脚本之家 服务器常用软件
快捷导航
您的位置:首页软件编程java → SpringSecurity动态权限

基于Spring Security的动态权限系统设计与实现

 更新时间:2025年07月21日 10:12:12   作者:用户9198372681846  
本文介绍一个基于Spring Boot 2.7.18和SpringSecurity实现的权限系统,支持接口级权限控制,支持权限,文中通过示例代码介绍的非常详细,需要的朋友们下面随着小编来一起学习学习吧

本文介绍一个基于 Spring Boot 2.7.18 和 Spring Security 实现的权限系统,支持接口级权限控制,支持权限点的动态配置与加载。

技术栈

  • Spring Boot 2.7.18
  • Spring Security
  • MyBatis Plus(用于持久化)
  • MySQL

核心表结构设计

权限点表auth_permission_point

用于定义所有权限点(如 user:create, user:update):

字段名类型说明
idbigint主键
codevarchar权限点编码(唯一)
namevarchar权限点名称
typevarchar类型(操作、页面、字段等)
resourcevarchar资源模块标识
actionvarchar操作标识
remarkvarchar备注说明

角色表auth_role

字段名类型说明
idbigint主键
role_codevarchar角色编码
namevarchar角色名称
is_builtinboolean是否为系统内置角色
enabledboolean是否启用

用户角色关联表auth_user_role

字段名类型说明
idbigint主键
user_idvarchar用户唯一 ID
role_codevarchar关联角色编码

角色权限点关联表auth_role_permission_point

字段名类型说明
idbigint主键
role_codevarchar角色编码
permission_codevarchar权限点编码

接口权限映射表auth_url_permission_point

字段名类型说明
idbigint主键
urlvarchar接口路径
methodvarchar请求方法(GET/POST/PUT/DELETE)
permission_codevarchar所需权限点编码

✅ 每个接口可以绑定多个权限点,满足任意一个即视为拥有权限。

权限系统运行机制

1. 动态加载权限点

实现自定义 FilterInvocationSecurityMetadataSource,在系统启动和权限点发生变更时,自动扫描 auth_url_permission_point 表,将 URL、METHOD -> 权限点集合 的映射加载至内存。

@Component
@RequiredArgsConstructor
public class CustomSecurityMetadataSource implements FilterInvocationSecurityMetadataSource {

    private final AntPathMatcher pathMatcher = new AntPathMatcher();

    @Resource
    private UrlPermissionMappingService urlPermissionMappingService;

    // TODO: 后期可替换为 Redis 或数据库缓存
    private static final Map<String, List<PermissionExpressionConfigAttribute>> URL_PERMISSION_MAP = new ConcurrentHashMap<>();

    private volatile Map<String, List<PermissionExpressionConfigAttribute>> permissionMap = new ConcurrentHashMap<>();


    static {
        // 示例数据,正式请从数据库加载
        URL_PERMISSION_MAP.put("/api/user/**", List.of(new PermissionExpressionConfigAttribute("user:query")));
        URL_PERMISSION_MAP.put("/api/user/updatePassword", List.of(new PermissionExpressionConfigAttribute("user:updatePassword")));
    }

    @PostConstruct
    public void init() {
        // 启动时加载一次
        reload();
    }

    public void reload() {
        Map<String, List<PermissionExpressionConfigAttribute>> newMap = new HashMap<>();
        for (UrlPermissionMapping mapping : urlPermissionMappingService.loadAllUrlPermissionMappings()) {
            newMap.computeIfAbsent(mapping.getUrlPattern(), k -> new ArrayList<>())
                    .add(new PermissionExpressionConfigAttribute(mapping.getPermissionCode()));
        }
        this.permissionMap = newMap;
    }


    @Override
    public Collection<ConfigAttribute> getAttributes(Object object) {
        String requestPath = ((FilterInvocation) object).getRequest().getRequestURI();
        // 先尝试精确匹配
        List<PermissionExpressionConfigAttribute> exact = permissionMap.get(requestPath);
        if (exact != null) {
            return new HashSet<>(exact);
        }

        // 再尝试通配匹配
        for (Map.Entry<String, List<PermissionExpressionConfigAttribute>> entry : permissionMap.entrySet()) {
            if (pathMatcher.match(entry.getKey(), requestPath)) {
                return new HashSet<>(entry.getValue());
            }
        }
        return null;
    }

    @Override
    public Collection<ConfigAttribute> getAllConfigAttributes() {
        return URL_PERMISSION_MAP.values().stream()
                .flatMap(List::stream)
                .collect(Collectors.toSet());
    }

    @Override
    public boolean supports(Class<?> clazz) {
        return FilterInvocation.class.isAssignableFrom(clazz);
    }

}

2. 动态权限校验

实现 AccessDecisionVoter<FilterInvocation>,对每个请求:

  • SecurityMetadataSource 拿到该接口需要的权限点
  • Authentication#getAuthorities() 拿到用户权限点集合
  • 判断是否命中
public class PermissionExpressionVoter implements AccessDecisionVoter<FilterInvocation> {

