Spring Security權限想要細化到按鈕實現示例
引言
因為寫瞭不少 Spring Security 文章的緣故,所以總是有小夥伴來問松哥:按鈕級別的權限怎麼實現?甚至有一些看過 vhr 的小夥伴也問這種問題,其實有的時候搞得我確實挺鬱悶的,最近剛好要做 TienChin 項目,我就再把這個問題拎出來和小夥伴們仔細捋一捋。
1. 權限顆粒度
首先小夥伴們都知道權限有不同的顆粒度,在 vhr 項目中,整體上我是基於請求地址去處理權限的,這個粒度算粗還是算細呢?
有的小夥伴們可能認為這個權限粒度太粗,所謂細粒度的權限應該是基於按鈕的。
如果有小夥伴們做過前後端不分的開發,應該會有這樣的體會:在 Shiro 或者 Spring Security 框架中,都提供瞭一些標簽,通過這些標簽可以做到在滿足某種角色或者權限的情況下,顯示某個按鈕;當用戶不具備某種角色或者權限的時候,按鈕則會自動隱藏起來。
但是大傢想想,按鈕的顯示與隱藏不過是前端頁面為瞭提高用戶體驗而作出的樣式的變化而已,本質上,當你點擊一個按鈕的時候,還是發送瞭一個 HTTP 請求,那麼服務端處理該請求的接口,必須要進行權限控制。既然要在接口上進行權限控制,那麼跟 vhr 的區別在哪裡呢?
現在流行前後端分離開發,所以 Shiro 或者 Spring Security 中的那些前端標簽現在基本上都不用瞭,取而代之的做法是用戶在登錄成功之後,向服務端發送請求,獲取當前登錄用戶的權限以及角色信息,然後根據這些權限、角色等信息,在前端自動的去判斷一個菜單或者按鈕應該是顯示還是隱藏,這麼做的目的是為瞭提高用戶體驗,避免用戶點擊一個沒有權限的按鈕。前端的顯示或者隱藏僅僅隻是為瞭提高用戶體驗,真正的權限控制還是要後端來做。
後端可以在接口或者業務層對權限進行處理,具體在哪裡做,就要看各自的項目瞭。
所以,vhr 中的權限,從設計上來說,粒度並不算粗,也是細粒度的,隻不過跟菜單表放在瞭一起,小夥伴們可能感覺有點粗。但是,菜單表是可以繼續細化的,我們可以繼續在菜單表中添加新的記錄,新記錄的 hidden 字段為 true,則菜單是隱藏的,就單純隻是細化權限而已。
如下圖可以繼續添加新的訪問規則,隻不過把 enabled 字段設置為 false 即可(這樣菜單就不會顯示出來瞭,單純就隻是權限的配置)。
所以 vhr 的權限設計是 OK 的。
當你理解瞭 vhr 中的權限設計,再來看 TienChin 這個項目,或者說看 RuoYi-Vue 這個腳手架,就會發現非常 easy 瞭。
2. 權限表
首先我們來看看資源表的定義,也就是 sys_menu。
CREATE TABLE `sys_menu` ( `menu_id` bigint(20) NOT NULL AUTO_INCREMENT COMMENT '菜單ID', `menu_name` varchar(50) COLLATE utf8mb4_unicode_ci NOT NULL COMMENT '菜單名稱', `parent_id` bigint(20) DEFAULT '0' COMMENT '父菜單ID', `order_num` int(4) DEFAULT '0' COMMENT '顯示順序', `path` varchar(200) COLLATE utf8mb4_unicode_ci DEFAULT '' COMMENT '路由地址', `component` varchar(255) COLLATE utf8mb4_unicode_ci DEFAULT NULL COMMENT '組件路徑', `query` varchar(255) COLLATE utf8mb4_unicode_ci DEFAULT NULL COMMENT '路由參數', `is_frame` int(1) DEFAULT '1' COMMENT '是否為外鏈(0是 1否)', `is_cache` int(1) DEFAULT '0' COMMENT '是否緩存(0緩存 1不緩存)', `menu_type` char(1) COLLATE utf8mb4_unicode_ci DEFAULT '' COMMENT '菜單類型(M目錄 C菜單 F按鈕)', `visible` char(1) COLLATE utf8mb4_unicode_ci DEFAULT '0' COMMENT '菜單狀態(0顯示 1隱藏)', `status` char(1) COLLATE utf8mb4_unicode_ci DEFAULT '0' COMMENT '菜單狀態(0正常 1停用)', `perms` varchar(100) COLLATE utf8mb4_unicode_ci DEFAULT NULL COMMENT '權限標識', `icon` varchar(100) COLLATE utf8mb4_unicode_ci DEFAULT '#' COMMENT '菜單圖標', `create_by` varchar(64) COLLATE utf8mb4_unicode_ci DEFAULT '' COMMENT '創建者', `create_time` datetime DEFAULT NULL COMMENT '創建時間', `update_by` varchar(64) COLLATE utf8mb4_unicode_ci DEFAULT '' COMMENT '更新者', `update_time` datetime DEFAULT NULL COMMENT '更新時間', `remark` varchar(500) COLLATE utf8mb4_unicode_ci DEFAULT '' COMMENT '備註', PRIMARY KEY (`menu_id`) ) ENGINE=InnoDB AUTO_INCREMENT=3054 DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_unicode_ci COMMENT='菜單權限表';
其實這裡很多字段都和我們 vhr 項目項目很相似,我也就不重復囉嗦瞭,我這裡主要和小夥伴們說一個字段,那就是 menu_type。
menu_type 表示一個菜單字段的類型,一個菜單有三種類型,分別是目錄(M)、菜單(C)以及按鈕(F)。這裡所說的目錄,相當於我們在 vhr 中所說的一級菜單,菜單相當於我們在 vhr 中所說的二級菜單。
當用戶從前端登錄成功後,要去動態加載的菜單的時候,就查詢 M 和 C 類型的數據即可,F 類型的數據不是菜單項,查詢的時候直接過濾掉即可,通過 menu_type 這個字段可以輕松的過濾掉 F 類型的數據。小夥伴們想想,F 類型的數據過濾掉之後,剩下的數據不就是一級菜單和二級菜單瞭,那不就和 vhr 又一樣瞭麼!
最後再來說說 F 類型的,F 類型的就是按鈕級別的權限瞭,前端每一個按鈕的執行,需要哪些權限,現在就在這裡定義好。
舉一個簡單的例子大傢來看下:
當需要展示用戶管理這個菜單的時候,需要 system:user:list 這個權限,當需要點擊用戶修改這個按鈕的時候,則需要 system:user:edit 這個權限。
其他相關的表基本上和 vhr 都是一樣的,用戶有用戶表 sys_user,角色有角色表 sys_role,用戶和角色關聯的表是 sys_user_role,資源和角色關聯的表是 sys_role_menu。
當用戶登錄成功後,後端會提供一個接口,將當前用戶的角色和權限統統返回給前端:
- 查詢角色思路:根據用戶 id,先去
sys_user_role表中查詢到角色 id,再根據角色 id 去sys_role表中查詢到對應的角色(這裡為瞭方便大傢理解這麼描述,實際上一個多表聯合查詢即可)。 - 查詢權限思路:根據用戶 id,先去
sys_user_role表中查詢到角色 id,再根據角色 id 去sys_role表中查詢到對應的角色,再拿著角色 id 去sys_role_menu表中查詢到對應的menu_id,再根據menu_id去sys_menu表中查詢到對應的 menu 中的權限(這裡為瞭方便大傢理解這麼描述,實際上一個多表聯合查詢即可)。
前端有瞭用戶的權限以及角色之後,就可以自行決定是否顯示某一個菜單或者是否展示某一個按鈕瞭。
3. 後端權限判斷
我先來說說這塊 TienChin 項目中是怎麼做的(即 RuoYi 腳手架的實現方案),再來和 vhr 進行一個對比。
在 TienChin 項目中是通過註解來控制權限的,接口的訪問權限都是通過註解來標記的,例如下面這種:
@PreAuthorize("@ss.hasPermi('system:menu:add')")
@PostMapping
public AjaxResult add(@Validated @RequestBody SysMenu menu) {
//省略
}
/**
* 修改菜單
*/
@PreAuthorize("@ss.hasPermi('system:menu:edit')")
@PutMapping
public AjaxResult edit(@Validated @RequestBody SysMenu menu) {
//省略
}
/**
* 刪除菜單
*/
@PreAuthorize("@ss.hasPermi('system:menu:remove')")
@DeleteMapping("/{menuId}")
public AjaxResult remove(@PathVariable("menuId") Long menuId) {
//省略
}
每一個接口需要什麼權限,都是通過 @PreAuthorize 註解來實現的,關於這個註解的使用原理,松哥之前也有兩篇文章:
SpringSecurity怎樣使用註解控制權限
Spring Security 中的權限註解
看懂瞭這兩篇文章,上面這個註解就懂瞭,我這裡不贅述。
不過上面這種寫法說到底還是有一點“硬編碼”,因為訪問哪個接口需要哪些權限,在代碼中固定瞭,如果接口和權限直接的關系能夠保存到數據庫中,那麼用戶就可以在自己需要的時候,隨時進行靈活修改,豈不美哉!
