關於Spring Boot動態權限變更問題的實現方案
1、前言
在Web項目中,權限管理即權限訪問控制為網站訪問安全提供瞭保障,並且很多項目使用瞭Session作為緩存,結合AOP技術進行token認證和權限控制。權限控制流程大致如下圖所示:
現在,如果管理員修改瞭用戶的角色,或修改瞭角色的權限,都會導致用戶權限發生變化,此時如何實現動態權限變更,使得前端能夠更新用戶的權限樹,後端訪問鑒權AOP模塊能夠知悉這種變更呢?
2、問題及解決方案
現在的問題是,管理員沒法訪問用戶Session,因此沒法將變更通知此用戶。而用戶如果已經登錄,或直接關閉瀏覽器頁面而不是登出操作,Session沒有過期前,用戶訪問接口時,訪問鑒權AOP模塊仍然是根據之前緩存的Session信息進行處理,沒法做到動態權限變更。
使用Security+WebSocket是一個方案,但沒法處理不在線用戶。
解決方案的核心思想是利用ServletContext對象的共享特性,來實現用戶權限變更的信息傳遞。然後在AOP類中查詢用戶是否有變更通知記錄需要處理,如果權限發生變化,則修改response消息體,添加附加通知信息給前端。前端收到附加的通知信息,可更新功能權限樹,並進行相關處理。
這樣,利用的變更通知服務,不僅後端的用戶url訪問接口可第一時間獲悉變更,還可以通知到前端,從而實現瞭動態權限變更。
3、方案實現
3.1、開發變更通知類
服務接口類ChangeNotifyService,代碼如下:
package com.abc.questInvest.service;
/**
* @className : ChangeNotifyService
* @description : 變更通知服務
* @summary :
* @history :
* ------------------------------------------------------------------------------
* date version modifier remarks
* ------------------------------------------------------------------------------
* 2021/06/28 1.0.0 sheng.zheng 初版
*
*/
public interface ChangeNotifyService {
/**
*
* @methodName : getChangeNotifyInfo
* @description : 獲取指定用戶ID的變更通知信息
* @param userId : 用戶ID
* @return : 返回0表示無變更通知信息,其它值按照bitmap編碼。目前定義如下:
* bit0: : 修改用戶的角色組合值,從而導致權限變更;
* bit1: : 修改角色的功能項,從而導致權限變更;
* bit2: : 用戶禁用,從而導致權限變更;
* bit3: : 用戶調整部門,從而導致數據權限變更;
* @history :
* ------------------------------------------------------------------------------
* date version modifier remarks
* ------------------------------------------------------------------------------
* 2021/06/28 1.0.0 sheng.zheng 初版
*
*/
public Integer getChangeNotifyInfo(Integer userId);
/**
*
* @methodName : setChangeNotifyInfo
* @description : 設置變更通知信息
* @param userId : 用戶ID
* @param changeNotifyInfo : 變更通知值
* bit0: : 修改用戶的角色組合值,從而導致權限變更;
* bit1: : 修改角色的功能項,從而導致權限變更;
* bit2: : 用戶禁用,從而導致權限變更;
* bit3: : 用戶調整部門,從而導致數據權限變更;
* @history :
* ------------------------------------------------------------------------------
* date version modifier remarks
* ------------------------------------------------------------------------------
* 2021/06/28 1.0.0 sheng.zheng 初版
*
*/
public void setChangeNotifyInfo(Integer userId,Integer changeNotifyInfo);
}
服務實現類ChangeNotifyServiceImpl,代碼如下:
package com.abc.questInvest.service.impl;
import java.util.HashMap;
import java.util.Map;
import org.springframework.stereotype.Service;
import com.abc.questInvest.service.ChangeNotifyService;
/**
* @className : ChangeNotifyServiceImpl
* @description : ChangeNotifyService實現類
* @summary :
* @history :
* ------------------------------------------------------------------------------
* date version modifier remarks
* ------------------------------------------------------------------------------
* 2021/06/28 1.0.0 sheng.zheng 初版
*
*/
@Service
public class ChangeNotifyServiceImpl implements ChangeNotifyService {
//用戶ID與變更過通知信息映射表
private Map<Integer,Integer> changeNotifyMap = new HashMap<Integer,Integer>();
/**
*
* @methodName : getChangeNotifyInfo
* @description : 獲取指定用戶ID的變更通知信息
* @param userId : 用戶ID
* @return : 返回0表示無變更通知信息,其它值按照bitmap編碼。目前定義如下:
* bit0: : 修改用戶的角色組合值,從而導致權限變更;
* bit1: : 修改角色的功能項,從而導致權限變更;
* bit2: : 用戶禁用,從而導致權限變更;
* bit3: : 用戶調整部門,從而導致數據權限變更;
* @history :
* ------------------------------------------------------------------------------
* date version modifier remarks
