關於Spring Boot動態權限變更問題的實現方案

1、前言

​  在Web項目中,權限管理即權限訪問控制為網站訪問安全提供瞭保障,並且很多項目使用瞭Session作為緩存,結合AOP技術進行token認證和權限控制。權限控制流程大致如下圖所示:

​  現在,如果管理員修改瞭用戶的角色,或修改瞭角色的權限,都會導致用戶權限發生變化,此時如何實現動態權限變更,使得前端能夠更新用戶的權限樹,後端訪問鑒權AOP模塊能夠知悉這種變更呢?

2、問題及解決方案

​​  現在的問題是,管理員沒法訪問用戶Session,因此沒法將變更通知此用戶。而用戶如果已經登錄,或直接關閉瀏覽器頁面而不是登出操作,Session沒有過期前,用戶訪問接口時,訪問鑒權AOP模塊仍然是根據之前緩存的Session信息進行處理,沒法做到動態權限變更。

​​  使用Security+WebSocket是一個方案,但沒法處理不在線用戶。

​​  ​解決方案的核心思想是利用ServletContext對象的共享特性,來實現用戶權限變更的信息傳遞。然後在AOP類中查詢用戶是否有變更通知記錄需要處理,如果權限發生變化,則修改response消息體,添加附加通知信息給前端。前端收到附加的通知信息,可更新功能權限樹,並進行相關處理。

​​​  這樣,利用的變更通知服務,不僅後端的用戶url訪問接口可第一時間獲悉變更,還可以通知到前端,從而實現瞭動態權限變更。

3、方案實現

3.1、開發變更通知類

​​​  服務接口類ChangeNotifyService,代碼如下:

package com.abc.questInvest.service;

/**
 * @className		: ChangeNotifyService
 * @description		: 變更通知服務
 * @summary		:
 * @history		:
 * ------------------------------------------------------------------------------
 * date			version		modifier		remarks                   
 * ------------------------------------------------------------------------------
 * 2021/06/28	1.0.0		sheng.zheng		初版
 *
 */
public interface ChangeNotifyService {

	/**
	 * 
	 * @methodName		: getChangeNotifyInfo
	 * @description		: 獲取指定用戶ID的變更通知信息 
	 * @param userId	: 用戶ID
	 * @return		: 返回0表示無變更通知信息,其它值按照bitmap編碼。目前定義如下:
	 * 		bit0:	: 修改用戶的角色組合值,從而導致權限變更;
	 * 		bit1:	: 修改角色的功能項,從而導致權限變更;
	 * 		bit2:	: 用戶禁用,從而導致權限變更;
	 * 		bit3:	: 用戶調整部門,從而導致數據權限變更;
	 * @history		:
	 * ------------------------------------------------------------------------------
	 * date			version		modifier		remarks                   
	 * ------------------------------------------------------------------------------
	 * 2021/06/28	1.0.0		sheng.zheng		初版
	 *
	 */
	public Integer getChangeNotifyInfo(Integer userId);
	
	/**
	 * 
	 * @methodName		: setChangeNotifyInfo
	 * @description		: 設置變更通知信息
	 * @param userId	: 用戶ID
	 * @param changeNotifyInfo	: 變更通知值
	 * 		bit0:	: 修改用戶的角色組合值,從而導致權限變更;
	 * 		bit1:	: 修改角色的功能項,從而導致權限變更;
	 * 		bit2:	: 用戶禁用,從而導致權限變更;
	 * 		bit3:	: 用戶調整部門,從而導致數據權限變更;
	 * @history		:
	 * ------------------------------------------------------------------------------
	 * date			version		modifier		remarks                   
	 * ------------------------------------------------------------------------------
	 * 2021/06/28	1.0.0		sheng.zheng		初版
	 *
	 */
	public void setChangeNotifyInfo(Integer userId,Integer changeNotifyInfo); 	
}

​​​  服務實現類ChangeNotifyServiceImpl,代碼如下:

package com.abc.questInvest.service.impl;

import java.util.HashMap;
import java.util.Map;

import org.springframework.stereotype.Service;

import com.abc.questInvest.service.ChangeNotifyService;

