基于Spring Security的动态权限系统设计与实现

Archer0033

本文介绍一个基于 Spring Boot 2.7.18 和 Spring Security 实现的权限系统，支持接口级权限控制，支持权限点的动态配置与加载。

技术栈

• Spring Boot 2.7.18
• Spring Security
• MyBatis Plus（用于持久化）
• MySQL

核心表结构设计

权限点表auth_permission_point

用于定义所有权限点（如

1. user:create

复制代码

,

1. user:update

复制代码

）：

字段名	类型	说明
id	bigint	主键
code	varchar	权限点编码（唯一）
name	varchar	权限点名称
type	varchar	类型（操作、页面、字段等）
resource	varchar	资源模块标识
action	varchar	操作标识
remark	varchar	备注说明

角色表auth_role

字段名	类型	说明
id	bigint	主键
role_code	varchar	角色编码
name	varchar	角色名称
is_builtin	boolean	是否为系统内置角色
enabled	boolean	是否启用

用户角色关联表auth_user_role

字段名	类型	说明
id	bigint	主键
user_id	varchar	用户唯一 ID
role_code	varchar	关联角色编码

角色权限点关联表auth_role_permission_point

字段名	类型	说明
id	bigint	主键
role_code	varchar	角色编码
permission_code	varchar	权限点编码

接口权限映射表auth_url_permission_point

字段名	类型	说明
id	bigint	主键
url	varchar	接口路径
method	varchar	请求方法（GET/POST/PUT/DELETE）
permission_code	varchar	所需权限点编码

✅ 每个接口可以绑定多个权限点，满足任意一个即视为拥有权限。

权限系统运行机制

1. 动态加载权限点

实现自定义

1. FilterInvocationSecurityMetadataSource

复制代码

，在系统启动和权限点发生变更时，自动扫描

1. auth_url_permission_point

复制代码

表，将 URL、METHOD -> 权限点集合 的映射加载至内存。

1. @Component
2. @RequiredArgsConstructor
3. public class CustomSecurityMetadataSource implements FilterInvocationSecurityMetadataSource {
5. private final AntPathMatcher pathMatcher = new AntPathMatcher();
7. @Resource
8. private UrlPermissionMappingService urlPermissionMappingService;
10. // TODO: 后期可替换为 Redis 或数据库缓存
11. private static final Map<String, List<PermissionExpressionConfigAttribute>> URL_PERMISSION_MAP = new ConcurrentHashMap<>();
13. private volatile Map<String, List<PermissionExpressionConfigAttribute>> permissionMap = new ConcurrentHashMap<>();
16. static {
17. // 示例数据，正式请从数据库加载
18. URL_PERMISSION_MAP.put("/api/user/**", List.of(new PermissionExpressionConfigAttribute("user:query")));
19. URL_PERMISSION_MAP.put("/api/user/updatePassword", List.of(new PermissionExpressionConfigAttribute("user:updatePassword")));
20. }
22. @PostConstruct
23. public void init() {
24. // 启动时加载一次
25. reload();
26. }
28. public void reload() {
29. Map<String, List<PermissionExpressionConfigAttribute>> newMap = new HashMap<>();
30. for (UrlPermissionMapping mapping : urlPermissionMappingService.loadAllUrlPermissionMappings()) {
31. newMap.computeIfAbsent(mapping.getUrlPattern(), k -> new ArrayList<>())
32. .add(new PermissionExpressionConfigAttribute(mapping.getPermissionCode()));
33. }
34. this.permissionMap = newMap;
35. }
38. @Override
39. public Collection<ConfigAttribute> getAttributes(Object object) {
40. String requestPath = ((FilterInvocation) object).getRequest().getRequestURI();
41. // 先尝试精确匹配
42. List<PermissionExpressionConfigAttribute> exact = permissionMap.get(requestPath);
43. if (exact != null) {
44. return new HashSet<>(exact);
45. }
47. // 再尝试通配匹配
48. for (Map.Entry<String, List<PermissionExpressionConfigAttribute>> entry : permissionMap.entrySet()) {
49. if (pathMatcher.match(entry.getKey(), requestPath)) {
50. return new HashSet<>(entry.getValue());
51. }
52. }
53. return null;
54. }
56. @Override
57. public Collection<ConfigAttribute> getAllConfigAttributes() {
58. return URL_PERMISSION_MAP.values().stream()
59. .flatMap(List::stream)
60. .collect(Collectors.toSet());
61. }
63. @Override
64. public boolean supports(Class<?> clazz) {
65. return FilterInvocation.class.isAssignableFrom(clazz);
66. }
68. }

复制代码

2. 动态权限校验

实现

1. AccessDecisionVoter<FilterInvocation>

复制代码

，对每个请求：

• 从
  1. SecurityMetadataSource

  复制代码
  拿到该接口需要的权限点
• 从
  1. Authentication#getAuthorities()

  复制代码
  拿到用户权限点集合
• 判断是否命中

1. public class PermissionExpressionVoter implements AccessDecisionVoter<FilterInvocation> {
3. @Override
4. public int vote(Authentication authentication, FilterInvocation filterInvocation,
5. Collection<ConfigAttribute> attributes) {
6. Assert.notNull(authentication, "authentication must not be null");
7. Assert.notNull(filterInvocation, "filterInvocation must not be null");
8. Assert.notNull(attributes, "attributes must not be null");
9. Set<String> requiredExpressions = findConfigAttribute(attributes);
11. // 获取当前登录用户拥有的权限点表达式
12. Set<String> userPermissions = authentication.getAuthorities().stream()
13. .map(GrantedAuthority::getAuthority)
14. .collect(Collectors.toSet());
16. if (CollectionUtils.isEmpty(requiredExpressions)) {
17. // 如果没有定义表达式，弃权，交给下一个 voter
18. log.trace("Abstained since did not find a config attribute of instance WebExpressionConfigAttribute");
19. return ACCESS_ABSTAIN;
20. }
22. for (String required : requiredExpressions) {
23. if (userPermissions.contains(required)) {
24. return ACCESS_GRANTED;
25. }
26. }
28. log.warn("权限校验失败: 当前用户权限 = {}, 资源需要权限 = {}", userPermissions, requiredExpressions);
29. return ACCESS_DENIED;
31. }
33. private Set<String> findConfigAttribute(Collection<ConfigAttribute> attributes) {
34. // 取出当前资源对应的权限表达式
35. return attributes.stream()
36. .filter(attribute -> attribute instanceof PermissionExpressionConfigAttribute)
37. .map(ConfigAttribute::getAttribute)
38. .collect(Collectors.toSet());
39. }
41. @Override
42. public boolean supports(ConfigAttribute attribute) {
43. return attribute instanceof PermissionExpressionConfigAttribute;
44. }
46. @Override
47. public boolean supports(Class<?> clazz) {
48. return FilterInvocation.class.isAssignableFrom(clazz);
49. }
52. }

复制代码

1. ☑️ 未配置权限点的接口可设置默认放行，也可以走 fallback 权限点逻辑。

复制代码

总结

该系统实现了：

• 权限点粒度统一、接口权限与角色权限解耦
• 接口权限点支持动态注册与配置
• 权限控制基于 Spring Security 标准扩展机制，具备良好扩展性

TODO（可选增强）

• 支持权限表达式解析（如
  1. @hasAny('user:create', 'admin')

  复制代码
  ）
• 支持字段级、按钮级权限点
• 权限点变更自动刷新缓存
• 提供权限控制台（前端联动）

到此这篇关于基于Spring Security的动态权限系统设计与实现的文章就介绍到这了,更多相关SpringSecurity动态权限内容请搜索晓枫资讯以前的文章或继续浏览下面的相关文章希望大家以后多多支持晓枫资讯！

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！