@

• 1. 權限顆粒度
• 2. 權限表
• 3. 后端權限判斷
• 4. 角色與權限4.1 RBAC 簡介4.2 RBAC 的提出4.3 RBAC 三原則4.4 RBAC 模型分類4.5 擴展
• 5. 表設計
• 6. 代碼實現(xiàn)

因為寫了不少 Spring Security 文章的緣故，所以總是有小伙伴來問松哥：按鈕級別的權限怎么實現(xiàn)？甚至有一些看過 vhr 的小伙伴也問這種問題，其實有的時候搞得我確實挺郁悶的，最近剛好要做 TienChin 項目，我就再把這個問題拎出來和小伙伴們仔細捋一捋。

1. 權限顆粒度

首先小伙伴們都知道權限有不同的顆粒度，在 vhr 項目中，整體上我是基于請求地址去處理權限的，這個粒度算粗還是算細呢？

有的小伙伴們可能認為這個權限粒度太粗，所謂細粒度的權限應該是基于按鈕的。

如果有小伙伴們做過前后端不分的開發(fā)，應該會有這樣的體會：在 Shiro 或者 Spring Security 框架中，都提供了一些標簽，通過這些標簽可以做到在滿足某種角色或者權限的情況下，顯示某個按鈕；當用戶不具備某種角色或者權限的時候，按鈕則會自動隱藏起來。

但是大家想想，按鈕的顯示與隱藏不過是前端頁面為了提高用戶體驗而作出的樣式的變化而已，本質上，當你點擊一個按鈕的時候，還是發(fā)送了一個 HTTP 請求，那么服務端處理該請求的接口，必須要進行權限控制。既然要在接口上進行權限控制，那么跟 vhr 的區(qū)別在哪里呢？

現(xiàn)在流行前后端分離開發(fā)，所以 Shiro 或者 Spring Security 中的那些前端標簽現(xiàn)在基本上都不用了，取而代之的做法是用戶在登錄成功之后，向服務端發(fā)送請求，獲取當前登錄用戶的權限以及角色信息，然后根據(jù)這些權限、角色等信息，在前端自動的去判斷一個菜單或者按鈕應該是顯示還是隱藏，這么做的目的是為了提高用戶體驗，避免用戶點擊一個沒有權限的按鈕。前端的顯示或者隱藏僅僅只是為了提高用戶體驗，真正的權限控制還是要后端來做。

后端可以在接口或者業(yè)務層對權限進行處理，具體在哪里做，就要看各自的項目了。

所以，vhr 中的權限，從設計上來說，粒度并不算粗，也是細粒度的，只不過跟菜單表放在了一起，小伙伴們可能感覺有點粗。但是，菜單表是可以繼續(xù)細化的，我們可以繼續(xù)在菜單表中添加新的記錄，新記錄的 hidden 字段為 true，則菜單是隱藏的，就單純只是細化權限而已。

