学习笔记-若依-微服务-自定义权限认证流程

刚开始接触若依-微服务时,我一直以为它使用了Spring Security,然后就一直在源代码中查找相关的配置,发现怎么也找不到。仔细阅读 ruoyi-common-security模块才知道若依-微服务并没有使用 Spring Security 。这也是我第一次知道原来 Spring AOP 还能这么使用,之前在学习Spring 的时候,只知道 AOP 的特点是切面编程,以及基本的使用方式,并没有在项目中使用过。

以下是学习笔记,如果有问题,请多谢指出。

若依-微服务并没有采用 Spring Security实现权限控制,而是自定义了一套权限认证系统 ruoyi-common-security模块。主要采用的是通过 Spring AOP 的方式,将认证过程动态织入到需要认证控制的接口中。

首先 ruoyi-common-security模块声明了一个自定义注解 @PreAuthorize,在需要权限控制的接口方法上添加 @PreAuthorize,并将需要的权限字符作为注解参数赋值给 @PreAuthorize 注解。

最后在切面类 PreAuthorizeAspect中对添加了 @PreAuthorize 注解的接口方法进行逻辑判断。

这里就选取比较有代表性的一段代码进行解释:判断用户是否具有访问该接口方法的权限。

  1. 在获取用户列表的接口方法上添加 @PreAuthorize(hasPermi = "system:user:list") ,代表着该接口方法需要进行权限认证,并且需要的权限列表为 systemuserlist
  2. 在切面类 PreAuthorizeAspectaround(ProceedingJoinPoint point)通知方法中进行逻辑判断。
// 这里就选取比较有代表性的判断用户是否具有访问该接口方法的权限
// @Arund 表示环绕通知。
// 该注解表示对添加了 @PreAuthorize 注解的接口进行切入。
@Around("@annotation(com.ruoyi.common.security.annotation.PreAuthorize)")
public Object around(ProceedingJoinPoint point) throws Throwable
{	
    // 通过参数 ProceedingJoinPoint 获取 Signature,里面存放着方法的基本数据
    Signature signature = point.getSignature();
    MethodSignature methodSignature = (MethodSignature) signature;
    // 获取方法
    Method method = methodSignature.getMethod();
    // 获取方法上添加的 @PreAuthorize 注解数据,例如 hasPermi = "system:user:list"
    PreAuthorize annotation = method.getAnnotation(PreAuthorize.class);
    // 如果没有获取到数据,可以直接方法接口方法
    if (annotation == null)
    {
        return point.proceed();
    }
	// 判断获取到的接口方法权限字符是否为空
    if (StringUtils.isNotEmpty(annotation.hasPermi()))
    {
        // 如果不为空,判断目前用户是否具有相应的权限
        if (hasPermi(annotation.hasPermi()))
        {
       		// 满足权限,可以直接访问
            return point.proceed();
        }
        // 否则抛出权限异常
        throw new PreAuthorizeException();
    }
}

通过以上代码我们可以清晰的看出在若依-微服务中的权限控制逻辑。简单来说就是当访问一个接口时,先判断是否需要某种权限或者角色,如果需要则进行判断是否具有,否则直接访问。

下面解释一下若依-微服务中如何进行权限匹配判断的。

在上面代码中我们可以看到有一个自定义方法 hasPermi(String permission),该方法就是若依-微服务中验证用户是否具备某权限的处理方法。完整方法如下:

/**
 * 验证用户是否具备某权限
 * 
 * @param permission 权限字符串
 * @return 用户是否具备某权限
 */
public boolean hasPermi(String permission)
{
    // 通过前端请求中携带的 token 获取用户数据,里面包含了当前用户的权限列表
    LoginUser userInfo = tokenService.getLoginUser();
    // 判断是否获取到用户数据,如果没有获取到数据,则直接 return false。
    if (StringUtils.isNull(userInfo) || CollectionUtils.isEmpty(userInfo.getPermissions()))
    {
        return false;
    }
    // 将当前用户权限列表和接口方法所需权限字符串进行匹配判断。
    return hasPermissions(userInfo.getPermissions(), permission);
}

通过上面代码,可以看出若依-微服务将权限匹配的代码再次进行抽离到 hasPermissions()方法中。

/**
 * 判断是否包含权限
 * 
 * @param authorities 权限列表
 * @param permission 权限字符
 * @return 用户是否具备某权限
 */
private boolean hasPermissions(Collection<String> authorities, String permission)
{
    // 过滤掉当前用户权限列表 authorities 中为空的权限
    return authorities.stream().filter(StringUtils::hasText)
        	// anyMatch()表示进行匹配,其中
        	// x 表示 authorities权限列表中的元素。
        	// ALL_PERMISSION.contains(x) 表示在 ALL_PERMISSION 字符串中是否存在 字符串 x 
        	// PatternMatchUtils.simpleMatch(x, permission)) 表示 permission 中是否存在与 x 相匹配的子字符串。
            .anyMatch(x -> ALL_PERMISSION.contains(x) || PatternMatchUtils.simpleMatch(x, permission));
}

hasPermissions()方法是权限匹配判断的核心代码,其中 authorities.stream().filter(StringUtils::hasText) 是通过 Java 8 Stream 中提供的 filter过滤器,所有满足 。StringUtils::hasText 过滤条件使用了 双冒号运算符,表示遍历authorities集合中的元素作为参数调用 StringUtils工具类中的 hasText方法。

ruoyi-common-security模块的中还提供了 AOP 内部认证。具体作用是如果方法中添加了@InnerAuth(isAuth=true),并且 isAuth设置为 true。切面类 InnerAuthAspect如下:

@Aspect
@Component
public class InnerAuthAspect implements Ordered
{
    @Around("@annotation(innerAuth)")
    public Object innerAround(ProceedingJoinPoint point, InnerAuth innerAuth) throws Throwable
    {
        // 从请求头中获取请求来源字符串
        String source = ServletUtils.getRequest().getHeader(SecurityConstants.FROM_SOURCE);
        // 内部请求验证,SecurityConstants.INNER 为内部请求字符串,如果两者相同表示具有内部访问权限。
        if (!StringUtils.equals(SecurityConstants.INNER, source))
        {
            throw new InnerAuthException("没有内部访问权限,不允许访问");
        }
		
        String userid = ServletUtils.getRequest().getHeader(SecurityConstants.DETAILS_USER_ID);
        String username = ServletUtils.getRequest().getHeader(SecurityConstants.DETAILS_USERNAME);
        // 用户信息验证
        if (innerAuth.isUser() && (StringUtils.isEmpty(userid) || StringUtils.isEmpty(username)))
        {
            throw new InnerAuthException("没有设置用户信息,不允许访问 ");
        }
        return point.proceed();
    }

    /**
     * 确保在权限认证aop执行前执行
     */
    @Override
    public int getOrder()
    {
        return Ordered.HIGHEST_PRECEDENCE + 1;
    }
}

上面代码中主要作用是当用户访问需要内部权限认证的接口时进行判断用户是否具有访问需要内部认证的接口。

但是我在源码中发现一个问题。

// 用户信息验证
if (innerAuth.isUser() && (StringUtils.isEmpty(userid) || StringUtils.isEmpty(username)))
{
	throw new InnerAuthException("没有设置用户信息,不允许访问 ");
}

在上面代码中,当前仅当 innerAuth.isUsertrue时,StringUtils.isEmpty(userid) || StringUtils.isEmpty(username)的判断结果才会生效。比如当 innerAuth.isUserfalse时,不管 useridusername字段是否为空都不会抛出 InnerAuthException("没有设置用户信息,不允许访问 ")异常。

而在声明@InnerAuth 接口时,isUser变量默认为 false 。而在若依-微服务中发现所有添加了 @InnerAuth注解的接口都没有对 isUser进行重新赋值。

下面为 @InnerAuth注解的声明。

/**
 * 内部认证注解
 * 
 * @author ruoyi
 */
@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
@Documented
public @interface InnerAuth
{
    /**
     * 是否校验用户信息
     */
    boolean isUser() default false;
}

下面为所有添加了 @InnerAuth注解的接口

/**
 * 获取当前用户信息
 */
@InnerAuth
@GetMapping("/info/{username}")
public R<LoginUser> info(@PathVariable("username") String username)
/**
 * 注册用户信息
 */
@InnerAuth
@PostMapping("/register")
public R<Boolean> register(@RequestBody SysUser sysUser)
@InnerAuth
@PostMapping
public AjaxResult add(@RequestBody SysLogininfor logininfor)
@InnerAuth
@PostMapping
public AjaxResult add(@RequestBody SysOperLog operLog)

既然自定义了权限认证,那也少不了全局异常处理。

SpringBoot项目中实现全局异常处理很简单,只需要使用 @RestControllerAdvice@ExceptionHandler注解。

具体使用方式:

/**
 * 全局异常处理器
 * 
 * @author ruoyi
 */
@RestControllerAdvice
public class GlobalExceptionHandler
{
    private static final Logger log = LoggerFactory.getLogger(GlobalExceptionHandler.class);

    /**
     * 权限异常
     */
    @ExceptionHandler(PreAuthorizeException.class)
    public AjaxResult handlePreAuthorizeException(PreAuthorizeException e, HttpServletRequest request)
    {
        String requestURI = request.getRequestURI();
        log.error("请求地址'{}',权限校验失败'{}'", requestURI, e.getMessage());
        return AjaxResult.error(HttpStatus.FORBIDDEN, "没有权限,请联系管理员授权");
    }
}
  • 6
    点赞
  • 28
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
《Python学习笔记》是由皮大庆编写的一本关于Python语言学习的教材。在这本书中,作者详细介绍了Python语言的基础知识、语法规则以及常用的编程技巧。 首先,作者简要介绍了Python语言的特点和优势。他提到,Python是一种易于学习和使用的编程语言,受到了广大程序员的喜爱。Python具有简洁、清晰的语法结构,使得代码可读性极高,同时也提供了丰富的库和模块,能够快速实现各种功能。 接着,作者详细讲解了Python的基本语法。他从变量、数据类型、运算符等基础知识开始,逐步介绍了条件语句、循环控制、函数、模块等高级概念。同时,作者通过大量的示例代码和实践案例,帮助读者加深对Python编程的理解和应用。 在书中,作者还特别强调了编写规范和良好的编程习惯。他从命名规范、注释风格、代码缩进等方面指导读者如何写出清晰、可读性强的Python代码。作者认为,良好的编程习惯对于提高代码质量和提高工作效率非常重要。 此外,作者还介绍了Python的常用库和模块。他提到了一些常用的库,如Numpy、Pandas、Matplotlib等。这些库在数据处理、科学计算、可视化等领域有广泛的应用,帮助读者更好地解决实际问题。 总的来说,《Python学习笔记》是一本非常实用和全面的Python学习教材。通过学习这本书,读者可以系统地学习和掌握Python编程的基础知识和高级应用技巧,为以后的编程学习和工作打下坚实的基础。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值