* ------------------------------------------------------------------------------
* 2021/06/28 1.0.0 sheng.zheng 初版
*
*/
@Override
public Integer getChangeNotifyInfo(Integer userId) {
Integer changeNotifyInfo = 0;
//檢查該用戶是否有變更通知信息
if (changeNotifyMap.containsKey(userId)) {
changeNotifyInfo = changeNotifyMap.get(userId);
//移除數據,加鎖保護
synchronized(changeNotifyMap) {
changeNotifyMap.remove(userId);
}
}
return changeNotifyInfo;
}
/**
*
* @methodName : setChangeNotifyInfo
* @description : 設置變更通知信息,該功能一般由管理員觸發調用
* @param userId : 用戶ID
* @param changeNotifyInfo : 變更通知值
* bit0: : 修改用戶的角色組合值,從而導致權限變更;
* bit1: : 修改角色的功能項,從而導致權限變更;
* bit2: : 用戶禁用,從而導致權限變更;
* bit3: : 用戶調整部門,從而導致數據權限變更;
* @history :
* ------------------------------------------------------------------------------
* date version modifier remarks
* ------------------------------------------------------------------------------
* 2021/06/28 1.0.0 sheng.zheng 初版
*
*/
@Override
public void setChangeNotifyInfo(Integer userId,Integer changeNotifyInfo) {
//檢查該用戶是否有變更通知信息
if (changeNotifyMap.containsKey(userId)) {
//如果有,表示之前變更通知未處理
//獲取之前的值
Integer oldChangeNotifyInfo = changeNotifyMap.get(userId);
//計算新值。bitmap編碼,或操作
Integer newChangeNotifyInfo = oldChangeNotifyInfo | changeNotifyInfo;
//設置數據,加鎖保護
synchronized(changeNotifyMap) {
changeNotifyMap.put(userId,newChangeNotifyInfo);
}
}else {
//如果沒有,設置一條
changeNotifyMap.put(userId,changeNotifyInfo);
}
}
}
此處,變更通知類型,與使用的demo項目有關,目前定義瞭4種變更通知類型。實際上,除瞭權限相關的變更,還有與Session緩存字段相關的變更,也需要通知,否則用戶還是在使用舊數據。
3.2、將變更通知類對象,納入全局配置服務對象中進行管理
全局配置服務類GlobalConfigService,負責管理全局的配置服務對象,服務接口類代碼如下:
package com.abc.questInvest.service;
/**
* @className : GlobalConfigService
* @description : 全局變量管理類
* @summary :
* @history :
* ------------------------------------------------------------------------------
* date version modifier remarks
* ------------------------------------------------------------------------------
* 2021/06/02 1.0.0 sheng.zheng 初版
*
*/
public interface GlobalConfigService {
/**
*
* @methodName : loadData
* @description : 加載數據
* @return : 成功返回true,否則返回false
* @history :
* ------------------------------------------------------------------------------
* date version modifier remarks
* ------------------------------------------------------------------------------
* 2021/06/02 1.0.0 sheng.zheng 初版
*
*/
public boolean loadData();
//獲取TableCodeConfigService對象
public TableCodeConfigService getTableCodeConfigService();
//獲取SysParameterService對象
public SysParameterService getSysParameterService();
//獲取FunctionTreeService對象
public FunctionTreeService getFunctionTreeService();
//獲取RoleFuncRightsService對象
public RoleFuncRightsService getRoleFuncRightsService();
//獲取ChangeNotifyService對象
public ChangeNotifyService getChangeNotifyService();
}
服務實現類GlobalConfigServiceImpl,代碼如下:
package com.abc.questInvest.service.impl;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Service;
import com.abc.questInvest.service.ChangeNotifyService;
import com.abc.questInvest.service.FunctionTreeService;
import com.abc.questInvest.service.GlobalConfigService;
import com.abc.questInvest.service.RoleFuncRightsService;
import com.abc.questInvest.service.SysParameterService;
import com.abc.questInvest.service.TableCodeConfigService;
/**
* @className : GlobalConfigServiceImpl