/**
 * @className		: ChangeNotifyServiceImpl
 * @description		: ChangeNotifyService實現類
 * @summary		:
 * @history		:
 * ------------------------------------------------------------------------------
 * date			version		modifier		remarks                   
 * ------------------------------------------------------------------------------
 * 2021/06/28	1.0.0		sheng.zheng		初版
 *
 */
@Service
public class ChangeNotifyServiceImpl implements ChangeNotifyService {
	
	//用戶ID與變更過通知信息映射表
	private Map<Integer,Integer> changeNotifyMap = new HashMap<Integer,Integer>();
	
	/**
	 * 
	 * @methodName		: getChangeNotifyInfo
	 * @description		: 獲取指定用戶ID的變更通知信息 
	 * @param userId	: 用戶ID
	 * @return		: 返回0表示無變更通知信息,其它值按照bitmap編碼。目前定義如下:
	 * 		bit0:	: 修改用戶的角色組合值,從而導致權限變更;
	 * 		bit1:	: 修改角色的功能項,從而導致權限變更;
	 * 		bit2:	: 用戶禁用,從而導致權限變更;
	 * 		bit3:	: 用戶調整部門,從而導致數據權限變更;
	 * @history		:
	 * ------------------------------------------------------------------------------
	 * date			version		modifier		remarks                   
	 * ------------------------------------------------------------------------------
	 * 2021/06/28	1.0.0		sheng.zheng		初版
	 *
	 */
	@Override
	public Integer getChangeNotifyInfo(Integer userId) {
		Integer changeNotifyInfo = 0;
		//檢查該用戶是否有變更通知信息
		if (changeNotifyMap.containsKey(userId)) {
			changeNotifyInfo = changeNotifyMap.get(userId);
			//移除數據,加鎖保護
			synchronized(changeNotifyMap) {
				changeNotifyMap.remove(userId);
			}
		}
		return changeNotifyInfo;
	}
	
	/**
	 * 
	 * @methodName		: setChangeNotifyInfo
	 * @description		: 設置變更通知信息,該功能一般由管理員觸發調用
	 * @param userId	: 用戶ID
	 * @param changeNotifyInfo	: 變更通知值
	 * 		bit0:	: 修改用戶的角色組合值,從而導致權限變更;
	 * 		bit1:	: 修改角色的功能項,從而導致權限變更;
	 * 		bit2:	: 用戶禁用,從而導致權限變更;
	 * 		bit3:	: 用戶調整部門,從而導致數據權限變更;
	 * @history		:
	 * ------------------------------------------------------------------------------
	 * date			version		modifier		remarks                   
	 * ------------------------------------------------------------------------------
	 * 2021/06/28	1.0.0		sheng.zheng		初版
	 *
	 */
	@Override
	public void setChangeNotifyInfo(Integer userId,Integer changeNotifyInfo) {
		//檢查該用戶是否有變更通知信息
		if (changeNotifyMap.containsKey(userId)) {
			//如果有,表示之前變更通知未處理
			//獲取之前的值
			Integer oldChangeNotifyInfo = changeNotifyMap.get(userId);
			//計算新值。bitmap編碼,或操作
			Integer newChangeNotifyInfo = oldChangeNotifyInfo | changeNotifyInfo;
			//設置數據,加鎖保護
			synchronized(changeNotifyMap) {
				changeNotifyMap.put(userId,newChangeNotifyInfo);
			}
		}else {
			//如果沒有,設置一條
			changeNotifyMap.put(userId,changeNotifyInfo);
		}
	}
}

​​  此處,變更通知類型,與使用的demo項目有關,目前定義瞭4種變更通知類型。實際上,除瞭權限相關的變更,還有與Session緩存字段相關的變更,也需要通知,否則用戶還是在使用舊數據。

3.2、將變更通知類對象,納入全局配置服務對象中進行管理

​​​  全局配置服務類GlobalConfigService,負責管理全局的配置服務對象,服務接口類代碼如下:

package com.abc.questInvest.service;

/**
 * @className		: GlobalConfigService
 * @description		: 全局變量管理類
 * @summary		:
 * @history		:
 * ------------------------------------------------------------------------------
 * date			version		modifier		remarks                   
 * ------------------------------------------------------------------------------
 * 2021/06/02	1.0.0		sheng.zheng		初版
 *
 */
public interface GlobalConfigService {
	