如下圖可以繼續(xù)添加新的訪問規(guī)則，只不過把 enabled 字段設置為 false 即可（這樣菜單就不會顯示出來了，單純就只是權限的配置）。

所以 vhr 的權限設計是 OK 的。

當你理解了 vhr 中的權限設計，再來看 TienChin 這個項目，或者說看 RuoYi-Vue 這個腳手架，就會發(fā)現(xiàn)非常 easy 了。

2. 權限表

首先我們來看看資源表的定義，也就是 sys_menu。

CREATE TABLE `sys_menu` ( `menu_id` bigint(20) NOT NULL AUTO_INCREMENT COMMENT ‘菜單ID’, `menu_name` varchar(50) COLLATE utf8mb4_unicode_ci NOT NULL COMMENT ‘菜單名稱’, `parent_id` bigint(20) DEFAULT ‘0’ COMMENT ‘父菜單ID’, `order_num` int(4) DEFAULT ‘0’ COMMENT ‘顯示順序’, `path` varchar(200) COLLATE utf8mb4_unicode_ci DEFAULT ” COMMENT ‘路由地址’, `component` varchar(255) COLLATE utf8mb4_unicode_ci DEFAULT NULL COMMENT ‘組件路徑’, `query` varchar(255) COLLATE utf8mb4_unicode_ci DEFAULT NULL COMMENT ‘路由參數(shù)’, `is_frame` int(1) DEFAULT ‘1’ COMMENT ‘是否為外鏈（0是 1否）’, `is_cache` int(1) DEFAULT ‘0’ COMMENT ‘是否緩存（0緩存 1不緩存）’, `menu_type` char(1) COLLATE utf8mb4_unicode_ci DEFAULT ” COMMENT ‘菜單類型（M目錄 C菜單 F按鈕）’, `visible` char(1) COLLATE utf8mb4_unicode_ci DEFAULT ‘0’ COMMENT ‘菜單狀態(tài)（0顯示 1隱藏）’, `status` char(1) COLLATE utf8mb4_unicode_ci DEFAULT ‘0’ COMMENT ‘菜單狀態(tài)（0正常 1停用）’, `perms` varchar(100) COLLATE utf8mb4_unicode_ci DEFAULT NULL COMMENT ‘權限標識’, `icon` varchar(100) COLLATE utf8mb4_unicode_ci DEFAULT ‘#’ COMMENT ‘菜單圖標’, `create_by` varchar(64) COLLATE utf8mb4_unicode_ci DEFAULT ” COMMENT ‘創(chuàng)建者’, `create_time` datetime DEFAULT NULL COMMENT ‘創(chuàng)建時間’, `update_by` varchar(64) COLLATE utf8mb4_unicode_ci DEFAULT ” COMMENT ‘更新者’, `update_time` datetime DEFAULT NULL COMMENT ‘更新時間’, `remark` varchar(500) COLLATE utf8mb4_unicode_ci DEFAULT ” COMMENT ‘備注’, PRIMARY KEY (`menu_id`)) ENGINE=InnoDB AUTO_INCREMENT=3054 DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_unicode_ci COMMENT=’菜單權限表’;

其實這里很多字段都和我們 vhr 項目項目很相似，我也就不重復啰嗦了，我這里主要和小伙伴們說一個字段，那就是 menu_type。

menu_type 表示一個菜單字段的類型，一個菜單有三種類型，分別是目錄（M）、菜單（C）以及按鈕（F）。這里所說的目錄，相當于我們在 vhr 中所說的一級菜單，菜單相當于我們在 vhr 中所說的二級菜單。

當用戶從前端登錄成功后，要去動態(tài)加載的菜單的時候，就查詢 M 和 C 類型的數(shù)據(jù)即可，F(xiàn) 類型的數(shù)據(jù)不是菜單項，查詢的時候直接過濾掉即可，通過 menu_type 這個字段可以輕松的過濾掉 F 類型的數(shù)據(jù)。小伙伴們想想，F(xiàn) 類型的數(shù)據(jù)過濾掉之后，剩下的數(shù)據(jù)不就是一級菜單和二級菜單了，那不就和 vhr 又一樣了么！

最后再來說說 F 類型的，F(xiàn) 類型的就是按鈕級別的權限了，前端每一個按鈕的執(zhí)行，需要哪些權限，現(xiàn)在就在這里定義好。

舉一個簡單的例子大家來看下：

當需要展示用戶管理這個菜單的時候，需要 system:user:list 這個權限，當需要點擊用戶修改這個按鈕的時候，則需要 system:user:edit 這個權限。

其他相關的表基本上和 vhr 都是一樣的，用戶有用戶表 sys_user，角色有角色表 sys_role，用戶和角色關聯(lián)的表是 sys_user_role，資源和角色關聯(lián)的表是 sys_role_menu。