* @description : GlobalConfigService實現類
* @summary :
* @history :
* ------------------------------------------------------------------------------
* date version modifier remarks
* ------------------------------------------------------------------------------
* 2021/06/02 1.0.0 sheng.zheng 初版
*
*/
@Service
public class GlobalConfigServiceImpl implements GlobalConfigService{
//ID編碼配置表數據服務
@Autowired
private TableCodeConfigService tableCodeConfigService;
//系統參數表數據服務
@Autowired
private SysParameterService sysParameterService;
//功能樹表數據服務
@Autowired
private FunctionTreeService functionTreeService;
//角色權限表數據服務
@Autowired
private RoleFuncRightsService roleFuncRightsService;
//變更通知服務
@Autowired
private ChangeNotifyService changeNotifyService;
/**
*
* @methodName : loadData
* @description : 加載數據
* @return : 成功返回true,否則返回false
* @history :
* ------------------------------------------------------------------------------
* date version modifier remarks
* ------------------------------------------------------------------------------
* 2021/06/02 1.0.0 sheng.zheng 初版
*
*/
@Override
public boolean loadData() {
boolean bRet = false;
//加載table_code_config表記錄
bRet = tableCodeConfigService.loadData();
if (!bRet) {
return bRet;
}
//加載sys_parameters表記錄
bRet = sysParameterService.loadData();
if (!bRet) {
return bRet;
}
//changeNotifyService目前沒有持久層,無需加載
//如果服務重啟,信息丟失,也沒關系,因為此時Session也會失效
//加載function_tree表記錄
bRet = functionTreeService.loadData();
if (!bRet) {
return bRet;
}
//加載role_func_rights表記錄
//先設置完整功能樹
roleFuncRightsService.setFunctionTree(functionTreeService.getFunctionTree());
//然後加載數據
bRet = roleFuncRightsService.loadData();
if (!bRet) {
return bRet;
}
return bRet;
}
//獲取TableCodeConfigService對象
@Override
public TableCodeConfigService getTableCodeConfigService() {
return tableCodeConfigService;
}
//獲取SysParameterService對象
@Override
public SysParameterService getSysParameterService() {
return sysParameterService;
}
//獲取FunctionTreeService對象
@Override
public FunctionTreeService getFunctionTreeService() {
return functionTreeService;
}
//獲取RoleFuncRightsService對象
@Override
public RoleFuncRightsService getRoleFuncRightsService() {
return roleFuncRightsService;
}
//獲取ChangeNotifyService對象
@Override
public ChangeNotifyService getChangeNotifyService() {
return changeNotifyService;
}
}
GlobalConfigServiceImpl類,管理瞭很多配置服務類,此處主要關註ChangeNotifyService類對象。
3.3、使用ServletContext,管理全局配置服務類對象
全局配置服務類在應用啟動時加載到Spring容器中,這樣可實現共享,減少對數據庫的訪問壓力。
實現一個ApplicationListener類,代碼如下:
package com.abc.questInvest;
import javax.servlet.ServletContext;
import org.springframework.context.ApplicationListener;
import org.springframework.context.event.ContextRefreshedEvent;
import org.springframework.stereotype.Component;
import org.springframework.web.context.WebApplicationContext;
import com.abc.questInvest.service.GlobalConfigService;
/**
* @className : ApplicationStartup
* @description : 應用偵聽器
*
*/
@Component
public class ApplicationStartup implements ApplicationListener<ContextRefreshedEvent>{
//全局變量管理對象,此處不能自動註入
private GlobalConfigService globalConfigService = null;
@Override
public void onApplicationEvent(ContextRefreshedEvent contextRefreshedEvent) {
try {
if(contextRefreshedEvent.getApplicationContext().getParent() == null){
//root application context 沒有parent.