	/**
	 * 
	 * @methodName		: loadData
	 * @description		: 加載數據 
	 * @return		: 成功返回true,否則返回false
	 * @history		:
	 * ------------------------------------------------------------------------------
	 * date			version		modifier		remarks                   
	 * ------------------------------------------------------------------------------
	 * 2021/06/02	1.0.0		sheng.zheng		初版
	 *
	 */
	public boolean loadData();
	
	//獲取TableCodeConfigService對象
	public TableCodeConfigService getTableCodeConfigService();	
	
	//獲取SysParameterService對象
	public SysParameterService getSysParameterService();
	
	//獲取FunctionTreeService對象
	public FunctionTreeService getFunctionTreeService();

	//獲取RoleFuncRightsService對象
	public RoleFuncRightsService getRoleFuncRightsService();
	
	//獲取ChangeNotifyService對象
	public ChangeNotifyService getChangeNotifyService();
	
}

​​​  服務實現類GlobalConfigServiceImpl,代碼如下:

package com.abc.questInvest.service.impl;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Service;

import com.abc.questInvest.service.ChangeNotifyService;
import com.abc.questInvest.service.FunctionTreeService;
import com.abc.questInvest.service.GlobalConfigService;
import com.abc.questInvest.service.RoleFuncRightsService;
import com.abc.questInvest.service.SysParameterService;
import com.abc.questInvest.service.TableCodeConfigService;

/**
 * @className		: GlobalConfigServiceImpl
 * @description		: GlobalConfigService實現類
 * @summary		:
 * @history		:
 * ------------------------------------------------------------------------------
 * date			version		modifier		remarks                   
 * ------------------------------------------------------------------------------
 * 2021/06/02	1.0.0		sheng.zheng		初版
 *
 */
@Service
public class GlobalConfigServiceImpl implements GlobalConfigService{
	
	//ID編碼配置表數據服務
	@Autowired
	private TableCodeConfigService tableCodeConfigService;
	
	//系統參數表數據服務
	@Autowired
	private SysParameterService sysParameterService;
	
	//功能樹表數據服務
	@Autowired
	private FunctionTreeService functionTreeService;
	
	//角色權限表數據服務
	@Autowired	
	private RoleFuncRightsService roleFuncRightsService;
	
	//變更通知服務
	@Autowired	
	private ChangeNotifyService changeNotifyService;
	
	
	/**
	 * 
	 * @methodName		: loadData
	 * @description		: 加載數據 
	 * @return		: 成功返回true,否則返回false
	 * @history		:
	 * ------------------------------------------------------------------------------
	 * date			version		modifier		remarks                   
	 * ------------------------------------------------------------------------------
	 * 2021/06/02	1.0.0		sheng.zheng		初版
	 *
	 */
	@Override
	public boolean loadData() {
		boolean bRet = false;
		
		//加載table_code_config表記錄
		bRet = tableCodeConfigService.loadData();
		if (!bRet) {
			return bRet;
		}
		
		//加載sys_parameters表記錄
		bRet = sysParameterService.loadData();
		if (!bRet) {
			return bRet;
		}
		
		//changeNotifyService目前沒有持久層,無需加載
		//如果服務重啟,信息丟失,也沒關系,因為此時Session也會失效
		
		//加載function_tree表記錄
		bRet = functionTreeService.loadData();
		if (!bRet) {
			return bRet;
		}
		
		//加載role_func_rights表記錄
		//先設置完整功能樹
		roleFuncRightsService.setFunctionTree(functionTreeService.getFunctionTree());
		//然後加載數據
		bRet = roleFuncRightsService.loadData();
		if (!bRet) {
			return bRet;
		}
		
		return bRet;
	}
	
	//獲取TableCodeConfigService對象
	@Override
	public TableCodeConfigService getTableCodeConfigService() {
		return tableCodeConfigService;
	}
	
	//獲取SysParameterService對象
	@Override
	public SysParameterService getSysParameterService() {
		return sysParameterService;
	}
	
	//獲取FunctionTreeService對象
	@Override
	public FunctionTreeService getFunctionTreeService() {
		return functionTreeService;
	}	
	
	//獲取RoleFuncRightsService對象
	@Override
	public RoleFuncRightsService getRoleFuncRightsService() {
		return roleFuncRightsService;
	}
	
	//獲取ChangeNotifyService對象
	@Override
	public ChangeNotifyService getChangeNotifyService() {
		return changeNotifyService;
	}

}

​​  GlobalConfigServiceImpl類,管理瞭很多配置服務類,此處主要關註ChangeNotifyService類對象。

3.3、使用ServletContext,管理全局配置服務類對象

​​​  全局配置服務類在應用啟動時加載到Spring容器中,這樣可實現共享,減少對數據庫的訪問壓力。

​​​  實現一個ApplicationListener類,代碼如下:

package com.abc.questInvest;

import javax.servlet.ServletContext;
import org.springframework.context.ApplicationListener;
import org.springframework.context.event.ContextRefreshedEvent;
import org.springframework.stereotype.Component;
import org.springframework.web.context.WebApplicationContext;

import com.abc.questInvest.service.GlobalConfigService;

/**
 * @className	: ApplicationStartup
 * @description	: 應用偵聽器
 *
 */
@Component
public class ApplicationStartup implements ApplicationListener<ContextRefreshedEvent>{
    //全局變量管理對象,此處不能自動註入
    private GlobalConfigService globalConfigService = null;
    
    @Override
    public void onApplicationEvent(ContextRefreshedEvent contextRefreshedEvent) {
        try {
    	    if(contextRefreshedEvent.getApplicationContext().getParent() == null){ 
    	    	//root application context 沒有parent.
				
    	    	System.out.println("========定義全局變量==================");
    	    	// 將 ApplicationContext 轉化為 WebApplicationContext
    	        WebApplicationContext webApplicationContext =
    	                (WebApplicationContext)contextRefreshedEvent.getApplicationContext();
    	        // 從 webApplicationContext 中獲取  servletContext
    	        ServletContext servletContext = webApplicationContext.getServletContext();
    	        
    	        //加載全局變量管理對象
    	        globalConfigService = (GlobalConfigService)webApplicationContext.getBean(GlobalConfigService.class);
    	        //加載數據
    	        boolean bRet = globalConfigService.loadData();
    	        if (false == bRet) {
    	        	System.out.println("加載全局變量失敗");
    	        	return;
    	        }        
    	        //======================================================================
    	        // servletContext設置值
    	        servletContext.setAttribute("GLOBAL_CONFIG_SERVICE", globalConfigService);  
    	        
    	    }
    	} catch (Exception e) {
    	    e.printStackTrace();
    	}        
    }
}

​​​  在啟動類中,加入該應用偵聽器ApplicationStartup。

public static void main(String[] args) {
    	SpringApplication springApplication = new SpringApplication(QuestInvestApplication.class);
        springApplication.addListeners(new ApplicationStartup());
        springApplication.run(args);  
	}

​​  現在,有瞭一個GlobalConfigService類型的全局變量globalConfigService。

3.4、發出變更通知

​​​  此處舉2個例子,說明發出變更通知的例子,這兩個例子,都在用戶管理模塊,UserManServiceImpl類中。

​​​  1)管理員修改用戶信息,可能導致權限相關項發生變動,2)禁用用戶,發出變更過通知。

​​​  發出通知的相關代碼如下:

/**
	 * 
	 * @methodName		: editUser
	 * @description		: 修改用戶信息
	 * @param userInfo	: 用戶信息對象
	 * @history		:
	 * ------------------------------------------------------------------------------
	 * date			version		modifier		remarks                   
	 * ------------------------------------------------------------------------------
	 * 2021/06/08	1.0.0		sheng.zheng		初版
	 * 2021/06/28	1.0.1		sheng.zheng		增加變更通知的處理
	 *
	 */
	@Override
	public void editUser(HttpServletRequest request,UserInfo userInfo) {
		//輸入參數校驗
		checkValidForParams("editUser",userInfo);
		
		//獲取操作人賬號
		String operatorName = (String) request.getSession().getAttribute("username");
		userInfo.setOperatorName(operatorName);		

		//登錄名和密碼不修改
		userInfo.setLoginName(null);
		userInfo.setSalt(null);
		userInfo.setPasswd(null);
		
		//獲取修改之前的用戶信息
		Integer userId = userInfo.getUserId();
		UserInfo oldUserInfo = userManDao.selectUserByKey(userId);

		//修改用戶記錄
		try {
			userManDao.updateSelective(userInfo);			
		}catch(Exception e) {
			e.printStackTrace();
			log.error(e.getMessage());
			throw new BaseException(ExceptionCodes.USERS_EDIT_USER_FAILED);
		}
		
