关于Spring Boot动态权限变更问题的实现方案

1、前言

​  在Web项目中,权限管理即权限访问控制为网站访问安全提供了保障,并且很多项目使用了Session作为缓存,结合AOP技术进行token认证和权限控制。权限控制流程大致如下图所示:

​  现在,如果管理员修改了用户的角色,或修改了角色的权限,都会导致用户权限发生变化,此时如何实现动态权限变更,使得前端能够更新用户的权限树,后端访问鉴权AOP模块能够知悉这种变更呢?

2、问题及解决方案

​​  现在的问题是,管理员没法访问用户Session,因此没法将变更通知此用户。而用户如果已经登录,或直接关闭浏览器页面而不是登出操作,Session没有过期前,用户访问接口时,访问鉴权AOP模块仍然是根据之前缓存的Session信息进行处理,没法做到动态权限变更。

​​  使用Security+WebSocket是一个方案,但没法处理不在线用户。

​​  ​解决方案的核心思想是利用ServletContext对象的共享特性,来实现用户权限变更的信息传递。然后在AOP类中查询用户是否有变更通知记录需要处理,如果权限发生变化,则修改response消息体,添加附加通知信息给前端。前端收到附加的通知信息,可更新功能权限树,并进行相关处理。

​​​  这样,利用的变更通知服务,不仅后端的用户url访问接口可第一时间获悉变更,还可以通知到前端,从而实现了动态权限变更。

3、方案实现

3.1、开发变更通知类

​​​  服务接口类ChangeNotifyService,代码如下:

package com.abc.questInvest.service;

/**
 * @className		: ChangeNotifyService
 * @description		: 变更通知服务
 * @summary		:
 * @history		:
 * ------------------------------------------------------------------------------
 * date			version		modifier		remarks
 * ------------------------------------------------------------------------------
 * 2021/06/28	1.0.0		sheng.zheng		初版
 *
 */
public interface ChangeNotifyService {

	/**
	 *
	 * @methodName		: getChangeNotifyInfo
	 * @description		: 获取指定用户ID的变更通知信息
	 * @param userId	: 用户ID
	 * @return		: 返回0表示无变更通知信息,其它值按照bitmap编码。目前定义如下:
	 * 		bit0:	: 修改用户的角色组合值,从而导致权限变更;
	 * 		bit1:	: 修改角色的功能项,从而导致权限变更;
	 * 		bit2:	: 用户禁用,从而导致权限变更;
	 * 		bit3:	: 用户调整部门,从而导致数据权限变更;
	 * @history		:
	 * ------------------------------------------------------------------------------
	 * date			version		modifier		remarks
	 * ------------------------------------------------------------------------------
	 * 2021/06/28	1.0.0		sheng.zheng		初版
	 *
	 */
	public Integer getChangeNotifyInfo(Integer userId);

	/**
	 *
	 * @methodName		: setChangeNotifyInfo
	 * @description		: 设置变更通知信息
	 * @param userId	: 用户ID
	 * @param changeNotifyInfo	: 变更通知值
	 * 		bit0:	: 修改用户的角色组合值,从而导致权限变更;
	 * 		bit1:	: 修改角色的功能项,从而导致权限变更;
	 * 		bit2:	: 用户禁用,从而导致权限变更;
	 * 		bit3:	: 用户调整部门,从而导致数据权限变更;
	 * @history		:
	 * ------------------------------------------------------------------------------
	 * date			version		modifier		remarks
	 * ------------------------------------------------------------------------------
	 * 2021/06/28	1.0.0		sheng.zheng		初版
	 *
	 */
	public void setChangeNotifyInfo(Integer userId,Integer changeNotifyInfo);
}

​​​  服务实现类ChangeNotifyServiceImpl,代码如下:

package com.abc.questInvest.service.impl;

import java.util.HashMap;
import java.util.Map;

import org.springframework.stereotype.Service;

import com.abc.questInvest.service.ChangeNotifyService;

/**
 * @className		: ChangeNotifyServiceImpl
 * @description		: ChangeNotifyService实现类
 * @summary		:
 * @history		:
 * ------------------------------------------------------------------------------
 * date			version		modifier		remarks
 * ------------------------------------------------------------------------------
 * 2021/06/28	1.0.0		sheng.zheng		初版
 *
 */
@Service
public class ChangeNotifyServiceImpl implements ChangeNotifyService {

	//用户ID与变更过通知信息映射表
	private Map<Integer,Integer> changeNotifyMap = new HashMap<Integer,Integer>();