System.out.println("========定義全局變量==================");
// 將 ApplicationContext 轉化為 WebApplicationContext
WebApplicationContext webApplicationContext =
(WebApplicationContext)contextRefreshedEvent.getApplicationContext();
// 從 webApplicationContext 中獲取 servletContext
ServletContext servletContext = webApplicationContext.getServletContext();
//加載全局變量管理對象
globalConfigService = (GlobalConfigService)webApplicationContext.getBean(GlobalConfigService.class);
//加載數據
boolean bRet = globalConfigService.loadData();
if (false == bRet) {
System.out.println("加載全局變量失敗");
return;
}
//======================================================================
// servletContext設置值
servletContext.setAttribute("GLOBAL_CONFIG_SERVICE", globalConfigService);
}
} catch (Exception e) {
e.printStackTrace();
}
}
}
在啟動類中,加入該應用偵聽器ApplicationStartup。
public static void main(String[] args) {
SpringApplication springApplication = new SpringApplication(QuestInvestApplication.class);
springApplication.addListeners(new ApplicationStartup());
springApplication.run(args);
}
現在,有瞭一個GlobalConfigService類型的全局變量globalConfigService。
3.4、發出變更通知
此處舉2個例子,說明發出變更通知的例子,這兩個例子,都在用戶管理模塊,UserManServiceImpl類中。
1)管理員修改用戶信息,可能導致權限相關項發生變動,2)禁用用戶,發出變更過通知。
發出通知的相關代碼如下:
/**
*
* @methodName : editUser
* @description : 修改用戶信息
* @param userInfo : 用戶信息對象
* @history :
* ------------------------------------------------------------------------------
* date version modifier remarks
* ------------------------------------------------------------------------------
* 2021/06/08 1.0.0 sheng.zheng 初版
* 2021/06/28 1.0.1 sheng.zheng 增加變更通知的處理
*
*/
@Override
public void editUser(HttpServletRequest request,UserInfo userInfo) {
//輸入參數校驗
checkValidForParams("editUser",userInfo);
//獲取操作人賬號
String operatorName = (String) request.getSession().getAttribute("username");
userInfo.setOperatorName(operatorName);
//登錄名和密碼不修改
userInfo.setLoginName(null);
userInfo.setSalt(null);
userInfo.setPasswd(null);
//獲取修改之前的用戶信息
Integer userId = userInfo.getUserId();
UserInfo oldUserInfo = userManDao.selectUserByKey(userId);
//修改用戶記錄
try {
userManDao.updateSelective(userInfo);
}catch(Exception e) {
e.printStackTrace();
log.error(e.getMessage());
throw new BaseException(ExceptionCodes.USERS_EDIT_USER_FAILED);
}
//檢查是否有需要通知的變更
Integer changeFlag = 0;
if (userInfo.getRoles() != null) {
if(oldUserInfo.getRoles() != userInfo.getRoles()) {
//角色組合有變化,bit0
changeFlag |= 0x01;
}
}
if (userInfo.getDeptId() != null) {
if (oldUserInfo.getDeptId() != userInfo.getDeptId()) {
//部門ID有變化,bit3
changeFlag |= 0x08;
}
}
if (changeFlag > 0) {
//如果有變更過通知項
//獲取全局變量
ServletContext servletContext = request.getServletContext();
