基于Spring Security的動態(tài)權(quán)限系統(tǒng)設計與實現(xiàn)

更新時間：2025年07月21日 10:12:12 作者：用戶9198372681846

本文介紹一個基于Spring Boot 2.7.18和SpringSecurity實現(xiàn)的權(quán)限系統(tǒng),支持接口級權(quán)限控制,支持權(quán)限,文中通過示例代碼介紹的非常詳細,需要的朋友們下面隨著小編來一起學習學習吧

技術(shù)棧

Spring Boot 2.7.18
Spring Security
MyBatis Plus（用于持久化）
MySQL

核心表結(jié)構(gòu)設計

權(quán)限點表auth_permission_point

用于定義所有權(quán)限點（如 user:create, user:update）：

字段名	類型	說明
id	bigint	主鍵
code	varchar	權(quán)限點編碼（唯一）
name	varchar	權(quán)限點名稱
type	varchar	類型（操作、頁面、字段等）
resource	varchar	資源模塊標識
action	varchar	操作標識
remark	varchar	備注說明

角色表auth_role

字段名	類型	說明
id	bigint	主鍵
role_code	varchar	角色編碼
name	varchar	角色名稱
is_builtin	boolean	是否為系統(tǒng)內(nèi)置角色
enabled	boolean	是否啟用

用戶角色關(guān)聯(lián)表auth_user_role

字段名	類型	說明
id	bigint	主鍵
user_id	varchar	用戶唯一 ID
role_code	varchar	關(guān)聯(lián)角色編碼

角色權(quán)限點關(guān)聯(lián)表auth_role_permission_point

字段名	類型	說明
id	bigint	主鍵
role_code	varchar	角色編碼
permission_code	varchar	權(quán)限點編碼

接口權(quán)限映射表auth_url_permission_point

字段名	類型	說明
id	bigint	主鍵
url	varchar	接口路徑
method	varchar	請求方法（GET/POST/PUT/DELETE）
permission_code	varchar	所需權(quán)限點編碼

? 每個接口可以綁定多個權(quán)限點，滿足任意一個即視為擁有權(quán)限。

權(quán)限系統(tǒng)運行機制

1. 動態(tài)加載權(quán)限點

實現(xiàn)自定義 FilterInvocationSecurityMetadataSource，在系統(tǒng)啟動和權(quán)限點發(fā)生變更時，自動掃描 auth_url_permission_point 表，將 URL、METHOD -> 權(quán)限點集合的映射加載至內(nèi)存。

@Component
@RequiredArgsConstructor
public class CustomSecurityMetadataSource implements FilterInvocationSecurityMetadataSource {

    private final AntPathMatcher pathMatcher = new AntPathMatcher();

    @Resource
    private UrlPermissionMappingService urlPermissionMappingService;

    // TODO: 后期可替換為 Redis 或數(shù)據(jù)庫緩存
    private static final Map<String, List<PermissionExpressionConfigAttribute>> URL_PERMISSION_MAP = new ConcurrentHashMap<>();

    private volatile Map<String, List<PermissionExpressionConfigAttribute>> permissionMap = new ConcurrentHashMap<>();


    static {
        // 示例數(shù)據(jù)，正式請從數(shù)據(jù)庫加載
        URL_PERMISSION_MAP.put("/api/user/**", List.of(new PermissionExpressionConfigAttribute("user:query")));
        URL_PERMISSION_MAP.put("/api/user/updatePassword", List.of(new PermissionExpressionConfigAttribute("user:updatePassword")));
    }

    @PostConstruct
    public void init() {
        // 啟動時加載一次
        reload();
    }

    public void reload() {
        Map<String, List<PermissionExpressionConfigAttribute>> newMap = new HashMap<>();
        for (UrlPermissionMapping mapping : urlPermissionMappingService.loadAllUrlPermissionMappings()) {
            newMap.computeIfAbsent(mapping.getUrlPattern(), k -> new ArrayList<>())
                    .add(new PermissionExpressionConfigAttribute(mapping.getPermissionCode()));
        }
        this.permissionMap = newMap;
    }


