刚开始接触若依-微服务时,我一直以为它使用了
Spring Security
,然后就一直在源代码中查找相关的配置,发现怎么也找不到。仔细阅读ruoyi-common-security
模块才知道若依-微服务并没有使用Spring Security
。这也是我第一次知道原来Spring AOP
还能这么使用,之前在学习Spring
的时候,只知道AOP
的特点是切面编程,以及基本的使用方式,并没有在项目中使用过。
以下是学习笔记,如果有问题,请多谢指出。
若依-微服务并没有采用 Spring Security
实现权限控制,而是自定义了一套权限认证系统 ruoyi-common-security
模块。主要采用的是通过 Spring AOP
的方式,将认证过程动态织入到需要认证控制的接口中。
首先 ruoyi-common-security
模块声明了一个自定义注解 @PreAuthorize
,在需要权限控制的接口方法上添加 @PreAuthorize
,并将需要的权限字符作为注解参数赋值给 @PreAuthorize
注解。
最后在切面类 PreAuthorizeAspect
中对添加了 @PreAuthorize
注解的接口方法进行逻辑判断。
这里就选取比较有代表性的一段代码进行解释:判断用户是否具有访问该接口方法的权限。
@PreAuthorize(hasPermi = "system:user:list")
,代表着该接口方法需要进行权限认证,并且需要的权限列表为 system
、user
、list
。PreAuthorizeAspect
的 around(ProceedingJoinPoint point)
通知方法中进行逻辑判断。// 这里就选取比较有代表性的判断用户是否具有访问该接口方法的权限
// @Arund 表示环绕通知。
// 该注解表示对添加了 @PreAuthorize 注解的接口进行切入。
@Around("@annotation(com.ruoyi.common.security.annotation.PreAuthorize)")
public Object around(ProceedingJoinPoint point) throws Throwable
{
// 通过参数 ProceedingJoinPoint 获取 Signature,里面存放着方法的基本数据
Signature signature = point.getSignature();
MethodSignature methodSignature = (MethodSignature) signature;
// 获取方法
Method method = methodSignature.getMethod();
// 获取方法上添加的 @PreAuthorize 注解数据,例如 hasPermi = "system:user:list"
PreAuthorize annotation = method.getAnnotation(PreAuthorize.class);
// 如果没有获取到数据,可以直接方法接口方法
if (annotation == null)
{
return point.proceed();
}
// 判断获取到的接口方法权限字符是否为空
if (StringUtils.isNotEmpty(annotation.hasPermi()))
{
// 如果不为空,判断目前用户是否具有相应的权限
if (hasPermi(annotation.hasPermi()))
{
// 满足权限,可以直接访问
return point.proceed();
}
// 否则抛出权限异常
throw new PreAuthorizeException();
}
}
通过以上代码我们可以清晰的看出在若依-微服务中的权限控制逻辑。简单来说就是当访问一个接口时,先判断是否需要某种权限或者角色,如果需要则进行判断是否具有,否则直接访问。
下面解释一下若依-微服务中如何进行权限匹配判断的。
在上面代码中我们可以看到有一个自定义方法 hasPermi(String permission)
,该方法就是若依-微服务中验证用户是否具备某权限的处理方法。完整方法如下:
/**
* 验证用户是否具备某权限
*
* @param permission 权限字符串
* @return 用户是否具备某权限
*/
public boolean hasPermi(String permission)
{
// 通过前端请求中携带的 token 获取用户数据,里面包含了当前用户的权限列表
LoginUser userInfo = tokenService.getLoginUser();
// 判断是否获取到用户数据,如果没有获取到数据,则直接 return false。
if (StringUtils.isNull(userInfo) || CollectionUtils.isEmpty(userInfo.getPermissions()))
{
return false;
}
// 将当前用户权限列表和接口方法所需权限字符串进行匹配判断。
return hasPermissions(userInfo.getPermissions(), permission);
}
通过上面代码,可以看出若依-微服务将权限匹配的代码再次进行抽离到 hasPermissions()
方法中。
/**
* 判断是否包含权限
*
* @param authorities 权限列表
* @param permission 权限字符
* @return 用户是否具备某权限
*/
private boolean hasPermissions(Collection<String> authorities, String permission)
{
// 过滤掉当前用户权限列表 authorities 中为空的权限
return authorities.stream().filter(StringUtils::hasText)
// anyMatch()表示进行匹配,其中
// x 表示 authorities权限列表中的元素。
// ALL_PERMISSION.contains(x) 表示在 ALL_PERMISSION 字符串中是否存在 字符串 x
// PatternMatchUtils.simpleMatch(x, permission)) 表示 permission 中是否存在与 x 相匹配的子字符串。
.anyMatch(x -> ALL_PERMISSION.contains(x) || PatternMatchUtils.simpleMatch(x, permission));
}
hasPermissions()
方法是权限匹配判断的核心代码,其中 authorities.stream().filter(StringUtils::hasText)
是通过 Java 8
Stream
中提供的 filter
过滤器,所有满足 。StringUtils::hasText
过滤条件使用了 双冒号运算符,表示遍历authorities
集合中的元素作为参数调用 StringUtils
工具类中的 hasText
方法。
在 ruoyi-common-security
模块的中还提供了 AOP 内部认证。具体作用是如果方法中添加了@InnerAuth(isAuth=true)
,并且 isAuth
设置为 true
。切面类 InnerAuthAspect
如下:
@Aspect
@Component
public class InnerAuthAspect implements Ordered
{
@Around("@annotation(innerAuth)")
public Object innerAround(ProceedingJoinPoint point, InnerAuth innerAuth) throws Throwable
{
// 从请求头中获取请求来源字符串
String source = ServletUtils.getRequest().getHeader(SecurityConstants.FROM_SOURCE);
// 内部请求验证,SecurityConstants.INNER 为内部请求字符串,如果两者相同表示具有内部访问权限。
if (!StringUtils.equals(SecurityConstants.INNER, source))
{
throw new InnerAuthException("没有内部访问权限,不允许访问");
}
String userid = ServletUtils.getRequest().getHeader(SecurityConstants.DETAILS_USER_ID);
String username = ServletUtils.getRequest().getHeader(SecurityConstants.DETAILS_USERNAME);
// 用户信息验证
if (innerAuth.isUser() && (StringUtils.isEmpty(userid) || StringUtils.isEmpty(username)))
{
throw new InnerAuthException("没有设置用户信息,不允许访问 ");
}
return point.proceed();
}
/**
* 确保在权限认证aop执行前执行
*/
@Override
public int getOrder()
{
return Ordered.HIGHEST_PRECEDENCE + 1;
}
}
上面代码中主要作用是当用户访问需要内部权限认证的接口时进行判断用户是否具有访问需要内部认证的接口。
但是我在源码中发现一个问题。
// 用户信息验证
if (innerAuth.isUser() && (StringUtils.isEmpty(userid) || StringUtils.isEmpty(username)))
{
throw new InnerAuthException("没有设置用户信息,不允许访问 ");
}
在上面代码中,当前仅当 innerAuth.isUser
为 true
时,StringUtils.isEmpty(userid) || StringUtils.isEmpty(username)
的判断结果才会生效。比如当 innerAuth.isUser
为 false
时,不管 userid
和 username
字段是否为空都不会抛出 InnerAuthException("没有设置用户信息,不允许访问 ")
异常。
而在声明@InnerAuth
接口时,isUser
变量默认为 false
。而在若依-微服务中发现所有添加了 @InnerAuth
注解的接口都没有对 isUser
进行重新赋值。
下面为 @InnerAuth
注解的声明。
/**
* 内部认证注解
*
* @author ruoyi
*/
@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
@Documented
public @interface InnerAuth
{
/**
* 是否校验用户信息
*/
boolean isUser() default false;
}
下面为所有添加了 @InnerAuth
注解的接口
/**
* 获取当前用户信息
*/
@InnerAuth
@GetMapping("/info/{username}")
public R<LoginUser> info(@PathVariable("username") String username)
/**
* 注册用户信息
*/
@InnerAuth
@PostMapping("/register")
public R<Boolean> register(@RequestBody SysUser sysUser)
@InnerAuth
@PostMapping
public AjaxResult add(@RequestBody SysLogininfor logininfor)
@InnerAuth
@PostMapping
public AjaxResult add(@RequestBody SysOperLog operLog)
既然自定义了权限认证,那也少不了全局异常处理。
在SpringBoot
项目中实现全局异常处理很简单,只需要使用 @RestControllerAdvice
和 @ExceptionHandler
注解。
具体使用方式:
/**
* 全局异常处理器
*
* @author ruoyi
*/
@RestControllerAdvice
public class GlobalExceptionHandler
{
private static final Logger log = LoggerFactory.getLogger(GlobalExceptionHandler.class);
/**
* 权限异常
*/
@ExceptionHandler(PreAuthorizeException.class)
public AjaxResult handlePreAuthorizeException(PreAuthorizeException e, HttpServletRequest request)
{
String requestURI = request.getRequestURI();
log.error("请求地址'{}',权限校验失败'{}'", requestURI, e.getMessage());
return AjaxResult.error(HttpStatus.FORBIDDEN, "没有权限,请联系管理员授权");
}
}