GlobalConfigService globalConfigService = (GlobalConfigService)servletContext.getAttribute("GLOBAL_CONFIG_SERVICE");
globalConfigService.getChangeNotifyService().setChangeNotifyInfo(userId, changeFlag);
}
}
/**
*
* @methodName : disableUser
* @description : 禁用用戶
* @param params : map對象,形式如下:
* {
* "userId" : 1
* }
* @history :
* ------------------------------------------------------------------------------
* date version modifier remarks
* ------------------------------------------------------------------------------
* 2021/06/08 1.0.0 sheng.zheng 初版
* 2021/06/28 1.0.1 sheng.zheng 增加變更通知的處理
*
*/
@Override
public void disableUser(HttpServletRequest request,Map<String,Object> params) {
//輸入參數校驗
checkValidForParams("disableUser",params);
UserInfo userInfo = new UserInfo();
//獲取操作人賬號
String operatorName = (String) request.getSession().getAttribute("username");
//設置userInfo信息
Integer userId = (Integer)params.get("userId");
userInfo.setUserId(userId);
userInfo.setOperatorName(operatorName);
//設置禁用標記
userInfo.setDeleteFlag((byte)1);
//修改密碼
try {
userManDao.updateEnable(userInfo);
}catch(Exception e) {
e.printStackTrace();
log.error(e.getMessage());
throw new BaseException(ExceptionCodes.USERS_EDIT_USER_FAILED);
}
//禁用用戶,發出變更通知
//獲取全局變量
ServletContext servletContext = request.getServletContext();
GlobalConfigService globalConfigService = (GlobalConfigService)servletContext.getAttribute("GLOBAL_CONFIG_SERVICE");
//禁用用戶:bit2
globalConfigService.getChangeNotifyService().setChangeNotifyInfo(userId, 0x04);
}
本demo項目的角色相對較少,沒有使用用戶角色關系表,而是使用瞭bitmap編碼,角色ID取值為2^n,用戶角色組合roles字段為一個Integer值。如roles=7,表示角色ID組合=[1,2,4]。
另外,如果修改瞭角色的功能權限集合,則需要查詢受影響的用戶ID列表,依次發出通知,可類似處理。
3.5、修改Response響應消息體
Response響應消息體,為BaseResponse,代碼如下:
package com.abc.questInvest.vo.common;
import lombok.Data;
/**
* @className : BaseResponse
* @description : 基本響應消息體對象
* @summary :
* @history :
* ------------------------------------------------------------------------------
* date version modifier remarks
* ------------------------------------------------------------------------------
* 2021/05/31 1.0.0 sheng.zheng 初版
* 2021/06/28 1.0.1 sheng.zheng 增加變更通知的附加信息
*
*/
@Data
public class BaseResponse<T> {
//響應碼
private int code;
//響應消息
private String message;
//響應實體信息
private T data;
//分頁信息
private Page page;
//附加通知信息
private Additional additional;
}
BaseResponse類增加瞭Additional類型的additional屬性字段,用於輸出附加信息。
Additional類的定義如下:
package com.abc.questInvest.vo.common;
import lombok.Data;
/**
* @className : Additional
* @description : 附加信息
* @summary :
* @history :
* ------------------------------------------------------------------------------
* date version modifier remarks
* ------------------------------------------------------------------------------