當用戶登錄成功后，后端會提供一個接口，將當前用戶的角色和權限統(tǒng)統(tǒng)返回給前端：

• 查詢角色思路：根據(jù)用戶 id，先去 sys_user_role 表中查詢到角色 id，再根據(jù)角色 id 去 sys_role 表中查詢到對應的角色（這里為了方便大家理解這么描述，實際上一個多表聯(lián)合查詢即可）。
• 查詢權限思路：根據(jù)用戶 id，先去 sys_user_role 表中查詢到角色 id，再根據(jù)角色 id 去 sys_role 表中查詢到對應的角色，再拿著角色 id 去 sys_role_menu 表中查詢到對應的 menu_id，再根據(jù) menu_id 去 sys_menu 表中查詢到對應的 menu 中的權限（這里為了方便大家理解這么描述，實際上一個多表聯(lián)合查詢即可）。

前端有了用戶的權限以及角色之后，就可以自行決定是否顯示某一個菜單或者是否展示某一個按鈕了。

3. 后端權限判斷

我先來說說這塊 TienChin 項目中是怎么做的（即 RuoYi 腳手架的實現(xiàn)方案），再來和 vhr 進行一個對比。

在 TienChin 項目中是通過注解來控制權限的，接口的訪問權限都是通過注解來標記的，例如下面這種：

@PreAuthorize(“@ss.hasPermi(‘system:menu:add’)”)@PostMappingpublic AjaxResult add(@Validated @RequestBody SysMenu menu) { //省略}/** * 修改菜單 */@PreAuthorize(“@ss.hasPermi(‘system:menu:edit’)”)@PutMappingpublic AjaxResult edit(@Validated @RequestBody SysMenu menu) { //省略}/** * 刪除菜單 */@PreAuthorize(“@ss.hasPermi(‘system:menu:remove’)”)@DeleteMapping(“/{menuId}”)public AjaxResult remove(@PathVariable(“menuId”) Long menuId) { //省略}

每一個接口需要什么權限，都是通過 @PreAuthorize 注解來實現(xiàn)的，關于這個注解的使用原理，松哥之前也有兩篇文章：

• 想要控制好權限，這八個注解你必須知道！
• Spring Security 中的權限注解很神奇嗎？

看懂了這兩篇文章，上面這個注解就懂了，我這里不贅述。

不過上面這種寫法說到底還是有一點“硬編碼”，因為訪問哪個接口需要哪些權限，在代碼中固定了，如果接口和權限直接的關系能夠保存到數(shù)據(jù)庫中，那么用戶就可以在自己需要的時候，隨時進行靈活修改，豈不美哉！

在 vhr 項目中，松哥利用 Spring Security 中自定義 FilterInvocationSecurityMetadataSource 和 AccessDecisionManager 實現(xiàn)了服務端動態(tài)控制權限。這個具體的實現(xiàn)思路之前的文章中也和大家分享過了，傳送門：Spring Security 動態(tài)權限實現(xiàn)方案！，這里就不贅述了。

相對來說，vhr 中的實現(xiàn)方案更靈活一些，因為可以配置接口和權限之間的關系。不過怎么說呢？其實像 RuoYi-Vue 這樣硬編碼其實也不是不可以，畢竟接口和權限之間的映射關系還是稍顯“專業(yè)”一些，普通用戶可能并不懂該如何配置，這個加入說系統(tǒng)提供了這個功能，那么更多的還是面向程序員這一類專業(yè)人員的，那么程序員到底是否需要這個功能呢？我覺得還是得具體情況具體分析。

總之，小伙伴們可以結合自己項目的實際情況，來決定接口和權限之間的映射關系是否需要動態(tài)管理，如果需要動態(tài)管理，那么可以按照 vhr 中的方案來，如果不需要動態(tài)管理，那么就按照 RuoYi-Vue 腳手架中的方式來就行了。

那么用戶的權限該如何設置？今天我們就來聊聊這個話題。

4. 角色與權限

首先我們先來看看角色與權限，該如何設計角色與權限，其實有很多非常成熟的理論，最為常見的莫過于 RBAC 了。

4.1 RBAC 簡介

RBAC（Role-based access control）是一種以角色為基礎的訪問控制（Role-based access control，RBAC），它是一種較新且廣為使用的權限控制機制，這種機制不是直接給用戶賦予權限，而是將權限賦予角色。

RBAC 權限模型將用戶按角色進行歸類，通過用戶的角色來確定用戶對某項資源是否具備操作權限。RBAC 簡化了用戶與權限的管理，它將用戶與角色關聯(lián)、角色與權限關聯(lián)、權限與資源關聯(lián)，這種模式使得用戶的授權管理變得非常簡單和易于維護。

4.2 RBAC 的提出

權限、角色這些東西，在早期 1970 年代的商業(yè)計算機程序中就可以找到相關的應用，但是早期的程序相對簡單，而且并不存在一個明確的、通用的、公認的權限管理模型。

Ferraiolo 和 Kuhn 兩位大佬于 1992 年提出了一種基于通用角色的訪問控制模型（看來這個模型比松哥年齡還大），首次提出了 RBAC 權限模型用來代替?zhèn)鹘y(tǒng)的 MAC 和 DAC 兩種權限控制方案，并且就 RBAC 中的相關概念給出了解釋。

Ferraiolo，Cugini 和 Kuhn 于 1995 年擴展了 1992 年提出的權限模型。該模型的主要功能是所有訪問都是通過角色進行的，而角色本質上是權限的集合，并且所有用戶只能通過角色獲得權限。在組織內，角色相對穩(wěn)定，而用戶和權限都很多，并且可能會迅速變化。因此，通過角色控制權限可以簡化訪問控制的管理和檢查。

到了 1996 年，Sandhu，Coyne，F(xiàn)einstein 和 Youman 正式提出了 RBAC 模型，該模型以模塊化方式細化了 RBAC，并提出了基于該理論的 RBAC0-RBAC3 四種不同模型。