	/**
	 *
	 * @methodName		: getChangeNotifyInfo
	 * @description		: 获取指定用户ID的变更通知信息
	 * @param userId	: 用户ID
	 * @return		: 返回0表示无变更通知信息,其它值按照bitmap编码。目前定义如下:
	 * 		bit0:	: 修改用户的角色组合值,从而导致权限变更;
	 * 		bit1:	: 修改角色的功能项,从而导致权限变更;
	 * 		bit2:	: 用户禁用,从而导致权限变更;
	 * 		bit3:	: 用户调整部门,从而导致数据权限变更;
	 * @history		:
	 * ------------------------------------------------------------------------------
	 * date			version		modifier		remarks
	 * ------------------------------------------------------------------------------
	 * 2021/06/28	1.0.0		sheng.zheng		初版
	 *
	 */
	@Override
	public Integer getChangeNotifyInfo(Integer userId) {
		Integer changeNotifyInfo = 0;
		//检查该用户是否有变更通知信息
		if (changeNotifyMap.containsKey(userId)) {
			changeNotifyInfo = changeNotifyMap.get(userId);
			//移除数据,加锁保护
			synchronized(changeNotifyMap) {
				changeNotifyMap.remove(userId);
			}
		}
		return changeNotifyInfo;
	}

	/**
	 *
	 * @methodName		: setChangeNotifyInfo
	 * @description		: 设置变更通知信息,该功能一般由管理员触发调用
	 * @param userId	: 用户ID
	 * @param changeNotifyInfo	: 变更通知值
	 * 		bit0:	: 修改用户的角色组合值,从而导致权限变更;
	 * 		bit1:	: 修改角色的功能项,从而导致权限变更;
	 * 		bit2:	: 用户禁用,从而导致权限变更;
	 * 		bit3:	: 用户调整部门,从而导致数据权限变更;
	 * @history		:
	 * ------------------------------------------------------------------------------
	 * date			version		modifier		remarks
	 * ------------------------------------------------------------------------------
	 * 2021/06/28	1.0.0		sheng.zheng		初版
	 *
	 */
	@Override
	public void setChangeNotifyInfo(Integer userId,Integer changeNotifyInfo) {
		//检查该用户是否有变更通知信息
		if (changeNotifyMap.containsKey(userId)) {
			//如果有,表示之前变更通知未处理
			//获取之前的值
			Integer oldChangeNotifyInfo = changeNotifyMap.get(userId);
			//计算新值。bitmap编码,或操作
			Integer newChangeNotifyInfo = oldChangeNotifyInfo | changeNotifyInfo;
			//设置数据,加锁保护
			synchronized(changeNotifyMap) {
				changeNotifyMap.put(userId,newChangeNotifyInfo);
			}
		}else {
			//如果没有,设置一条
			changeNotifyMap.put(userId,changeNotifyInfo);
		}
	}
}

​​  此处,变更通知类型,与使用的demo项目有关,目前定义了4种变更通知类型。实际上,除了权限相关的变更,还有与Session缓存字段相关的变更,也需要通知,否则用户还是在使用旧数据。

3.2、将变更通知类对象,纳入全局配置服务对象中进行管理

​​​  全局配置服务类GlobalConfigService,负责管理全局的配置服务对象,服务接口类代码如下:

package com.abc.questInvest.service;

/**
 * @className		: GlobalConfigService
 * @description		: 全局变量管理类
 * @summary		:
 * @history		:
 * ------------------------------------------------------------------------------
 * date			version		modifier		remarks
 * ------------------------------------------------------------------------------
 * 2021/06/02	1.0.0		sheng.zheng		初版
 *
 */
public interface GlobalConfigService {

	/**
	 *
	 * @methodName		: loadData
	 * @description		: 加载数据
	 * @return		: 成功返回true,否则返回false
	 * @history		:
	 * ------------------------------------------------------------------------------
	 * date			version		modifier		remarks
	 * ------------------------------------------------------------------------------
	 * 2021/06/02	1.0.0		sheng.zheng		初版
	 *
	 */
	public boolean loadData();

	//获取TableCodeConfigService对象
	public TableCodeConfigService getTableCodeConfigService();	

	//获取SysParameterService对象
	public SysParameterService getSysParameterService();

	//获取FunctionTreeService对象
	public FunctionTreeService getFunctionTreeService();

	//获取RoleFuncRightsService对象
	public RoleFuncRightsService getRoleFuncRightsService();

	//获取ChangeNotifyService对象
	public ChangeNotifyService getChangeNotifyService();

}

​​​  服务实现类GlobalConfigServiceImpl,代码如下:

package com.abc.questInvest.service.impl;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Service;

import com.abc.questInvest.service.ChangeNotifyService;
import com.abc.questInvest.service.FunctionTreeService;
import com.abc.questInvest.service.GlobalConfigService;
import com.abc.questInvest.service.RoleFuncRightsService;
import com.abc.questInvest.service.SysParameterService;
import com.abc.questInvest.service.TableCodeConfigService;

/**
 * @className		: GlobalConfigServiceImpl
 * @description		: GlobalConfigService实现类
 * @summary		:
 * @history		:
 * ------------------------------------------------------------------------------
 * date			version		modifier		remarks
 * ------------------------------------------------------------------------------
 * 2021/06/02	1.0.0		sheng.zheng		初版
 *
 */
@Service
public class GlobalConfigServiceImpl implements GlobalConfigService{

