前后端分离项目接口权限检查方案

已于 2023-08-11 17:37:01 修改
阅读量1.1k 收藏
点赞数
文章标签: java spring
于 2023-08-11 16:07:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37148232/article/details/132233461
版权
文章介绍了使用HandleMethod实现的分级式接口权限检查策略,包括模块、控制器和方法级别的权限管理,以及自动同步机制,减少人工维护工作。同时提及了SkipMappingCheck注解用于跳过部分检查。
摘要由CSDN通过智能技术生成

基于handleMethod写的一款分级式接口权限检查方案。
权限自动同步机制(启动更新,页面不提供增删改):

public class AuthorizationMappingGenerateExecutor implements EasyApplicationRunner {

    @Autowired
    private AuthorizationMappingMapper authorizationMappingMapper;
    @Autowired
    private RequestMappingHandlerMapping mapping;
    @Autowired
    private SupportSecurityProperties securityProperties;
	// 启动时执行一次,随便用用作个排序。没安全问题
    int i = 0;

    @Override
    public void doBusiness() {
        Map<RequestMappingInfo, HandlerMethod> handlerMethodMap = mapping.getHandlerMethods();
        Collection<HandlerMethod> handlerMethods = handlerMethodMap.values();
        // 表中已存在的code
        List<String> existsCodes = authorizationMappingMapper.selectProperties(Wrappers.lambdaQuery(), AuthorizationMapping::getCode);
        // 排重set
        Set<String> currentExistsCodes = new HashSet<>();
        // 配置的级别
        MappingLevel mappingLevel = securityProperties.getMappingLevel();
	
		// 添加的权限
        List<AuthorizationMapping> insertMappings = new ArrayList<>();
        // 需要更新的权限
        List<AuthorizationMapping> updateMappings = new ArrayList<>();

        for (HandlerMethod handlerMethod : handlerMethods) {
            Class<?> beanType = handlerMethod.getBeanType();
            String name = beanType.getName();
            // 只取本系统内的接口
            if (!name.contains("xxxx")) {
                continue;
            }

            AuthorizationMapping moduleMapping = buildModuleMapping(handlerMethod);
            int type = chooseType(existsCodes, currentExistsCodes, moduleMapping);
            if (type == 1) {
                insertMappings.add(moduleMapping);
            } else if (type == 2) {
                updateMappings.add(moduleMapping);
            }
            // 只开启了一级权限检查
            if (mappingLevel.is(MappingLevel.MODULE)) {
                continue;
            }

            AuthorizationMapping controllerMapping = buildControllerMapping(moduleMapping.getCode(), handlerMethod);
            int controllerType = chooseType(existsCodes, currentExistsCodes, controllerMapping);
            if (controllerType == 1) {
                insertMappings.add(controllerMapping);
            } else if (controllerType == 2) {
                updateMappings.add(controllerMapping);
            }
            // 只开启了二级权限检查
            if (mappingLevel.is(MappingLevel.CONTROLLER)) {
                continue;
            }

            // 方法级的权限检查
            AuthorizationMapping methodMapping = buildMethodMapping(controllerMapping.getCode(), handlerMethod);
            int methodType = chooseType(existsCodes, currentExistsCodes, methodMapping);
            if (methodType == 1) {
                insertMappings.add(methodMapping);
            } else if (methodType == 2) {
                updateMappings.add(methodMapping);
            }
        }
		// 批量插入
        authorizationMappingMapper.insertSplitBatch(insertMappings, 200);

		// 配置是否更新,一条条更新太慢,影响启动速度。
        if (securityProperties.getEnableMappingUpdate()) {
            updateMappings.forEach(authorizationMappingMapper::updateById);
        }
        // 清掉子级,不占表空间。开放的话重启构建即可。code不会变
        LambdaQueryWrapper<AuthorizationMapping> wrapper = Wrappers.lambdaQuery();
        if (mappingLevel.is(MappingLevel.MODULE)) {
            wrapper.in(AuthorizationMapping::getLevel, ZYListUtils.toList(MappingLevel.CONTROLLER.level(), MappingLevel.METHOD.level()));
        } else if (mappingLevel.is(MappingLevel.CONTROLLER)) {
            wrapper.eq(AuthorizationMapping::getLevel, MappingLevel.METHOD.level());
        }
        authorizationMappingMapper.delete(wrapper);
    }

    private int chooseType(List<String> existsCodes, Set<String> currentExistsCodes, AuthorizationMapping methodMapping) {
        String code = methodMapping.getCode();
        if (currentExistsCodes.contains(code)) {
            return 0;
        }
        // 去重
        currentExistsCodes.add(methodMapping.getCode());
        // 更新or插入
        if (!existsCodes.contains(code)) {
            return 1;
        } else {
            return 2;
        }
    }

	// 构建模块权限
    private AuthorizationMapping buildModuleMapping(HandlerMethod handlerMethod) {
        Class<?> beanType = handlerMethod.getBeanType();
        Package aPackage = beanType.getPackage();

        AuthorizationMapping packageMapping = buildBaseMapping(MappingLevel.MODULE);
        packageMapping.setMapping("");
        packageMapping.setParentCode(ZYTreeUtils.TREE_ROOT_ID);

        String moduleCode = PermissionMappingGenerator.generateModuleKey(handlerMethod);
        packageMapping.setCode(moduleCode);

        String packageName = aPackage.getName();
        packageMapping.setFileLocal(packageName);
        String packageChinaName = try2getPackageChinaName(handlerMethod);
        packageMapping.setName(null != packageChinaName ? packageChinaName : packageName);

        return packageMapping;
    }

	// 构建controller级权限
    private AuthorizationMapping buildControllerMapping(String parentCode, HandlerMethod handlerMethod) {

        AuthorizationMapping packageMapping = buildBaseMapping(MappingLevel.CONTROLLER);
        packageMapping.setMapping("");
        packageMapping.setParentCode(parentCode);

        String controllerCode = PermissionMappingGenerator.generateControllerKey(handlerMethod);
        packageMapping.setCode(controllerCode);

        Class<?> beanType = handlerMethod.getBeanType();
        packageMapping.setFileLocal(beanType.getName());
        Theme theme = beanType.getAnnotation(Theme.class);
        packageMapping.setName(null != theme ? theme.value() : beanType.getSimpleName());

        return packageMapping;
    }

	// 构建方法级权限
    private AuthorizationMapping buildMethodMapping(String parentCode, HandlerMethod handlerMethod) {

        String methodCode = PermissionMappingGenerator.generateMethodKey(handlerMethod);
        AuthorizationMapping packageMapping = buildBaseMapping(MappingLevel.METHOD);
        packageMapping.setCode(methodCode);
        packageMapping.setParentCode(parentCode);

        Class<?> beanType = handlerMethod.getBeanType();
        Method method = handlerMethod.getMethod();
        packageMapping.setFileLocal(beanType.getName() + "." + method.getName());
        packageMapping.setMapping(spellMapping(method, beanType));
        packageMapping.setName(getMappingName(handlerMethod));

        return packageMapping;
    }

    private AuthorizationMapping buildBaseMapping(MappingLevel level) {
        AuthorizationMapping packageMapping = new AuthorizationMapping();
        packageMapping.setCreateDate(System.currentTimeMillis());
        packageMapping.setIsMiniAuth(0);
        packageMapping.setSort(++i);
        packageMapping.setLevel(level.level());
        packageMapping.setRemarks(level.getMappingName());
        return packageMapping;
    }

    private String getMappingName(HandlerMethod handlerMethod) {
        SystemLog systemLog = handlerMethod.getMethodAnnotation(SystemLog.class);
        if (null != systemLog) {
            return systemLog.value();
        }
        return handlerMethod.getMethod().getName();
    }

    private String spellMapping(Method method, Class<?> beanType) {
        StringBuilder path = new StringBuilder();
        RequestMapping parentRequestMapping = beanType.getAnnotation(RequestMapping.class);
        if (null != parentRequestMapping) {
            String[] value = parentRequestMapping.value();
            if (value.length > 0) {
                path.append(value[0]);
            }
        }
        RequestMapping methodRequestMapping = method.getAnnotation(RequestMapping.class);
        GetMapping methodGetRequestMapping = method.getAnnotation(GetMapping.class);
        PostMapping methodPostRequestMapping = method.getAnnotation(PostMapping.class);
        if (null != methodRequestMapping) {
            String[] value = methodRequestMapping.value();
            if (value.length > 0) {
                path.append(value[0]);
            }
        } else if (null != methodGetRequestMapping) {
            String[] value = methodGetRequestMapping.value();
            if (value.length > 0) {
                path.append(value[0]);
            }
        } else if (null != methodPostRequestMapping) {
            String[] value = methodPostRequestMapping.value();
            if (value.length > 0) {
                path.append(value[0]);
            }
        }
        return path.toString();
    }

    private String try2getPackageChinaName(HandlerMethod handlerMethod) {
        Class<?> beanType = handlerMethod.getBeanType();
        Package aPackage = beanType.getPackage();
        Theme packageTheme = aPackage.getAnnotation(Theme.class);
        if (null != packageTheme) {
            return packageTheme.value();
        }
        return null;
    }
}

权限检查拦截器

public class AuthorizationMappingInterceptor implements EasyMvcInterceptor, InitializingBean {

    private final static Set<String> NO_NEED_CHECK_CODES = new HashSet<>();

    private final static Set<String> CHECK_CODES = new HashSet<>();

    @Autowired
    private AuthorizationMappingMapper authorizationMappingMapper;
    @Autowired
    private SupportSecurityProperties securityProperties;


    @Override
    public boolean doBusiness(HandlerMethod handlerMethod, HttpServletRequest request, HttpServletResponse response) {
    	// 开放接口
        if (ZYRequestUtils.isDirectApi()) {
            return true;
        }
		// 超管
        if (UserHelper.isSuperAdmin()) {
            return true;
        }

		// 需要跳过的权限
        if (isSkipMappingCheck(handlerMethod)) {
            return true;
        }

        // 查询需要的权限
        MappingLevel mappingLevel = securityProperties.getMappingLevel();
        String permissionCode = PermissionMappingGenerator.generateByLevel(handlerMethod, mappingLevel);
        // 缓存在存在,直接通过检查
        if (NO_NEED_CHECK_CODES.contains(permissionCode)) {
            return true;
        }

        // 该接口没有做权限限制,直接放行
        if (!CHECK_CODES.contains(permissionCode)) {
            NO_NEED_CHECK_CODES.add(permissionCode);
            return true;
        }

        // 用户权限信息
        LoginUser loginAreaUser = UserHelper.getLoginAreaUser();
        Set<String> mappingCodes = loginAreaUser.getMappingCodes();
        if (!hasPermission(permissionCode, mappingCodes)) {
            throw new PermissionException("您没有访问接口的权限");
        }

        return true;
    }

    private boolean hasPermission(String permissionCode, Set<String> mappingCodes) {
        return null != mappingCodes && mappingCodes.contains(permissionCode);
    }

    @Override
    public void afterPropertiesSet() {
        // 根据权限级别查询需要检查的HandleMethod或controller
        MappingLevel mappingLevel = securityProperties.getMappingLevel();
        LambdaQueryWrapper<AuthorizationMapping> wrapper = Wrappers.lambdaQuery();
        wrapper.eq(AuthorizationMapping::getLevel, mappingLevel.level());
        wrapper.eq(AuthorizationMapping::getIsMiniAuth, NO);
        wrapper.select(AuthorizationMapping::getCode);
        List<String> authorizationMappings = authorizationMappingMapper.selectProperties(wrapper, AuthorizationMapping::getCode);
        CHECK_CODES.addAll(authorizationMappings);
    }

    private boolean isSkipMappingCheck(HandlerMethod handlerMethod) {
        Class<?> beanType = handlerMethod.getBeanType();
        Package aPackage = beanType.getPackage();
        SkipMappingCheck packageSkip = aPackage.getAnnotation(SkipMappingCheck.class);
        if (null != packageSkip) {
            return true;
        }

        SkipMappingCheck classSkip = beanType.getAnnotation(SkipMappingCheck.class);
        if (null != classSkip) {
            return true;
        }
        Method method = handlerMethod.getMethod();
        SkipMappingCheck methodSkip = method.getAnnotation(SkipMappingCheck.class);
        return null != methodSkip;
    }
}


public enum MappingLevel implements Matcher {

    MODULE("模块"),
    CONTROLLER("控制类"),
    METHOD("接口方法");

    private String mappingName;

    public String level() {
        return this.name().toLowerCase();
    }

    @Override
    public Object statusCode() {
        return level();
    }
}

code生成器

public class PermissionMappingGenerator {

    private final static Map<String, String> PACKAGE_KEY_CACHE = new HashMap<>();
    private final static Map<String, String> CONTROLLER_KEY_CACHE = new HashMap<>();
    private final static Map<String, String> METHOD_KEY_CACHE = new HashMap<>();

    public static String generateByLevel(HandlerMethod handlerMethod, MappingLevel mappingLevel) {
        switch (mappingLevel) {
            case METHOD:
                return generateMethodKey(handlerMethod);
            case CONTROLLER:
                return generateControllerKey(handlerMethod);
            case MODULE:
                return generateModuleKey(handlerMethod);
            default:
                throw new LocalException("不能确定的权限级别");
        }
    }

    public static String generateModuleKey(HandlerMethod handlerMethod) {
        Class<?> beanType = handlerMethod.getBeanType();
        Package aPackage = beanType.getPackage();
        String packageName = aPackage.getName();
        String cryptPackageCode = PACKAGE_KEY_CACHE.get(packageName);
        if (ZYStrUtils.isNull(cryptPackageCode)) {
            cryptPackageCode = ZYCryptUtils.encryptMD5(packageName).toLowerCase();
            PACKAGE_KEY_CACHE.put(packageName, cryptPackageCode);
        }
        return cryptPackageCode;
    }

    public static String generateControllerKey(HandlerMethod handlerMethod) {
        Class<?> beanType = handlerMethod.getBeanType();
        String className = beanType.getName();
        String cryptControllerCode = CONTROLLER_KEY_CACHE.get(className);
        if (ZYStrUtils.isNull(cryptControllerCode)) {
            cryptControllerCode = ZYCryptUtils.encryptMD5(className).toLowerCase();
            CONTROLLER_KEY_CACHE.put(className, cryptControllerCode);
        }
        return cryptControllerCode;
    }

    public static String generateMethodKey(HandlerMethod handlerMethod) {
        Class<?> beanType = handlerMethod.getBeanType();
        Method method = handlerMethod.getMethod();

        List<String> keySign = new ArrayList<>();
        keySign.add(beanType.getSimpleName());
        keySign.add(method.getName());

        Parameter[] parameters = method.getParameters();
        for (Parameter parameter : parameters) {
            keySign.add(parameter.getName());
        }
        String key = StrUtils.join(keySign, "#");
        String cryptKey = METHOD_KEY_CACHE.get(key);
        if (null == cryptKey) {
            cryptKey = CryptUtils.encryptMD5(key).toLowerCase();
            METHOD_KEY_CACHE.put(key, cryptKey);
        }
        return cryptKey;

    }
}


@Target({ElementType.METHOD, ElementType.TYPE, ElementType.PACKAGE})
@Retention(RetentionPolicy.RUNTIME)
public @interface SkipMappingCheck {
}