* 2021/06/28 1.0.0 sheng.zheng 初版
*
*/
@Data
public class Additional {
//通知碼,附加信息
private int notifycode;
//通知碼對應的消息
private String notification;
//更新的token
private String token;
//更新的功能權限樹
private String rights;
}
附加信息類Additional中,各屬性字段的說明:
- notifycode,為通知碼,即可對應通知消息的類型,目前隻有一種,可擴展。
- notification,為通知碼對應的消息。
通知碼,在ExceptionCodes枚舉文件中定義:
//變更通知信息
USER_RIGHTS_CHANGED(51, "message.USER_RIGHTS_CHANGED", "用戶權限發生變更"),
; //end enum
ExceptionCodes(int code, String messageId, String message) {
this.code = code;
this.messageId = messageId;
this.message = message;
}
- token,用於要求前端更新token。更新token的目的是確認前端已經收到權限變更通知。因為下次url請求將使用新的token,如果前端未收到或未處理,仍然用舊的token訪問,就要跳到登錄頁瞭。
- rights,功能樹的字符串輸出,是樹型結構的JSON字符串。
3.6、AOP鑒權處理
AuthorizationAspect為鑒權認證的切面類,代碼如下:
package com.abc.questInvest.aop;
import java.util.List;
import javax.servlet.ServletContext;
import javax.servlet.http.HttpServletRequest;
import org.aspectj.lang.annotation.AfterReturning;
import org.aspectj.lang.annotation.Aspect;
import org.aspectj.lang.annotation.Before;
import org.aspectj.lang.annotation.Pointcut;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.core.annotation.Order;
import org.springframework.stereotype.Component;
import org.springframework.web.context.request.RequestContextHolder;
import org.springframework.web.context.request.ServletRequestAttributes;
import com.abc.questInvest.common.constants.Constants;
import com.abc.questInvest.common.utils.Utility;
import com.abc.questInvest.dao.UserManDao;
import com.abc.questInvest.entity.FunctionInfo;
import com.abc.questInvest.entity.UserInfo;
import com.abc.questInvest.exception.BaseException;
import com.abc.questInvest.exception.ExceptionCodes;
import com.abc.questInvest.service.GlobalConfigService;
import com.abc.questInvest.service.LoginService;
import com.abc.questInvest.vo.TreeNode;
import com.abc.questInvest.vo.common.Additional;
import com.abc.questInvest.vo.common.BaseResponse;
/**
* @className : AuthorizationAspect
* @description : 接口訪問鑒權切面類
* @summary : 使用AOP,進行token認證以及用戶對接口的訪問權限鑒權
* @history :
* ------------------------------------------------------------------------------
* date version modifier remarks
* ------------------------------------------------------------------------------
* 2021/06/06 1.0.0 sheng.zheng 初版
* 2021/06/28 1.0.1 sheng.zheng 增加變更通知的處理,增加瞭afterReturning增強
*
*/
@Aspect
@Component
@Order(2)
public class AuthorizationAspect {
@Autowired
private UserManDao userManDao;
//設置切點
@Pointcut("execution(public * com.abc.questInvest.controller..*.*(..))" +
"&& !execution(public * com.abc.questInvest.controller.LoginController.*(..))" +
"&& !execution(public * com.abc.questInvest.controller.QuestInvestController.*(..))")