	//ID编码配置表数据服务
	@Autowired
	private TableCodeConfigService tableCodeConfigService;

	//系统参数表数据服务
	@Autowired
	private SysParameterService sysParameterService;

	//功能树表数据服务
	@Autowired
	private FunctionTreeService functionTreeService;

	//角色权限表数据服务
	@Autowired
	private RoleFuncRightsService roleFuncRightsService;

	//变更通知服务
	@Autowired
	private ChangeNotifyService changeNotifyService;

	/**
	 *
	 * @methodName		: loadData
	 * @description		: 加载数据
	 * @return		: 成功返回true,否则返回false
	 * @history		:
	 * ------------------------------------------------------------------------------
	 * date			version		modifier		remarks
	 * ------------------------------------------------------------------------------
	 * 2021/06/02	1.0.0		sheng.zheng		初版
	 *
	 */
	@Override
	public boolean loadData() {
		boolean bRet = false;

		//加载table_code_config表记录
		bRet = tableCodeConfigService.loadData();
		if (!bRet) {
			return bRet;
		}

		//加载sys_parameters表记录
		bRet = sysParameterService.loadData();
		if (!bRet) {
			return bRet;
		}

		//changeNotifyService目前没有持久层,无需加载
		//如果服务重启,信息丢失,也没关系,因为此时Session也会失效

		//加载function_tree表记录
		bRet = functionTreeService.loadData();
		if (!bRet) {
			return bRet;
		}

		//加载role_func_rights表记录
		//先设置完整功能树
		roleFuncRightsService.setFunctionTree(functionTreeService.getFunctionTree());
		//然后加载数据
		bRet = roleFuncRightsService.loadData();
		if (!bRet) {
			return bRet;
		}

		return bRet;
	}

	//获取TableCodeConfigService对象
	@Override
	public TableCodeConfigService getTableCodeConfigService() {
		return tableCodeConfigService;
	}

	//获取SysParameterService对象
	@Override
	public SysParameterService getSysParameterService() {
		return sysParameterService;
	}

	//获取FunctionTreeService对象
	@Override
	public FunctionTreeService getFunctionTreeService() {
		return functionTreeService;
	}	

	//获取RoleFuncRightsService对象
	@Override
	public RoleFuncRightsService getRoleFuncRightsService() {
		return roleFuncRightsService;
	}

	//获取ChangeNotifyService对象
	@Override
	public ChangeNotifyService getChangeNotifyService() {
		return changeNotifyService;
	}

}

​​  GlobalConfigServiceImpl类,管理了很多配置服务类,此处主要关注ChangeNotifyService类对象。

3.3、使用ServletContext,管理全局配置服务类对象

​​​  全局配置服务类在应用启动时加载到Spring容器中,这样可实现共享,减少对数据库的访问压力。

​​​  实现一个ApplicationListener类,代码如下:

package com.abc.questInvest;

import javax.servlet.ServletContext;
import org.springframework.context.ApplicationListener;
import org.springframework.context.event.ContextRefreshedEvent;
import org.springframework.stereotype.Component;
import org.springframework.web.context.WebApplicationContext;

import com.abc.questInvest.service.GlobalConfigService;

/**
 * @className	: ApplicationStartup
 * @description	: 应用侦听器
 *
 */
@Component
public class ApplicationStartup implements ApplicationListener<ContextRefreshedEvent>{
    //全局变量管理对象,此处不能自动注入
    private GlobalConfigService globalConfigService = null;

    @Override
    public void onApplicationEvent(ContextRefreshedEvent contextRefreshedEvent) {
        try {
    	    if(contextRefreshedEvent.getApplicationContext().getParent() == null){
    	    	//root application context 没有parent.

    	    	System.out.println("========定义全局变量==================");
    	    	// 将 ApplicationContext 转化为 WebApplicationContext
    	        WebApplicationContext webApplicationContext =
    	                (WebApplicationContext)contextRefreshedEvent.getApplicationContext();
    	        // 从 webApplicationContext 中获取  servletContext
    	        ServletContext servletContext = webApplicationContext.getServletContext();

    	        //加载全局变量管理对象
    	        globalConfigService = (GlobalConfigService)webApplicationContext.getBean(GlobalConfigService.class);
    	        //加载数据
    	        boolean bRet = globalConfigService.loadData();
    	        if (false == bRet) {
    	        	System.out.println("加载全局变量失败");
    	        	return;
    	        }
    	        //======================================================================
    	        // servletContext设置值
    	        servletContext.setAttribute("GLOBAL_CONFIG_SERVICE", globalConfigService);  

    	    }
    	} catch (Exception e) {
    	    e.printStackTrace();
    	}
    }
}

​​​  在启动类中,加入该应用侦听器ApplicationStartup。

public static void main(String[] args) {
    	SpringApplication springApplication = new SpringApplication(QuestInvestApplication.class);
        springApplication.addListeners(new ApplicationStartup());
        springApplication.run(args);
	}

