spring cloud微服务架构中使用自定义注解实现简单的权限控制与权限开关

字数统计: 1.4k字   |   阅读时长≈ 6分

前言

在微服务架构下开发权限控制一般的做法是,独立开发一个专门用于鉴权的服务,其它服务每次请求接口时都调用鉴权服务鉴权,这样做的好处是,代码耦合低,权限控制功能好扩展,其坏处是每次鉴权都要请求鉴权服务,增加服务器资源消耗,因此我弄了一个简单的权限验证,能满足接口级别的验证,不通过专门的鉴权服务,而是每个服务自己去验证权限。

 

权限验证开关注解

  并非每个服务都需要验证权限,因此我们可以定义一个类似@EnableDiscoery 这样的注解开关来控制:

  1. @Retention(RetentionPolicy.RUNTIME)
  2. @Target(ElementType.TYPE)
  3. @Documented
  4. @Import(AuthenticationInterceptor.class)
  5. public @interface EnableAuthentication {
  6.  
  7. }

关键代码是@Import,当你在代码中使用了@EnableAuthentication 注解时,spring 会自动扫描并加载Import注解中的AuthenticationInterceptor类

 

)

给需要鉴权的接口加上注解

先定义鉴权标记的注解,@Target({ElementType.METHOD,ElementType.TYPE}) 表示此注解是用于方法上面的。

  1.  
  2. @Retention(RetentionPolicy.RUNTIME)
  3. @Target({ElementType.METHOD,ElementType.TYPE})
  4. public @interface CheckPermission {
  5.     /**
  6.      * @Description: 权限标识代码,请保持注解上的代码和数据库中代码一致 ,声明在类上表示该Controller下所有方法都要验证!
  7.      * @param: @return      
  8.      * @return: String      
  9.      * @throws
  10.      */
  11.     OptionType[] value() default OptionType.CUSTOM;
  12.     
  13.     /**
  15.      * @Description: 如果使用自定义操作权限码,请在此配置
  16.      * @param: @return      
  17.      * @return: String      
  18.      * @throws
  19.      */
  20.     String customPermissionCode() default "";
  21.     
  22.     /**
  23.      * @Description: 权限状态(暂时用不上)
  24.      * @param: @return      
  25.      * @return: int      
  26.      * @throws
  27.      */
  28.     //int status() default 0; 
  29. }

第二个注解是控制具体是增加、删除、修改、还是其它自定义权限,这里的枚举也可以改成字符串,其最终结果都是匹配字符串。

  1.  
  2. /**
  3.  * 权限操作类型枚举
  4.  * @Description: DETAIL:表示查询详情,LIST:查询列表,UPDATE:全量更新该条数据,UPDATE_SELECTIVE:非全量更新数据,
  5.  * CUSTOM:自定义权限码 ,SKIP:跳过验证
  6.  * controller级别控制请把CheckPermission注解加控制器类上。
  7.  */
  8. public enum OptionType {
  9.  
  10.     DETAIL,LIST,ADD,UPDATE,UPDATE_SELECTIVE,DELETE,CUSTOM,ALL,SKIP
  11. }

第三个是用于类似于控制器类上的@RequestMapping

  1. @Retention(RetentionPolicy.RUNTIME)
  2. @Target(ElementType.TYPE)
  3. @Documented
  4. public @interface PermissionMapping {
  5.  
  6.     /**
  7.      * @Description: 权限码的前缀
  8.       *    如:USER_INFO,数据库中权限码可配置:USER_INFO:ADD,ADD是用于区分操作类型的枚举
  9.      * @param: @return      
  10.      * @return: String      
  11.      * @throws
  12.      */
  13.     String value() default "";
  14. }

 

在需要鉴权的接口上加上注解

OptionType.add标记是增加方法,在数据库配置权限码时要和枚举保持一致,两个注解加起来的字符串就成了:USER + ADD,

因此数据库中的权限码可定义为:USER:ADD ,如该用户拥有此方法的权限,可以在数据库中为该用户添加此权限码。

  1. @PermissionMapping("USER")
  2. @RequestMapping("user")
  3. public class UserController{
  4.  
  5. @PostMapping
  6. @CheckPermission(OptionType.Add)
  7. public Object addUser(){
  8.  
  9.     return "add user";
  10. }
  11.  
  12. }

 

 

鉴权拦截器

此处是首先获取该请求的token,然后根据token到redis中获取该用户的权限码,然后根据请求的接口获取该方法上配置的注解,通过两个注解来配置该用户在登陆时保存在redis的权限码,如该用户拥有权限码USER:ADD,PRODUCT:DELETE,在调用上面的方法时,通过获取注解拼接为:USER:ADD来匹配

