1、前言
在Web專案中,許可權管理即許可權訪問控制為網站訪問安全提供了保障,並且很多專案使用了Session作為快取,結合AOP技術進行token認證和許可權控制。許可權控制流程大致如下圖所示:
現在,如果管理員修改了使用者的角色,或修改了角色的許可權,都會導致使用者許可權發生變化,此時如何實現動態許可權變更,使得前端能夠更新使用者的許可權樹,後端訪問鑑權AOP模組能夠知悉這種變更呢?
2、問題及解決方案
現在的問題是,管理員沒法訪問使用者Session,因此沒法將變更通知此使用者。而使用者如果已經登入,或直接關閉瀏覽器頁面而不是登出操作,Session沒有過期前,使用者訪問介面時,訪問鑑權AOP模組仍然是根據之前快取的Session資訊進行處理,沒法做到動態許可權變更。
使用Security+WebSocket是一個方案,但沒法處理不線上使用者。
解決方案的核心思想是利用ServletContext物件的共享特性,來實現使用者許可權變更的資訊傳遞。然後在AOP類中查詢使用者是否有變更通知記錄需要處理,如果許可權發生變化,則修改response訊息體,新增附加通知資訊給前端。前端收到附加的通知資訊,可更新功能許可權樹,並進行相關處理。
這樣,利用的變更通知服務,不僅後端的使用者url訪問介面可第一時間獲悉變更,還可以通知到前端,從而實現了動態許可權變更。
3、方案實現
3.1、開發變更通知類
服務介面類ChangeNotifyService,程式碼如下:
package com.abc.questInvest.service;
/**
* @className : ChangeNotifyService
* @description : 變更通知服務
* @summary :
* @history :
* ------------------------------------------------------------------------------
* date version modifier remarks
* ------------------------------------------------------------------------------
* 2021/06/28 1.0.0 sheng.zheng 初版
*
*/
public interface ChangeNotifyService {
/**
*
* @methodName : getChangeNotifyInfo
* @description : 獲取指定使用者ID的變更通知資訊
* @param userId : 使用者ID
* @return : 返回0表示無變更通知資訊,其它值按照bitmap編碼。目前定義如下:
* bit0: : 修改使用者的角色組合值,從而導致許可權變更;
* bit1: : 修改角色的功能項,從而導致許可權變更;
* bit2: : 使用者禁用,從而導致許可權變更;
* bit3: : 使用者調整部門,從而導致資料許可權變更;
* @history :
* ------------------------------------------------------------------------------
* date version modifier remarks
* ------------------------------------------------------------------------------
* 2021/06/28 1.0.0 sheng.zheng 初版
*
*/
public Integer getChangeNotifyInfo(Integer userId);
/**
*
* @methodName : setChangeNotifyInfo
* @description : 設定變更通知資訊
* @param userId : 使用者ID
* @param changeNotifyInfo : 變更通知值
* bit0: : 修改使用者的角色組合值,從而導致許可權變更;
* bit1: : 修改角色的功能項,從而導致許可權變更;
* bit2: : 使用者禁用,從而導致許可權變更;
* bit3: : 使用者調整部門,從而導致資料許可權變更;
* @history :
* ------------------------------------------------------------------------------
* date version modifier remarks
* ------------------------------------------------------------------------------
* 2021/06/28 1.0.0 sheng.zheng 初版
*
*/
public void setChangeNotifyInfo(Integer userId,Integer changeNotifyInfo);
}
服務實現類ChangeNotifyServiceImpl,程式碼如下:
package com.abc.questInvest.service.impl;
import java.util.HashMap;
import java.util.Map;
import org.springframework.stereotype.Service;
import com.abc.questInvest.service.ChangeNotifyService;
/**
* @className : ChangeNotifyServiceImpl
* @description : ChangeNotifyService實現類
* @summary :
* @history :
* ------------------------------------------------------------------------------
* date version modifier remarks
* ------------------------------------------------------------------------------
* 2021/06/28 1.0.0 sheng.zheng 初版
*
*/
@Service
public class ChangeNotifyServiceImpl implements ChangeNotifyService {
//使用者ID與變更過通知資訊對映表
private Map<Integer,Integer> changeNotifyMap = new HashMap<Integer,Integer>();
/**
*
* @methodName : getChangeNotifyInfo
* @description : 獲取指定使用者ID的變更通知資訊
* @param userId : 使用者ID
* @return : 返回0表示無變更通知資訊,其它值按照bitmap編碼。目前定義如下:
* bit0: : 修改使用者的角色組合值,從而導致許可權變更;
* bit1: : 修改角色的功能項,從而導致許可權變更;
* bit2: : 使用者禁用,從而導致許可權變更;
* bit3: : 使用者調整部門,從而導致資料許可權變更;
* @history :
* ------------------------------------------------------------------------------