​​  现在,有了一个GlobalConfigService类型的全局变量globalConfigService。

3.4、发出变更通知

​​​  此处举2个例子,说明发出变更通知的例子,这两个例子,都在用户管理模块,UserManServiceImpl类中。

​​​  1)管理员修改用户信息,可能导致权限相关项发生变动,2)禁用用户,发出变更过通知。

​​​  发出通知的相关代码如下:

/**
	 *
	 * @methodName		: editUser
	 * @description		: 修改用户信息
	 * @param userInfo	: 用户信息对象
	 * @history		:
	 * ------------------------------------------------------------------------------
	 * date			version		modifier		remarks
	 * ------------------------------------------------------------------------------
	 * 2021/06/08	1.0.0		sheng.zheng		初版
	 * 2021/06/28	1.0.1		sheng.zheng		增加变更通知的处理
	 *
	 */
	@Override
	public void editUser(HttpServletRequest request,UserInfo userInfo) {
		//输入参数校验
		checkValidForParams("editUser",userInfo);

		//获取操作人账号
		String operatorName = (String) request.getSession().getAttribute("username");
		userInfo.setOperatorName(operatorName);		

		//登录名和密码不修改
		userInfo.setLoginName(null);
		userInfo.setSalt(null);
		userInfo.setPasswd(null);

		//获取修改之前的用户信息
		Integer userId = userInfo.getUserId();
		UserInfo oldUserInfo = userManDao.selectUserByKey(userId);

		//修改用户记录
		try {
			userManDao.updateSelective(userInfo);
		}catch(Exception e) {
			e.printStackTrace();
			log.error(e.getMessage());
			throw new BaseException(ExceptionCodes.USERS_EDIT_USER_FAILED);
		}

		//检查是否有需要通知的变更
		Integer changeFlag = 0;
		if (userInfo.getRoles() != null) {
			if(oldUserInfo.getRoles() != userInfo.getRoles()) {
				//角色组合有变化,bit0
				changeFlag |= 0x01;
			}
		}
		if (userInfo.getDeptId() != null) {
			if (oldUserInfo.getDeptId() != userInfo.getDeptId()) {
				//部门ID有变化,bit3
				changeFlag |= 0x08;
			}
		}
		if (changeFlag > 0) {
			//如果有变更过通知项
			//获取全局变量
			ServletContext servletContext = request.getServletContext();
			GlobalConfigService globalConfigService = (GlobalConfigService)servletContext.getAttribute("GLOBAL_CONFIG_SERVICE");
			globalConfigService.getChangeNotifyService().setChangeNotifyInfo(userId, changeFlag);
		}
	}

	/**
	 *
	 * @methodName		: disableUser
	 * @description		: 禁用用户
	 * @param params	: map对象,形式如下:
	 * 	{
	 * 		"userId"	: 1
	 * 	}
	 * @history		:
	 * ------------------------------------------------------------------------------
	 * date			version		modifier		remarks
	 * ------------------------------------------------------------------------------
	 * 2021/06/08	1.0.0		sheng.zheng		初版
	 * 2021/06/28	1.0.1		sheng.zheng		增加变更通知的处理
	 *
	 */
	@Override
	public void disableUser(HttpServletRequest request,Map<String,Object> params) {
		//输入参数校验
		checkValidForParams("disableUser",params);

		UserInfo userInfo = new UserInfo();

		//获取操作人账号
		String operatorName = (String) request.getSession().getAttribute("username");

		//设置userInfo信息
		Integer userId = (Integer)params.get("userId");
		userInfo.setUserId(userId);
		userInfo.setOperatorName(operatorName);
		//设置禁用标记
		userInfo.setDeleteFlag((byte)1);

		//修改密码
		try {
			userManDao.updateEnable(userInfo);
		}catch(Exception e) {
			e.printStackTrace();
			log.error(e.getMessage());
			throw new BaseException(ExceptionCodes.USERS_EDIT_USER_FAILED);
		}		

		//禁用用户,发出变更通知
		//获取全局变量
		ServletContext servletContext = request.getServletContext();
		GlobalConfigService globalConfigService = (GlobalConfigService)servletContext.getAttribute("GLOBAL_CONFIG_SERVICE");
		//禁用用户:bit2
		globalConfigService.getChangeNotifyService().setChangeNotifyInfo(userId, 0x04);
	}

​​  本demo项目的角色相对较少,没有使用用户角色关系表,而是使用了bitmap编码,角色ID取值为2^n,用户角色组合roles字段为一个Integer值。如roles=7,表示角色ID组合=[1,2,4]。
​​  另外,如果修改了角色的功能权限集合,则需要查询受影响的用户ID列表,依次发出通知,可类似处理。

3.5、修改Response响应消息体

​​​  Response响应消息体,为BaseResponse,代码如下:

package com.abc.questInvest.vo.common;

import lombok.Data;

