两种方式:
- 基于角色的访问控制 (资源规定可以有哪些角色能访问)
- 基于资源的访问控制 (为角色规定能访问哪些资源)
采用第二种更好。因为第二种不用修改代码。
相关数据模型
明如下:
xc_user:用户表,存储了系统用户信息,用户类型包括:学生、老师、管理员等
xc_role:角色表,存储了系统的角色信息,学生、老师、教学管理员、系统管理员等。
xc_user_role:用户角色表,一个用户可拥有多个角色,一个角色可被多个用户所拥有
xc_menu:模块表,记录了菜单及菜单下的权限
xc_permission:角色权限表,一个角色可拥有多个权限,一个权限可被多个角色所拥有
步骤
- 在资源服务集成Spring Security
在需要授权的接口处使用@PreAuthorize(“hasAuthority(‘权限标识符’)”)进行控制
下边代码指定/course/list接口需要拥有xc_teachmanager_course_list 权限。
设置了@PreAuthorize表示执行此方法需要授权,如果当前用户请求接口没有权限则抛出异常
org.springframework.security.access.AccessDeniedException: 不允许访问
- 在统一异常处理处解析此异常信息
@ResponseBody
@ExceptionHandler(Exception.class)
@ResponseStatus(HttpStatus.INTERNAL_SERVER_ERROR)
public RestErrorResponse exception(Exception e) {
log.error("【系统异常】{}",e.getMessage(),e);
e.printStackTrace();
if(e.getMessage().equals("不允许访问")){
return new RestErrorResponse("没有操作此功能的权限");
}
return new RestErrorResponse(CommonError.UNKOWN_ERROR.getErrMessage());
}
rResponse(CommonError.UNKOWN_ERROR.getErrMessage());
}