    @Override
    public Collection<ConfigAttribute> getAttributes(Object object) {
        String requestPath = ((FilterInvocation) object).getRequest().getRequestURI();
        // 先嘗試精確匹配
        List<PermissionExpressionConfigAttribute> exact = permissionMap.get(requestPath);
        if (exact != null) {
            return new HashSet<>(exact);
        }

        // 再嘗試通配匹配
        for (Map.Entry<String, List<PermissionExpressionConfigAttribute>> entry : permissionMap.entrySet()) {
            if (pathMatcher.match(entry.getKey(), requestPath)) {
                return new HashSet<>(entry.getValue());
            }
        }
        return null;
    }

    @Override
    public Collection<ConfigAttribute> getAllConfigAttributes() {
        return URL_PERMISSION_MAP.values().stream()
                .flatMap(List::stream)
                .collect(Collectors.toSet());
    }

    @Override
    public boolean supports(Class<?> clazz) {
        return FilterInvocation.class.isAssignableFrom(clazz);
    }

}

2. 動態(tài)權(quán)限校驗

實現(xiàn) AccessDecisionVoter<FilterInvocation>，對每個請求：

從 SecurityMetadataSource 拿到該接口需要的權(quán)限點
從 Authentication#getAuthorities() 拿到用戶權(quán)限點集合
判斷是否命中

public class PermissionExpressionVoter implements AccessDecisionVoter<FilterInvocation> {

    @Override
    public int vote(Authentication authentication, FilterInvocation filterInvocation,
                    Collection<ConfigAttribute> attributes) {
        Assert.notNull(authentication, "authentication must not be null");
        Assert.notNull(filterInvocation, "filterInvocation must not be null");
        Assert.notNull(attributes, "attributes must not be null");
        Set<String> requiredExpressions = findConfigAttribute(attributes);

        // 獲取當前登錄用戶擁有的權(quán)限點表達式
        Set<String> userPermissions = authentication.getAuthorities().stream()
                .map(GrantedAuthority::getAuthority)
                .collect(Collectors.toSet());

        if (CollectionUtils.isEmpty(requiredExpressions)) {
            // 如果沒有定義表達式，棄權(quán)，交給下一個 voter
            log.trace("Abstained since did not find a config attribute of instance WebExpressionConfigAttribute");
            return ACCESS_ABSTAIN;
        }

        for (String required : requiredExpressions) {
            if (userPermissions.contains(required)) {
                return ACCESS_GRANTED;
            }
        }

        log.warn("權(quán)限校驗失敗: 當前用戶權(quán)限 = {}, 資源需要權(quán)限 = {}", userPermissions, requiredExpressions);
        return ACCESS_DENIED;

    }

    private Set<String> findConfigAttribute(Collection<ConfigAttribute> attributes) {
        // 取出當前資源對應的權(quán)限表達式
        return attributes.stream()
                .filter(attribute -> attribute instanceof PermissionExpressionConfigAttribute)
                .map(ConfigAttribute::getAttribute)
                .collect(Collectors.toSet());
    }

    @Override
    public boolean supports(ConfigAttribute attribute) {
        return attribute instanceof PermissionExpressionConfigAttribute;
    }

    @Override
    public boolean supports(Class<?> clazz) {
        return FilterInvocation.class.isAssignableFrom(clazz);
    }


}

?? 未配置權(quán)限點的接口可設置默認放行，也可以走 fallback 權(quán)限點邏輯。

總結(jié)

該系統(tǒng)實現(xiàn)了：

權(quán)限點粒度統(tǒng)一、接口權(quán)限與角色權(quán)限解耦
接口權(quán)限點支持動態(tài)注冊與配置
權(quán)限控制基于 Spring Security 標準擴展機制，具備良好擴展性

TODO（可選增強）

支持權(quán)限表達式解析（如 @hasAny('user:create', 'admin')）
支持字段級、按鈕級權(quán)限點
權(quán)限點變更自動刷新緩存
提供權(quán)限控制臺（前端聯(lián)動）

到此這篇關(guān)于基于Spring Security的動態(tài)權(quán)限系統(tǒng)設計與實現(xiàn)的文章就介紹到這了,更多相關(guān)SpringSecurity動態(tài)權(quán)限內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

您可能感興趣的文章: