RBAC 模型核心原理
详情可参考之前的笔记:https://blog.csdn.net/qq_35201802/article/details/146036789?spm=1011.2415.3001.5331
RBAC 定义与优势
RBAC(Role-Based Access Control,基于角色的访问控制)** 是一种通过角色关联用户和权限的权限管理模型。其核心思想是将权限分配给角色,再将角色授予用户,从而解耦用户与权限的直接关系。
核心优势:
- 灵活性,权限变更只需调整角色,无需逐个修改用户。
- 可维护性,通过角色层级和约束规则实现复杂权限场景。
- 最小权限原则,用户仅拥有完成工作所需的最小权限集。
Spring Boot 集成 RBAC 实现原理
技术架构
┌───────────────┐│ 客户端请求 │└──────┬────────┘│┌──────▼────────┐│ Spring Security 过滤器链 │└──────┬────────┘│┌──────▼────────┐│ 身份认证 (Authentication) │└──────┬────────┘│┌──────▼────────┐│ 权限验证 (Authorization) │└──────┬────────┘│┌──────▼────────┐│ 业务逻辑处理 │└───────────────┘
权限验证流程
- 请求拦截:FilterSecurityInterceptor` 拦截受保护请求
- 身份提取:从 SecurityContext` 获取已认证的用户信息
- 元数据匹配:将请求 URL/Method 与 SecurityMetadataSource` 中的规则匹配
- 权限决策:调用 AccessDecisionManager` 对比用户权限与资源所需权限
- 访问控制:通过则继续执行,否则抛出 AccessDeniedException`
Spring Boot 实战实现
数据库设计
-- `user`.tb_user definitionCREATE TABLE `tb_user` (`id` int NOT NULL AUTO_INCREMENT COMMENT '用户 ID(主键)',`user_id` varchar(50) NOT NULL COMMENT '用户编号',`username` varchar(50) NOT NULL COMMENT '用户名',`password` varchar(255) NOT NULL COMMENT '密码',`email` varchar(100) NOT NULL COMMENT '邮箱',`status` tinyint DEFAULT '1' COMMENT '状态:1-启用, 0-禁用',`is_deleted` tinyint DEFAULT '0' COMMENT '删除标志:0-未删除, 1-已删除',`create_time` datetime DEFAULT CURRENT_TIMESTAMP COMMENT '创建时间',`create_by` int DEFAULT NULL COMMENT '创建人 ID(关联 tb_user.user_id)',`update_time` datetime DEFAULT CURRENT_TIMESTAMP ON UPDATE CURRENT_TIMESTAMP COMMENT '修改时间',`update_by` int DEFAULT NULL COMMENT '修改人 ID(关联 tb_user.user_id)',PRIMARY KEY (`id`),UNIQUE KEY `user_id` (`user_id`),UNIQUE KEY `username` (`username`),UNIQUE KEY `email` (`email`),UNIQUE KEY `user_id_2` (`user_id`)
) ENGINE=InnoDB AUTO_INCREMENT=13 DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_0900_ai_ci COMMENT='用户表';-- `user`.tb_role definitionCREATE TABLE `tb_role` (`id` int NOT NULL AUTO_INCREMENT COMMENT '角色 ID(主键)',`role_id` varchar(50) NOT NULL COMMENT '角色编号',`role_name` varchar(50) NOT NULL COMMENT '角色名称',`role_description` varchar(500) DEFAULT NULL COMMENT '角色描述',`is_deleted` tinyint DEFAULT '0' COMMENT '删除标志:0-未删除, 1-已删除',`create_time` datetime DEFAULT CURRENT_TIMESTAMP COMMENT '创建时间',`create_by` int DEFAULT NULL COMMENT '创建人 ID(关联 tb_user.user_id)',`update_time` datetime DEFAULT CURRENT_TIMESTAMP ON UPDATE CURRENT_TIMESTAMP COMMENT '修改时间',`update_by` int DEFAULT NULL COMMENT '修改人 ID(关联 tb_user.user_id)',PRIMARY KEY (`id`),UNIQUE KEY `role_id` (`role_id`),UNIQUE KEY `role_name` (`role_name`),UNIQUE KEY `role_id_2` (`role_id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_0900_ai_ci COMMENT='角色表';-- `user`.tb_permission definitionCREATE TABLE `tb_permission` (`id` int NOT NULL AUTO_INCREMENT COMMENT '权限 ID(主键)',`permission_id` varchar(100) NOT NULL COMMENT '权限编号',`permission_name` varchar(100) NOT NULL COMMENT '权限标识(如 user:read)',`permission_desc` varchar(500) DEFAULT NULL COMMENT '权限描述',`is_deleted` tinyint DEFAULT '0' COMMENT '删除标志:0-未删除, 1-已删除',`create_time` datetime DEFAULT CURRENT_TIMESTAMP COMMENT '创建时间',`create_by` int DEFAULT NULL COMMENT '创建人 ID(关联 tb_user.user_id)',`update_time` datetime DEFAULT CURRENT_TIMESTAMP ON UPDATE CURRENT_TIMESTAMP COMMENT '修改时间',`update_by` int DEFAULT NULL COMMENT '修改人 ID(关联 tb_user.user_id)',PRIMARY KEY (`id`),UNIQUE KEY `permission_id` (`permission_id`),UNIQUE KEY `permission_name` (`permission_name`),UNIQUE KEY `permission_id_2` (`permission_id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_0900_ai_ci COMMENT='权限表';-- `user`.tb_user_role definitionCREATE TABLE `tb_user_role` (`id` int NOT NULL AUTO_INCREMENT COMMENT '用户角色 ID(主键)',`user_role_id` varchar(100) NOT NULL COMMENT '用户角色编号',`user_id` varchar(100) NOT NULL COMMENT '用户 ID(关联 tb_user.user_id)',`role_id` varchar(100) NOT NULL COMMENT '角色 ID(关联 tb_role.role_id)',PRIMARY KEY (`id`),UNIQUE KEY `user_id` (`user_id`,`role_id`),UNIQUE KEY `user_role_id` (`user_role_id`),KEY `role_id` (`role_id`),CONSTRAINT `tb_user_role_ibfk_1` FOREIGN KEY (`user_id`) REFERENCES `tb_user` (`user_id`) ON DELETE CASCADE,CONSTRAINT `tb_user_role_ibfk_2` FOREIGN KEY (`role_id`) REFERENCES `tb_role` (`role_id`) ON DELETE CASCADE
) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_0900_ai_ci COMMENT='用户角色关联表';-- `user`.tb_role_permission definitionCREATE TABLE `tb_role_permission` (`id` int NOT NULL AUTO_INCREMENT COMMENT '角色权限 ID(主键)',`role_permission_id` varchar(100) NOT NULL COMMENT '角色权限编号',`role_id` varchar(100) NOT NULL COMMENT '角色 ID(关联 tb_role.role_id)',`permission_id` varchar(100) NOT NULL COMMENT '权限 ID(关联 tb_permission.permission_id)',PRIMARY KEY (`id`),UNIQUE KEY `role_id` (`role_id`,`permission_id`),UNIQUE KEY `role_permission_id` (`role_permission_id`),KEY `permission_id` (`permission_id`),CONSTRAINT `tb_role_permission_ibfk_1` FOREIGN KEY (`role_id`) REFERENCES `tb_role` (`role_id`) ON DELETE CASCADE,CONSTRAINT `tb_role_permission_ibfk_2` FOREIGN KEY (`permission_id`) REFERENCES `tb_permission` (`permission_id`) ON DELETE CASCADE
) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_0900_ai_ci COMMENT='角色权限关联表';
角色权限配置接口设计
用户
public interface UserService {void saveUser(UserReq req);UserVO getUser(UserReq req);void updateUser(UserReq req);void deleteUser(UserReq req);PageVO<UserVO> pageUser(UserReq req);void addRole(UserRoleReq req);
}
角色
public interface RoleService {void saveRole(RoleReq req);void updateRole(RoleReq req);void deleteRole(RoleReq req);RoleVO getRole(RoleReq req);PageVO<RoleVO> pageRole(RoleReq req);void addPermission(RolePermissionReq req);
}
权限
public interface PermissionService {void savePermission(PermissionReq req);void updatePermission(PermissionReq req);void deletePermission(PermissionReq req);PermissionVO getPermission(PermissionReq req);PageVO<PermissionVO> pagePermission(PermissionReq req);
}
总结
本篇主要对 Springboot 集成 RBAC 模型设计进行梳理,关键点在于用户与权限解耦,通过角色关联权限,其他逻辑的实现,比如接口的权限校验,tooken校验请关注后续文章更新
)
)
接口的详细指南)
)