* date version modifier remarks
* ------------------------------------------------------------------------------
* 2021/06/28 1.0.0 sheng.zheng 初版
*
*/
@Override
public Integer getChangeNotifyInfo(Integer userId) {
Integer changeNotifyInfo = 0;
//檢查該使用者是否有變更通知資訊
if (changeNotifyMap.containsKey(userId)) {
changeNotifyInfo = changeNotifyMap.get(userId);
//移除資料,加鎖保護
synchronized(changeNotifyMap) {
changeNotifyMap.remove(userId);
}
}
return changeNotifyInfo;
}
/**
*
* @methodName : setChangeNotifyInfo
* @description : 設定變更通知資訊,該功能一般由管理員觸發呼叫
* @param userId : 使用者ID
* @param changeNotifyInfo : 變更通知值
* bit0: : 修改使用者的角色組合值,從而導致許可權變更;
* bit1: : 修改角色的功能項,從而導致許可權變更;
* bit2: : 使用者禁用,從而導致許可權變更;
* bit3: : 使用者調整部門,從而導致資料許可權變更;
* @history :
* ------------------------------------------------------------------------------
* date version modifier remarks
* ------------------------------------------------------------------------------
* 2021/06/28 1.0.0 sheng.zheng 初版
*
*/
@Override
public void setChangeNotifyInfo(Integer userId,Integer changeNotifyInfo) {
//檢查該使用者是否有變更通知資訊
if (changeNotifyMap.containsKey(userId)) {
//如果有,表示之前變更通知未處理
//獲取之前的值
Integer oldChangeNotifyInfo = changeNotifyMap.get(userId);
//計算新值。bitmap編碼,或操作
Integer newChangeNotifyInfo = oldChangeNotifyInfo | changeNotifyInfo;
//設定資料,加鎖保護
synchronized(changeNotifyMap) {
changeNotifyMap.put(userId,newChangeNotifyInfo);
}
}else {
//如果沒有,設定一條
changeNotifyMap.put(userId,changeNotifyInfo);
}
}
}
此處,變更通知型別,與使用的demo專案有關,目前定義了4種變更通知型別。實際上,除了許可權相關的變更,還有與Session快取欄位相關的變更,也需要通知,否則使用者還是在使用舊資料。
3.2、將變更通知類物件,納入全域性配置服務物件中進行管理
全域性配置服務類GlobalConfigService,負責管理全域性的配置服務物件,服務介面類程式碼如下:
package com.abc.questInvest.service;
/**
* @className : GlobalConfigService
* @description : 全域性變數管理類
* @summary :
* @history :
* ------------------------------------------------------------------------------
* date version modifier remarks
* ------------------------------------------------------------------------------
* 2021/06/02 1.0.0 sheng.zheng 初版
*
*/
public interface GlobalConfigService {
/**
*
* @methodName : loadData
* @description : 載入資料
* @return : 成功返回true,否則返回false
* @history :
* ------------------------------------------------------------------------------
* date version modifier remarks
* ------------------------------------------------------------------------------
* 2021/06/02 1.0.0 sheng.zheng 初版
*
*/
public boolean loadData();
//獲取TableCodeConfigService物件
public TableCodeConfigService getTableCodeConfigService();
//獲取SysParameterService物件
public SysParameterService getSysParameterService();
//獲取FunctionTreeService物件
public FunctionTreeService getFunctionTreeService();
//獲取RoleFuncRightsService物件
public RoleFuncRightsService getRoleFuncRightsService();
//獲取ChangeNotifyService物件
public ChangeNotifyService getChangeNotifyService();
}
服務實現類GlobalConfigServiceImpl,程式碼如下:
package com.abc.questInvest.service.impl;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Service;
import com.abc.questInvest.service.ChangeNotifyService;
import com.abc.questInvest.service.FunctionTreeService;
import com.abc.questInvest.service.GlobalConfigService;
import com.abc.questInvest.service.RoleFuncRightsService;
import com.abc.questInvest.service.SysParameterService;
import com.abc.questInvest.service.TableCodeConfigService;
/**
* @className : GlobalConfigServiceImpl