		//檢查是否有需要通知的變更
		Integer changeFlag = 0;
		if (userInfo.getRoles() != null) {
			if(oldUserInfo.getRoles() != userInfo.getRoles()) {
				//角色組合有變化,bit0
				changeFlag |= 0x01;
			}
		}
		if (userInfo.getDeptId() != null) {
			if (oldUserInfo.getDeptId() != userInfo.getDeptId()) {
				//部門ID有變化,bit3
				changeFlag |= 0x08;
			}
		}
		if (changeFlag > 0) {
			//如果有變更過通知項
			//獲取全局變量
			ServletContext servletContext = request.getServletContext();
			GlobalConfigService globalConfigService = (GlobalConfigService)servletContext.getAttribute("GLOBAL_CONFIG_SERVICE");
			globalConfigService.getChangeNotifyService().setChangeNotifyInfo(userId, changeFlag);			
		}
	}

	/**
	 * 
	 * @methodName		: disableUser
	 * @description		: 禁用用戶
	 * @param params	: map對象,形式如下:
	 * 	{
	 * 		"userId"	: 1
	 * 	}
	 * @history		:
	 * ------------------------------------------------------------------------------
	 * date			version		modifier		remarks                   
	 * ------------------------------------------------------------------------------
	 * 2021/06/08	1.0.0		sheng.zheng		初版
	 * 2021/06/28	1.0.1		sheng.zheng		增加變更通知的處理
	 *
	 */
	@Override
	public void disableUser(HttpServletRequest request,Map<String,Object> params) {
		//輸入參數校驗
		checkValidForParams("disableUser",params);
		
		UserInfo userInfo = new UserInfo();
		
		//獲取操作人賬號
		String operatorName = (String) request.getSession().getAttribute("username");
		
		//設置userInfo信息
		Integer userId = (Integer)params.get("userId");
		userInfo.setUserId(userId);
		userInfo.setOperatorName(operatorName);
		//設置禁用標記
		userInfo.setDeleteFlag((byte)1);
		
		//修改密碼
		try {
			userManDao.updateEnable(userInfo);			
		}catch(Exception e) {
			e.printStackTrace();
			log.error(e.getMessage());
			throw new BaseException(ExceptionCodes.USERS_EDIT_USER_FAILED);
		}		
		
		//禁用用戶,發出變更通知
		//獲取全局變量
		ServletContext servletContext = request.getServletContext();
		GlobalConfigService globalConfigService = (GlobalConfigService)servletContext.getAttribute("GLOBAL_CONFIG_SERVICE");
		//禁用用戶:bit2
		globalConfigService.getChangeNotifyService().setChangeNotifyInfo(userId, 0x04);				
	}

​​  本demo項目的角色相對較少,沒有使用用戶角色關系表,而是使用瞭bitmap編碼,角色ID取值為2^n,用戶角色組合roles字段為一個Integer值。如roles=7,表示角色ID組合=[1,2,4]。
​​  另外,如果修改瞭角色的功能權限集合,則需要查詢受影響的用戶ID列表,依次發出通知,可類似處理。

3.5、修改Response響應消息體

​​​  Response響應消息體,為BaseResponse,代碼如下:

package com.abc.questInvest.vo.common;

import lombok.Data;

/**
 * @className		: BaseResponse
 * @description		: 基本響應消息體對象
 * @summary		:
 * @history		:
 * ------------------------------------------------------------------------------
 * date			version		modifier		remarks                   
 * ------------------------------------------------------------------------------
 * 2021/05/31	1.0.0		sheng.zheng		初版
 * 2021/06/28	1.0.1		sheng.zheng		增加變更通知的附加信息
 *
 */
@Data
public class BaseResponse<T> {
    //響應碼
    private int code;

    //響應消息
    private String message;
        
    //響應實體信息
    private T data;

    //分頁信息
    private Page page;

    //附加通知信息
    private Additional additional;
}

​​  BaseResponse類增加瞭Additional類型的additional屬性字段,用於輸出附加信息。

​​  Additional類的定義如下:

package com.abc.questInvest.vo.common;

import lombok.Data;