public void verify(){}
@Before("verify()")
public void doVerify(){
ServletRequestAttributes attributes=(ServletRequestAttributes) RequestContextHolder.getRequestAttributes();
HttpServletRequest request=attributes.getRequest();
// ================================================================================
// token認證
//從header中獲取token值
String token = request.getHeader("Authorization");
if (null == token || token.equals("")){
//return;
throw new BaseException(ExceptionCodes.TOKEN_IS_NULL);
}
//從session中獲取token和過期時間
String sessionToken = (String)request.getSession().getAttribute("token");
//判斷session中是否有信息,可能是非登錄用戶
if (null == sessionToken || sessionToken.equals("")) {
throw new BaseException(ExceptionCodes.TOKEN_WRONG);
}
//比較token
if(!token.equals(sessionToken)) {
//如果請求頭中的token與存在session中token兩者不一致
throw new BaseException(ExceptionCodes.TOKEN_WRONG);
}
long expireTime = (long)request.getSession().getAttribute("expireTime");
//檢查過期時間
long time = System.currentTimeMillis();
if (time > expireTime) {
//如果token過期
throw new BaseException(ExceptionCodes.TOKEN_EXPIRED);
}else {
//token未過期,更新過期時間
long newExpiredTime = time + Constants.TOKEN_EXPIRE_TIME * 1000;
request.getSession().setAttribute("expireTime", newExpiredTime);
}
// ============================================================================
// 接口調用權限
//獲取用戶ID
Integer userId = (Integer)request.getSession().getAttribute("userId");
//獲取全局變量
ServletContext servletContext = request.getServletContext();
GlobalConfigService globalConfigService = (GlobalConfigService)servletContext.getAttribute("GLOBAL_CONFIG_SERVICE");
//===================變更通知處理開始==============================================
//檢查有無變更通知信息
Integer changeNotifyInfo = globalConfigService.getChangeNotifyService().getChangeNotifyInfo(userId);
//通知前端權限變更的標記
boolean rightsChangedFlag = false;
if (changeNotifyInfo > 0) {
//有通知信息
if ((changeNotifyInfo & 0x09) > 0) {
//bit0:修改用戶的角色組合值,從而導致權限變更
//bit3:用戶調整部門,從而導致數據權限變更
//mask 0b1001 = 0x09
//都需要查詢用戶表,並更新信息;合在一起查詢。
UserInfo userInfo = userManDao.selectUserByKey(userId);
//更新Session
request.getSession().setAttribute("roles", userInfo.getRoles());
request.getSession().setAttribute("deptId", userInfo.getDeptId());
if ((changeNotifyInfo & 0x01) > 0) {
//權限變更標志置位
rightsChangedFlag = true;
}
}else if((changeNotifyInfo & 0x02) > 0) {
//bit1:修改角色的功能值,從而導致權限變更
//權限變更標志置位
rightsChangedFlag = true;
}else if((changeNotifyInfo & 0x04) > 0) {
//bit2:用戶禁用,從而導致權限變更
//設置無效token,可阻止該用戶訪問系統
request.getSession().setAttribute("token", "");
//直接拋出異常,由前端顯示:Forbidden頁面
throw new BaseException(ExceptionCodes.ACCESS_FORBIDDEN);
}
if (rightsChangedFlag == true) {
//寫Session,用於將信息傳遞到afterReturning方法中
request.getSession().setAttribute("rightsChanged", 1);
}
}
//===================變更通知處理結束==============================================
//從session中獲取用戶權限值
Integer roles = (Integer)request.getSession().getAttribute("roles");
//獲取當前接口url值
String servletPath = request.getServletPath();
//獲取該角色對url的訪問權限
Integer rights = globalConfigService.getRoleFuncRightsService().getRoleUrlRights(Utility.parseRoles(roles), servletPath);
if (rights == 0) {
//如果無權限訪問此接口,拋出異常,由前端顯示:Forbidden頁面
throw new BaseException(ExceptionCodes.ACCESS_FORBIDDEN);
}
}
@AfterReturning(value="verify()" ,returning="result")
public void afterReturning(BaseResponse result) {
//限制必須是BaseResponse類型,其它類型的返回值忽略
//獲取Session
ServletRequestAttributes sra = (ServletRequestAttributes)RequestContextHolder.getRequestAttributes();
HttpServletRequest request = sra.getRequest();
Integer rightsChanged = (Integer)request.getSession().getAttribute("rightsChanged");
if (rightsChanged != null && rightsChanged == 1) {
//如果有用戶權限變更,通知前端來刷新該用戶的功能權限樹
//構造附加信息
Additional additional = new Additional();
additional.setNotifycode(ExceptionCodes.USER_RIGHTS_CHANGED.getCode());
additional.setNotification(ExceptionCodes.USER_RIGHTS_CHANGED.getMessage());
//更新token
String loginName = (String)request.getSession().getAttribute("username");
String token = LoginService.generateToken(loginName);
additional.setToken(token);
//更新token,要求下次url訪問使用新的token
request.getSession().setAttribute("token", token);
//獲取用戶的功能權限樹
Integer roles = (Integer)request.getSession().getAttribute("roles");
ServletContext servletContext = request.getServletContext();
GlobalConfigService globalConfigService = (GlobalConfigService)servletContext.getAttribute("GLOBAL_CONFIG_SERVICE");
//獲取用戶權限的角色功能樹
List<Integer> roleList = Utility.parseRoles(roles);
TreeNode<FunctionInfo> rolesFunctionTree =
globalConfigService.getRoleFuncRightsService().
