基于Spring Security的動態(tài)權限系統(tǒng)設計與實現(xiàn)

更新時間：2025年07月21日 10:12:12 作者：用戶9198372681846

本文介紹一個基于Spring Boot 2.7.18和SpringSecurity實現(xiàn)的權限系統(tǒng),支持接口級權限控制,支持權限,文中通過示例代碼介紹的非常詳細,需要的朋友們下面隨著小編來一起學習學習吧

技術棧

Spring Boot 2.7.18
Spring Security
MyBatis Plus（用于持久化）
MySQL

核心表結構設計

權限點表auth_permission_point

用于定義所有權限點（如 user:create, user:update）：

字段名	類型	說明
id	bigint	主鍵
code	varchar	權限點編碼（唯一）
name	varchar	權限點名稱
type	varchar	類型（操作、頁面、字段等）
resource	varchar	資源模塊標識
action	varchar	操作標識
remark	varchar	備注說明

角色表auth_role

字段名	類型	說明
id	bigint	主鍵
role_code	varchar	角色編碼
name	varchar	角色名稱
is_builtin	boolean	是否為系統(tǒng)內(nèi)置角色
enabled	boolean	是否啟用

用戶角色關聯(lián)表auth_user_role

字段名	類型	說明
id	bigint	主鍵
user_id	varchar	用戶唯一 ID
role_code	varchar	關聯(lián)角色編碼

角色權限點關聯(lián)表auth_role_permission_point

字段名	類型	說明
id	bigint	主鍵
role_code	varchar	角色編碼
permission_code	varchar	權限點編碼

接口權限映射表auth_url_permission_point

字段名	類型	說明
id	bigint	主鍵
url	varchar	接口路徑
method	varchar	請求方法（GET/POST/PUT/DELETE）
permission_code	varchar	所需權限點編碼

? 每個接口可以綁定多個權限點，滿足任意一個即視為擁有權限。

權限系統(tǒng)運行機制

1. 動態(tài)加載權限點

實現(xiàn)自定義 FilterInvocationSecurityMetadataSource，在系統(tǒng)啟動和權限點發(fā)生變更時，自動掃描 auth_url_permission_point 表，將 URL、METHOD -> 權限點集合的映射加載至內(nèi)存。

@Component
@RequiredArgsConstructor
public class CustomSecurityMetadataSource implements FilterInvocationSecurityMetadataSource {

    private final AntPathMatcher pathMatcher = new AntPathMatcher();

    @Resource
    private UrlPermissionMappingService urlPermissionMappingService;

    // TODO: 后期可替換為 Redis 或數(shù)據(jù)庫緩存
    private static final Map<String, List<PermissionExpressionConfigAttribute>> URL_PERMISSION_MAP = new ConcurrentHashMap<>();

    private volatile Map<String, List<PermissionExpressionConfigAttribute>> permissionMap = new ConcurrentHashMap<>();


    static {
        // 示例數(shù)據(jù)，正式請從數(shù)據(jù)庫加載
        URL_PERMISSION_MAP.put("/api/user/**", List.of(new PermissionExpressionConfigAttribute("user:query")));
        URL_PERMISSION_MAP.put("/api/user/updatePassword", List.of(new PermissionExpressionConfigAttribute("user:updatePassword")));
    }

    @PostConstruct
    public void init() {
        // 啟動時加載一次
        reload();
    }

    public void reload() {
        Map<String, List<PermissionExpressionConfigAttribute>> newMap = new HashMap<>();
        for (UrlPermissionMapping mapping : urlPermissionMappingService.loadAllUrlPermissionMappings()) {
            newMap.computeIfAbsent(mapping.getUrlPattern(), k -> new ArrayList<>())
                    .add(new PermissionExpressionConfigAttribute(mapping.getPermissionCode()));
        }
        this.permissionMap = newMap;
    }


    @Override
    public Collection<ConfigAttribute> getAttributes(Object object) {
        String requestPath = ((FilterInvocation) object).getRequest().getRequestURI();
        // 先嘗試精確匹配
        List<PermissionExpressionConfigAttribute> exact = permissionMap.get(requestPath);
        if (exact != null) {
            return new HashSet<>(exact);
        }

        // 再嘗試通配匹配
        for (Map.Entry<String, List<PermissionExpressionConfigAttribute>> entry : permissionMap.entrySet()) {
            if (pathMatcher.match(entry.getKey(), requestPath)) {
                return new HashSet<>(entry.getValue());
            }
        }
        return null;
    }

    @Override
    public Collection<ConfigAttribute> getAllConfigAttributes() {
        return URL_PERMISSION_MAP.values().stream()
                .flatMap(List::stream)
                .collect(Collectors.toSet());
    }

    @Override
    public boolean supports(Class<?> clazz) {
        return FilterInvocation.class.isAssignableFrom(clazz);
    }

}

2. 動態(tài)權限校驗

實現(xiàn) AccessDecisionVoter<FilterInvocation>，對每個請求：

從 SecurityMetadataSource 拿到該接口需要的權限點
從 Authentication#getAuthorities() 拿到用戶權限點集合
判斷是否命中

public class PermissionExpressionVoter implements AccessDecisionVoter<FilterInvocation> {

    @Override
    public int vote(Authentication authentication, FilterInvocation filterInvocation,
                    Collection<ConfigAttribute> attributes) {
        Assert.notNull(authentication, "authentication must not be null");
        Assert.notNull(filterInvocation, "filterInvocation must not be null");
        Assert.notNull(attributes, "attributes must not be null");
        Set<String> requiredExpressions = findConfigAttribute(attributes);

        // 獲取當前登錄用戶擁有的權限點表達式
        Set<String> userPermissions = authentication.getAuthorities().stream()
                .map(GrantedAuthority::getAuthority)
                .collect(Collectors.toSet());

        if (CollectionUtils.isEmpty(requiredExpressions)) {
            // 如果沒有定義表達式，棄權，交給下一個 voter
            log.trace("Abstained since did not find a config attribute of instance WebExpressionConfigAttribute");
            return ACCESS_ABSTAIN;
        }

        for (String required : requiredExpressions) {
            if (userPermissions.contains(required)) {
                return ACCESS_GRANTED;
            }
        }

        log.warn("權限校驗失敗: 當前用戶權限 = {}, 資源需要權限 = {}", userPermissions, requiredExpressions);
        return ACCESS_DENIED;

    }

    private Set<String> findConfigAttribute(Collection<ConfigAttribute> attributes) {
        // 取出當前資源對應的權限表達式
        return attributes.stream()
                .filter(attribute -> attribute instanceof PermissionExpressionConfigAttribute)
                .map(ConfigAttribute::getAttribute)
                .collect(Collectors.toSet());
    }

    @Override
    public boolean supports(ConfigAttribute attribute) {
        return attribute instanceof PermissionExpressionConfigAttribute;
    }

    @Override
    public boolean supports(Class<?> clazz) {
        return FilterInvocation.class.isAssignableFrom(clazz);
    }


}