快捷導(dǎo)航

SpringCloud?微服務(wù)數(shù)據(jù)權(quán)限控制的實(shí)現(xiàn)

更新時(shí)間：2021年11月24日 17:14:25 作者：barry的異想世界

這篇文章主要介紹的是權(quán)限控制的數(shù)據(jù)權(quán)限層面，意思是控制可訪問數(shù)據(jù)資源的數(shù)量，對大家的學(xué)習(xí)或工作具有一定的參考借鑒價(jià)值，需要的朋友參考下吧

有一批業(yè)務(wù)員跟進(jìn)全國的銷售訂單。他們被按城市進(jìn)行劃分，一個(gè)業(yè)務(wù)員跟進(jìn)3個(gè)城市的訂單，為了保護(hù)公司的業(yè)務(wù)數(shù)據(jù)不能被所有人都掌握，故每個(gè)業(yè)務(wù)員只能看到自己負(fù)責(zé)城市的訂單數(shù)據(jù)。所以從系統(tǒng)來講每個(gè)業(yè)務(wù)員都有訪問銷售訂單的功能，然后再需要配置每個(gè)業(yè)務(wù)員負(fù)責(zé)的城市，以此對訂單數(shù)據(jù)進(jìn)行篩選。

要實(shí)現(xiàn)此功能有很多方法，如果系統(tǒng)中多個(gè)地方都需要類似的需求，那我們就可以將其提出來做成一個(gè)通用的功能。這里我介紹一個(gè)相對簡單的解決方案，以供參考。

一、整體架構(gòu)

數(shù)據(jù)權(quán)限為作一個(gè)注解的形式掛在每一個(gè)需要數(shù)據(jù)權(quán)限控制的Controller上，由于和具體的程序邏輯有關(guān)故有一定的入侵性，且需要數(shù)據(jù)庫配合使用。

二、實(shí)現(xiàn)流程

1.瀏覽器傳帶查詢權(quán)限范圍參數(shù)訪問Controller，如cities

POST http://127.0.0.1:8000/order/query
accept: */*
Content-Type: application/json
token: 1e2b2298-8274-4599-a26f-a799167cc82f

{"cities":["cq","cd","bj"],"userName":"string"}

2.通過注解攔截權(quán)限范圍參數(shù)，并根據(jù)預(yù)授權(quán)范圍比較，回寫在授權(quán)范圍內(nèi)的權(quán)限范圍參數(shù)

cities = ["cq","cd"]

3.通過參數(shù)傳遞到DAO層，在SQL語句中拼裝出查詢條件，實(shí)現(xiàn)數(shù)據(jù)的過濾

select * from order where city in ('cq','cd')

三、實(shí)現(xiàn)步驟

1. 注解實(shí)現(xiàn)

注解的完整代碼，請?jiān)斠?a rel="external nofollow" target="_blank">源代碼

1）創(chuàng)建注解

@Retention(value = RetentionPolicy.RUNTIME)
@Target(value = {ElementType.METHOD})
@Documented
public @interface ScopeAuth {

    String token() default "AUTH_TOKEN";
    String scope() default "";
    String[] scopes() default {};
}

此注解為運(yùn)行時(shí)RetentionPolicy.RUNTIME作用在方法上ElementType.METHOD的

token：獲取識別唯一用戶的標(biāo)識，與用戶數(shù)據(jù)權(quán)限存儲有關(guān)

scope，scopes：預(yù)請求的數(shù)據(jù)權(quán)限范圍

2） AOP實(shí)現(xiàn)注解

public class ScopeAuthAdvice {
  
    @Around("@annotation(scopeAuth)")
    public Object before(ProceedingJoinPoint thisJoinPoint, ScopeAuth scopeAuth) throws Throwable {
        // ... 省略過程
        // 獲取token
        String authToken = getToken(args, scopeAuth.token(), methodSignature.getMethod());
            // 回寫范圍參數(shù)
        setScope(scopeAuth.scope(), methodSignature, args, authToken);
        
        return thisJoinPoint.proceed();
    }

    /**
     * 設(shè)置范圍
     */
    private void setScope(String scope, MethodSignature methodSignature, Object[] args, String authToken) {
        // 獲取請求范圍
        Set<String> requestScope = getRequestScope(args, scope, methodSignature.getMethod());
        ScopeAuthAdapter adapter = new ScopeAuthAdapter(supplier);
        // 已授權(quán)范圍
        Set<String> authorizedScope = adapter.identifyPermissionScope(authToken, requestScope);
        // 回寫新范圍
        setRequestScope(args, scope, authorizedScope, methodSignature.getMethod());
    }

    /**
     * 回寫請求范圍
     */
    private void setRequestScope(Object[] args, String scopeName, Collection<String> scopeValues, Method method) {
        // 解析 SPEL 表達(dá)式
        if (scopeName.indexOf(SPEL_FLAG) == 0) {
            ParseSPEL.setMethodValue(scopeName, scopeValues, method, args);
        }
    }
}

此為演示代碼省略了過程，主要功能為通過token拿到預(yù)先授權(quán)的數(shù)據(jù)范圍，再與本次請求的范圍做交集，最后回寫回原參數(shù)。