今天，大多數(shù)信息技術供應商已將 RBAC 納入其產品線，除了常規(guī)的企業(yè)級應用，RBAC 也廣泛應用在醫(yī)療、國防等領域。

目前網(wǎng)上關于 RBAC 理論性的東西松哥只找到英文的，感興趣的小伙伴可以看下，地址是：

• https://csrc.nist.gov/projects/Role-Based-Access-Control

如果小伙伴們有中文的資料鏈接，歡迎留言說明。

4.3 RBAC 三原則

4.4 RBAC 模型分類

說到 RBAC，我們就得從它的模型分類開始看起。

4.4.1 RBAC0

RBAC0 是最簡單的用戶、角色、權限模型。RBAC0 是 RBAC 權限模型中最核心的一部分，后面其他模型都是在此基礎上建立。

圖片源自網(wǎng)絡

在 RBAC0 中，一個用戶可以具備多個角色，一個角色可以具備多個權限，最終用戶所具備的權限是用戶所具備的角色的權限并集。

4.4.2 RBAC1

RBAC1 則是在 RABC0 的基礎上引入了角色繼承，讓角色有了上下級關系。

圖片源自網(wǎng)絡

在本系列前面的文章中，松哥也曾多次向大家介紹過 Spring Security 中的角色繼承。

4.4.3 RBAC2

RBAC2 也是在 RBAC0 的基礎上進行擴展，引入了靜態(tài)職責分離和動態(tài)職責分離。

圖片源自網(wǎng)絡

要理解職責分離，我們得先明白角色互斥。

在實際項目中，有一些角色是互斥的，對立的，例如財務這個角色一般是不能和其他角色兼任的，否則自己報賬自己審批，豈不是爽歪歪！

通過職責分離可以解決這個問題：

靜態(tài)職責分離

在設置階段就做好了限制。比如同一用戶不能授予互斥的角色，用戶只能有有限個角色，用戶獲得高級權限之前要有低級權限等等。

動態(tài)職責分離

在運行階段進行限制。比如運行時同一用戶下5個角色中只能同時有2個角色激活等等。

4.4.4 RBAC3

將 RBAC1 和 RBAC2 結合起來，就形成了 RBAC3。

圖片源自網(wǎng)絡

4.5 擴展

我們日常見到的很多權限模型都是在 RBAC 的基礎上擴展出來的。

例如在有的系統(tǒng)中我們可以見到用戶組的概念，就是將用戶分組，用戶同時具備自身的角色以及分組的角色。

我們 TienChin 項目所用的腳手架中的權限，就基本上是按照 RBAC 這套權限模型來的。

5. 表設計

我們來看下 RuoYi-Vue 腳手架中跟用戶、角色以及權限相關的表。

這里主要涉及到如下幾張表：

• sys_user：這個是用戶表。
• sys_role：這個是角色表。
• sys_user_role：這個是用戶角色關聯(lián)表。
• sys_menu：這個是菜單表，也可以理解為是資源表。
• sys_role_menu：這個是資源角色關聯(lián)表。

通過用戶的 id，可以去 sys_user_role 表中查詢到這個用戶具備的角色 id，再根據(jù)角色 id，去 sys_role_menu 表中查詢到這個角色可以操作的資源 id，再根據(jù)資源 id，去 sys_menu 表中查詢到對應的資源，基本上就是這個樣一個流程。

那么 Java 代碼中該怎么做呢？

6. 代碼實現(xiàn)

首先定義了一個 Java 類 SysUser，這個跟數(shù)據(jù)庫中的 sys_user 表是對應的，我們來看 UserDetailsService 的具體實現(xiàn)：

@Servicepublic class UserDetailsServiceImpl implements UserDetailsService { private static final Logger log = LoggerFactory.getLogger(UserDetailsServiceImpl.class); @Autowired private ISysUserService userService; @Autowired private SysPermissionService permissionService; @Override public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException { SysUser user = userService.selectUserByUserName(username); if (StringUtils.isNull(user)) { log.info(“登錄用戶：{} 不存在.”, username); throw new ServiceException(“登錄用戶：” + username + ” 不存在”); } else if (UserStatus.DELETED.getCode().equals(user.getDelFlag())) { log.info(“登錄用戶：{} 已被刪除.”, username); throw new ServiceException(“對不起，您的賬號：” + username + ” 已被刪除”); } else if (UserStatus.DISABLE.getCode().equals(user.getStatus())) { log.info(“登錄用戶：{} 已被停用.”, username); throw new ServiceException(“對不起，您的賬號：” + username + ” 已停用”); } return createLoginUser(user); } public UserDetails createLoginUser(SysUser user) { return new LoginUser(user.getUserId(), user.getDeptId(), user, permissionService.getMenuPermission(user)); }}

從數(shù)據(jù)庫中查詢到的就是 SysUser 對象，然后對該對象稍作改造，將之改造成為一個 LoginUser 對象，這個 LoginUser 則是 UserDetails 接口的實現(xiàn)類，里邊保存了當前登錄用戶的關鍵信息。

在創(chuàng)建 LoginUser 對象的時候，有一個 permissionService.getMenuPermission 方法用來查詢用戶的權限，根據(jù)當前用戶的 id，查詢到用戶的角色，再根據(jù)用戶角色，查詢到用戶的權限，另外，如果當前用戶的角色是 admin，那么就設置用戶角色為 *:*:*，這是一段硬編碼。