/**
 * @className		: BaseResponse
 * @description		: 基本响应消息体对象
 * @summary		:
 * @history		:
 * ------------------------------------------------------------------------------
 * date			version		modifier		remarks
 * ------------------------------------------------------------------------------
 * 2021/05/31	1.0.0		sheng.zheng		初版
 * 2021/06/28	1.0.1		sheng.zheng		增加变更通知的附加信息
 *
 */
@Data
public class BaseResponse<T> {
    //响应码
    private int code;

    //响应消息
    private String message;

    //响应实体信息
    private T data;

    //分页信息
    private Page page;

    //附加通知信息
    private Additional additional;
}

​​  BaseResponse类增加了Additional类型的additional属性字段,用于输出附加信息。

​​  Additional类的定义如下:

package com.abc.questInvest.vo.common;

import lombok.Data;

/**
 * @className		: Additional
 * @description		: 附加信息
 * @summary		:
 * @history		:
 * ------------------------------------------------------------------------------
 * date			version		modifier		remarks
 * ------------------------------------------------------------------------------
 * 2021/06/28	1.0.0		sheng.zheng		初版
 *
 */
@Data
public class Additional {
    //通知码,附加信息
    private int notifycode;

    //通知码对应的消息
    private String notification;

    //更新的token
    private String token;

    //更新的功能权限树
    private String rights;

}

​​  附加信息类Additional中,各属性字段的说明:

  • notifycode,为通知码,即可对应通知消息的类型,目前只有一种,可扩展。
  • notification,为通知码对应的消息。

​​  通知码,在ExceptionCodes枚举文件中定义:

  //变更通知信息
    USER_RIGHTS_CHANGED(51, "message.USER_RIGHTS_CHANGED", "用户权限发生变更"),
	;  //end enum

    ExceptionCodes(int code, String messageId, String message) {
        this.code = code;
        this.messageId = messageId;
        this.message = message;
    }
  • token,用于要求前端更新token。更新token的目的是确认前端已经收到权限变更通知。因为下次url请求将使用新的token,如果前端未收到或未处理,仍然用旧的token访问,就要跳到登录页了。
  • rights,功能树的字符串输出,是树型结构的JSON字符串。

3.6、AOP鉴权处理

​​​  AuthorizationAspect为鉴权认证的切面类,代码如下:

package com.abc.questInvest.aop;

import java.util.List;

import javax.servlet.ServletContext;
import javax.servlet.http.HttpServletRequest;

import org.aspectj.lang.annotation.AfterReturning;
import org.aspectj.lang.annotation.Aspect;
import org.aspectj.lang.annotation.Before;
import org.aspectj.lang.annotation.Pointcut;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.core.annotation.Order;
import org.springframework.stereotype.Component;
import org.springframework.web.context.request.RequestContextHolder;
import org.springframework.web.context.request.ServletRequestAttributes;

import com.abc.questInvest.common.constants.Constants;
import com.abc.questInvest.common.utils.Utility;
import com.abc.questInvest.dao.UserManDao;
import com.abc.questInvest.entity.FunctionInfo;
import com.abc.questInvest.entity.UserInfo;
import com.abc.questInvest.exception.BaseException;
import com.abc.questInvest.exception.ExceptionCodes;
import com.abc.questInvest.service.GlobalConfigService;
import com.abc.questInvest.service.LoginService;
import com.abc.questInvest.vo.TreeNode;
import com.abc.questInvest.vo.common.Additional;
import com.abc.questInvest.vo.common.BaseResponse;

/**
 * @className		: AuthorizationAspect
 * @description		: 接口访问鉴权切面类
 * @summary		: 使用AOP,进行token认证以及用户对接口的访问权限鉴权
 * @history		:
 * ------------------------------------------------------------------------------
 * date			version		modifier		remarks
 * ------------------------------------------------------------------------------
 * 2021/06/06	1.0.0		sheng.zheng		初版
 * 2021/06/28	1.0.1		sheng.zheng		增加变更通知的处理,增加了afterReturning增强
 *
 */
@Aspect
@Component
@Order(2)
public class AuthorizationAspect {
	@Autowired
    private UserManDao userManDao;

	//设置切点
    @Pointcut("execution(public * com.abc.questInvest.controller..*.*(..))" +
    "&& !execution(public * com.abc.questInvest.controller.LoginController.*(..))" +
    "&& !execution(public * com.abc.questInvest.controller.QuestInvestController.*(..))")
    public void verify(){}

    @Before("verify()")
    public void doVerify(){
		ServletRequestAttributes attributes=(ServletRequestAttributes) RequestContextHolder.getRequestAttributes();

		HttpServletRequest request=attributes.getRequest(); 

		// ================================================================================
		// token认证

		//从header中获取token值
		String token = request.getHeader("Authorization");
		if (null == token || token.equals("")){
			//return;
			throw new BaseException(ExceptionCodes.TOKEN_IS_NULL);
		} 

		//从session中获取token和过期时间
		String sessionToken = (String)request.getSession().getAttribute("token");

