一起实战Springboot开发后端管理系统8：Matrxi-Web权限设计实现

上篇文章讲述了Matrix-web整体实现的权限控制的思路。现在来回顾一下：

• 首先，用户需要登录，填用户名、密码，后端接收到登录请求，进行用户、密码的校验，校验成功后则根据用户名生成Token，并返回给浏览器。
• 浏览器收到Token后，会存储在本地的LocalStorge里。
• 后续浏览器发起请求时都携带该Token，请求达到后端后，会在Filter进行判断，首选判断是否为白名单url（比如登录接口url），如果是则放行；否则进入Token验证。如果有Token且解析成功，则放行，否则，返回无权限访问。
• Filter判断后，请求达到具体的Controller层，如果在Controller层上加上了权限判断的注解，则生成代理类。代理类在执行具体方法前会根据Token判断权限。
• 取出用户的Token并解析得到该请求的userId，根据userId在从存储层获取用户的权限点。权限控制是RBAC这种方式实现的。
• 获取到用户权限点后，获取权限判断的注解的权限信息，看用户权限点是否包含权限注解的权限信息，如果包含，则权限校验通过，否则则请求返回无权限。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-7hlz5kP4