与传统的路径匹配接口权限检查相比,本方案采用HandleMethod信息与角角直接绑定。多了一个权限颗粒度划分。对减少接品权限数量及减少人工分配量有明显的优势。自动的权限生成工具省去了维护权限编号协删改查的人工操作。减去了大量人工。实际使用中,默认使用module级,维护量很少。较严情况下,使用controller级。严格安全等保要求的情况下。使用mothod级。方案选择很灵活。重启服务即可任意切换。可以使用SkipMappingCheck 注解对整个模块,整个controller进行跳过处理。

浅度差文
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
基于SpringBoot+SpringCloud+Vue前后端分离项目实战 --开篇
天罡gg的专栏
03-07 1万+
如何高效学习Java? 毕业设计项目应该怎么做?入门实战项目应该怎么做? 做Java开发都应该学习哪些框架技术? 我想来跟你聊聊为什么要学习此专栏?我们经常说,看一个事儿千万不要直接陷入细节里,你应该先鸟瞰其全貌,这样能够帮助你从高维度理解问题。同样,当你迷茫想努力没有方向时,最事半功倍的方法是:找人带你! 因为过来人,更懂得如何学、如何做、如何少走弯路! 那今天就给大家带来一门专栏课程,由 天罡gg 和 经海路大白狗 两位实力大牛合力打造的一款专栏,可以让你从0到1快速拥有企业级规范的项目实战经验!
前后端分离项目token怎么验证_前后端分离使用 Token 登录解决方案
weixin_42509686的博客
01-12 1431
这篇文章写一下前后端分离下的登录解决方案,目前大多数都采用请求头携带 Token 的形式。开写之前先捋一下整理思路:首次登录时,后端服务器判断用户账号密码正确之后,根据用户id、用户名、定义好的秘钥、过期时间生成 token ,返回给前端;前端拿到后端返回的 token ,存储在 localStroage 和 Vuex 里;前端每次路由跳转,判断 localStroage 有无 token ,没有...
关于前后端分离开发接口鉴权
weixin_45325332的博客
01-09 1844
切换工作视图 企业 苏喔信息科技 项目 查看全部项目 19482748937 苏喔信息科技 免费版 中午好! 劳晓湖 劳晓湖 前后端分离接口鉴权 收藏 预览 设置 输入关键字搜索文件 收起所有节点 前后端分离接口鉴权 前后端分离接口鉴权 文件信息 前言 在项目开发中,为了提高项目开发效率,一般会选择前后端分离开发的形式,但是如果不进行身份鉴别的话,后台的接口是公开暴露的,只要访问URL便可获取到接...
接口测试框架中的鉴权处理
Testfan_zhou的博客
01-26 1105
接口测试框架
前后端分离场景应用接口安全考虑
u010592926的专栏
09-27 784
前后端分离场景应用接口安全考虑接口安全指标分类指标分析认证和授权防篡改加密传输防重放防模拟必须防模拟怎么办在各个前端上怎么做(TODO)IOS APP (TODO)android APP(TODO)WEB 浏览器(TODO) 接口安全指标分类 类别 是否认证 是否授权 是否防篡改 是否再加密传输 是否防重放 是否防模拟 公共接口 否 否 否 否 否 否 一般安全接口 是 是 是 否 是 否 安全接口 是 是 是 是 是 否 绝对安全接口 是 是 是 是 是 是 注意: 是否再
前后端分离项目,采用ssm后端接口权限校验
qq_38089964的博客
11-28 3261
前后端分离项目中,服务端对于每个请求都是一模一样的,对于每个用户的请求识别就需要用到一个统一的方式(jwt),然后在访问每个接口的时候先对这个jwt进行识别,查出这个用户的权限级别,检查是否拥有访问这个接口权限,如果没有,那么将直接返回一个错误信息,表示权限不足,反之放过,继续往下执行。 jwt就是一个包含用户信息的加密字符串:参考:JWT的生成及验证过程 因为对于每个接口都需要进行权...
Springboot+Vue前后端分离项目-管理系统-上
m0_56308072的博客
05-28 5500
前端技术Vue 前端框架Vuex 全局状态管理框架ElementUI 前端UI框架。
前后端分离登录逻辑实现方案
qq_55272229的博客
12-12 3023