		//判断session中是否有信息,可能是非登录用户
		if (null == sessionToken || sessionToken.equals("")) {
			throw new BaseException(ExceptionCodes.TOKEN_WRONG);
		}

		//比较token
		if(!token.equals(sessionToken)) {
			//如果请求头中的token与存在session中token两者不一致
			throw new BaseException(ExceptionCodes.TOKEN_WRONG);
		}

		long expireTime = (long)request.getSession().getAttribute("expireTime");
		//检查过期时间
		long time = System.currentTimeMillis();
		if (time > expireTime) {
			//如果token过期
			throw new BaseException(ExceptionCodes.TOKEN_EXPIRED);
		}else {
			//token未过期,更新过期时间
			long newExpiredTime = time + Constants.TOKEN_EXPIRE_TIME * 1000;
			request.getSession().setAttribute("expireTime", newExpiredTime);
		}

		// ============================================================================
		// 接口调用权限
		//获取用户ID
		Integer userId = (Integer)request.getSession().getAttribute("userId");
		//获取全局变量
		ServletContext servletContext = request.getServletContext();
		GlobalConfigService globalConfigService = (GlobalConfigService)servletContext.getAttribute("GLOBAL_CONFIG_SERVICE");

		//===================变更通知处理开始==============================================
		//检查有无变更通知信息
		Integer changeNotifyInfo = globalConfigService.getChangeNotifyService().getChangeNotifyInfo(userId);
		//通知前端权限变更的标记
		boolean rightsChangedFlag = false;
		if (changeNotifyInfo > 0) {
			//有通知信息
			if ((changeNotifyInfo & 0x09) > 0) {
				//bit0:修改用户的角色组合值,从而导致权限变更
				//bit3:用户调整部门,从而导致数据权限变更
				//mask 0b1001 = 0x09
				//都需要查询用户表,并更新信息;合在一起查询。
				UserInfo userInfo = userManDao.selectUserByKey(userId);
				//更新Session
		    	        request.getSession().setAttribute("roles", userInfo.getRoles());
		    	        request.getSession().setAttribute("deptId", userInfo.getDeptId());
  		    	        if ((changeNotifyInfo & 0x01) > 0) {
  		    		        //权限变更标志置位
  		    		        rightsChangedFlag = true;
  		    	        }
			}else if((changeNotifyInfo & 0x02) > 0) {
				//bit1:修改角色的功能值,从而导致权限变更
	    		        //权限变更标志置位
	    		      rightsChangedFlag = true;
			}else if((changeNotifyInfo & 0x04) > 0) {
				//bit2:用户禁用,从而导致权限变更
				//设置无效token,可阻止该用户访问系统
				request.getSession().setAttribute("token", "");
				//直接抛出异常,由前端显示:Forbidden页面
				throw new BaseException(ExceptionCodes.ACCESS_FORBIDDEN);
			}
			if (rightsChangedFlag == true) {
				//写Session,用于将信息传递到afterReturning方法中
				request.getSession().setAttribute("rightsChanged", 1);
			}
		}
		//===================变更通知处理结束==============================================

		//从session中获取用户权限值
		Integer roles = (Integer)request.getSession().getAttribute("roles");
		//获取当前接口url值
		String servletPath = request.getServletPath();

		//获取该角色对url的访问权限
		Integer rights = globalConfigService.getRoleFuncRightsService().getRoleUrlRights(Utility.parseRoles(roles), servletPath);
		if (rights == 0) {
			//如果无权限访问此接口,抛出异常,由前端显示:Forbidden页面
			throw new BaseException(ExceptionCodes.ACCESS_FORBIDDEN);
		}
    }    

    @AfterReturning(value="verify()" ,returning="result")
    public void afterReturning(BaseResponse result) {
    	//限制必须是BaseResponse类型,其它类型的返回值忽略
    	//获取Session
        ServletRequestAttributes sra = (ServletRequestAttributes)RequestContextHolder.getRequestAttributes();
        HttpServletRequest request = sra.getRequest();
    	Integer rightsChanged = (Integer)request.getSession().getAttribute("rightsChanged");
    	if (rightsChanged != null && rightsChanged == 1) {
    		//如果有用户权限变更,通知前端来刷新该用户的功能权限树
    		//构造附加信息
    		Additional additional = new Additional();
    		additional.setNotifycode(ExceptionCodes.USER_RIGHTS_CHANGED.getCode());
    		additional.setNotification(ExceptionCodes.USER_RIGHTS_CHANGED.getMessage());
    		//更新token
    		String loginName = (String)request.getSession().getAttribute("username");
    		String token = LoginService.generateToken(loginName);
    		additional.setToken(token);
    		//更新token,要求下次url访问使用新的token
    		request.getSession().setAttribute("token", token);
    		//获取用户的功能权限树
    		Integer roles = (Integer)request.getSession().getAttribute("roles");
    		ServletContext servletContext = request.getServletContext();
    		GlobalConfigService globalConfigService = (GlobalConfigService)servletContext.getAttribute("GLOBAL_CONFIG_SERVICE");
        	//获取用户权限的角色功能树
    		List<Integer> roleList = Utility.parseRoles(roles);
        	TreeNode<FunctionInfo> rolesFunctionTree =
        			globalConfigService.getRoleFuncRightsService().
        			getRoleRights(roleList);
        	additional.setRights(rolesFunctionTree.toString());
    		//修改response信息
        	result.setAdditional(additional);
    		//移除Session的rightsChanged项
    		request.getSession().removeAttribute("rightsChanged");
    	}
    }
}