我們再來看看 LoginUser 的設計：

public class LoginUser implements UserDetails { /** * 權限列表 */ private Set permissions; /** * 用戶信息 */ private SysUser user; public LoginUser(Long userId, Long deptId, SysUser user, Set permissions) { this.userId = userId; this.deptId = deptId; this.user = user; this.permissions = permissions; } @JSONField(serialize = false) @Override public String getPassword() { return user.getPassword(); } @Override public String getUsername() { return user.getUserName(); } /** * 賬戶是否未過期,過期無法驗證 */ @JSONField(serialize = false) @Override public boolean isAccountNonExpired() { return true; } /** * 指定用戶是否解鎖,鎖定的用戶無法進行身份驗證 * * @return */ @JSONField(serialize = false) @Override public boolean isAccountNonLocked() { return true; } /** * 指示是否已過期的用戶的憑據(jù)(密碼),過期的憑據(jù)防止認證 * * @return */ @JSONField(serialize = false) @Override public boolean isCredentialsNonExpired() { return true; } /** * 是否可用 ,禁用的用戶不能身份驗證 * * @return */ @JSONField(serialize = false) @Override public boolean isEnabled() { return true; } @Override public Collection getAuthorities() { return null; }}

有一些屬性我省略掉了，大家可以文末下載源碼查看。

小伙伴們看到，這個 LoginUser 實現(xiàn)了 UserDetails 接口，但是和 vhr 中有一個很大的不同，就是這里沒有處理 getAuthorities 方法，也就是說當系統(tǒng)想要去獲取用戶權限的時候，二話不說直接返回一個 null。這是咋回事呢？

因為在這個腳手架中，將來進行權限校驗的時候，是按照下面這樣來的：

@PreAuthorize(“@ss.hasPermi(‘system:menu:add’)”)@PostMappingpublic AjaxResult add(@Validated @RequestBody SysMenu menu) { //省略}

@PreAuthorize 注解中的 @ss.hasPermi(‘system:menu:add’) 表達式，表示調用 Spring 容器中一個名為 ss 的 Bean 的 hasPermi 方法，去判斷當前用戶是否具備一個名為 system:menu:add 的權限。一個名為 ss 的 Bean 的 hasPermi 方法如下：

@Service(“ss”)public class PermissionService { /** * 所有權限標識 */ private static final String ALL_PERMISSION = “*:*:*”; /** * 管理員角色權限標識 */ private static final String SUPER_ADMIN = “admin”; private static final String ROLE_DELIMETER = “,”; private static final String PERMISSION_DELIMETER = “,”; /** * 驗證用戶是否具備某權限 * * @param permission 權限字符串 * @return 用戶是否具備某權限 */ public boolean hasPermi(String permission) { if (StringUtils.isEmpty(permission)) { return false; } LoginUser loginUser = SecurityUtils.getLoginUser(); if (StringUtils.isNull(loginUser) || CollectionUtils.isEmpty(loginUser.getPermissions())) { return false; } return hasPermissions(loginUser.getPermissions(), permission); } /** * 判斷是否包含權限 * * @param permissions 權限列表 * @param permission 權限字符串 * @return 用戶是否具備某權限 */ private boolean hasPermissions(Set permissions, String permission) { return permissions.contains(ALL_PERMISSION) || permissions.contains(StringUtils.trim(permission)); }}

由于這里是純手工操作，在比較的時候，直接獲取到當前登錄用戶對象 LoginUser，再手動調用他的 hasPermissions 方法去判斷權限是否滿足，由于都是自定義操作，所以是否實現(xiàn) UserDetails#getAuthorities 方法已經(jīng)不重要了，不過按照這里的比對方案，是不支持通配符的比對的。

例如用戶具備針對字典表的所有操作權限，表示為 system:dict:*，但是當和 system:dict:list 進行比較的時候，發(fā)現(xiàn)比較結果為 false，這塊想要比對成功也是可以的，例如可以通過正則表達式或者其他方式來操作，反正都是字符串比較，相信大家都能自己搞得定。

現(xiàn)在，前端提供操作頁面，也可以配置每一個用戶的角色，也可以配置每一個角色可以操作的權限就行了，這個就比較簡單了，不多說。

好啦，這就是 TienChin 項目中的 RBAC 權限實現(xiàn)方案，后面松哥也會錄制相關的視頻教程，對視頻感興趣的小伙伴戳這里：TienChin 項目配套視頻來啦。