/**
 * @className		: Additional
 * @description		: 附加信息
 * @summary		:
 * @history		:
 * ------------------------------------------------------------------------------
 * date			version		modifier		remarks                   
 * ------------------------------------------------------------------------------
 * 2021/06/28	1.0.0		sheng.zheng		初版
 *
 */
@Data
public class Additional {
    //通知碼,附加信息
    private int notifycode;

    //通知碼對應的消息
    private String notification;
    
    //更新的token
    private String token;
    
    //更新的功能權限樹
    private String rights;

}

​​  附加信息類Additional中,各屬性字段的說明:

  • notifycode,為通知碼,即可對應通知消息的類型,目前隻有一種,可擴展。
  • notification,為通知碼對應的消息。

​​  通知碼,在ExceptionCodes枚舉文件中定義:

  //變更通知信息
    USER_RIGHTS_CHANGED(51, "message.USER_RIGHTS_CHANGED", "用戶權限發生變更"),
	;  //end enum

    ExceptionCodes(int code, String messageId, String message) {
        this.code = code;
        this.messageId = messageId;
        this.message = message;
    }
  • token,用於要求前端更新token。更新token的目的是確認前端已經收到權限變更通知。因為下次url請求將使用新的token,如果前端未收到或未處理,仍然用舊的token訪問,就要跳到登錄頁瞭。
  • rights,功能樹的字符串輸出,是樹型結構的JSON字符串。

3.6、AOP鑒權處理

​​​  AuthorizationAspect為鑒權認證的切面類,代碼如下:

package com.abc.questInvest.aop;

import java.util.List;

import javax.servlet.ServletContext;
import javax.servlet.http.HttpServletRequest;

import org.aspectj.lang.annotation.AfterReturning;
import org.aspectj.lang.annotation.Aspect;
import org.aspectj.lang.annotation.Before;
import org.aspectj.lang.annotation.Pointcut;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.core.annotation.Order;
import org.springframework.stereotype.Component;
import org.springframework.web.context.request.RequestContextHolder;
import org.springframework.web.context.request.ServletRequestAttributes;

import com.abc.questInvest.common.constants.Constants;
import com.abc.questInvest.common.utils.Utility;
import com.abc.questInvest.dao.UserManDao;
import com.abc.questInvest.entity.FunctionInfo;
import com.abc.questInvest.entity.UserInfo;
import com.abc.questInvest.exception.BaseException;
import com.abc.questInvest.exception.ExceptionCodes;
import com.abc.questInvest.service.GlobalConfigService;
import com.abc.questInvest.service.LoginService;
import com.abc.questInvest.vo.TreeNode;
import com.abc.questInvest.vo.common.Additional;
import com.abc.questInvest.vo.common.BaseResponse;

/**
 * @className		: AuthorizationAspect
 * @description		: 接口訪問鑒權切面類
 * @summary		: 使用AOP,進行token認證以及用戶對接口的訪問權限鑒權
 * @history		:
 * ------------------------------------------------------------------------------
 * date			version		modifier		remarks                   
 * ------------------------------------------------------------------------------
 * 2021/06/06	1.0.0		sheng.zheng		初版
 * 2021/06/28	1.0.1		sheng.zheng		增加變更通知的處理,增加瞭afterReturning增強
 *
 */
@Aspect
@Component
@Order(2)
public class AuthorizationAspect {
	@Autowired
    private UserManDao userManDao;
	
	//設置切點
    @Pointcut("execution(public * com.abc.questInvest.controller..*.*(..))" +
    "&& !execution(public * com.abc.questInvest.controller.LoginController.*(..))" + 
    "&& !execution(public * com.abc.questInvest.controller.QuestInvestController.*(..))")    
    public void verify(){}
    
    @Before("verify()") 
    public void doVerify(){ 
		ServletRequestAttributes attributes=(ServletRequestAttributes) RequestContextHolder.getRequestAttributes();

		HttpServletRequest request=attributes.getRequest(); 
		
		// ================================================================================
		// token認證
		
		//從header中獲取token值
		String token = request.getHeader("Authorization");
		if (null == token || token.equals("")){ 
			//return;
			throw new BaseException(ExceptionCodes.TOKEN_IS_NULL); 
		} 
    	
		//從session中獲取token和過期時間
		String sessionToken = (String)request.getSession().getAttribute("token");
		
