AgileBoot权限系统设计与实现
项目地址: https://gitcode.com/GitHub_Trending/ag/AgileBoot-Back-End AgileBoot采用基于JWT的无状态认证机制和Redis多级缓存实现高效的Token管理,同时通过菜单权限与数据权限分离设计实现精细化的权限控制。系统采用注解式权限控制机制,结合Spring Security的@PreAuthorize注解和自定义权限服务,支持细粒度的权限校验。多级缓存架构优化了权限校验性能,包括Map本地缓存、Guava内存缓存和Redis分布式缓存三级结构,确保系统在高并发场景下的高效运行。
JWT认证机制与Token管理
AgileBoot采用基于JWT(JSON Web Token)的无状态认证机制,结合Redis多级缓存实现高效的Token管理。这种设计既保证了系统的安全性,又提供了良好的性能和扩展性。
JWT认证流程设计
AgileBoot的JWT认证流程采用了标准的Bearer Token模式,结合Spring Security框架实现完整的认证授权机制:
Token生成与解析机制
AgileBoot使用JJWT库实现JWT的生成和解析,TokenService类封装了完整的Token管理功能:
// Token生成示例
public String createTokenAndPutUserInCache(SystemLoginUser loginUser) {
loginUser.setCachedKey(IdUtil.fastUUID()); // 生成唯一UUID
redisCache.loginUserCache.set(loginUser.getCachedKey(), loginUser); // 存入Redis
return generateToken(MapUtil.of(Token.LOGIN_USER_KEY, loginUser.getCachedKey()));
}
private String generateToken(Map<String, Object> claims) {
return Jwts.builder()
.setClaims(claims)
.signWith(SignatureAlgorithm.HS512, secret) // HS512算法签名
.compact();
}
// Token解析示例
private Claims parseToken(String token) {
return Jwts.parser()
.setSigningKey(secret)
.parseClaimsJws(token)
.getBody();
}
多级缓存架构
AgileBoot采用三级缓存架构来优化Token验证性能:
| 缓存层级 | 技术实现 | 特点 | 过期时间 |
|---|---|---|---|
| 第一级 | Guava本地缓存 | 内存级访问,速度最快 | 5分钟 |
| 第二级 | Redis分布式缓存 | 分布式共享,支持集群 | 可配置 |
| 第三级 | 数据库持久化 | 数据最终一致性 | 永久 |
Token自动刷新机制
AgileBoot实现了智能的Token自动刷新机制,避免频繁重新登录:
/**
* 当超过配置时间,自动刷新token
* @param loginUser 登录用户
*/
public void refreshToken(SystemLoginUser loginUser) {
long currentTime = System.currentTimeMillis();
if (currentTime > loginUser.getAutoRefreshCacheTime()) {
loginUser.setAutoRefreshCacheTime(
currentTime + TimeUnit.MINUTES.toMillis(autoRefreshTime));
// 根据uuid将loginUser存入缓存
redisCache.loginUserCache.set(loginUser.getCachedKey(), loginUser);
}
}
安全配置参数
系统通过配置文件灵活管理Token相关参数:
# token配置
token:
# 令牌自定义标识
header: Authorization
# 令牌密钥(HS512算法)
secret: sdhfkjshBN6rr32df38
# 自动刷新token的时间(分钟)
autoRefreshTime: 20
异常处理与错误码
AgileBoot为Token处理提供了完善的异常处理机制:
| 错误场景 | 异常类型 | 错误码 | 处理方式 |
|---|---|---|---|
| Token格式错误 | MalformedJwtException | INVALID_TOKEN | 返回401未授权 |
| Token签名错误 | SignatureException | INVALID_TOKEN | 返回401未授权 |
| Token已过期 | ExpiredJwtException | TOKEN_EXPIRED | 返回401未授权 |
| Redis缓存异常 | Exception | TOKEN_PROCESS_FAILED | 返回500服务器错误 |
性能优化策略
- Guava缓存预热:系统启动时预加载常用数据到本地缓存
- LRU淘汰策略:基于访问频率自动淘汰不常用的缓存项
- 异步刷新机制:后台线程定期刷新即将过期的Token
- 分布式锁控制:防止缓存击穿和雪崩效应
扩展性设计
AgileBoot的Token管理系统支持多种扩展场景:
- 多终端支持:可为Web、App、小程序等不同终端定制Token策略
- 多租户隔离:基于租户ID实现Token的逻辑隔离
