• Java轻松实现权限认证管理

    我们在实际开发中经常会进行权限认证管理,给不同的人加上对应的角色和权限,对于不同的登录用户要求根据他们所扮演的的角色和拥有的权限去访问指定的接口,那具体该怎么实现呢

    我这边参考了各个框架的实现逻辑,发现还是蛮简单的,今天就实现一个简易的权限验证管理系统

    首先需要角色和权限表

    角色表:字段为用户唯一标识(user_id),该用户所扮演的角色(role_name)

    权限表:字段为用户所含有的角色(user_roles),该角色所拥有的权限(permission)

    数据库脚本

    1. -- 创建Roles表
    2. CREATE TABLE Roles (
    3.     id INT AUTO_INCREMENT PRIMARY KEY,
    4.     user_id INT NOT NULL,
    5.     role_name VARCHAR(255) NOT NULL
    6. );
    7.  
    8. -- 创建Permissions表
    9. CREATE TABLE Permissions (
    10.     id INT AUTO_INCREMENT PRIMARY KEY,
    11.     user_roles VARCHAR(255) NOT NULL,
    12.     permission VARCHAR(255) NOT NULL
    13. );

    接下来该敲代码了,依旧是熟悉的套路,依赖配置写代码

    核心逻辑如下

    1. 根据jwt登录得到redis的用户key获取用户信息,比如id,根据id拿到角色和权限
    2. 在每一个接口写一个aop切面,在切面中判断该登录用户是否含有对应接口所需要的角色和权限

    登录jwt认证和拦截参考我的另一篇博客:JWT生成ToKen进行验证-CSDN博客 

    1.使用aop切面先加上依赖

    1. <dependency>
    2.     <groupId>org.springframework.bootgroupId>
    3.     <artifactId>spring-boot-starter-aopartifactId>
    4. dependency>

    2. 接下来创建权限注解(注解大致就是一个类,包含一些属性,主要还是切面的逻辑)

    1. @Target(ElementType.METHOD)
    2. @Retention(RetentionPolicy.RUNTIME)
    3. public @interface DbmAuthority {
    4.     String value(); // 权限字符串,格式为"功能:角色:权限"
    5. }

    3.创建一个简单的用户权限类,如下

    1. @Data
    2. public class User {
    3.     private String id; //用户ID
    4.     private List roles; //角色
    5.     private List permissions; //权限
    6. }

    4.模拟从数据库根据登录用户id查询该角色的角色和权限

    1. public interface UserRepository {
    2.     User getUserById(String userId);
    3. }

    实现这个接口

    1. public class UserRepositoryimpl implements UserRepository{
    2.  
    3.     @Resource
    4.     private RolesMapper rolesMapper;
    5.  
    6.     @Resource
    7.     private Permissions permissionsMapper;
    8.  
    9.     @Override
    10.     public User getUserById(String userId) {
    11.         //根据id获取该用户扮演的角色
    12.         List roles = rolesMapper.selectAll(userId);
    13.         //根据id获取该用户拥有的权限 
    14.         List permissions = new ArrayList<>();  
    15.          roles.stream().forEach(a->{
    16.          List permission =permissionsMapper.selectAll(a);   
    17.          permission.stream().forEach(a->{
    18.          permissions.add(a);
    19.          });
    20.         });       
    21.         User user= new User(userId,roles,permissions);
    22.         return user;
    23.     }
    24. }

    用户的角色和权限一般都是一起查出来,参考sql如下

    1. SELECT R.id AS id, 
    2.        GROUP_CONCAT(R.role_name) AS role_list,
    3.        GROUP_CONCAT(P.permission) AS permission_list
    4. FROM Roles R
    5. LEFT JOIN Permissions P ON R.role_name = P.user_roles
    6. WHERE R.id = 1; -- 你的特定id
    7. GROUP BY R.id;

    5.在注解实现aop逻辑,本质和上面说的一样,很简单

    1. @Aspect
    2. @Component
    3. public class DbmAuthorityAspect {
    4.  
    5.     @Resource
    6.     private UserRepositoryimpl userRepositoryimpl;
    7.  
    8.     @Resource
    9.     private RedisUtils redisutils;
    10.  
    11.     @Pointcut("@annotation(com.dabaimao.DbmAuthority)")
    12.     public void authorityCheckPointcut(JoinPoint joinPoint) {
    13.     }
    14.  
    15.     @Before("@annotation(com.dabaimao.DbmAuthority)")
    16.     public void checkDbmAuthority(JoinPoint joinPoint) {
    17.       try {
    18.         // 获取当前用户的ID(从Redis中获取)
    19.         String userId = getUserIdFromRedis(); 
    20.  
    21.         // 根据用户ID查询用户信息
    22.         User user = userRepositoryimpl.getUserById(userId);
    23.         
    24.         // 获取注解类对象
    25.         Signature signature = point.getSignature();
    26.         MethodSignature methodSignature = (MethodSignature) signature;
    27.         Method method = methodSignature.getMethod();
    28.         DbmAuthority annotation = method.getAnnotation(DbmAuthority.class);
    29.  
    30.         // 检查用户是否具有所需的角色和权限
    31.         if (userHasRequiredAuthority(user, annotation.value())) {
    32.             // 用户具有权限,允许访问
    33.         } else {
    34.             throw new SecurityException("权限不够,拒绝访问");
    35.         }
    36.        } catch (Exception ex) {
    37.            throw new RuntimeException("权限处理异常");
    38.        }
    39.     }
    40.  
    41.     private boolean userHasRequiredAuthority(User user, String requiredAuthority) {
    42.         // 实际权限检查逻辑,需要根据用户的角色和权限信息以及 requiredAuthority 判断
    43.         // 这里只是一个示例,实际逻辑可能更复杂
    44.         return user.getRoles().contains(requiredAuthority) || user.getPermissions().contains(requiredAuthority);
    45.     }
    46.  
    47.     private String getUserIdFromRedis() {
    48.         // 实际从Redis中获取用户ID的逻辑
    49.         // redisutils.getkey...
    50.         return "user123"; // 示例
    51.     }
    52. }

    最后在需要加权限访问的接口加上这个注解,写上访问这个接口所需要的角色和权限就行了

    1. @RestController
    2. public class MyController {
    3.  
    4.     @DbmAuthority("功能:角色:权限") //访问这个功能登录用户所需要的角色和权限
    5.     @GetMapping("/protectedEndpoint")
    6.     public ResponseEntity protectedEndpoint() {
    7.         // 执行需要权限验证的操作
    8.         return ResponseEntity.ok("访问成功");
    9.     }
    10. }

    这样一个简单的权限认证就实现了

  • 相关阅读:
    Centos7 SSH登陆慢的解决办法
    河南灵活用工平台开发有用吗?
    Vuex
    spring: HandlerInterceptor
    JDBC和数据连接池
    Java之SpringCloud Alibaba【八】【Spring Cloud微服务Gateway整合sentinel限流】
    容联云入选IDC生成式AI图谱,多个案例被评典型应用
    YOLOv7改进:全网原创首发 | 多尺度空洞注意力(MSDA) | 中科院一区顶刊 DilateFormer 2023.9
    【踩坑日记】vue项目ie打不开报错SCRIPT1006:缺少‘)‘
    「学习笔记」扫描线
  • 原文地址:https://blog.csdn.net/m0_69156017/article/details/134423632