		//判斷session中是否有信息,可能是非登錄用戶
		if (null == sessionToken || sessionToken.equals("")) {
			throw new BaseException(ExceptionCodes.TOKEN_WRONG);
		}
    	
		//比較token
		if(!token.equals(sessionToken)) {
			//如果請求頭中的token與存在session中token兩者不一致
			throw new BaseException(ExceptionCodes.TOKEN_WRONG);			
		}
		
		long expireTime = (long)request.getSession().getAttribute("expireTime");
		//檢查過期時間
		long time = System.currentTimeMillis();
		if (time > expireTime) {
			//如果token過期
			throw new BaseException(ExceptionCodes.TOKEN_EXPIRED);
		}else {
			//token未過期,更新過期時間
			long newExpiredTime = time + Constants.TOKEN_EXPIRE_TIME * 1000;
			request.getSession().setAttribute("expireTime", newExpiredTime);
		}
		
		// ============================================================================
		// 接口調用權限
		//獲取用戶ID
		Integer userId = (Integer)request.getSession().getAttribute("userId"); 
		//獲取全局變量
		ServletContext servletContext = request.getServletContext();
		GlobalConfigService globalConfigService = (GlobalConfigService)servletContext.getAttribute("GLOBAL_CONFIG_SERVICE");
		
		//===================變更通知處理開始==============================================
		//檢查有無變更通知信息
		Integer changeNotifyInfo = globalConfigService.getChangeNotifyService().getChangeNotifyInfo(userId);
		//通知前端權限變更的標記
		boolean rightsChangedFlag = false;		
		if (changeNotifyInfo > 0) {
			//有通知信息
			if ((changeNotifyInfo & 0x09) > 0) {
				//bit0:修改用戶的角色組合值,從而導致權限變更
				//bit3:用戶調整部門,從而導致數據權限變更
				//mask 0b1001 = 0x09 
				//都需要查詢用戶表,並更新信息;合在一起查詢。
				UserInfo userInfo = userManDao.selectUserByKey(userId);
				//更新Session
		    	        request.getSession().setAttribute("roles", userInfo.getRoles());
		    	        request.getSession().setAttribute("deptId", userInfo.getDeptId());	
  		    	        if ((changeNotifyInfo & 0x01) > 0) {
  		    		        //權限變更標志置位
  		    		        rightsChangedFlag = true;
  		    	        }
			}else if((changeNotifyInfo & 0x02) > 0) {
				//bit1:修改角色的功能值,從而導致權限變更
	    		        //權限變更標志置位
	    		      rightsChangedFlag = true;
			}else if((changeNotifyInfo & 0x04) > 0) {
				//bit2:用戶禁用,從而導致權限變更
				//設置無效token,可阻止該用戶訪問系統
				request.getSession().setAttribute("token", "");
				//直接拋出異常,由前端顯示:Forbidden頁面
				throw new BaseException(ExceptionCodes.ACCESS_FORBIDDEN);
			}
			if (rightsChangedFlag == true) {
				//寫Session,用於將信息傳遞到afterReturning方法中
				request.getSession().setAttribute("rightsChanged", 1);
			}
		}
		//===================變更通知處理結束==============================================
				
		//從session中獲取用戶權限值
		Integer roles = (Integer)request.getSession().getAttribute("roles");
		//獲取當前接口url值
		String servletPath = request.getServletPath();
				
		//獲取該角色對url的訪問權限
		Integer rights = globalConfigService.getRoleFuncRightsService().getRoleUrlRights(Utility.parseRoles(roles), servletPath);
		if (rights == 0) {
			//如果無權限訪問此接口,拋出異常,由前端顯示:Forbidden頁面
			throw new BaseException(ExceptionCodes.ACCESS_FORBIDDEN);
		}		
    }    
    
