问题:
@Aspect @Component @Slf4j public class PermissionAspect { @Autowired private RemotePermissionService permissionClient; @Around("@annotation(com.example.auth.annotation.HasPermission)") public Object around(ProceedingJoinPoint point) throws Throwable { // 提取方法上的注解和权限标识 Signature signature = point.getSignature(); MethodSignature methodSignature = (MethodSignature) signature; Method method = methodSignature.getMethod(); HasPermission annotation = method.getAnnotation(HasPermission.class); String requiredPermission = annotation.value(); // 校验权限 if (hasPermission(requiredPermission)) { return point.proceed(); // 放行方法执行 } else { throw new ForbiddenException(); // 权限不足,抛出异常 } } private boolean hasPermission(String requiredPermission) { HttpServletRequest request = ServletUtils.getRequest(); String tmpUserKey = request.getHeader(Constants.CURRENT_USER_ID); if (Optional.ofNullable(tmpUserKey).isPresent()) { Long userId = Long.valueOf(tmpUserKey); log.debug("userid:{}", userId); // 通过远程服务获取用户权限并校验 return permissionClient.getPermissionsByUserId(userId).stream() .anyMatch(requiredPermission::equals); } return false; // 无用户信息,拒绝访问 } }中的getPermissionsByUserId方法是进行数据库查询用户权限的操作,每次进行查询数据库校验权限,这种方案合适吗?一般权限校验是怎么做的?也都是查询数据库吗?
答案:
在你的代码中,`getPermissionsByUserId` 方法每次都会查询数据库来校验用户的权限。这种方式虽然可以实现权限校验,但存在一些性能和扩展性问题,尤其是在高并发场景下,频繁的数据库查询可能会导致系统瓶颈。
### 一、问题分析
1. **性能问题**
每次请求都需要查询数据库,增加了数据库的压力,尤其是当用户量较大时,频繁的 I/O 操作会导致响应时间变长。
2. **扩展性问题**
如果权限数据存储在多个地方(如数据库、缓存、外部服务等),直接依赖数据库查询会限制系统的灵活性。
3. **实时性与一致性**
数据库中的权限数据可能有延迟更新的情况,如果需要实时性强的权限校验,这种方式可能无法满足需求。
---
### 二、常见权限校验方案
为了避免每次请求都查询数据库,通常会结合缓存、分布式存储或其他优化手段来提升权限校验的效率。以下是几种常见的权限校验方案:
#### 1. **使用缓存(推荐)**
- **原理**:将用户的权限信息缓存到内存中(如 Redis、Memcached 等),减少对数据库的直接访问。
- **流程**:
1. 用户登录后,加载其权限信息并存储到缓存中。
2. 权限校验时,优先从缓存中获取权限信息。
3. 如果缓存中没有命中,则回退到数据库查询,并将结果写入缓存。
- **优点**:
- 减少数据库压力。
- 提升权限校验的速度。
- **示例代码**:
```java
private boolean hasPermission(String requiredPermission) {
HttpServletRequest request = ServletUtils.getRequest();
String tmpUserKey = request.getHeader(Constants.CURRENT_USER_ID);
if (Optional.ofNullable(tmpUserKey).isPresent()) {
Long userId = Long.valueOf(tmpUserKey);
log.debug("userid:{}", userId);
// 从缓存中获取权限
String cacheKey = "user_permissions:" + userId;
List<String> permissions = redisTemplate.opsForList().range(cacheKey, 0, -1);
if (permissions == null || permissions.isEmpty()) {
// 缓存未命中,查询数据库并写入缓存
permissions = permissionClient.getPermissionsByUserId(userId);
redisTemplate.opsForList().rightPushAll(cacheKey, permissions);
redisTemplate.expire(cacheKey, 30, TimeUnit.MINUTES); // 设置缓存过期时间
}
return permissions.stream().anyMatch(requiredPermission::equals);
}
return false; // 无用户信息,拒绝访问
}
```
#### 2. **JWT 或 Token 中携带权限信息**
- **原理**:在用户登录时,将用户的权限信息编码到 JWT(JSON Web Token)或自定义 Token 中,后续请求直接解析 Token 获取权限信息。
- **流程**:
1. 用户登录成功后,生成包含权限信息的 Token。
2. 后续请求携带 Token,服务器解析 Token 并提取权限信息。
3. 校验权限时无需查询数据库或缓存。
- **优点**:
- 完全避免了对数据库或缓存的依赖。
- 适合分布式系统。
- **缺点**:
- Token 的大小受限,不适合存储大量权限信息。
- 权限变更时需要重新生成 Token。
- **示例代码**:
```java
private boolean hasPermission(String requiredPermission) {
HttpServletRequest request = ServletUtils.getRequest();
String token = request.getHeader("Authorization");
if (token != null && JwtUtil.validateToken(token)) {
Map<String, Object> claims = JwtUtil.parseClaims(token);
List<String> permissions = (List<String>) claims.get("permissions");
return permissions.contains(requiredPermission);
}
return false; // 无有效 Token,拒绝访问
}
```
#### 3. **预加载权限到内存**
- **原理**:在应用启动时,将所有用户的权限信息加载到内存中(如静态 Map 或其他数据结构)。
- **流程**:
1. 应用启动时,加载所有用户权限数据到内存。
2. 权限校验时直接从内存中查找。
3. 权限变更时,通过事件机制或定时任务刷新内存中的数据。
- **优点**:
- 查询速度快。
- 减少对外部服务的依赖。
- **缺点**:
- 内存占用较高,不适合用户量极大的场景。
- 权限变更时需要及时同步。
#### 4. **基于角色的权限校验(RBAC 模型)**
- **原理**:将权限与角色绑定,用户通过角色间接拥有权限。
- **流程**:
1. 用户登录后,加载其角色信息。
2. 权限校验时,根据角色判断是否具有所需权限。
- **优点**:
- 简化了权限管理。
- 减少了直接操作权限数据的复杂度。
- **缺点**:
- 对于细粒度的权限控制可能不够灵活。
---
### 三、总结
- **查询数据库**:适合小规模系统或权限变更频繁的场景,但性能较差。
- **使用缓存**:推荐的做法,兼顾性能和实时性。
- **JWT 或 Token**:适合分布式系统,但对 Token 大小有限制。
- **预加载到内存**:适合固定用户群体的小型系统。
- **RBAC 模型**:适合基于角色的权限管理,简化了权限分配。
在实际项目中,可以根据业务需求选择合适的方案,或者将多种方案结合起来使用。例如,结合缓存和 JWT,既能提升性能,又能减少对外部服务的依赖。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