在 vhr 項目中,松哥利用 Spring Security 中自定義 FilterInvocationSecurityMetadataSource 和 AccessDecisionManager 實現瞭服務端動態控制權限。這個具體的實現思路之前的文章中也和大傢分享過瞭,傳送門:Spring Security 動態權限實現方案!,這裡就不贅述瞭。
相對來說,vhr 中的實現方案更靈活一些,因為可以配置接口和權限之間的關系。不過怎麼說呢?其實像 RuoYi-Vue 這樣硬編碼其實也不是不可以,畢竟接口和權限之間的映射關系還是稍顯“專業”一些,普通用戶可能並不懂該如何配置,這個加入說系統提供瞭這個功能,那麼更多的還是面向程序員這一類專業人員的,那麼程序員到底是否需要這個功能呢?我覺得還是得具體情況具體分析。
總之,小夥伴們可以結合自己項目的實際情況,來決定接口和權限之間的映射關系是否需要動態管理,如果需要動態管理,那麼可以按照 vhr 中的方案來,如果不需要動態管理,那麼就按照 RuoYi-Vue 腳手架中的方式來就行瞭。
那麼用戶的權限該如何設置?今天我們就來聊聊這個話題。
4. 角色與權限
首先我們先來看看角色與權限,該如何設計角色與權限,其實有很多非常成熟的理論,最為常見的莫過於 RBAC 瞭。
4.1 RBAC 簡介
RBAC(Role-based access control)是一種以角色為基礎的訪問控制(Role-based access control,RBAC),它是一種較新且廣為使用的權限控制機制,這種機制不是直接給用戶賦予權限,而是將權限賦予角色。
RBAC 權限模型將用戶按角色進行歸類,通過用戶的角色來確定用戶對某項資源是否具備操作權限。RBAC 簡化瞭用戶與權限的管理,它將用戶與角色關聯、角色與權限關聯、權限與資源關聯,這種模式使得用戶的授權管理變得非常簡單和易於維護。
4.2 RBAC 的提出
權限、角色這些東西,在早期 1970 年代的商業計算機程序中就可以找到相關的應用,但是早期的程序相對簡單,而且並不存在一個明確的、通用的、公認的權限管理模型。
Ferraiolo 和 Kuhn 兩位大佬於 1992 年提出瞭一種基於通用角色的訪問控制模型(看來這個模型比松哥年齡還大),首次提出瞭 RBAC 權限模型用來代替傳統的 MAC 和 DAC 兩種權限控制方案,並且就 RBAC 中的相關概念給出瞭解釋。
Ferraiolo,Cugini 和 Kuhn 於 1995 年擴展瞭 1992 年提出的權限模型。該模型的主要功能是所有訪問都是通過角色進行的,而角色本質上是權限的集合,並且所有用戶隻能通過角色獲得權限。在組織內,角色相對穩定,而用戶和權限都很多,並且可能會迅速變化。因此,通過角色控制權限可以簡化訪問控制的管理和檢查。
到瞭 1996 年,Sandhu,Coyne,Feinstein 和 Youman 正式提出瞭 RBAC 模型,該模型以模塊化方式細化瞭 RBAC,並提出瞭基於該理論的 RBAC0-RBAC3 四種不同模型。
今天,大多數信息技術供應商已將 RBAC 納入其產品線,除瞭常規的企業級應用,RBAC 也廣泛應用在醫療、國防等領域。
目前網上關於 RBAC 理論性的東西松哥隻找到英文的,感興趣的小夥伴可以看下,地址是:
- csrc.nist.gov/projects/Ro…
如果小夥伴們有中文的資料鏈接,歡迎留言說明。
4.3 RBAC 三原則
- 最小權限:給角色配置的權限是其完成任務所需要的最小權限集合。
- 責任分離:通過相互獨立互斥的角色來共同完成任務。
- 數據抽象:通過權限的抽象來體現,RBAC 支持的數據抽象程度與 RBAC 的實現細節有關。
4.4 RBAC 模型分類
說到 RBAC,我們就得從它的模型分類開始看起。
4.4.1 RBAC0
RBAC0 是最簡單的用戶、角色、權限模型。RBAC0 是 RBAC 權限模型中最核心的一部分,後面其他模型都是在此基礎上建立。
在 RBAC0 中,一個用戶可以具備多個角色,一個角色可以具備多個權限,最終用戶所具備的權限是用戶所具備的角色的權限並集。
4.4.2 RBAC1
RBAC1 則是在 RABC0 的基礎上引入瞭角色繼承,讓角色有瞭上下級關系。
在本系列前面的文章中,松哥也曾多次向大傢介紹過 Spring Security 中的角色繼承。
4.4.3 RBAC2
RBAC2 也是在 RBAC0 的基礎上進行擴展,引入瞭靜態職責分離和動態職責分離。
要理解職責分離,我們得先明白角色互斥。
在實際項目中,有一些角色是互斥的,對立的,例如財務這個角色一般是不能和其他角色兼任的,否則自己報賬自己審批,豈不是爽歪歪!
