在实际的软件项目开发过程中，用户权限控制可以说是所有运营系统中必不可少的一个重点功能，根据业务的复杂度，设计的时候可深可浅，但无论怎么变化，设计的思路基本都是围绕着用户、角色、菜单这三个部分展开。

如何设计一套可以精确到按钮级别的用户权限功能呢？

今天通过这篇文章一起来了解一下相关的实现逻辑，不多说了，直接上案例代码！

01、数据库设计

在进入项目开发之前，首先我们需要进行相关的数据库设计，以便能存储相关的业务数据。

对于【用户权限控制】功能，通常5张表基本就可以搞定，分别是：用户表、角色表、用户角色表、菜单表、角色菜单表，相关表结构示例如下。

其中，用户和角色是多对多的关系，角色与菜单也是多对多的关系，用户通过角色来关联到菜单，当然也有的用户权限控制模型中，直接通过用户关联到菜单，实现用户对某个菜单权限独有控制，这都不是问题，可以自由灵活扩展。

用户、角色表的结构设计，比较简单。下面，我们重点来解读一下菜单表的设计，如下：

可以看到，整个菜单表就是一个父子表结构，关键字段如下：

• name：菜单名称
• menu_code：菜单编码，用于后端权限控制
• parent_id：菜单父节点ID，方便递归遍历菜单
• node_type：菜单节点类型，可以是文件夹、页面或者按钮类型
• link_url：菜单对应的地址，如果是文件夹或者按钮类型，可以为空
• level：菜单树的层次，以便于查询指定层级的菜单
• path：树id的路径，主要用于存放从根节点到当前树的父节点的路径，想要找父节点时会特别快

为了方便项目后续开发，在此我们创建一个名为menu_auth_db的数据库，SQL 初始脚本如下：

02、项目构建

菜单权限模块的数据库设计搞定之后，就可以正式进入系统开发阶段了。

2.1、创建项目

为了快速构建项目，这里采用的是springboot+mybatisPlus框架来快速开发，借助mybatisPlus提供的生成代码器，可以一键生成所需的dao、service、web层的服务代码，以便帮助我们剩去 CRUD 中重复编程的工作量，内容如下：

CRUD 代码生成完成之后，此时我们就可以编写业务逻辑代码了，相关示例如下！

2.2、菜单功能开发

2.2.1、菜单新增逻辑示例

2.2.2、菜单查询逻辑示例

这里需要用到递归算法来封装菜单视图。

为了便于演示，这里我们先在数据库中初始化几条数据，最后三条数据指的是按钮类型的菜单，用户真正请求的时候，实际上请求的是这三个功能，内容如下：

对queryMenuTree接口发起请求，返回的数据结果如下图：

将返回的数据，通过页面进行渲染之后，结果类似如下图：

2.3、用户权限开发

在上文，我们提到了用户通过角色来关联菜单，因此，很容易想到，用户控制菜单的流程如下：

• 第一步：用户登陆系统之后，查询当前用户拥有哪些角色；
• 第二步：再通过角色查询关联的菜单权限点；
• 第三步：最后将用户拥有的角色名下所有的菜单权限点，封装起来返回给用户；

带着这个思路，我们一起来看看具体的实现过程。

2.3.1、用户权限点查询逻辑示例

2.4、用户鉴权开发

完成以上的逻辑开发之后，可以实现哪些用户拥有哪些菜单权限点的操作，比如用户【张三】，拥有【用户管理】菜单，那么他只能看到【用户管理】的界面；用户【李四】，用于【角色管理】菜单，同样的，他只能看到【角色管理】的界面，无法看到其他的界面。

但是某些技术人员发生漏洞之后，可能会绕过页面展示逻辑，直接对接口服务发起请求，依然能正常操作，例如利用用户【张三】的账户，操作【角色管理】的数据，这个时候就会发生数据安全隐患的问题。

为此，我们还需要一套用户鉴权的功能，对接口请求进行验证，只有满足要求的才能获取数据。

其中上文提到的菜单编码menuCode就是一个前、后端联系的桥梁。其实所有后端的接口，与前端对应的都是按钮操作，因此我们可以以按钮为基准，实现前后端双向权限控制。

以【角色管理-查询】这个为例，前端可以通过菜单编码实现是否展示这个查询按钮，后端可以通过菜单编码来鉴权当前用户是否具备请求接口的权限，实现过程如下！

2.4.1、权限控制逻辑示例

在此，我们采用权限注解+代理拦截器的方式，来实现接口权限的安全验证。

2.4.2、鉴权逻辑验证

我们以上文说到的【角色管理-查询】为例，编写一个服务接口来验证一下逻辑的正确性。

首先，编写一个请求实体类RoleDTO，添加userId属性

其次，编写一个角色查询接口，并在方法上添加@CheckPermissions注解，表示此方法需要鉴权，满足条件的用户才能请求通过。

最后，在数据库中初始化相关的数据。例如给用户【张三】分配一个【访客人员】角色，同时这个角色只有【系统配置】、【用户管理】菜单权限。

启动项目，在postman中传入用户【张三】的ID，查询用户具备的菜单权限，只有两个，结果如下：

同时，利用用户【张三】发起【角色管理-查询】操作，提示：接口无访问权限，结果如下：

与预期结果一致！因为没有配置角色查询接口，所以无权访问！

03、小结

最后总结一下，【用户权限控制】功能在实际的软件系统中非常常见，希望本篇的知识能帮助到大家。

此外，想要获取项目源代码的小伙伴，可以关注下方公众号并回复：用户权限控制，即可获取取项目的源代码。

04、写到最后

不会有人刷到这里还想白嫖吧？点赞对我真的非常重要！在线求赞。加个关注我会非常感激！

此外，本文已整理到技术笔记中，笔记内容还涵盖 Spring、Spring Boot/Cloud、Dubbo、JVM、集合、多线程、JPA、MyBatis、MySQL 等技术知识。

需要的小伙伴可以点击 技术笔记 获取！