​​  AuthorizationAspect类定义了切点verify(),@Before增强用于鉴权验证,增加了对变更通知信息的处理。并利用Session,用rightsChanged属性字段记录需要通知前端的标志,在@AfterReturning后置增强中根据该属性字段的值,进行一步的处理。

​​  @Before增强的doVerify方法中,如果发现角色组合有改变,但仍有访问此url权限时,会继续后续处理,这样不会中断业务;如果没有访问此url权限,则返回访问受限异常信息,由前端显示访问受限页码(类似403 Forbidden 页码)。

​​  在后置增强@AfterReturning中,限定了返回值类型,如果该请求响应的类型是BaseResponse类型,则修改reponse消息体,附加通知信息;如果不是,则不处理,会等待下一个url请求,直到返回类型是BaseResponse类型。也可以采用自定义response的header的方式,这样,就无需等待了。

​​  generateToken方法,是LoginService类的静态方法,用于生成用户token。

​​  至于Utility的parseRoles方法,是将bitmap编码的roles解析为角色ID的列表,代码如下:

	//========================= 权限组合值解析 ======================================
    /**
     *
     * @methodName		: parseRoles
     * @description		: 解析角色组合值
     * @param roles		: 按位设置的角色组合值
     * @return			: 角色ID列表
     * @history			:
     * ------------------------------------------------------------------------------
     * date			version		modifier		remarks
     * ------------------------------------------------------------------------------
     * 2021/06/24	1.0.0		sheng.zheng		初版
     *
     */
    public static List<Integer> parseRoles(int roles){
    	List<Integer> roleList = new ArrayList<Integer>();

    	int newRoles = roles;
    	int bit0 = 0;
    	int roleId = 0;
    	for (int i = 0; i < 32; i++) {
    		//如果组合值的余位都为0,则跳出
    		if (newRoles == 0) {
    			break;
    		}

    		//取得最后一位
    		bit0 = newRoles & 0x01;
    		if (bit0 == 1) {
    			//如果该位为1,左移i位
    			roleId = 1 << i;
    			roleList.add(roleId);
    		}

    		//右移一位
    		newRoles = newRoles >> 1;
    	}
    	return roleList;
    }	

​​  getRoleRights方法,是角色功能权限服务类RoleFuncRightsService的方法,它提供了根据List类型的角色ID列表,快速获取功能权限树的功能。
​​  关于功能权限树TreeNode类型,请参阅:《Java通用树结构数据管理》

到此这篇关于Spring Boot动态权限变更实现的整体方案的文章就介绍到这了,更多相关Spring Boot动态权限内容请搜索我们以前的文章或继续浏览下面的相关文章希望大家以后多多支持我们!

(0)

相关推荐

  • Spring Boot集成Shiro实现动态加载权限的完整步骤

    一.前言 本文小编将基于 SpringBoot 集成 Shiro 实现动态uri权限,由前端vue在页面配置uri,Java后端动态刷新权限,不用重启项目,以及在页面分配给用户 角色 . 按钮 .uri 权限后,后端动态分配权限,用户无需在页面重新登录才能获取最新权限,一切权限动态加载,灵活配置 基本环境 spring-boot 2.1.7 mybatis-plus 2.1.0 mysql 5.7.24 redis 5.0.5 温馨小提示:案例demo源码附文章末尾,有需要的小伙伴们可参考哦 ~

  • springboot+springsecurity如何实现动态url细粒度权限认证

    谨记:Url表只储存受保护的资源,不在表里的资源说明不受保护,任何人都可以访问 1.MyFilterInvocationSecurityMetadataSource 类判断该访问路径是否被保护 @Component //用于设置受保护资源的权限信息的数据源 public class MyFilterInvocationSecurityMetadataSource implements FilterInvocationSecurityMetadataSource { @Bean public An

  • 关于Spring Boot动态权限变更问题的实现方案

    1.前言 ​  在Web项目中,权限管理即权限访问控制为网站访问安全提供了保障,并且很多项目使用了Session作为缓存,结合AOP技术进行token认证和权限控制.权限控制流程大致如下图所示: ​  现在,如果管理员修改了用户的角色,或修改了角色的权限,都会导致用户权限发生变化,此时如何实现动态权限变更,使得前端能够更新用户的权限树,后端访问鉴权AOP模块能够知悉这种变更呢? 2.问题及解决方案 ​​  现在的问题是,管理员没法访问用户Session,因此没法将变更通知此用户.而用户如果已经登

