring Security的强大之一就在于它的拦截器。那么这里也可以参照它的方式,实现自己的拦截器。
/**
* 权限注解
*
* @author 湘王
*/
@Target({ ElementType.METHOD, ElementType.TYPE })
@Retention(RetentionPolicy.RUNTIME)
@Inherited
@Documented
public @interface PreAuthorize {
// 组
String group() default "";
// 角色
String role() default "";
// 权限
String permission() default "";
}
拦截器需要完成两个任务:
1、查找用户拥有的资源,其实分解一下,也就是要完成下面的工作
1.1、找到某个用户所属的所有组(不需要去找这些组的父组)
1.2、找到某个用户拥有的所有角色(同时要逐个找到所有这些角色的父角色)
1.3、找到某个用户拥有的所有权限
2、将权限与资源做比对,确认是否对该资源有访问权限
开始定义拦截处理器:
/**
* 拦截处理器
*
* @author 湘王
*/
@Aspect
@Component
public class InterceptorHandler {
@Autowired
private UserService userService;
@Autowired
private RoleService roleService;
@Autowired
private PermissionService permissionService;
/**
* 拦截controller包下面的所有类中,有@RequestMapping注解的方法
*/
@Pointcut("execution(* com.xiangwang.controller..*.*(..)) " +
"&& @annotation(org.springframework.web.bind.annotation.RequestMapping)")
public void controllerMethodPointcut() {
}
/**
* 拦截器具体实现
*/
@Around("controllerMethodPointcut()")
public Object Interceptor(final ProceedingJoinPoint pjp) {
ServletRequestAttributes sra = (ServletRequestAttributes) RequestContextHolder.getRequestAttributes();
HttpServletRequest request = sra.getRequest();
Map<String, String> argsMap = new HashMap<String, String>();
Enumeration<String> em = request.getParameterNames();
String methodName = pjp.getSignature().getName();
// 加入参数
while (em.hasMoreElements()) {
String paramName = em.nextElement();
String value = request.getParameter(paramName);
argsMap.put(paramName, value);
}
String username = argsMap.get("username");
String platform = argsMap.get("platform");
String timestamp = argsMap.get("timestamp");
String signature = argsMap.get("signature");
// 验证参数
if (null == platform || null == timestamp || null == signature) {
return "params required";
}
// 后端生成签名:platform = "xiangwang", timestamp = "159123456789", signature = a8354bc1b54a39528e81c549ec373c14
String sign = DigestUtils.md5DigestAsHex((platform + timestamp).getBytes());
if (!signature.equalsIgnoreCase(sign)) {
return "signature error";
}
// 获取切面标记
Signature signatureObject = pjp.getSignature();
if (!(signatureObject instanceof MethodSignature)) {
throw new IllegalArgumentException("this annotation can be applied on method only");
}
// 获取用户信息
SysUser user = userService.queryByUsername(username);
if (null == user) {
return "user is not exist";
}
/**
* 获得用户拥有的全部角色
*/
// 用户所属的角色
Set<SysRole> userRoleSet = new HashSet<>();
// 用户所拥有的全部角色
Set<SysRole> userAllRoleSet = new HashSet<>();
// 查询这些角色的全部父角色
StringBuilder roleIds = new StringBuilder();
Set<String> userRoleNameSet = new HashSet<>();
// 用户-组-角色
List<SysRole> ugr = roleService.queryUGRByUserId(user.getId());
if (null != ugr && ugr.size() > 0) {
ugr.stream().forEach(r -> userRoleSet.add(r));
}
// 用户-角色
List<SysRole> ur = roleService.queryURByUserId(user.getId());
if (null != ur && ur.size() > 0) {
ur.stream().forEach(r -> userRoleSet.add(r));
}
// 合并全部角色
for (SysRole role : userRoleSet) {
List<SysRole> list = roleService.queryParentsById(role.getParentids());
if (null != list && list.size() > 0) {
list.stream().forEach(r -> {
userAllRoleSet.add(r);
userAllRoleSet.add(role);
});
}
}
// 查询这些角色的全部权限
userAllRoleSet.stream().forEach(r -> {
roleIds.append(r.getId() + "," + r.getParentids());
userRoleNameSet.add(r.getName());
});
List<SysPermission> rolePermissions = permissionService.queryByMultiRoleIds(roleIds.toString());
/**
* 获得用户拥有的全部权限
*/
Set<String> userPermissionSet = new HashSet<>();
// 用户-组-角色-权限
List<SysPermission> ugrp = permissionService.queryUGRPByUserId(user.getId());
if (null != ugrp && ugrp.size() > 0) {
ugrp.stream().forEach(r -> userPermissionSet.add(r.getPath()));
}
// 用户-角色-权限
List<SysPermission> urp = permissionService.queryURPByUserId(user.getId());
if (null != urp && urp.size() > 0) {
urp.stream().forEach(r -> userPermissionSet.add(r.getPath()));
}
// 用户-权限
List<SysPermission> up = permissionService.queryUPByUserId(user.getId());
if (null != up && up.size() > 0) {
up.stream().forEach(r -> userPermissionSet.add(r.getPath()));
}
// 合并之前的结果
if (null != rolePermissions && rolePermissions.size() > 0) {
rolePermissions.stream().forEach(r -> userPermissionSet.add(r.getPath()));
}
// 权限判断
Object target = pjp.getTarget();
Class<?> clazz = target.getClass();
MethodSignature methodSignature = (MethodSignature) signatureObject;
try {
Method method = target.getClass().getMethod(methodSignature.getName(), methodSignature.getParameterTypes());
// 获取注解类
PreAuthorize preAuthorize = method.getDeclaredAnnotation(PreAuthorize.class);
RequestMapping requestMapping = method.getDeclaredAnnotation(RequestMapping.class);
if (null != preAuthorize) {
// 只有当用户具备此角色且访问路径与权限中的path相等时才能认为具有该资源的操作权限
if (userRoleNameSet.contains(preAuthorize.role()) && userPermissionSet.contains(requestMapping.value()[0])) {
System.out.println(username + " ==> " + clazz.getSimpleName() + " - " + method.getName() + " - " +
preAuthorize.role() + " - " + requestMapping.value()[0]);
// 继续往下执行
return pjp.proceed();
} else {
return "permission denied";
}
}
} catch (NoSuchMethodException e) {
e.printStackTrace();
} catch (Throwable throwable) {
throwable.printStackTrace();
}
return "faliure";
}
}
最后来定义controller:
/**
* 用户Controller
*
* @author 湘王
*/
@RestController
public class UserController {
/**
* 接口访问:
* 用例一:小林(uid=7)->组(无)->角色(产品,rid=5),结果:无权限
* 用例二:小黄(uid=9)->组(无)->角色(客服,rid=4),结果:正常访问
* 用例三:张总(uid=3)->组(gid=10001)->角色(客服、产品、运营,rid=4,5,6),结果:正常访问
*
*/
@PreAuthorize(role = "客服")
@RequestMapping(value = "/api/v1.0.0/user/details", method = RequestMethod.GET)
public String details(String username) {
return username + " 有查看用户详情的权限";
}
/**
* 接口访问:
* 用例四:蔡总(uid=4)->组(gid=10002)->角色(会计、出纳、库管、配送,rid=7,8,9,10),结果:无权限
*
*/
@PreAuthorize(role = "产品")
@RequestMapping(value = "/api/v1.0.0/system/setting/password", method = RequestMethod.GET)
public String password(String username) {
return username + " 有修改密码的权限";
}
}
可以通过SQL来完成测试,看看被测试用户权限的正确性
用例一:小林(uid=7)->组(无)->角色(产品,rid=5),结果:无权限
用例二:小黄(uid=9)->组(无)->角色(客服,rid=4),结果:正常访问
用例三:张总(uid=3)->组(gid=10001)->角色(客服、产品、运营,rid=4,5,6),结果:正常访问
用例四:蔡总(uid=4)->组(gid=10002)->角色(会计、出纳、库管、配送,rid=7,8,9,10),结果:无权限
查找用户资源需要注意:
1、查找权限,需要找到某个权限的所有子权限
2、查找角色,需要找到某个角色的所有父角色
4、查找组,可能需要找到父组,也可能不需要
5、想想这都是为什么?
5.1、因为权限是集合关系,角色是组合关系,组是既不是集合关系也不是聚合关系
5.2、父权限是某一类权限的代表,通过它可以找到相关的子权限
5.3、子角色是某个或某些角色的聚合/组合,这些角色组成了新角色
5.4、相对于父组,子组其实更多的是一种权限上的隔离
5.5、在设计权限系统时,需要了解这些隐含的语义逻辑和语境
最后,再来看看遗留的一个小尾巴。
之前在定义SysUser时有一个scope字段(0:全部,1:部门及以下,2:仅个人),它用来限制用户浏览数据的范围。例如,在用户通过拦截器对权限的检查以后,当需要浏览诸如会员、商品、订单时,可以依据这个条件来过滤。
具体做法就是在商品表中加入branchid和userid,然后依据scope来过滤。
1、当scope=1时,过滤条件增加branchid及以下机构(parentids LIKE '%?,%')
2、当scope=2时,过滤条件增加userid(WHERE userid=?)
RBAC2和RBAC1的不同在于增加了一个sys_config表,用来实现权限相关的策略。这个表主要在为用户分配组、角色、权限时起作用,而不是在拦截器中验证时。例如,服务端有一个SystemController,其中有create/assign/update/remove + Group/Role/Permission之类的方法,执行这些方法时,就会从sys_config表中读取策略
例如,如果某两个角色A和B互斥,那么当给用户赋了A时,就不能再赋予用户B角色了。
而所谓二级权限,就是用户A可以把自己拥有的权限再赋予另一个用户,即权限的转授。实现二级权限也不复杂,只需要在SysPermission中增加对一个“分配权限”就行了。如果用户A有这个“分配权限”的权限,就能把自己所拥有的权限分配给另外一个用户(但仅仅限于用户A所拥有的权限),依次类推,可以有三级、四级等多级分级授权。
总的来说,权限系统所用的技术并不复杂,也可以说非常简单。但是设计权限系统的过程是比较费时费力的,也可能比较烧脑。需要对业务需求有很深入的了解,这样才能设计出既能满足需要,又简单实用的权限架构。
其实大多数权限系统,都只到角色这一层,真正用到组的并不多,而且也没有二级权限、权限策略及用户数据范围。
如果项目涉及到了上面这几样,恭喜你,你已经把权限给看光了。
感谢您的大驾光临!咨询技术、产品、运营和管理相关问题,请关注后留言。欢迎骚扰,不胜荣幸~