    @Override
    public int vote(Authentication authentication, FilterInvocation filterInvocation,
                    Collection<ConfigAttribute> attributes) {
        Assert.notNull(authentication, "authentication must not be null");
        Assert.notNull(filterInvocation, "filterInvocation must not be null");
        Assert.notNull(attributes, "attributes must not be null");
        Set<String> requiredExpressions = findConfigAttribute(attributes);

        // 获取当前登录用户拥有的权限点表达式
        Set<String> userPermissions = authentication.getAuthorities().stream()
                .map(GrantedAuthority::getAuthority)
                .collect(Collectors.toSet());

        if (CollectionUtils.isEmpty(requiredExpressions)) {
            // 如果没有定义表达式,弃权,交给下一个 voter
            log.trace("Abstained since did not find a config attribute of instance WebExpressionConfigAttribute");
            return ACCESS_ABSTAIN;
        }

        for (String required : requiredExpressions) {
            if (userPermissions.contains(required)) {
                return ACCESS_GRANTED;
            }
        }

        log.warn("权限校验失败: 当前用户权限 = {}, 资源需要权限 = {}", userPermissions, requiredExpressions);
        return ACCESS_DENIED;

    }

    private Set<String> findConfigAttribute(Collection<ConfigAttribute> attributes) {
        // 取出当前资源对应的权限表达式
        return attributes.stream()
                .filter(attribute -> attribute instanceof PermissionExpressionConfigAttribute)
                .map(ConfigAttribute::getAttribute)
                .collect(Collectors.toSet());
    }

    @Override
    public boolean supports(ConfigAttribute attribute) {
        return attribute instanceof PermissionExpressionConfigAttribute;
    }

    @Override
    public boolean supports(Class<?> clazz) {
        return FilterInvocation.class.isAssignableFrom(clazz);
    }


}

☑️ 未配置权限点的接口可设置默认放行,也可以走 fallback 权限点逻辑。

总结

该系统实现了:

  • 权限点粒度统一、接口权限与角色权限解耦
  • 接口权限点支持动态注册与配置
  • 权限控制基于 Spring Security 标准扩展机制,具备良好扩展性

TODO(可选增强)

  • 支持权限表达式解析(如 @hasAny('user:create', 'admin')
  • 支持字段级、按钮级权限点
  • 权限点变更自动刷新缓存
  • 提供权限控制台(前端联动)

到此这篇关于基于Spring Security的动态权限系统设计与实现的文章就介绍到这了,更多相关SpringSecurity动态权限内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家!

您可能感兴趣的文章:

相关文章

  • java 使用foreach遍历集合元素的实例

    java 使用foreach遍历集合元素的实例

    这篇文章主要介绍了java 使用foreach遍历集合元素的实例的相关资料,这里提供实例帮助大家理解如何使用foreach 进行遍历,希望能帮助到大家,
    2017-08-08
  • Java如何实现长图文生成的示例代码

    Java如何实现长图文生成的示例代码

    这篇文章主要介绍了Java如何实现长图文生成的示例代码,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
    2017-08-08
  • SpringBoot连接Microsoft SQL Server实现登录验证

    SpringBoot连接Microsoft SQL Server实现登录验证

    本文主要介绍了SpringBoot连接Microsoft SQL Server实现登录验证,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
    2025-05-05
  • Java中如何将list转为树形结构

    Java中如何将list转为树形结构

    这篇文章主要介绍了Java中如何将list转为树形结构,本文通过示例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
    2023-09-09
  • java解决动态配置字段需求问题

    java解决动态配置字段需求问题

    这篇文章主要介绍了java解决动态配置字段需求问题,具有很好的参考价值,希望对大家有所帮助。如有错误或未考虑完全的地方,望不吝赐教
    2023-05-05
  • Java 匿名对象与匿名内部类的使用

    Java 匿名对象与匿名内部类的使用

    很多小伙伴对匿名对象和匿名内部类的写法有点陌生,本文主要介绍了Java 匿名对象与匿名内部类的使用,具有一定的参考价值,感兴趣的可以了解一下
    2024-01-01
  • 详解java定时任务

    详解java定时任务

    这篇文章主要为大家详细介绍了java定时任务,使用JDK中的Timer定时任务来实现,感兴趣的小伙伴们可以参考一下
    2016-03-03
  • Java后台接口开发初步实战教程

    Java后台接口开发初步实战教程

    下面小编就为大家分享一篇 Java后台接口开发初步实战教程,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
    2018-01-01
  • Spring Security UserDetails实现原理详解

    Spring Security UserDetails实现原理详解

    这篇文章主要介绍了Spring Security UserDetails实现原理详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
    2020-09-09
  • Springboot启动不检查JPA的数据源配置方式

    Springboot启动不检查JPA的数据源配置方式

    这篇文章主要介绍了Springboot启动不检查JPA的数据源配置方式,具有很好的参考价值,希望对大家有所帮助。如有错误或未考虑完全的地方,望不吝赐教
    2021-08-08

最新评论