我之前做前后端分离项目的时候在想,第一次登录一个网站过后后续登录就可以直接访问太神奇了,后来熟练了发现是后端的过滤器和拦截器实现的, 最近在跟着视频组做项目时候我发现自己有点忘记了前端是怎么配合后端完成的,本文带5分钟过一遍登录状态的校验。
C#配置跨域,实现前后端分离
Mick_小马哥
04-25 3127
跨域问题 相信很多小朋友看到过浏览器提示以下异常,这就是请求跨域而引起的,下面就来解决这个异常。 Failed to load http://www.xxx.com: Response to preflight request doesn’t pass access control check: No ‘Access-Control-Allow-Origin’ header is present ...
前后端分离模式下的权限设计方案.docx
10-26
### 前后端分离模式下的权限设计方案 #### 权限控制的概念 在深入探讨前后端分离模式下的权限设计方案之前,我们需要明确权限控制的基本概念。权限控制是指在信息系统中,通过对用户身份验证以及用户角色定义来...
Spring Boot+Vue前后端分离,如何避免前端页面 404
01-08
前后端分离的开发模式中,404错误页面的处理是常见的问题,尤其是在Spring Boot结合Vue进行开发时。404错误通常发生在用户尝试访问不存在的URL时,导致页面无法正常加载。以下是对该问题的详细分析和解决方案: 1...
智子商城springboot+vue前后端分离项目
01-03
【标题】"智子商城springboot+vue前后端分离项目"是一个综合性的电子商务平台开发案例,采用现代化的技术栈实现。这个项目将后端业务逻辑与前端用户界面进行了有效的分离,提高了系统的可维护性和开发效率。 ...
SpringBoot+Vue 前后端分离的RBAC权限管理系统.zip
02-24
前后端分离的系统中,接口设计尤为重要。本系统遵循RESTful原则,通过HTTP动词(GET、POST、PUT、DELETE等)定义资源操作,确保API的简洁性和可维护性。 7. **数据库设计** 数据库设计是RBAC系统的基础。通常包括...
Springboot+vue的医患档案管理系统 Javaee项目springboot vue前后端分离项目
04-20
项目——"SpringBoot+Vue医患档案管理系统"正是基于这样的需求,采用JavaEE技术栈,利用SpringBoot后端框架和Vue.js前端框架实现了一套完整的前后端分离解决方案。本文将深入探讨该项目的技术实现、设计思路以及...
Springboot+vue的智慧校园之家长子系统 Javaee项目springboot vue前后端分离项目
04-21
"Springboot+vue的智慧校园之家长子系统 Javaee项目springboot vue前后端分离项目" 这个标题表明我们正在讨论一个基于JavaEE技术栈的智慧校园应用,具体来说是一个家长子系统。这个系统利用了Spring Boot作为后端...
Springboot+vue的大学奖学金评定管理系统 Javaee项目springboot vue前后端分离项目
04-21
在当今的IT行业中,前后端分离已经成为Web开发的主流模式,Spring Boot与Vue.js的结合应用则为此提供了强大的支撑。本项目——“Springboot+vue的大学奖学金评定管理系统”,是基于Java EE技术栈,利用Spring Boot...
Springboot+vue的高校科研信息管理系统(有报告) Javaee项目springboot vue前后端分离项目
最新发布
04-21
项目SpringBoot+Vue的高校科研信息管理系统”采用JavaEE技术栈,结合SpringBoot后端框架与Vue.js前端框架,实现了前后端分离的设计模式,为高校科研管理工作提供了便捷、智能的解决方案。 首先,SpringBoot是...
SpringBoot+ant-design-pro-vue前后端分离权限管理系统.zip
12-26
项目SpringBoot+Ant Design Pro Vue前后端分离权限管理系统”正是基于这一理念构建的,旨在提供一套完整的、可扩展的解决方案,用于构建企业级的权限管理平台。 SpringBoot是Java领域广泛使用的轻量级框架,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值