* @description : GlobalConfigService實現類
* @summary :
* @history :
* ------------------------------------------------------------------------------
* date version modifier remarks
* ------------------------------------------------------------------------------
* 2021/06/02 1.0.0 sheng.zheng 初版
*
*/
@Service
public class GlobalConfigServiceImpl implements GlobalConfigService{
//ID編碼配置表資料服務
@Autowired
private TableCodeConfigService tableCodeConfigService;
//系統參數列資料服務
@Autowired
private SysParameterService sysParameterService;
//功能樹表資料服務
@Autowired
private FunctionTreeService functionTreeService;
//角色許可權表資料服務
@Autowired
private RoleFuncRightsService roleFuncRightsService;
//變更通知服務
@Autowired
private ChangeNotifyService changeNotifyService;
/**
*
* @methodName : loadData
* @description : 載入資料
* @return : 成功返回true,否則返回false
* @history :
* ------------------------------------------------------------------------------
* date version modifier remarks
* ------------------------------------------------------------------------------
* 2021/06/02 1.0.0 sheng.zheng 初版
*
*/
@Override
public boolean loadData() {
boolean bRet = false;
//載入table_code_config表記錄
bRet = tableCodeConfigService.loadData();
if (!bRet) {
return bRet;
}
//載入sys_parameters表記錄
bRet = sysParameterService.loadData();
if (!bRet) {
return bRet;
}
//changeNotifyService目前沒有持久層,無需載入
//如果服務重啟,資訊丟失,也沒關係,因為此時Session也會失效
//載入function_tree表記錄
bRet = functionTreeService.loadData();
if (!bRet) {
return bRet;
}
//載入role_func_rights表記錄
//先設定完整功能樹
roleFuncRightsService.setFunctionTree(functionTreeService.getFunctionTree());
//然後載入資料
bRet = roleFuncRightsService.loadData();
if (!bRet) {
return bRet;
}
return bRet;
}
//獲取TableCodeConfigService物件
@Override
public TableCodeConfigService getTableCodeConfigService() {
return tableCodeConfigService;
}
//獲取SysParameterService物件
@Override
public SysParameterService getSysParameterService() {
return sysParameterService;
}
//獲取FunctionTreeService物件
@Override
public FunctionTreeService getFunctionTreeService() {
return functionTreeService;
}
//獲取RoleFuncRightsService物件
@Override
public RoleFuncRightsService getRoleFuncRightsService() {
return roleFuncRightsService;
}
//獲取ChangeNotifyService物件
@Override
public ChangeNotifyService getChangeNotifyService() {
return changeNotifyService;
}
}
GlobalConfigServiceImpl類,管理了很多配置服務類,此處主要關注ChangeNotifyService類物件。
3.3、使用ServletContext,管理全域性配置服務類物件
全域性配置服務類在應用啟動時載入到Spring容器中,這樣可實現共享,減少對資料庫的訪問壓力。
實現一個ApplicationListener類,程式碼如下:
package com.abc.questInvest;
import javax.servlet.ServletContext;
import org.springframework.context.ApplicationListener;
import org.springframework.context.event.ContextRefreshedEvent;
import org.springframework.stereotype.Component;
import org.springframework.web.context.WebApplicationContext;
import com.abc.questInvest.service.GlobalConfigService;
/**
* @className : ApplicationStartup
* @description : 應用偵聽器
*
*/
@Component
public class ApplicationStartup implements ApplicationListener<ContextRefreshedEvent>{
//全域性變數管理物件,此處不能自動注入
private GlobalConfigService globalConfigService = null;
@Override
public void onApplicationEvent(ContextRefreshedEvent contextRefreshedEvent) {
try {
if(contextRefreshedEvent.getApplicationContext().getParent() == null){
//root application context 沒有parent.
