架构设计:
网关路由转发代理商家后台项目,过滤器判断uri请求是否是商家后台请求放行即可.
这里设计的初衷是网关只做路由转发,因为微服务不会暴露出去,所有的API跟前端交互暴露出聚合微服务,同时聚合微服务根据业务及终端的不同继而拆分!那请求经过网关转发到商家项目,在拦截器中处理商家权限逻辑即可,配置拦截或不拦截的url在application.yml里面,注册拦截器到spring容器!
验证流程:
- 从header中取出token,若token为空,返回401,无权限访问
- 若存在token,获取用户userId,查询改用户是否已开店
- 未开通店铺和店铺被禁用返回401,无权限访问
- 店铺已下架且访问的uri是商品编辑前缀,返回无权限编辑和上下架商品
权限设计:
- 角色业务设计,根据项目需求不同设计,我们项目用户Id和角色(role_code)是组合唯一索引
- 角色对应的菜单url列表由总后台添加,菜单外键关联默认系统分组表主键Id,系统分组表有对应的商家角色code
- 总后台查询出系统分组id下的角色菜单url,以当前系统分组的角色code为key,菜单url列表为Value存入redis缓存
- 根据userId查出是否是商家角色,否403
- 以商家角色code为key从redis缓存中取出菜单url列表
- 遍历当前权限菜单列表,拿当前访问的uri去匹配放行,比如总后台设置的权限为/abc/ddd/** 可以 匹配/abc/ddd/eee/cc
- 创建商品权限对象,封装店铺和用户及权限信息,放入线程隔离对象中去
- 重置token的失效时间,重置商家权限的失效时间