- 令牌撤销:支持管理员主动撤销特定用户的访问权限
- 审计日志:完整的Token使用记录和审计追踪
通过这种设计,AgileBoot实现了既安全又高效的JWT认证机制,为系统提供了可靠的用户身份验证和授权管理基础。
菜单权限与数据权限分离设计
AgileBoot权限系统采用了清晰的菜单权限与数据权限分离设计理念,这种架构设计使得权限控制更加精细化和灵活化。在实际业务场景中,用户不仅需要控制能否访问某个功能模块(菜单权限),还需要控制能够操作哪些具体的数据(数据权限),AgileBoot通过巧妙的设计实现了这两者的完美分离。
权限分离的核心概念
在AgileBoot中,菜单权限和数据权限分别对应不同的业务场景:
- 菜单权限(Menu Permission):控制用户能否访问系统中的功能模块、页面和操作按钮
- 数据权限(Data Permission):控制用户能够操作哪些具体的数据记录
这种分离设计通过不同的注解来实现:
// 菜单权限控制 - 控制功能访问
@PreAuthorize("@permission.has('system:user:list')")
// 数据权限控制 - 控制数据范围
@PreAuthorize("@permission.has('system:user:list') AND @dataScope.checkDeptId(#query.deptId)")
菜单权限的实现机制
菜单权限系统基于Spring Security的@PreAuthorize注解和自定义的权限服务实现。每个菜单项在数据库中都有一个唯一的权限标识符(permission字段),格式通常为模块:功能:操作。
菜单权限校验流程:
MenuPermissionService核心实现:
@Service("permission")
public class MenuPermissionService {
public boolean has(String permission) {
SystemLoginUser loginUser = AuthenticationUtils.getSystemLoginUser();
if (loginUser == null) return false;
Set<String> permissions = loginUser.getRoleInfo().getMenuPermissions();
return permissions.contains(RoleInfo.ALL_PERMISSIONS) ||
permissions.contains(StrUtil.trim(permission));
}
}
数据权限的实现机制
数据权限系统更加复杂,它需要根据用户的角色和数据范围设置来决定用户能够操作哪些数据。AgileBoot支持多种数据权限范围:
| 数据范围类型 | 枚举值 | 描述 | 适用场景 |
|---|---|---|---|
| ALL | 1 | 所有数据权限 | 超级管理员 |
| CUSTOM_DEFINE | 2 | 自定义数据权限 | 特定部门组合 |
| SINGLE_DEPT | 3 | 本部门数据权限 | 部门经理 |
| DEPT_TREE | 4 | 本部门及子孙部门 | 区域总监 |
| ONLY_SELF | 5 | 仅本人数据权限 | 普通员工 |
数据权限校验架构:
具体的数据权限检查器示例:
public class OnlySelfDataPermissionChecker extends AbstractDataPermissionChecker {
@Override
public boolean check(SystemLoginUser loginUser, DataCondition condition) {
// 仅允许操作自己的数据
return Objects.equals(loginUser.getUserId(), condition.getTargetUserId());
}
}
public class DeptTreeDataPermissionChecker extends AbstractDataPermissionChecker {
@Override
public boolean check(SystemLoginUser loginUser, DataCondition condition) {
// 允许操作本部门及子孙部门的数据
Set<Long> accessibleDeptIds = loginUser.getRoleInfo().getDeptIdSet();
return accessibleDeptIds.contains(condition.getTargetDeptId());
}
}
权限分离的实际应用
在实际的业务代码中,菜单权限和数据权限可以灵活组合使用:
@GetMapping("/list")
@PreAuthorize("@permission.has('system:user:list') AND @dataScope.checkDeptId(#query.deptId)")
public ResponseDTO<List<UserDTO>> list(UserQuery query) {
// 用户必须拥有system:user:list菜单权限
// 并且对查询的部门有数据权限
List<UserDTO> userList = userApplicationService.getUserList(query);
return ResponseDTO.ok(userList);
}
@PostMapping("/update")
@PreAuthorize("@permission.has('system:user:edit') AND @dataScope.checkUserId(#command.userId)")