通過職責分離可以解決這個問題:
靜態職責分離
在設置階段就做好瞭限制。比如同一用戶不能授予互斥的角色,用戶隻能有有限個角色,用戶獲得高級權限之前要有低級權限等等。
動態職責分離
在運行階段進行限制。比如運行時同一用戶下5個角色中隻能同時有2個角色激活等等。
4.4.4 RBAC3
將 RBAC1 和 RBAC2 結合起來,就形成瞭 RBAC3。
4.5 擴展
我們日常見到的很多權限模型都是在 RBAC 的基礎上擴展出來的。
例如在有的系統中我們可以見到用戶組的概念,就是將用戶分組,用戶同時具備自身的角色以及分組的角色。
我們 TienChin 項目所用的腳手架中的權限,就基本上是按照 RBAC 這套權限模型來的。
5. 表設計
我們來看下 RuoYi-Vue 腳手架中跟用戶、角色以及權限相關的表。
這裡主要涉及到如下幾張表:
sys_user:這個是用戶表。
sys_role:這個是角色表。
sys_user_role:這個是用戶角色關聯表。
sys_menu:這個是菜單表,也可以理解為是資源表。
sys_role_menu:這個是資源角色關聯表。
通過用戶的 id,可以去 sys_user_role 表中查詢到這個用戶具備的角色 id,再根據角色 id,去 sys_role_menu 表中查詢到這個角色可以操作的資源 id,再根據資源 id,去 sys_menu 表中查詢到對應的資源,基本上就是這個樣一個流程。
那麼 Java 代碼中該怎麼做呢?
6. 代碼實現
首先定義瞭一個 Java 類 SysUser,這個跟數據庫中的 sys_user 表是對應的,我們來看 UserDetailsService 的具體實現:
@Service
public class UserDetailsServiceImpl implements UserDetailsService {
private static final Logger log = LoggerFactory.getLogger(UserDetailsServiceImpl.class);
@Autowired
private ISysUserService userService;
@Autowired
private SysPermissionService permissionService;
@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
SysUser user = userService.selectUserByUserName(username);
if (StringUtils.isNull(user)) {
log.info("登錄用戶:{} 不存在.", username);
throw new ServiceException("登錄用戶:" + username + " 不存在");
} else if (UserStatus.DELETED.getCode().equals(user.getDelFlag())) {
log.info("登錄用戶:{} 已被刪除.", username);
throw new ServiceException("對不起,您的賬號:" + username + " 已被刪除");
} else if (UserStatus.DISABLE.getCode().equals(user.getStatus())) {
log.info("登錄用戶:{} 已被停用.", username);
throw new ServiceException("對不起,您的賬號:" + username + " 已停用");
}
return createLoginUser(user);
}
public UserDetails createLoginUser(SysUser user) {
return new LoginUser(user.getUserId(), user.getDeptId(), user, permissionService.getMenuPermission(user));
}
}
從數據庫中查詢到的就是 SysUser 對象,然後對該對象稍作改造,將之改造成為一個 LoginUser 對象,這個 LoginUser 則是 UserDetails 接口的實現類,裡邊保存瞭當前登錄用戶的關鍵信息。
在創建 LoginUser 對象的時候,有一個 permissionService.getMenuPermission 方法用來查詢用戶的權限,根據當前用戶的 id,查詢到用戶的角色,再根據用戶角色,查詢到用戶的權限,另外,如果當前用戶的角色是 admin,那麼就設置用戶角色為 *:*:*,這是一段硬編碼。
我們再來看看 LoginUser 的設計:
public class LoginUser implements UserDetails {
/**
* 權限列表
*/
private Set<String> permissions;
/**
* 用戶信息
*/
private SysUser user;
public LoginUser(Long userId, Long deptId, SysUser user, Set<String> permissions) {
this.userId = userId;
this.deptId = deptId;
this.user = user;
this.permissions = permissions;
}
@JSONField(serialize = false)
@Override
public String getPassword() {
return user.getPassword();
}
@Override
public String getUsername() {
return user.getUserName();
}
/**
* 賬戶是否未過期,過期無法驗證
*/
