Spring Security 动态权限实现方案

最近在做 TienChin 项目，用的是 RuoYi-Vue 脚手架，在这个脚手架中，访问某个接口需要什么权限，这个是在代码中硬编码的，具体怎么实现的，松哥下篇文章来和大家分析，有的小伙伴可能希望能让这个东西像 vhr 一样，可以在数据库中动态配置，因此这篇文章和小伙伴们简单介绍下 Spring Security 中的动态权限方案，以便于小伙伴们更好的理解 TienChin 项目中的权限方案。

1. 动态管理权限规则

通过代码来配置 URL 拦截规则和请求 URL 所需要的权限，这样就比较死板，如果想要调整访问某一个 URL 所需要的权限，就需要修改代码。

动态管理权限规则就是我们将 URL 拦截规则和访问 URL 所需要的权限都保存在数据库中，这样，在不改变源代码的情况下，只需要修改数据库中的数据，就可以对权限进行调整。

1.1 数据库设计

简单起见，我们这里就不引入权限表了，直接使用角色表，用户和角色关联，角色和资源关联，设计出来的表结构如图 13-9 所示。

图13-9  一个简单的权限数据库结构

menu 表是相当于我们的资源表，它里边保存了访问规则，如图 13-10 所示。

图13-10  访问规则

role 是角色表，里边定义了系统中的角色，如图 13-11 所示。

图13-11  用户角色表

user 是用户表，如图 13-12 所示。

图13-12  用户表

user_role 是用户角色关联表，用户具有哪些角色，可以通过该表体现出来，如图 13-13 所示。

图13-13  用户角色关联表

menu_role 是资源角色关联表，访问某一个资源，需要哪些角色，可以通过该表体现出来，如图 13-14 所示。

图13-14  资源角色关联表

至此，一个简易的权限数据库就设计好了（在本书提供的案例中，有SQL脚本）。

1.2 实战

项目创建

创建 Spring Boot 项目，由于涉及数据库操作，这里选用目前大家使用较多的 MyBatis 框架，所以除了引入 Web、Spring Security 依赖之外，还需要引入 MyBatis 以及 MySQL 依赖。

最终的 pom.xml 文件内容如下：

<dependencies>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-security</artifactId>
    </dependency>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-web</artifactId>
    </dependency>
    <dependency>
        <groupId>org.mybatis.spring.boot</groupId>
        <artifactId>mybatis-spring-boot-starter</artifactId>
        <version>2.1.3</version>
    </dependency>
    <dependency>
        <groupId>mysql</groupId>
        <artifactId>mysql-connector-java</artifactId>
        <scope>runtime</scope>
    </dependency>