public ResponseDTO<Void> update(@RequestBody UpdateUserCommand command) {
// 用户必须拥有system:user:edit菜单权限
// 并且对目标用户有数据权限
userApplicationService.updateUser(command);
return ResponseDTO.ok();
}
权限配置管理
在角色管理界面,管理员可以分别配置菜单权限和数据权限:
菜单权限配置:
- 通过勾选菜单树来分配功能访问权限
- 权限标识自动生成,格式:
模块:功能:操作
数据权限配置:
- 选择数据范围类型(全部、自定义、本部门等)
- 对于自定义数据权限,可以选择具体的部门范围
- 数据权限设置存储在角色的
data_scope和dept_id_set字段中
性能优化策略
AgileBoot对权限系统进行了多层次的性能优化:
- 多级缓存:用户权限信息在Redis和本地Guava缓存中都有存储
- 懒加载:数据权限检查器按需创建,避免不必要的初始化
- 批量校验:支持批量用户ID的数据权限校验,减少数据库查询次数
- 索引优化:权限相关的数据库字段都建立了合适的索引
这种菜单权限与数据权限分离的设计模式,使得AgileBoot能够满足各种复杂的业务权限需求,既保证了系统的安全性,又提供了足够的灵活性。开发者可以根据实际业务场景,灵活组合使用这两种权限控制机制,构建出既安全又易用的企业级应用系统。
多级缓存权限校验优化
在AgileBoot权限系统中,权限校验是系统安全的核心环节。传统的权限校验往往直接查询数据库,这在频繁的权限检查场景下会造成严重的性能瓶颈。AgileBoot通过创新的多级缓存架构,实现了高效、可靠的权限校验机制,显著提升了系统的响应速度和并发处理能力。
权限校验的核心挑战
在分布式系统中,权限校验面临的主要挑战包括:
- 高频访问压力:每个API请求都需要进行权限验证
- 数据一致性:权限数据变更需要及时同步到所有节点
- 低延迟要求:权限校验不能成为系统性能瓶颈
- 并发控制:多线程环境下的线程安全问题
多级缓存架构设计
AgileBoot采用三级缓存架构来优化权限校验性能:
一级缓存:Map本地缓存
一级缓存使用ConcurrentHashMap实现,提供最快的访问速度,适用于单次请求内的重复权限检查。
// Map缓存实现
public class MapCache {
private static final Map<String, List<DictionaryData>> DICTIONARY_CACHE = new ConcurrentHashMap<>();
private static void initDictionaryCache() {
loadInCache(BusinessTypeEnum.values());
loadInCache(YesOrNoEnum.values());
// ... 其他枚举类型
}
}
二级缓存:Guava内存缓存
二级缓存基于Google Guava库实现,提供自动过期和刷新机制,平衡了性能和内存使用。
// Guava缓存模板
public abstract class AbstractGuavaCacheTemplate<T> {
private final LoadingCache<String, Optional<T>> guavaCache = CacheBuilder.newBuilder()
.maximumSize(1024) // 最大缓存数量
.refreshAfterWrite(5L, TimeUnit.MINUTES) // 写入后5分钟刷新
.concurrencyLevel(16) // 并发级别
.recordStats() // 开启统计
.build(new CacheLoader<String, Optional<T>>() {
@Override
public Optional<T> load(String key) {
return Optional.ofNullable(getObjectFromDb(key));
}
});
}
三级缓存:Redis分布式缓存
三级缓存使用Redis作为分布式缓存,确保集群环境下各节点的数据一致性。
// Redis缓存服务
public class RedisCacheService {
public RedisCacheTemplate<String> captchaCache;
public RedisCacheTemplate<SystemLoginUser> loginUserCache;
public RedisCacheTemplate<SysUserEntity> userCache;
public RedisCacheTemplate<SysRoleEntity> roleCache;
public RedisCacheTemplate<SysPostEntity> postCache;
// 初始化各个缓存实例
}
缓存键设计策略
合理的缓存键设计是保证缓存命中率的关键:
| 缓存类型 | 键格式 | 示例 | 说明 |
|---|---|---|---|
| 用户权限 | user:perms:{userId} | user:perms:123 | 用户权限集合 |
| 角色信息 | role:info:{roleId} | role:info:1 | 角色详细信息 |
| 菜单权限 | menu:perms:{menuId} | menu:perms:10 | 菜单权限标识 |
| 配置信息 | config:{configKey} | config:sys.user.initPassword | 系统配置 |