  • Spring Security动态权限的实现方法详解

    目录 1. 动态管理权限规则 1.1 数据库设计 1.2 实战 2. 测试 最近在做 TienChin 项目,用的是 RuoYi-Vue 脚手架,在这个脚手架中,访问某个接口需要什么权限,这个是在代码中硬编码的,具体怎么实现的,松哥下篇文章来和大家分析,有的小伙伴可能希望能让这个东西像 vhr 一样,可以在数据库中动态配置,因此这篇文章和小伙伴们简单介绍下 Spring Security 中的动态权限方案,以便于小伙伴们更好的理解 TienChin 项目中的权限方案. 1. 动态管理权限规则 通

  • JSP 开发之Spring Boot 动态创建Bean

    JSP 开发之Spring Boot 动态创建Bean 1.通过注解@Import导入方式创建 a.新建MyImportBeanDefinitionRegistrar注册中心 Java代码 import org.springframework.beans.factory.support.BeanDefinitionRegistry; import org.springframework.beans.factory.support.GenericBeanDefinition; import org

  • spring boot动态加载Echart饼状图

    本文实例为大家分享了spring boot动态加载Echart饼状图的具体代码,供大家参考,具体内容如下 先从Echart官网上根据需要下载所需Echart版本,在页面中用script标签引入,这些在Echart官网上有教程.官网上有异步加载和更新Echart图,知道了是动态把查询到的结果按格式拼接到饼状图series里面的data中. 尝试一:在springboot的controller中把查询到的结果拼接好放在map里,跳转到页面, 然后在前台javascript中获取完成动态加载,发现饼状

  • spring boot动态切换数据源的实现

    当数据量比较大的时候,我们就需要考虑读写分离了,也就是动态切换数据库连接,对指定的数据库进行操作.在spring中实现动态的切换无非就是利用AOP实现.我们可以使用mybatis-plus作者开发的插件dynamic-datasource-spring-boot-starter. demo地址:https://github.com/songshijun1995/spring-boot-dynamic-demo 新建项目引入依赖 <dependency> <groupId>com.b

  • spring boot 动态生成接口实现类的场景分析

    目录 一: 定义注解 二: 建立动态代理类 三: 注入spring容器 四: 编写拦截器 五: 新建测试类 在某些业务场景中,我们只需要业务代码中定义相应的接口或者相应的注解,并不需要实现对应的逻辑. 比如 mybatis和feign: 在 mybatis 中,我们只需要定义对应的mapper接口:在 feign 中,我们只需要定义对应业务系统中的接口即可. 那么在这种场景下,具体的业务逻辑时怎么执行的呢,其实原理都是动态代理. 我们这里不具体介绍动态代理,主要看一下它在springboot项目

  • Spring boot security权限管理集成cas单点登录功能的实现

    目录 1.Springboot集成Springsecurity 2.部署CASserver 3.配置CASclient 挣扎了两周,Spring security的cas终于搞出来了,废话不多说,开篇! 1.Spring boot集成Spring security 本篇是使用spring security集成cas,因此,先得集成spring security新建一个Spring boot项目,加入maven依赖,我这里是用的架构是Spring boot2.0.4+Spring mvc+Spri

  • Spring Boot 动态数据源示例(多数据源自动切换)

    本文实现案例场景: 某系统除了需要从自己的主要数据库上读取和管理数据外,还有一部分业务涉及到其他多个数据库,要求可以在任何方法上可以灵活指定具体要操作的数据库. 为了在开发中以最简单的方法使用,本文基于注解和AOP的方法实现,在spring boot框架的项目中,添加本文实现的代码类后,只需要配置好数据源就可以直接通过注解使用,简单方便. 一配置二使用 1. 启动类注册动态数据源 2. 配置文件中配置多个数据源 3. 在需要的方法上使用注解指定数据源 1.在启动类添加 @Import({Dyna

  • Spring Boot如何动态创建Bean示例代码

    前言 本文主要给大家介绍了关于Spring Boot动态创建Bean的相关内容,分享出来供大家参考学习,下面话不多说了,来一起看看详细的介绍吧. SpringBoot测试版本:1.3.4.RELEASE 参考代码如下: package com.spring.configuration; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.beans.factory.su

  • 通过Spring Boot配置动态数据源访问多个数据库的实现代码

    之前写过一篇博客<Spring+Mybatis+Mysql搭建分布式数据库访问框架>描述如何通过Spring+Mybatis配置动态数据源访问多个数据库.但是之前的方案有一些限制(原博客中也描述了):只适用于数据库数量不多且固定的情况.针对数据库动态增加的情况无能为力. 下面讲的方案能支持数据库动态增删,数量不限. 数据库环境准备 下面一Mysql为例,先在本地建3个数据库用于测试.需要说明的是本方案不限数据库数量,支持不同的数据库部署在不同的服务器上.如图所示db_project_001.d

随机推荐