快捷導(dǎo)航

SpringCloud?微服務(wù)數(shù)據(jù)權(quán)限控制的實現(xiàn)

更新時間：2021年11月24日 17:14:25 作者：barry的異想世界

這篇文章主要介紹的是權(quán)限控制的數(shù)據(jù)權(quán)限層面，意思是控制可訪問數(shù)據(jù)資源的數(shù)量，對大家的學(xué)習(xí)或工作具有一定的參考借鑒價值，需要的朋友參考下吧

有一批業(yè)務(wù)員跟進全國的銷售訂單。他們被按城市進行劃分，一個業(yè)務(wù)員跟進3個城市的訂單，為了保護公司的業(yè)務(wù)數(shù)據(jù)不能被所有人都掌握，故每個業(yè)務(wù)員只能看到自己負責城市的訂單數(shù)據(jù)。所以從系統(tǒng)來講每個業(yè)務(wù)員都有訪問銷售訂單的功能，然后再需要配置每個業(yè)務(wù)員負責的城市，以此對訂單數(shù)據(jù)進行篩選。

要實現(xiàn)此功能有很多方法，如果系統(tǒng)中多個地方都需要類似的需求，那我們就可以將其提出來做成一個通用的功能。這里我介紹一個相對簡單的解決方案，以供參考。

一、整體架構(gòu)

數(shù)據(jù)權(quán)限為作一個注解的形式掛在每一個需要數(shù)據(jù)權(quán)限控制的Controller上，由于和具體的程序邏輯有關(guān)故有一定的入侵性，且需要數(shù)據(jù)庫配合使用。

二、實現(xiàn)流程

1.瀏覽器傳帶查詢權(quán)限范圍參數(shù)訪問Controller，如cities

POST http://127.0.0.1:8000/order/query
accept: */*
Content-Type: application/json
token: 1e2b2298-8274-4599-a26f-a799167cc82f

{"cities":["cq","cd","bj"],"userName":"string"}

2.通過注解攔截權(quán)限范圍參數(shù)，并根據(jù)預(yù)授權(quán)范圍比較，回寫在授權(quán)范圍內(nèi)的權(quán)限范圍參數(shù)

cities = ["cq","cd"]

3.通過參數(shù)傳遞到DAO層，在SQL語句中拼裝出查詢條件，實現(xiàn)數(shù)據(jù)的過濾

select * from order where city in ('cq','cd')

三、實現(xiàn)步驟

1. 注解實現(xiàn)

注解的完整代碼，請詳見源代碼

1）創(chuàng)建注解

@Retention(value = RetentionPolicy.RUNTIME)
@Target(value = {ElementType.METHOD})
@Documented
public @interface ScopeAuth {

    String token() default "AUTH_TOKEN";
    String scope() default "";
    String[] scopes() default {};
}

此注解為運行時RetentionPolicy.RUNTIME作用在方法上ElementType.METHOD的

token：獲取識別唯一用戶的標識，與用戶數(shù)據(jù)權(quán)限存儲有關(guān)

scope，scopes：預(yù)請求的數(shù)據(jù)權(quán)限范圍

2） AOP實現(xiàn)注解

public class ScopeAuthAdvice {
  
    @Around("@annotation(scopeAuth)")
    public Object before(ProceedingJoinPoint thisJoinPoint, ScopeAuth scopeAuth) throws Throwable {
        // ... 省略過程
        // 獲取token
        String authToken = getToken(args, scopeAuth.token(), methodSignature.getMethod());
            // 回寫范圍參數(shù)
        setScope(scopeAuth.scope(), methodSignature, args, authToken);
        
        return thisJoinPoint.proceed();
    }

    /**
     * 設(shè)置范圍
     */
    private void setScope(String scope, MethodSignature methodSignature, Object[] args, String authToken) {
        // 獲取請求范圍
        Set<String> requestScope = getRequestScope(args, scope, methodSignature.getMethod());
        ScopeAuthAdapter adapter = new ScopeAuthAdapter(supplier);
        // 已授權(quán)范圍
        Set<String> authorizedScope = adapter.identifyPermissionScope(authToken, requestScope);
        // 回寫新范圍
        setRequestScope(args, scope, authorizedScope, methodSignature.getMethod());
    }

    /**
     * 回寫請求范圍
     */
    private void setRequestScope(Object[] args, String scopeName, Collection<String> scopeValues, Method method) {
        // 解析 SPEL 表達式
        if (scopeName.indexOf(SPEL_FLAG) == 0) {
            ParseSPEL.setMethodValue(scopeName, scopeValues, method, args);
        }
    }
}

此為演示代碼省略了過程，主要功能為通過token拿到預(yù)先授權(quán)的數(shù)據(jù)范圍，再與本次請求的范圍做交集，最后回寫回原參數(shù)。

過程中用到了較多的SPEL表達式，用于計算表達式結(jié)果，具體請參考ParseSPEL文件

3）權(quán)限范圍交集計算

public class ScopeAuthAdapter {

    private final AuthQuerySupplier supplier;

    public ScopeAuthAdapter(AuthQuerySupplier supplier) {
        this.supplier = supplier;
    }

    /**
     * 驗證權(quán)限范圍
     * @param token
     * @param requestScope
     * @return
     */
    public Set<String> identifyPermissionScope(String token, Set<String> requestScope) {
        Set<String> authorizeScope = supplier.queryScope(token);

        String ALL_SCOPE = "AUTH_ALL";
        String USER_ALL = "USER_ALL";

        if (authorizeScope == null) {
            return null;
        }

        if (authorizeScope.contains(ALL_SCOPE)) {
            // 如果是全開放則返回請求范圍
            return requestScope;
        }

        if (requestScope == null) {
            return null;
        }

        if (requestScope.contains(USER_ALL)){
            // 所有授權(quán)的范圍
            return authorizeScope;
        }

        // 移除不同的元素
        requestScope.retainAll(authorizeScope);

        return requestScope;
    }
}

此處為了方便設(shè)置，有兩個關(guān)鍵字范圍

AUTH_ALL：預(yù)設(shè)所有范圍，全開放的意思，為數(shù)據(jù)庫預(yù)先設(shè)置值，請求傳什么值都通過
USER_ALL：請求所有授權(quán)的范圍，請求時傳此值則會以數(shù)據(jù)庫預(yù)設(shè)值為準

4） spring.factories自動導(dǎo)入類配置

org.springframework.boot.autoconfigure.AutoConfigurationImportSelector=\
  fun.barryhome.cloud.annotation.ScopeAuthAdvice

如果注解功能是單獨項目存在，在使用時有可能會存在找不到引入文件的問題，可通過此配置文件自動載入需要初始化的類

2. 注解使用

@ScopeAuth(scopes = {"#orderDTO.cities"}, token = "#request.getHeader(\"X-User-Name\")")
@PostMapping(value = "/query")
public String query(@RequestBody OrderDTO orderDTO, HttpServletRequest request) {
    return Arrays.toString(orderDTO.getCities());
}

在需要使用數(shù)據(jù)權(quán)限的controller方法上增加@ScopeAuth注解

scopes = {"#orderDTO.cities"}：表示取輸入?yún)?shù)orderDTO的cities值，這里是表達式必須加#

實際開發(fā)過程中，需要將orderDTO.getCities()帶入后續(xù)邏輯中，在DAO層將此拼裝在SQL中，以實現(xiàn)數(shù)據(jù)過濾功能

3. 實現(xiàn)AuthStoreSupplier

AuthStoreSupplier接口為數(shù)據(jù)權(quán)限的存儲接口，與AuthQuerySupplier配合使用，可按實際情況實現(xiàn)

此接口為非必要接口，可由數(shù)據(jù)庫或Redis存儲（推薦），一般在登錄的同時保存在Redis中

4. 實現(xiàn)AuthQuerySupplier

AuthQuerySupplier接口為數(shù)據(jù)權(quán)限查詢接口，可按存儲方法進行查詢，推薦使用Redis

@Component
public class RedisAuthQuerySupplier implements AuthQuerySupplier {

    @Autowired
    private RedisTemplate<String, String> redisTemplate;

    /**
     * 查詢范圍
     */
    @Override
    public Set<String> queryScope(String key) {
        String AUTH_USER_KEY = "auth:logic:user:%s";
        String redisKey = String.format(AUTH_USER_KEY, key);

        List<String> range = redisTemplate.opsForList().range(redisKey, 0, -1);

        if (range != null) {
            return new HashSet<>(range);
        } else {
            return null;
        }
    }
}

在分布式結(jié)構(gòu)里，也可將此實現(xiàn)提出到權(quán)限模塊，采用遠程調(diào)用方式，進一步解耦

5. 開啟數(shù)據(jù)權(quán)限

@EnableScopeAuth
@EnableDiscoveryClient
@SpringBootApplication
public class OrderApplication {
    public static void main(String[] args) {
        SpringApplication.run(OrderApplication.class, args);
    }
}

四、綜述

至此數(shù)據(jù)權(quán)限功能就實現(xiàn)了。在微服務(wù)器架構(gòu)中為了實現(xiàn)功能的復(fù)用，將注解的創(chuàng)建和AuthQuerySupplier的實現(xiàn)提取到公共模塊中，那么在具體的使用模塊就簡單得多了。只需增加@ScopeAuth注解，配置好查詢方法就可以使用。

五、源代碼

文中代碼由于篇幅原因有一定省略并不是完整邏輯，如有興趣請Fork源代碼

到此這篇關(guān)于SpringCloud 微服務(wù)數(shù)據(jù)權(quán)限控制的實現(xiàn)的文章就介紹到這了,更多相關(guān)SpringCloud內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

您可能感興趣的文章:

欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

軟件下載

源碼下載

軟件編程

網(wǎng)絡(luò)編程

在線工具

數(shù)據(jù)庫

CMS

常用工具

SpringCloud?微服務(wù)數(shù)據(jù)權(quán)限控制的實現(xiàn)

目錄

一、整體架構(gòu)

二、實現(xiàn)流程

三、實現(xiàn)步驟

1. 注解實現(xiàn)

2. 注解使用

3. 實現(xiàn)AuthStoreSupplier

4. 實現(xiàn)AuthQuerySupplier

5. 開啟數(shù)據(jù)權(quán)限

四、綜述

五、源代碼

相關(guān)文章

最新評論

大家感興趣的內(nèi)容

最近更新的內(nèi)容

常用在線小工具

SpringCloud?微服務(wù)數(shù)據(jù)權(quán)限控制的實現(xiàn)

目錄

一、 整體架構(gòu)

二、 實現(xiàn)流程

三、 實現(xiàn)步驟

1. 注解實現(xiàn)

2. 注解使用

3. 實現(xiàn)AuthStoreSupplier

4. 實現(xiàn)AuthQuerySupplier

5. 開啟數(shù)據(jù)權(quán)限

四、 綜述

五、源代碼

相關(guān)文章

最新評論

大家感興趣的內(nèi)容

最近更新的內(nèi)容

常用在線小工具

一、整體架構(gòu)

二、實現(xiàn)流程

三、實現(xiàn)步驟

四、綜述

五、源代碼