System.out.println("========定義全域性變數==================");
// 將 ApplicationContext 轉化為 WebApplicationContext
WebApplicationContext webApplicationContext =
(WebApplicationContext)contextRefreshedEvent.getApplicationContext();
// 從 webApplicationContext 中獲取 servletContext
ServletContext servletContext = webApplicationContext.getServletContext();
//載入全域性變數管理物件
globalConfigService = (GlobalConfigService)webApplicationContext.getBean(GlobalConfigService.class);
//載入資料
boolean bRet = globalConfigService.loadData();
if (false == bRet) {
System.out.println("載入全域性變數失敗");
return;
}
//======================================================================
// servletContext設定值
servletContext.setAttribute("GLOBAL_CONFIG_SERVICE", globalConfigService);
}
} catch (Exception e) {
e.printStackTrace();
}
}
}
在啟動類中,加入該應用偵聽器ApplicationStartup。
public static void main(String[] args) {
SpringApplication springApplication = new SpringApplication(QuestInvestApplication.class);
springApplication.addListeners(new ApplicationStartup());
springApplication.run(args);
}
現在,有了一個GlobalConfigService型別的全域性變數globalConfigService。
3.4、發出變更通知
此處舉2個例子,說明發出變更通知的例子,這兩個例子,都在使用者管理模組,UserManServiceImpl類中。
1)管理員修改使用者資訊,可能導致許可權相關項發生變動,2)禁用使用者,發出變更過通知。
發出通知的相關程式碼如下:
/**
*
* @methodName : editUser
* @description : 修改使用者資訊
* @param userInfo : 使用者資訊物件
* @history :
* ------------------------------------------------------------------------------
* date version modifier remarks
* ------------------------------------------------------------------------------
* 2021/06/08 1.0.0 sheng.zheng 初版
* 2021/06/28 1.0.1 sheng.zheng 增加變更通知的處理
*
*/
@Override
public void editUser(HttpServletRequest request,UserInfo userInfo) {
//輸入引數校驗
checkValidForParams("editUser",userInfo);
//獲取操作人賬號
String operatorName = (String) request.getSession().getAttribute("username");
userInfo.setOperatorName(operatorName);
//登入名和密碼不修改
userInfo.setLoginName(null);
userInfo.setSalt(null);
userInfo.setPasswd(null);
//獲取修改之前的使用者資訊
Integer userId = userInfo.getUserId();
UserInfo oldUserInfo = userManDao.selectUserByKey(userId);
//修改使用者記錄
try {
userManDao.updateSelective(userInfo);
}catch(Exception e) {
e.printStackTrace();
log.error(e.getMessage());
throw new BaseException(ExceptionCodes.USERS_EDIT_USER_FAILED);
}
//檢查是否有需要通知的變更
Integer changeFlag = 0;
if (userInfo.getRoles() != null) {
if(oldUserInfo.getRoles() != userInfo.getRoles()) {
//角色組合有變化,bit0
changeFlag |= 0x01;
}
}
if (userInfo.getDeptId() != null) {
if (oldUserInfo.getDeptId() != userInfo.getDeptId()) {
//部門ID有變化,bit3
changeFlag |= 0x08;
}
}
if (changeFlag > 0) {
//如果有變更過通知項
//獲取全域性變數
ServletContext servletContext = request.getServletContext();
GlobalConfigService globalConfigService = (GlobalConfigService)servletContext.getAttribute("GLOBAL_CONFIG_SERVICE");
globalConfigService.getChangeNotifyService().setChangeNotifyInfo(userId, changeFlag);
}
}
/**
*
* @methodName : disableUser
* @description : 禁用使用者
* @param params : map物件,形式如下:
* {
* "userId" : 1
* }
* @history :
* ------------------------------------------------------------------------------
* date version modifier remarks
* ------------------------------------------------------------------------------
* 2021/06/08 1.0.0 sheng.zheng 初版
* 2021/06/28 1.0.1 sheng.zheng 增加變更通知的處理
*
*/
@Override
public void disableUser(HttpServletRequest request,Map<String,Object> params) {
//輸入引數校驗
checkValidForParams("disableUser",params);
UserInfo userInfo = new UserInfo();
//獲取操作人賬號
String operatorName = (String) request.getSession().getAttribute("username");
//設定userInfo資訊
Integer userId = (Integer)params.get("userId");
userInfo.setUserId(userId);
userInfo.setOperatorName(operatorName);
//設定禁用標記
userInfo.setDeleteFlag((byte)1);
//修改密碼
try {
userManDao.updateEnable(userInfo);
}catch(Exception e) {
e.printStackTrace();
log.error(e.getMessage());
throw new BaseException(ExceptionCodes.USERS_EDIT_USER_FAILED);
}
//禁用使用者,發出變更通知
//獲取全域性變數
ServletContext servletContext = request.getServletContext();
GlobalConfigService globalConfigService = (GlobalConfigService)servletContext.getAttribute("GLOBAL_CONFIG_SERVICE");
//禁用使用者:bit2
globalConfigService.getChangeNotifyService().setChangeNotifyInfo(userId, 0x04);
}
本demo專案的角色相對較少,沒有使用使用者角色關係表,而是使用了bitmap編碼,角色ID取值為2^n,使用者角色組合roles欄位為一個Integer值。如roles=7,表示角色ID組合=[1,2,4]。
另外,如果修改了角色的功能許可權集合,則需要查詢受影響的使用者ID列表,依次發出通知,可類似處理。
3.5、修改Response響應訊息體
Response響應訊息體,為BaseResponse,程式碼如下:
package com.abc.questInvest.vo.common;
import lombok.Data;
/**
* @className : BaseResponse
* @description : 基本響應訊息體物件
* @summary :
* @history :
* ------------------------------------------------------------------------------
* date version modifier remarks
* ------------------------------------------------------------------------------
* 2021/05/31 1.0.0 sheng.zheng 初版
* 2021/06/28 1.0.1 sheng.zheng 增加變更通知的附加資訊
*
*/
@Data
public class BaseResponse<T> {
//響應碼
private int code;
//響應訊息
private String message;
//響應實體資訊
private T data;
//分頁資訊
private Page page;
//附加通知資訊
private Additional additional;
}
BaseResponse類增加了Additional型別的additional屬性欄位,用於輸出附加資訊。
Additional類的定義如下:
package com.abc.questInvest.vo.common;
import lombok.Data;
/**
* @className : Additional
* @description : 附加資訊
* @summary :
* @history :
* ------------------------------------------------------------------------------
* date version modifier remarks
* ------------------------------------------------------------------------------
* 2021/06/28 1.0.0 sheng.zheng 初版
*
*/
@Data
public class Additional {
//通知碼,附加資訊
private int notifycode;
//通知碼對應的訊息
private String notification;
//更新的token
private String token;
//更新的功能許可權樹
private String rights;
}
附加資訊類Additional中,各屬性欄位的說明:
- notifycode,為通知碼,即可對應通知訊息的型別,目前只有一種,可擴充套件。
- notification,為通知碼對應的訊息。
通知碼,在ExceptionCodes列舉檔案中定義:
//變更通知資訊
USER_RIGHTS_CHANGED(51, "message.USER_RIGHTS_CHANGED", "使用者許可權發生變更"),
; //end enum
ExceptionCodes(int code, String messageId, String message) {
this.code = code;
this.messageId = messageId;
this.message = message;
}
- token,用於要求前端更新token。更新token的目的是確認前端已經收到許可權變更通知。因為下次url請求將使用新的token,如果前端未收到或未處理,仍然用舊的token訪問,就要跳到登入頁了。
- rights,功能樹的字串輸出,是樹型結構的JSON字串。
3.6、AOP鑑權處理
AuthorizationAspect為鑑權認證的切面類,程式碼如下:
package com.abc.questInvest.aop;
import java.util.List;
import javax.servlet.ServletContext;
import javax.servlet.http.HttpServletRequest;
import org.aspectj.lang.annotation.AfterReturning;
import org.aspectj.lang.annotation.Aspect;
import org.aspectj.lang.annotation.Before;
import org.aspectj.lang.annotation.Pointcut;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.core.annotation.Order;
import org.springframework.stereotype.Component;
import org.springframework.web.context.request.RequestContextHolder;
import org.springframework.web.context.request.ServletRequestAttributes;
import com.abc.questInvest.common.constants.Constants;
import com.abc.questInvest.common.utils.Utility;
import com.abc.questInvest.dao.UserManDao;
import com.abc.questInvest.entity.FunctionInfo;
import com.abc.questInvest.entity.UserInfo;
import com.abc.questInvest.exception.BaseException;
import com.abc.questInvest.exception.ExceptionCodes;
import com.abc.questInvest.service.GlobalConfigService;
import com.abc.questInvest.service.LoginService;
import com.abc.questInvest.vo.TreeNode;
import com.abc.questInvest.vo.common.Additional;
import com.abc.questInvest.vo.common.BaseResponse;
/**
* @className : AuthorizationAspect
* @description : 介面訪問鑑權切面類
* @summary : 使用AOP,進行token認證以及使用者對介面的訪問許可權鑑權
* @history :
* ------------------------------------------------------------------------------
* date version modifier remarks
* ------------------------------------------------------------------------------
* 2021/06/06 1.0.0 sheng.zheng 初版
* 2021/06/28 1.0.1 sheng.zheng 增加變更通知的處理,增加了afterReturning增強
*
*/
@Aspect
@Component
@Order(2)
public class AuthorizationAspect {
@Autowired
private UserManDao userManDao;
//設定切點
@Pointcut("execution(public * com.abc.questInvest.controller..*.*(..))" +
"&& !execution(public * com.abc.questInvest.controller.LoginController.*(..))" +
"&& !execution(public * com.abc.questInvest.controller.QuestInvestController.*(..))")
public void verify(){}
@Before("verify()")
public void doVerify(){
ServletRequestAttributes attributes=(ServletRequestAttributes) RequestContextHolder.getRequestAttributes();
HttpServletRequest request=attributes.getRequest();
// ================================================================================
// token認證
//從header中獲取token值
String token = request.getHeader("Authorization");
if (null == token || token.equals("")){
//return;
throw new BaseException(ExceptionCodes.TOKEN_IS_NULL);
}
//從session中獲取token和過期時間
String sessionToken = (String)request.getSession().getAttribute("token");
//判斷session中是否有資訊,可能是非登入使用者
if (null == sessionToken || sessionToken.equals("")) {
throw new BaseException(ExceptionCodes.TOKEN_WRONG);
}
//比較token
if(!token.equals(sessionToken)) {
//如果請求頭中的token與存在session中token兩者不一致
throw new BaseException(ExceptionCodes.TOKEN_WRONG);
}
long expireTime = (long)request.getSession().getAttribute("expireTime");
//檢查過期時間
long time = System.currentTimeMillis();
if (time > expireTime) {
//如果token過期
throw new BaseException(ExceptionCodes.TOKEN_EXPIRED);
}else {
//token未過期,更新過期時間
long newExpiredTime = time + Constants.TOKEN_EXPIRE_TIME * 1000;
request.getSession().setAttribute("expireTime", newExpiredTime);
}
// ============================================================================
// 介面呼叫許可權
//獲取使用者ID
Integer userId = (Integer)request.getSession().getAttribute("userId");
//獲取全域性變數
ServletContext servletContext = request.getServletContext();
GlobalConfigService globalConfigService = (GlobalConfigService)servletContext.getAttribute("GLOBAL_CONFIG_SERVICE");
//===================變更通知處理開始==============================================
//檢查有無變更通知資訊
Integer changeNotifyInfo = globalConfigService.getChangeNotifyService().getChangeNotifyInfo(userId);
//設定成員屬性為false
boolean rightsChangedFlag = false;
if (changeNotifyInfo > 0) {
//有通知資訊
if ((changeNotifyInfo & 0x09) > 0) {
//bit0:修改使用者的角色組合值,從而導致許可權變更
//bit3:使用者調整部門,從而導致資料許可權變更
//mask 0b1001 = 0x09
//都需要查詢使用者表,並更新資訊;合在一起查詢。
UserInfo userInfo = userManDao.selectUserByKey(userId);
//更新Session
request.getSession().setAttribute("roles", userInfo.getRoles());
request.getSession().setAttribute("deptId", userInfo.getDeptId());
if ((changeNotifyInfo & 0x01) > 0) {
//許可權變更標誌置位
rightsChangedFlag = true;
}
}else if((changeNotifyInfo & 0x02) > 0) {
//bit1:修改角色的功能值,從而導致許可權變更
//許可權變更標誌置位
rightsChangedFlag = true;
}else if((changeNotifyInfo & 0x04) > 0) {
//bit2:使用者禁用,從而導致許可權變更
//設定無效token,可阻止該使用者訪問系統
request.getSession().setAttribute("token", "");
//直接丟擲異常,由前端顯示:Forbidden頁面
throw new BaseException(ExceptionCodes.ACCESS_FORBIDDEN);
}
if (rightsChangedFlag == true) {
//寫Session,用於將資訊傳遞到afterReturning方法中
request.getSession().setAttribute("rightsChanged", 1);
}
}
//===================變更通知處理結束==============================================
//從session中獲取使用者許可權值
Integer roles = (Integer)request.getSession().getAttribute("roles");
//獲取當前介面url值
String servletPath = request.getServletPath();
//獲取該角色對url的訪問許可權
Integer rights = globalConfigService.getRoleFuncRightsService().getRoleUrlRights(Utility.parseRoles(roles), servletPath);
if (rights == 0) {
//如果無許可權訪問此介面,丟擲異常,由前端顯示:Forbidden頁面
throw new BaseException(ExceptionCodes.ACCESS_FORBIDDEN);
}
}
@AfterReturning(value="verify()" ,returning="result")
public void afterReturning(BaseResponse result) {
//限制必須是BaseResponse型別,其它型別的返回值忽略
//獲取Session
ServletRequestAttributes sra = (ServletRequestAttributes)RequestContextHolder.getRequestAttributes();
HttpServletRequest request = sra.getRequest();
Integer rightsChanged = (Integer)request.getSession().getAttribute("rightsChanged");
if (rightsChanged != null && rightsChanged == 1) {
//如果有使用者許可權變更,通知前端來重新整理該使用者的功能許可權樹
//構造附加資訊
Additional additional = new Additional();
additional.setNotifycode(ExceptionCodes.USER_RIGHTS_CHANGED.getCode());
additional.setNotification(ExceptionCodes.USER_RIGHTS_CHANGED.getMessage());
//更新token
String loginName = (String)request.getSession().getAttribute("username");
String token = LoginService.generateToken(loginName);
additional.setToken(token);
//更新token,要求下次url訪問使用新的token
request.getSession().setAttribute("token", token);
//獲取使用者的功能許可權樹
Integer roles = (Integer)request.getSession().getAttribute("roles");
ServletContext servletContext = request.getServletContext();
GlobalConfigService globalConfigService = (GlobalConfigService)servletContext.getAttribute("GLOBAL_CONFIG_SERVICE");
//獲取使用者許可權的角色功能數
List<Integer> roleList = Utility.parseRoles(roles);
TreeNode<FunctionInfo> rolesFunctionTree =
globalConfigService.getRoleFuncRightsService().
getRoleRights(roleList);
additional.setRights(rolesFunctionTree.toString());
//修改response資訊
result.setAdditional(additional);
//移除Session的rightsChanged項
request.getSession().removeAttribute("rightsChanged");
}
}
}
AuthorizationAspect類定義了切點verify(),@Before增強用於鑑權驗證,增加了對變更通知資訊的處理。並利用Session,用rightsChanged屬性欄位記錄需要通知前端的標誌,在@AfterReturning後置增強中根據該屬性欄位的值,進行一步的處理。
@Before增強的doVerify方法中,如果發現角色組合有改變,但仍有訪問此url許可權時,會繼續後續處理,這樣不會中斷業務;如果沒有訪問此url許可權,則返回訪問受限異常資訊,由前端顯示訪問受限頁碼(類似403 Forbidden 頁碼)。
在後置增強@AfterReturning中,限定了返回值型別,如果該請求響應的型別是BaseResponse型別,則修改reponse訊息體,附加通知資訊;如果不是,則不處理,會等待下一個url請求,直到返回型別是BaseResponse型別。也可以採用自定義response的header的方式,這樣,就無需等待了。
generateToken方法,是LoginService類的靜態方法,用於生成使用者token。
至於Utility的parseRoles方法,是將bitmap編碼的roles解析為角色ID的列表,程式碼如下:
//========================= 許可權組合值解析 ======================================
/**
*
* @methodName : parseRoles
* @description : 解析角色組合值
* @param roles : 按位設定的角色組合值
* @return : 角色ID列表
* @history :
* ------------------------------------------------------------------------------
* date version modifier remarks
* ------------------------------------------------------------------------------
* 2021/06/24 1.0.0 sheng.zheng 初版
*
*/
public static List<Integer> parseRoles(int roles){
List<Integer> roleList = new ArrayList<Integer>();
int newRoles = roles;
int bit0 = 0;
int roleId = 0;
for (int i = 0; i < 32; i++) {
//如果組合值的餘位都為0,則跳出
if (newRoles == 0) {
break;
}
//取得最後一位
bit0 = newRoles & 0x01;
if (bit0 == 1) {
//如果該位為1,左移i位
roleId = 1 << i;
roleList.add(roleId);
}
//右移一位
newRoles = newRoles >> 1;
}
return roleList;
}
getRoleRights方法,是角色功能許可權服務類RoleFuncRightsService的方法,它提供了根據List
關於功能許可權樹TreeNode