Matrxi-Web權(quán)限設計

對于一個后端系統(tǒng)來說，權(quán)限是基礎設施，是安全保障。沒有權(quán)限，系統(tǒng)可能隨時面臨各種風險，所以權(quán)限設計對后端系統(tǒng)來說至關重要。在Javaweb開發(fā)中，有很多權(quán)限開發(fā)的框架，比如shrio、Spring security，但是都比較重量級。作為一個后端管理系統(tǒng)來說，用這樣的權(quán)限開發(fā)框架會拖慢開發(fā)進度。所以在這個項目中，我寫了一個更簡單的權(quán)限控制框架，使用很簡單。

權(quán)限設計思路

在Matrxi-Web項目中，請求需要攜帶Token，請求經(jīng)過Filter的時候（實際項目是使用Spring MVC的HandlerInterceptor），會判斷該請求Url是否有Token。如果有Token，解析Token獲取用戶信息，如果解析Token失敗，則進入白名單判斷的邏輯，如果解析成功，則請求通過。如果請求不攜帶Token或者解析Token失敗，則判斷是否Url白名單里（比如登錄接口，swagger文檔等接口)，如果請求不在url白名單內(nèi)，則提示無權(quán)限訪問。

在Filter層初步判斷，如果請求通過，則請求進入具體類的方法里，比如Controller的方法。如果類方法加上了自定義的注解@HasPermission，則該類在加載的時候會生成一個aroud類型的切面（即spring的aop），在執(zhí)行具體類的方法前，會判斷該用戶是否具有對該方法的調(diào)用權(quán)限，從而起到權(quán)限控制的作用。

 

RBAC

在權(quán)限控制數(shù)據(jù)層面，最常用的做法是RBAC(Role-Based Access Control)，即基于角色的權(quán)限的控制。在RBAC中，權(quán)限與角色相關聯(lián)，用戶通過成為適當角色的成員而得到這些角色的權(quán)限。這就極大地簡化了權(quán)限的管理。

RBAC  認為授權(quán)實際上是Who 、What 、How 三元組之間的關系，也就是Who 對What 進行How 的操作，也就是“主體”對“客體”的操作。

• Who：是權(quán)限的擁有者或主體（如：User，Role）。
• What：是操作或?qū)ο螅╫peration，object）。
• How：具體的權(quán)限（Privilege,正向授權(quán)與負向授權(quán)）。

在Matrix-Web項目中，也是使用了經(jīng)典的RBAC，即每個用戶擁有一個或多個角色，角色賦予具體的菜單操作權(quán)限。Martrix-Web的數(shù)據(jù)庫設計標如下圖所示：

[外鏈圖片轉(zhuǎn)存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-ziItvtN3-1590667416151)(https://static.javajike.com/img/2020/05/matrix/matrix-web009.jpg)]

用戶Id(user_id)和角色Id(role_id)綁定，角色Id（role_id）和menu_code(菜單編碼綁定)，所以在創(chuàng)建用戶的時候需要錄入用戶的角色，而角色又需要綁定權(quán)限。前端界面錄入權(quán)限按鈕，展示圖如下：[外鏈圖片轉(zhuǎn)存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-4S0rbHyf-1590667416151)(https://static.javajike.com/img/2020/05/matrix/mw010.jpg)]

用戶綁定角色，展示圖如下：[外鏈圖片轉(zhuǎn)存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-aRbyW5HT-1590667416152)(https://static.javajike.com/img/2020/05/matrix/mw011.jpg)]

Token設計

在系統(tǒng)設置中，有一個重要的東東是Token，Token代表了用戶，幾乎所有的請求都需要攜帶Token。那么Token是怎么來的呢？它是根據(jù)用戶名生成的。那么什么情況會生產(chǎn)呢？用戶登錄成功后，生成Token，返回給瀏覽器，瀏覽器存儲在LocalStorage里面，后續(xù)的所有請求必須攜帶Token。這樣根據(jù)Token，服務端就能知道每個請求的用戶是誰，從而判斷該請求的用戶是否有權(quán)限。

 

上面的幾個小結(jié)講述了Matrix-web整體實現(xiàn)的權(quán)限控制的思路。現(xiàn)在來做一下總結(jié)：

• 首先，用戶需要登錄，填用戶名、密碼，后端接收到登錄請求，進行用戶、密碼的校驗，校驗成功后則根據(jù)用戶名生成Token，并返回給瀏覽器。
• 瀏覽器收到Token后，會存儲在本地的LocalStorge里。
• 后續(xù)瀏覽器發(fā)起請求時都攜帶該Token，請求達到后端后，會在Filter進行判斷，首選判斷是否為白名單url（比如登錄接口url），如果是則放行；否則進入Token驗證。如果有Token且解析成功，則放行，否則，返回無權(quán)限訪問。
• Filter判斷后，請求達到具體的Controller層，如果在Controller層上加上了權(quán)限判斷的注解，則生成代理類。代理類在執(zhí)行具體方法前會根據(jù)Token判斷權(quán)限。
• 取出用戶的Token并解析得到該請求的userId，根據(jù)userId在從存儲層獲取用戶的權(quán)限點。權(quán)限控制是RBAC這種方式實現(xiàn)的。
• 獲取到用戶權(quán)限點后，獲取權(quán)限判斷的注解的權(quán)限信息，看用戶權(quán)限點是否包含權(quán)限注解的權(quán)限信息，如果包含，則權(quán)限校驗通過，否則則請求返回無權(quán)限。