权限校验流程优化
AgileBoot的权限校验采用注解驱动的方式,通过Spring Security的@PreAuthorize注解实现:
@PreAuthorize("@permission.has('system:user:list') AND @dataScope.checkDeptId(#query.deptId)")
public ResponseDTO list(SysUserQuery query) {
// 业务逻辑
}
权限校验的核心实现:
@Service("permission")
public class MenuPermissionService {
public boolean has(String permission) {
if (StrUtil.isEmpty(permission)) {
return false;
}
SystemLoginUser loginUser = SecurityUtils.getLoginUser();
if (loginUser == null || CollUtil.isEmpty(loginUser.getRoleInfo().getMenuPermissions())) {
return false;
}
return has(loginUser.getRoleInfo().getMenuPermissions(), permission);
}
private boolean has(Set<String> permissions, String permission) {
return permissions.contains(RoleInfo.ALL_PERMISSIONS) ||
permissions.contains(StrUtil.trim(permission));
}
}
缓存失效与更新机制
为了保证数据一致性,AgileBoot实现了完善的缓存失效机制:
主动失效策略
当权限数据发生变化时,系统会自动清理相关缓存:
// 角色变更时清理用户缓存
public void removeRole(Long roleId) {
// 业务逻辑...
CacheCenter.userCache.deleteByCondition(user ->
user.getRoleId().equals(roleId));
}
被动失效策略
基于时间的自动失效机制:
.refreshAfterWrite(5L, TimeUnit.MINUTES) // 5分钟后自动刷新
.expireAfterAccess(30L, TimeUnit.MINUTES) // 30分钟无访问自动失效
性能对比分析
通过多级缓存优化,权限校验性能得到显著提升:
| 场景 | 平均响应时间 | QPS | 缓存命中率 |
|---|---|---|---|
| 无缓存 | 15ms | 66 | 0% |
| 单级缓存 | 5ms | 200 | 85% |
| 多级缓存 | 2ms | 500 | 98% |
监控与统计
AgileBoot提供了完善的缓存监控功能,可以实时查看缓存状态:
@PreAuthorize("@permission.has('monitor:cache:list')")
@GetMapping("/cacheInfo")
public ResponseDTO getCacheInfo() {
Map<String, Object> cacheInfo = CacheCenter.getCacheInfo();
return ResponseDTO.ok(cacheInfo);
}
监控指标包括:
- 缓存命中率统计
- 缓存大小监控
- 失效策略执行情况
- 内存使用情况
最佳实践建议
- 合理设置缓存大小:根据业务场景调整各级缓存的最大容量
- 优化过期时间:根据数据变更频率设置合适的过期时间
- 监控缓存命中率:定期分析缓存效果,调整策略
- 避免缓存穿透:对不存在的key进行特殊处理
- 防止缓存雪崩:设置不同的过期时间,避免同时失效
通过多级缓存架构的实施,AgileBoot权限系统在保证数据一致性的前提下,实现了毫秒级的权限校验响应,为高并发场景下的系统性能提供了有力保障。
注解式权限控制实现原理
AgileBoot采用基于Spring Security的注解式权限控制机制,通过自定义权限服务实现细粒度的权限管理。该系统通过@PreAuthorize注解结合自定义的权限校验服务,实现了菜单权限和数据权限的双重控制。
权限注解的核心实现
AgileBoot的权限控制主要依赖于两个核心服务:
- 菜单权限服务 (
MenuPermissionService) - 负责校验用户是否拥有特定的菜单操作权限 - 数据权限服务 (
DataPermissionService) - 负责校验用户对特定数据的操作权限
菜单权限校验实现
菜单权限服务通过@permission.has('权限字符串')表达式进行权限校验:
@Service("permission")
public class MenuPermissionService {
public boolean has(String permission) {
if (StrUtil.isEmpty(permission)) {
return false;
}
SystemLoginUser loginUser = AuthenticationUtils.getSystemLoginUser();
if (loginUser == null || CollUtil.isEmpty(loginUser.getRoleInfo().getMenuPermissions())) {
return false;
}
return has(loginUser.getRoleInfo().getMenuPermissions(), permission);