過程中用到了較多的SPEL表達(dá)式，用于計(jì)算表達(dá)式結(jié)果，具體請參考ParseSPEL文件

3）權(quán)限范圍交集計(jì)算

public class ScopeAuthAdapter {

    private final AuthQuerySupplier supplier;

    public ScopeAuthAdapter(AuthQuerySupplier supplier) {
        this.supplier = supplier;
    }

    /**
     * 驗(yàn)證權(quán)限范圍
     * @param token
     * @param requestScope
     * @return
     */
    public Set<String> identifyPermissionScope(String token, Set<String> requestScope) {
        Set<String> authorizeScope = supplier.queryScope(token);

        String ALL_SCOPE = "AUTH_ALL";
        String USER_ALL = "USER_ALL";

        if (authorizeScope == null) {
            return null;
        }

        if (authorizeScope.contains(ALL_SCOPE)) {
            // 如果是全開放則返回請求范圍
            return requestScope;
        }

        if (requestScope == null) {
            return null;
        }

        if (requestScope.contains(USER_ALL)){
            // 所有授權(quán)的范圍
            return authorizeScope;
        }

        // 移除不同的元素
        requestScope.retainAll(authorizeScope);

        return requestScope;
    }
}

此處為了方便設(shè)置，有兩個(gè)關(guān)鍵字范圍

AUTH_ALL：預(yù)設(shè)所有范圍，全開放的意思，為數(shù)據(jù)庫預(yù)先設(shè)置值，請求傳什么值都通過
USER_ALL：請求所有授權(quán)的范圍，請求時(shí)傳此值則會以數(shù)據(jù)庫預(yù)設(shè)值為準(zhǔn)

4） spring.factories自動(dòng)導(dǎo)入類配置

org.springframework.boot.autoconfigure.AutoConfigurationImportSelector=\
  fun.barryhome.cloud.annotation.ScopeAuthAdvice

如果注解功能是單獨(dú)項(xiàng)目存在，在使用時(shí)有可能會存在找不到引入文件的問題，可通過此配置文件自動(dòng)載入需要初始化的類

2. 注解使用

@ScopeAuth(scopes = {"#orderDTO.cities"}, token = "#request.getHeader(\"X-User-Name\")")
@PostMapping(value = "/query")
public String query(@RequestBody OrderDTO orderDTO, HttpServletRequest request) {
    return Arrays.toString(orderDTO.getCities());
}

在需要使用數(shù)據(jù)權(quán)限的controller方法上增加@ScopeAuth注解

scopes = {"#orderDTO.cities"}：表示取輸入?yún)?shù)orderDTO的cities值，這里是表達(dá)式必須加#

實(shí)際開發(fā)過程中，需要將orderDTO.getCities()帶入后續(xù)邏輯中，在DAO層將此拼裝在SQL中，以實(shí)現(xiàn)數(shù)據(jù)過濾功能

3. 實(shí)現(xiàn)AuthStoreSupplier

AuthStoreSupplier接口為數(shù)據(jù)權(quán)限的存儲接口，與AuthQuerySupplier配合使用，可按實(shí)際情況實(shí)現(xiàn)

此接口為非必要接口，可由數(shù)據(jù)庫或Redis存儲（推薦），一般在登錄的同時(shí)保存在Redis中

4. 實(shí)現(xiàn)AuthQuerySupplier

AuthQuerySupplier接口為數(shù)據(jù)權(quán)限查詢接口，可按存儲方法進(jìn)行查詢，推薦使用Redis

@Component
public class RedisAuthQuerySupplier implements AuthQuerySupplier {

    @Autowired
    private RedisTemplate<String, String> redisTemplate;

    /**
     * 查詢范圍
     */
    @Override
    public Set<String> queryScope(String key) {
        String AUTH_USER_KEY = "auth:logic:user:%s";
        String redisKey = String.format(AUTH_USER_KEY, key);

        List<String> range = redisTemplate.opsForList().range(redisKey, 0, -1);

        if (range != null) {
            return new HashSet<>(range);
        } else {
            return null;
        }
    }
}

在分布式結(jié)構(gòu)里，也可將此實(shí)現(xiàn)提出到權(quán)限模塊，采用遠(yuǎn)程調(diào)用方式，進(jìn)一步解耦

5. 開啟數(shù)據(jù)權(quán)限

@EnableScopeAuth
@EnableDiscoveryClient
@SpringBootApplication
public class OrderApplication {
    public static void main(String[] args) {
        SpringApplication.run(OrderApplication.class, args);
    }
}

四、綜述

至此數(shù)據(jù)權(quán)限功能就實(shí)現(xiàn)了。在微服務(wù)器架構(gòu)中為了實(shí)現(xiàn)功能的復(fù)用，將注解的創(chuàng)建和AuthQuerySupplier的實(shí)現(xiàn)提取到公共模塊中，那么在具體的使用模塊就簡單得多了。只需增加@ScopeAuth注解，配置好查詢方法就可以使用。

五、源代碼

文中代碼由于篇幅原因有一定省略并不是完整邏輯，如有興趣請F(tuán)ork源代碼

到此這篇關(guān)于SpringCloud 微服務(wù)數(shù)據(jù)權(quán)限控制的實(shí)現(xiàn)的文章就介紹到這了,更多相關(guān)SpringCloud內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

您可能感興趣的文章: