架构师一1.功能权限

1. RBAC 权限模型

系统采用 RBAC 权限模型，全称是 Role-Based Access Control 基于角色的访问控制。

简单来说，每个用户拥有多个角色，每个角色拥有多个菜单，菜单中存在菜单权限、按钮权限。这样，就形成了 “用户<->角色<->菜单” 的授权模型。在这种模型中，用户与角色、角色与菜单之间构成了多对多的关系

介绍完权限的设计思路接下看一下实现思路

2. Token 认证机制

安全框架使用的是 Spring Security+ Token 方案，整体流程如下图所示：

① 前端调用登录接口，使用账号密码获得到认证 Token。响应示例如下：

{"code":0,"msg":"","data":{"token":"d2a3cdbc6c53470db67a582bd115103f"}
}

管理后台的登录实现：（....省）

用户 App 的登录实现（....省）

疑问：为什么不使用 Spring Security 内置的表单登录？Spring Security 的登录拓展起来不方便，例如说验证码、三方登录等等。

Token 存储在数据库中，对应 system_oauth2_access_token 访问令牌表的 id 字段。考虑到访问的性能，缓存在 Redis 的 oauth2_access_token:%s

疑问：为什么不使用 JWT(JSON Web Token)？JWT 是无状态的，无法实现 Token 的作废，例如说用户登出系统、修改密码等等场景。推荐阅读 《还分不清 Cookie、Session、Token、JWT？》 (opens new window)文章。

默认配置下，Token 有效期为 30 天，可通过 system_oauth2_client 表中 client_id = default 的记录进行自定义：

修改 access_token_validity_seconds 字段，设置访问令牌的过期时间，默认 1800 秒 = 30 分钟
修改 refresh_token_validity_seconds 字段，设置刷新令牌的过期时间，默认 43200 秒 = 30 天

② 前端调用其它接口，需要在请求头带上 Token 进行访问。请求头格式如下：### Authorization: Bearer 登录时返回的 Token
Authorization: Bearer d2a3cdbc6c53470db67a582bd115103f

具体的代码实现，可见TokenAuthenticationFilter 过滤器

考虑到使用 Postman、Swagger 调试接口方便，提供了 Token 的模拟机制。请求头格式如下：

### Authorization: Bearer test用户编号
Authorization: Bearer test1

其中 "test" 可自定义，配置项如下：### application-local.yamlyudao:security:mock-enable: true # 是否开启 Token 的模拟机制mock-secret: test # Token 模拟机制的 Token 前缀

3. 权限注解

3.1 @PreAuthorize 注解

@PreAuthorize是 Spring Security 内置的前置权限注解，添加在接口方法上，声明需要的权限，实现访问权限的控制。

① 基于【权限标识】的权限控制

权限标识，对应 system_menu 表的 permission 字段，推荐格式为 ${系统}:${模块}:${操作}，例如说 system:admin:add 标识 system 服务的添加管理员。

使用示例如下：

// 符合 system:user:list 权限要求
@PreAuthorize("@ss.hasPermission('system:user:list')")// 符合 system:user:add 或 system:user:edit 权限要求即可
@PreAuthorize("@ss.hasAnyPermissions('system:user:add,system:user:edit')")

② 基于【角色标识】的权限控制

权限标识，对应 system_role 表的 code 字段，例如说 super_admin 超级管理员、tenant_admin 租户管理员。

使用示例如下：

// 属于 user 角色
@PreAuthorize("@ss.hasRole('user')")// 属于 user 或者 admin 之一
@PreAuthorize("@ss.hasAnyRoles('user,admin')")

实现原理是什么？

当 @PreAuthorize 注解里的 Spring EL 表达式返回 false 时，表示没有权限。

而 @PreAuthorize("@ss.hasPermission('system:user:list')") 表示调用 Bean 名字为 ss 的 #hasPermission(...) 方法，方法参数为 "system:user:list" 字符串。ss 对应的 Bean 是类，所以你只需要去看该方法的实现代码

3.2 @PreAuthenticated 注解

@PreAuthenticated是项目自定义的认证注解，添加在接口方法上，声明登录的用户才允许访问。

主要使用场景是，针对用户 App 的 /app-app/** 的 RESTful API 接口，默认是无需登录的，通过 @PreAuthenticated 声明它需要进行登录。使用示例如下：

// AppAuthController.java@PostMapping("/update-password")
@Operation(summary = "修改用户密码", description = "用户修改密码时使用")
@PreAuthenticated
public CommonResult<Boolean> updatePassword(@RequestBody @Valid AppAuthUpdatePasswordReqVO reqVO) {// ... 省略代码
}

具体的代码实现。PreAuthenticatedAspect

4. 自定义权限配置

默认配置下，管理后台的 /admin-api/** 所有 API 接口都必须登录后才允许访问，用户 App 的 /app-api/** 所有 API 接口无需登录就可以访问。

如下想要自定义权限配置，设置定义 API 接口可以匿名（不登录）进行访问，可以通过下面三种方式：

4.1 方式一：自定义 AuthorizeRequestsCustomizer 实现

每个 Maven Module 可以实现自定义的 AuthorizeRequestsCustomizer Bean，额外定义每个 Module 的 API 接口的访问规则。例如说 yudao-module-infra 模块的 SecurityConfiguration 类，代码如下：

@Configuration("infraSecurityConfiguration")
public class SecurityConfiguration {@Value("${spring.boot.admin.context-path:''}")private String adminSeverContextPath;@Bean("infraAuthorizeRequestsCustomizer")public AuthorizeRequestsCustomizer authorizeRequestsCustomizer() {return new AuthorizeRequestsCustomizer() {@Overridepublic void customize(ExpressionUrlAuthorizationConfigurer<HttpSecurity>.ExpressionInterceptUrlRegistry registry) {// Swagger 接口文档registry.antMatchers("/swagger-ui.html").anonymous().antMatchers("/swagger-resources/**").anonymous().antMatchers("/webjars/**").anonymous().antMatchers("/*/api-docs").anonymous();// Spring Boot Actuator 的安全配置registry.antMatchers("/actuator").anonymous().antMatchers("/actuator/**").anonymous();// Druid 监控registry.antMatchers("/druid/**").anonymous();// Spring Boot Admin Server 的安全配置registry.antMatchers(adminSeverContextPath).anonymous().antMatchers(adminSeverContextPath + "/**").anonymous();}};}}

友情提示

permitAll() 方法：所有用户可以任意访问，包括带上 Token 访问
anonymous() 方法：匿名用户可以任意访问，带上 Token 访问会报错

如果你对 Spring Security 了解不多，可以阅读艿艿写《芋道 Spring Boot 安全框架 Spring Security 入门》。

4.2 方式二：`@PermitAll` 注解

在 API 接口上添加@PermitAll注解，示例如下：

// FileController.java
@GetMapping("/{configId}/get/{path}")
@PermitAll
public void getFileContent(HttpServletResponse response,@PathVariable("configId") Long configId,@PathVariable("path") String path) throws Exception {// ...
}

4.3 方式三：`yudao.security.permit-all-urls` 配置项

在 application.yaml 配置文件，通过 yudao.security.permit-all-urls 配置项设置，示例如下：

yudao:security:permit-all-urls:- /admin-ui/** # /resources/admin-ui 目录下的静态资源- /admin-api/xxx/yyy

本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如若转载，请注明出处：http://www.mzph.cn/news/205064.shtml

如若内容造成侵权/违法违规/事实不符，请联系多彩编程网进行投诉反馈email:809451989@qq.com，一经查实，立即删除！