以上五张表的SQL就不再详细贴出来了,都会放在案例源码的doc目录下,如下图:
设计思路
RBAC权限模型是基于角色的,因此在Spring Security中的权限就是角色,具体的认证授权流程如下:
- 用户登录申请令牌
- 通过UserDetailService查询、加载用户信息、比如密码、权限(角色)....封装到UserDetails中
- 令牌申请成功,携带令牌访问资源
- 网关层面比较访问的URL所需要的权限(Redis中)是否与当前令牌具备的权限有交集。有交集则表示具备访问该URL的权限。
- 具备权限则访问,否则拒绝
上述只是大致的流程,其中还有一些细节有待商榷,如下:
1、URL对应的权限如何维护?
这个就比较容易实现了,涉及到RBAC权限模式的三张表,分别为权限表、角色表、权限角色对应关系表。具体实现流程如下:
- 项目启动时将权限(URL)和角色的对应关系加载到Redis中。
- 对于管理界面涉及到URL相应关系的变动要实时的变更到Redis。
比如权限中有这么一条数据,如下:
其中的 /order/info 这个URL就