  1.  
  2. /**
  3.  * 用于验证权限的拦截器
  4.  * @Description:
  5.  */
  6.  
  7. public class AuthenticationInterceptor implements HandlerInterceptor{
  8.     @Autowired
  9.     StringRedisTemplate redisTemplate;
  10.     @Resource
  11.     Map<String,Set<String>> userInfoCacheMap;
  12.     private Logger logger = LoggerFactory.getLogger(this.getClass());
  13.     
  14.     @SuppressWarnings("unchecked")
  15.     @Override
  16.     public boolean preHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object handler) throws Exception {
  17.         if(handler instanceof HandlerMethod) {
  18.             HandlerMethod h = (HandlerMethod)handler;
  19.  //权限码前缀
  20.             PermissionMapping mapping = h.getBeanType().getAnnotation(PermissionMapping.class);
  21.             //类上的权限验证注解 
  22.             CheckPermission classPermission = h.getBeanType().getAnnotation(CheckPermission.class);
  23.             //方法上的权限验证注解
  24.             CheckPermission methodPermission = h.getMethodAnnotation(CheckPermission.class);
  25.                 if(checkPermissionCode(methodPermission)) {
  26.                     String permissionCode = null;
  27.                     String token = null;
  28.                     CheckPermission checkPermission = methodPermission;
  29.                     OptionType[] optionTypes = checkPermission.value();
  30.                     for(OptionType optionType : optionTypes) {
  31.                         
  32.                         if(optionType==OptionType.SKIP) {
  33.                             return true;
  34.                         }
  35.                         //如果自定义权限码则拼接customPermissionCode,否则使用枚举
  36.                         permissionCode = mapping.value()+":"+(optionType==OptionType.CUSTOM?checkPermission.customPermissionCode():optionType.toString());
  37.                         token = httpServletRequest.getHeader("Access-Token");
  38.                         if(StringUtils.isEmpty(token)) {
  39.                             throw new AuthenticationException("权限验证token为空!请确认header中token信息是否丢失!");
  40.                         }
  41.                         String permissionCacheKey = token+"-permission";
  42.                         //先从缓存中获取
  43.                         Set<String> permissionCodes = userInfoCacheMap.get(permissionCacheKey);
  44.                         if(permissionCodes==null) { 
  45.                             String permissionCodesJson = redisTemplate.opsForValue().get(permissionCacheKey);
  46.                             if(permissionCodesJson==null) {
  47.                                 throw new AuthenticationException("非法的Token,无权限操作!");
  48.                             }
  49.                             permissionCodes = JacksonUtil.readValue(permissionCodesJson, HashSet.class);
  50.                             userInfoCacheMap.put(permissionCacheKey, permissionCodes);
  51.                         }else {
  52.                             //TODO 清除缓存可配置化
  53.                             //超过数量直接清除
  54.                             if(userInfoCacheMap.size()>500) {
  55.                                 userInfoCacheMap.clear();
  56.                                 userInfoCacheMap.put(permissionCacheKey, permissionCodes);
  57.                             }
  58.                         }
  59.                         //存在权限通过请求
  60.                         if(permissionCodes.contains(permissionCode)) {
  61.                             return true;
  62.                         }
  63.                     }
  64.                     //403=没有权限,401=未认证、
  65.                     logger.warn("该用户访问了没有权限的请求!请求:{},用户信息:{}",permissionCode,redisTemplate.opsForValue().get(token));
  66.                     httpServletResponse.setStatus(403);
  67.                     return false;
  68.             }
  69.         }
  70.         return true;
  71.     }
  72.     
  73.     private boolean checkPermissionCode(CheckPermission checkPermission) {
  74.         return checkPermission!=null&&!StringUtils.isEmpty(checkPermission.value())?true:false;
  75.     }
  76.  
  77. }

权限开关注解最后的一点配置

要实现权限开关功能还需要在配置类中加一些代码,如果使用了@EnableAuthentication注解,那么在注入AuthenticationInterceptor 类时不会获取到null,此时将该拦截器类加入spring mvc拦截中

  1. @Configuration
  2. @EnableWebMvc
  3. public class WebMvcConfig extends WebMvcAutoConfiguration implements WebMvcConfigurer {
  4.  
  5.     /**
  6.      * 不强制注入,如果为空,表示并没有开启权限验证开关
  7.      */
  8.     @Autowired(required = false)
  9.     AuthenticationInterceptor authenticationInterceptor;
  10.  
  11.     @Override
  12.     public void addCorsMappings(CorsRegistry registry) {
  13.         // 设置允许跨域的路径
  14.         registry.addMapping("/**")
  15.                 // 设置允许跨域请求的域名
  16.                 .allowedOrigins("*")
  17.                 // 是否允许证书 不再默认开启
  18.                 .allowCredentials(true)
  19.                 // 设置允许的方法
  20.                 .allowedMethods("*")
  21.                 // 跨域允许时间
  22.                 .maxAge(3600);
  23.     }
  24.  
  25.     @Override
  26.     public void configureDefaultServletHandling(DefaultServletHandlerConfigurer configurer) {
  27.         configurer.enable();
  28.     }
  29.  
  30.     /**
  31.      * 配置spring mvc拦截器
  32.      */
  33.     @Override
  34.     public void addInterceptors(InterceptorRegistry registry) {
  35.         if (authenticationInterceptor != null) {
  36.             registry.addInterceptor(authenticationInterceptor).addPathPatterns("/**");
  37.         }
  38.         WebMvcConfigurer.super.addInterceptors(registry);
  39.     }

 

扫一扫,分享到微信

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia-plus根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

关于我:多年工作经验,熟悉微高并发服务架构设计与开发,有AI客户机器人开发相关经验。
项目或内推机会请联系邮箱: [email protected]
Update By 2023-6-14