@JSONField(serialize = false)
@Override
public boolean isAccountNonExpired() {
return true;
}
/**
* 指定用戶是否解鎖,鎖定的用戶無法進行身份驗證
*
* @return
*/
@JSONField(serialize = false)
@Override
public boolean isAccountNonLocked() {
return true;
}
/**
* 指示是否已過期的用戶的憑據(密碼),過期的憑據防止認證
*
* @return
*/
@JSONField(serialize = false)
@Override
public boolean isCredentialsNonExpired() {
return true;
}
/**
* 是否可用 ,禁用的用戶不能身份驗證
*
* @return
*/
@JSONField(serialize = false)
@Override
public boolean isEnabled() {
return true;
}
@Override
public Collection<? extends GrantedAuthority> getAuthorities() {
return null;
}
}
有一些屬性我省略掉瞭,大傢可以文末下載源碼查看。
小夥伴們看到,這個 LoginUser 實現瞭 UserDetails 接口,但是和 vhr 中有一個很大的不同,就是這裡沒有處理 getAuthorities 方法,也就是說當系統想要去獲取用戶權限的時候,二話不說直接返回一個 null。這是咋回事呢?
因為在這個腳手架中,將來進行權限校驗的時候,是按照下面這樣來的:
@PreAuthorize("@ss.hasPermi('system:menu:add')")
@PostMapping
public AjaxResult add(@Validated @RequestBody SysMenu menu) {
//省略
}
@PreAuthorize 註解中的 @ss.hasPermi('system:menu:add') 表達式,表示調用 Spring 容器中一個名為 ss 的 Bean 的 hasPermi 方法,去判斷當前用戶是否具備一個名為 system:menu:add 的權限。一個名為 ss 的 Bean 的 hasPermi 方法如下:
@Service("ss")
public class PermissionService {
/**
* 所有權限標識
*/
private static final String ALL_PERMISSION = "*:*:*";
/**
* 管理員角色權限標識
*/
private static final String SUPER_ADMIN = "admin";
private static final String ROLE_DELIMETER = ",";
private static final String PERMISSION_DELIMETER = ",";
/**
* 驗證用戶是否具備某權限
*
* @param permission 權限字符串
* @return 用戶是否具備某權限
*/
public boolean hasPermi(String permission) {
if (StringUtils.isEmpty(permission)) {
return false;
}
LoginUser loginUser = SecurityUtils.getLoginUser();
if (StringUtils.isNull(loginUser) || CollectionUtils.isEmpty(loginUser.getPermissions())) {
return false;
}
return hasPermissions(loginUser.getPermissions(), permission);
}
/**
* 判斷是否包含權限
*
* @param permissions 權限列表
* @param permission 權限字符串
* @return 用戶是否具備某權限
*/
private boolean hasPermissions(Set<String> permissions, String permission) {
return permissions.contains(ALL_PERMISSION) || permissions.contains(StringUtils.trim(permission));
}
}
由於這裡是純手工操作,在比較的時候,直接獲取到當前登錄用戶對象 LoginUser,再手動調用他的 hasPermissions 方法去判斷權限是否滿足,由於都是自定義操作,所以是否實現 UserDetails#getAuthorities 方法已經不重要瞭,不過按照這裡的比對方案,是不支持通配符的比對的。
例如用戶具備針對字典表的所有操作權限,表示為 system:dict:*,但是當和 system:dict:list 進行比較的時候,發現比較結果為 false,這塊想要比對成功也是可以的,例如可以通過正則表達式或者其他方式來操作,反正都是字符串比較,相信大傢都能自己搞得定。
現在,前端提供操作頁面,也可以配置每一個用戶的角色,也可以配置每一個角色可以操作的權限就行瞭,這個就比較簡單瞭,不多說。
更多Spring Security教程點擊,希望大傢以後多多支持WalkonNet!
推薦閱讀:
- Spring Boot + Mybatis Plus實現樹狀菜單的方法
- Spring Security使用數據庫登錄認證授權
- 詳解Spring Security中權限註解的使用
- JavaWeb倉庫管理系統詳解
- 詳細談談MYSQL中的COLLATE是什麼