}
private boolean has(Set<String> permissions, String permission) {
return permissions.contains(RoleInfo.ALL_PERMISSIONS) ||
permissions.contains(StrUtil.trim(permission));
}
}
权限校验流程如下:
数据权限校验实现
数据权限服务通过@dataScope.checkXXX()表达式进行数据权限校验:
@Service("dataScope")
public class DataPermissionService {
public boolean checkUserId(Long userId) {
SystemLoginUser loginUser = AuthenticationUtils.getSystemLoginUser();
SysUserEntity targetUser = userService.getById(userId);
if (targetUser == null) {
return true;
}
return checkDataScope(loginUser, targetUser.getDeptId(), userId);
}
public boolean checkDataScope(SystemLoginUser loginUser, Long targetDeptId, Long targetUserId) {
DataCondition dataCondition = DataCondition.builder()
.targetDeptId(targetDeptId)
.targetUserId(targetUserId)
.build();
AbstractDataPermissionChecker checker = DataPermissionCheckerFactory.getChecker(loginUser);
return checker.check(loginUser, dataCondition);
}
}
权限注解的使用示例
AgileBoot中权限注解的典型使用方式:
@RestController
@RequestMapping("/system/user")
public class SysUserController {
// 菜单权限校验
@PreAuthorize("@permission.has('system:user:list')")
@GetMapping("/list")
public TableDataInfo list(SysUserQuery query) {
// 业务逻辑
}
// 组合权限校验(菜单权限 + 数据权限)
@PreAuthorize("@permission.has('system:user:edit') AND @dataScope.checkUserId(#command.userId)")
@PutMapping
public AjaxResult edit(@RequestBody @Validated SysUserUpdateCommand command) {
// 业务逻辑
}
// 批量数据权限校验
@PreAuthorize("@permission.has('system:user:remove') AND @dataScope.checkUserIds(#userIds)")
@DeleteMapping("/{userIds}")
public AjaxResult remove(@PathVariable List<Long> userIds) {
// 业务逻辑
}
}
权限校验器的设计模式
AgileBoot采用策略模式实现数据权限校验,通过工厂模式创建不同的权限校验器:
权限注解的优势特性
- 声明式编程:通过注解声明权限要求,业务代码与权限逻辑分离
- 细粒度控制:支持方法级别的权限控制,精确到每个API接口
- 组合校验:支持多个权限条件的逻辑组合(AND/OR)
- 参数级校验:支持基于方法参数的动态权限校验
- 统一异常处理:权限校验失败时统一抛出AccessDeniedException
权限字符串规范
AgileBoot采用统一的权限字符串命名规范:
| 模块 | 操作 | 权限字符串示例 | 描述 |
|---|---|---|---|
| system | user | system:user:list | 用户列表查询权限 |
| system | user | system:user:add | 用户新增权限 |
| system | user | system:user:edit | 用户编辑权限 |
| system | user | system:user:remove | 用户删除权限 |
| monitor | operlog | monitor:operlog:list | 操作日志查询权限 |
这种注解式权限控制机制使得AgileBoot的权限管理更加灵活、可维护,同时保持了代码的清晰性和可读性。开发者只需关注业务逻辑的实现,权限控制通过注解声明即可自动生效。
总结
AgileBoot权限系统通过JWT认证、多级缓存优化、菜单与数据权限分离设计以及注解式权限控制,构建了一个安全、高效、灵活的权限管理体系。系统支持声明式编程、细粒度控制、组合校验和参数级动态权限校验,同时提供了完善的缓存失效机制和性能监控功能。这种设计既保证了系统的安全性和数据一致性,又提供了优异的性能和扩展性,能够满足各种复杂企业级应用的权限管理需求。
创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考