getRoleRights(roleList);
additional.setRights(rolesFunctionTree.toString());
//修改response信息
result.setAdditional(additional);
//移除Session的rightsChanged項
request.getSession().removeAttribute("rightsChanged");
}
}
}
AuthorizationAspect類定義瞭切點verify(),@Before增強用於鑒權驗證,增加瞭對變更通知信息的處理。並利用Session,用rightsChanged屬性字段記錄需要通知前端的標志,在@AfterReturning後置增強中根據該屬性字段的值,進行一步的處理。
@Before增強的doVerify方法中,如果發現角色組合有改變,但仍有訪問此url權限時,會繼續後續處理,這樣不會中斷業務;如果沒有訪問此url權限,則返回訪問受限異常信息,由前端顯示訪問受限頁碼(類似403 Forbidden 頁碼)。
在後置增強@AfterReturning中,限定瞭返回值類型,如果該請求響應的類型是BaseResponse類型,則修改reponse消息體,附加通知信息;如果不是,則不處理,會等待下一個url請求,直到返回類型是BaseResponse類型。也可以采用自定義response的header的方式,這樣,就無需等待瞭。
generateToken方法,是LoginService類的靜態方法,用於生成用戶token。
至於Utility的parseRoles方法,是將bitmap編碼的roles解析為角色ID的列表,代碼如下:
//========================= 權限組合值解析 ======================================
/**
*
* @methodName : parseRoles
* @description : 解析角色組合值
* @param roles : 按位設置的角色組合值
* @return : 角色ID列表
* @history :
* ------------------------------------------------------------------------------
* date version modifier remarks
* ------------------------------------------------------------------------------
* 2021/06/24 1.0.0 sheng.zheng 初版
*
*/
public static List<Integer> parseRoles(int roles){
List<Integer> roleList = new ArrayList<Integer>();
int newRoles = roles;
int bit0 = 0;
int roleId = 0;
for (int i = 0; i < 32; i++) {
//如果組合值的餘位都為0,則跳出
if (newRoles == 0) {
break;
}
//取得最後一位
bit0 = newRoles & 0x01;
if (bit0 == 1) {
//如果該位為1,左移i位
roleId = 1 << i;
roleList.add(roleId);
}
//右移一位
newRoles = newRoles >> 1;
}
return roleList;
}
getRoleRights方法,是角色功能權限服務類RoleFuncRightsService的方法,它提供瞭根據List類型的角色ID列表,快速獲取功能權限樹的功能。
關於功能權限樹TreeNode類型,請參閱:《Java通用樹結構數據管理》。
到此這篇關於Spring Boot動態權限變更實現的整體方案的文章就介紹到這瞭,更多相關Spring Boot動態權限內容請搜索WalkonNet以前的文章或繼續瀏覽下面的相關文章希望大傢以後多多支持WalkonNet!
推薦閱讀:
- 詳解Spring Boot使用系統參數表提升系統的靈活性
- SpringBoot 如何使用RestTemplate發送Post請求
- SpringBoot @ModelAttribute使用場景分析
- Spring Cloud OAuth2中/oauth/token的返回內容格式
- spring boot+ redis 接口訪問頻率限制的實現