    @AfterReturning(value="verify()" ,returning="result")
    public void afterReturning(BaseResponse result) {
    	//限制必須是BaseResponse類型,其它類型的返回值忽略
    	//獲取Session
        ServletRequestAttributes sra = (ServletRequestAttributes)RequestContextHolder.getRequestAttributes();
        HttpServletRequest request = sra.getRequest();
    	Integer rightsChanged = (Integer)request.getSession().getAttribute("rightsChanged");
    	if (rightsChanged != null && rightsChanged == 1) {
    		//如果有用戶權限變更,通知前端來刷新該用戶的功能權限樹
    		//構造附加信息
    		Additional additional = new Additional();
    		additional.setNotifycode(ExceptionCodes.USER_RIGHTS_CHANGED.getCode());
    		additional.setNotification(ExceptionCodes.USER_RIGHTS_CHANGED.getMessage());
    		//更新token
    		String loginName = (String)request.getSession().getAttribute("username");
    		String token = LoginService.generateToken(loginName);
    		additional.setToken(token);
    		//更新token,要求下次url訪問使用新的token
    		request.getSession().setAttribute("token", token);
    		//獲取用戶的功能權限樹
    		Integer roles = (Integer)request.getSession().getAttribute("roles");
    		ServletContext servletContext = request.getServletContext();
    		GlobalConfigService globalConfigService = (GlobalConfigService)servletContext.getAttribute("GLOBAL_CONFIG_SERVICE");
        	//獲取用戶權限的角色功能樹
    		List<Integer> roleList = Utility.parseRoles(roles);
        	TreeNode<FunctionInfo> rolesFunctionTree = 
        			globalConfigService.getRoleFuncRightsService().
        			getRoleRights(roleList);
        	additional.setRights(rolesFunctionTree.toString());
    		//修改response信息
        	result.setAdditional(additional);
    		//移除Session的rightsChanged項
    		request.getSession().removeAttribute("rightsChanged");
    	}
    }
}

​​  AuthorizationAspect類定義瞭切點verify(),@Before增強用於鑒權驗證,增加瞭對變更通知信息的處理。並利用Session,用rightsChanged屬性字段記錄需要通知前端的標志,在@AfterReturning後置增強中根據該屬性字段的值,進行一步的處理。

​​  @Before增強的doVerify方法中,如果發現角色組合有改變,但仍有訪問此url權限時,會繼續後續處理,這樣不會中斷業務;如果沒有訪問此url權限,則返回訪問受限異常信息,由前端顯示訪問受限頁碼(類似403 Forbidden 頁碼)。

​​  在後置增強@AfterReturning中,限定瞭返回值類型,如果該請求響應的類型是BaseResponse類型,則修改reponse消息體,附加通知信息;如果不是,則不處理,會等待下一個url請求,直到返回類型是BaseResponse類型。也可以采用自定義response的header的方式,這樣,就無需等待瞭。

​​  generateToken方法,是LoginService類的靜態方法,用於生成用戶token。

​​  至於Utility的parseRoles方法,是將bitmap編碼的roles解析為角色ID的列表,代碼如下:

	//========================= 權限組合值解析 ======================================    	
    /**
     * 
     * @methodName		: parseRoles
     * @description		: 解析角色組合值
     * @param roles		: 按位設置的角色組合值
     * @return			: 角色ID列表
     * @history			:
     * ------------------------------------------------------------------------------
     * date			version		modifier		remarks                   
     * ------------------------------------------------------------------------------
     * 2021/06/24	1.0.0		sheng.zheng		初版
     *
     */
    public static List<Integer> parseRoles(int roles){
    	List<Integer> roleList = new ArrayList<Integer>();

    	int newRoles = roles;
    	int bit0 = 0;
    	int roleId = 0;
    	for (int i = 0; i < 32; i++) {
    		//如果組合值的餘位都為0,則跳出
    		if (newRoles == 0) {
    			break;
    		}
    		
    		//取得最後一位
    		bit0 = newRoles & 0x01;
    		if (bit0 == 1) {
    			//如果該位為1,左移i位
    			roleId = 1 << i;
    			roleList.add(roleId);
    		}
    		
    		//右移一位
    		newRoles = newRoles >> 1;
    	}
    	return roleList;
    }	

​​  getRoleRights方法,是角色功能權限服務類RoleFuncRightsService的方法,它提供瞭根據List類型的角色ID列表,快速獲取功能權限樹的功能。
​​  關於功能權限樹TreeNode類型,請參閱:《Java通用樹結構數據管理》。

到此這篇關於Spring Boot動態權限變更實現的整體方案的文章就介紹到這瞭,更多相關Spring Boot動態權限內容請搜索WalkonNet以前的文章或繼續瀏覽下面的相關文章希望大傢以後多多支持WalkonNet!

推薦閱讀: