Spring Boot動態許可權變更實現的整體方案

阿拉伯1999發表於2021-06-29

1、前言

​ 在Web專案中,許可權管理即許可權訪問控制為網站訪問安全提供了保障,並且很多專案使用了Session作為快取,結合AOP技術進行token認證和許可權控制。許可權控制流程大致如下圖所示:

​ 現在,如果管理員修改了使用者的角色,或修改了角色的許可權,都會導致使用者許可權發生變化,此時如何實現動態許可權變更,使得前端能夠更新使用者的許可權樹,後端訪問鑑權AOP模組能夠知悉這種變更呢?

2、問題及解決方案

​ 現在的問題是,管理員沒法訪問使用者Session,因此沒法將變更通知此使用者。而使用者如果已經登入,或直接關閉瀏覽器頁面而不是登出操作,Session沒有過期前,使用者訪問介面時,訪問鑑權AOP模組仍然是根據之前快取的Session資訊進行處理,沒法做到動態許可權變更。

​ 使用WebSocket是一個方案,但沒法處理不線上使用者。

​ 解決方案的核心思想是利用ServletContext物件的共享特性,來實現使用者許可權變更的資訊傳遞。然後在AOP類中查詢使用者是否有變更通知記錄需要處理,如果許可權發生變化,則修改response訊息體,新增附加通知資訊給前端。前端收到附加的通知資訊,可更新功能許可權樹,並進行相關處理。

​ 這樣,利用的變更通知服務,不僅後端的使用者url訪問介面可第一時間獲悉變更,還可以通知到前端,從而實現了動態許可權變更。

3、方案實現

3.1、開發變更通知類

​ 服務介面類ChangeNotifyService,程式碼如下:

package com.abc.questInvest.service;

/**
 * @className		: ChangeNotifyService
 * @description		: 變更通知服務
 * @summary		:
 * @history		:
 * ------------------------------------------------------------------------------
 * date			version		modifier		remarks                   
 * ------------------------------------------------------------------------------
 * 2021/06/28	1.0.0		sheng.zheng		初版
 *
 */
public interface ChangeNotifyService {

	/**
	 * 
	 * @methodName		: getChangeNotifyInfo
	 * @description		: 獲取指定使用者ID的變更通知資訊 
	 * @param userId	: 使用者ID
	 * @return		: 返回0表示無變更通知資訊,其它值按照bitmap編碼。目前定義如下:
	 * 		bit0:	: 修改使用者的角色組合值,從而導致許可權變更;
	 * 		bit1:	: 修改角色的功能項,從而導致許可權變更;
	 * 		bit2:	: 使用者禁用,從而導致許可權變更;
	 * 		bit3:	: 使用者調整部門,從而導致資料許可權變更;
	 * @history		:
	 * ------------------------------------------------------------------------------
	 * date			version		modifier		remarks                   
	 * ------------------------------------------------------------------------------
	 * 2021/06/28	1.0.0		sheng.zheng		初版
	 *
	 */
	public Integer getChangeNotifyInfo(Integer userId);
	
	/**
	 * 
	 * @methodName		: setChangeNotifyInfo
	 * @description		: 設定變更通知資訊
	 * @param userId	: 使用者ID
	 * @param changeNotifyInfo	: 變更通知值
	 * 		bit0:	: 修改使用者的角色組合值,從而導致許可權變更;
	 * 		bit1:	: 修改角色的功能項,從而導致許可權變更;
	 * 		bit2:	: 使用者禁用,從而導致許可權變更;
	 * 		bit3:	: 使用者調整部門,從而導致資料許可權變更;
	 * @history		:
	 * ------------------------------------------------------------------------------
	 * date			version		modifier		remarks                   
	 * ------------------------------------------------------------------------------
	 * 2021/06/28	1.0.0		sheng.zheng		初版
	 *
	 */
	public void setChangeNotifyInfo(Integer userId,Integer changeNotifyInfo); 	
}

​ 服務實現類ChangeNotifyServiceImpl,程式碼如下:

package com.abc.questInvest.service.impl;

import java.util.HashMap;
import java.util.Map;

import org.springframework.stereotype.Service;

import com.abc.questInvest.service.ChangeNotifyService;

/**
 * @className		: ChangeNotifyServiceImpl
 * @description		: ChangeNotifyService實現類
 * @summary		:
 * @history		:
 * ------------------------------------------------------------------------------
 * date			version		modifier		remarks                   
 * ------------------------------------------------------------------------------
 * 2021/06/28	1.0.0		sheng.zheng		初版
 *
 */
@Service
public class ChangeNotifyServiceImpl implements ChangeNotifyService {
	
	//使用者ID與變更過通知資訊對映表
	private Map<Integer,Integer> changeNotifyMap = new HashMap<Integer,Integer>();
	
	/**
	 * 
	 * @methodName		: getChangeNotifyInfo
	 * @description		: 獲取指定使用者ID的變更通知資訊 
	 * @param userId	: 使用者ID
	 * @return		: 返回0表示無變更通知資訊,其它值按照bitmap編碼。目前定義如下:
	 * 		bit0:	: 修改使用者的角色組合值,從而導致許可權變更;
	 * 		bit1:	: 修改角色的功能項,從而導致許可權變更;
	 * 		bit2:	: 使用者禁用,從而導致許可權變更;
	 * 		bit3:	: 使用者調整部門,從而導致資料許可權變更;
	 * @history		:
	 * ------------------------------------------------------------------------------
	 * date			version		modifier		remarks                   
	 * ------------------------------------------------------------------------------
	 * 2021/06/28	1.0.0		sheng.zheng		初版
	 *
	 */
	@Override
	public Integer getChangeNotifyInfo(Integer userId) {
		Integer changeNotifyInfo = 0;
		//檢查該使用者是否有變更通知資訊
		if (changeNotifyMap.containsKey(userId)) {
			changeNotifyInfo = changeNotifyMap.get(userId);
			//移除資料,加鎖保護
			synchronized(changeNotifyMap) {
				changeNotifyMap.remove(userId);
			}
		}
		return changeNotifyInfo;
	}
	
	/**
	 * 
	 * @methodName		: setChangeNotifyInfo
	 * @description		: 設定變更通知資訊,該功能一般由管理員觸發呼叫
	 * @param userId	: 使用者ID
	 * @param changeNotifyInfo	: 變更通知值
	 * 		bit0:	: 修改使用者的角色組合值,從而導致許可權變更;
	 * 		bit1:	: 修改角色的功能項,從而導致許可權變更;
	 * 		bit2:	: 使用者禁用,從而導致許可權變更;
	 * 		bit3:	: 使用者調整部門,從而導致資料許可權變更;
	 * @history		:
	 * ------------------------------------------------------------------------------
	 * date			version		modifier		remarks                   
	 * ------------------------------------------------------------------------------
	 * 2021/06/28	1.0.0		sheng.zheng		初版
	 *
	 */
	@Override
	public void setChangeNotifyInfo(Integer userId,Integer changeNotifyInfo) {
		//檢查該使用者是否有變更通知資訊
		if (changeNotifyMap.containsKey(userId)) {
			//如果有,表示之前變更通知未處理
			//獲取之前的值
			Integer oldChangeNotifyInfo = changeNotifyMap.get(userId);
			//計算新值。bitmap編碼,或操作
			Integer newChangeNotifyInfo = oldChangeNotifyInfo | changeNotifyInfo;
			//移除資料,加鎖保護
			synchronized(changeNotifyMap) {
				changeNotifyMap.put(userId,newChangeNotifyInfo);
			}
		}else {
			//如果沒有,設定一條
			changeNotifyMap.put(userId,changeNotifyInfo);
		}
	}
}
此處,變更通知型別,與使用的demo專案有關,目前定義了4種變更通知型別。實際上,除了許可權相關的變更,還有與Session快取欄位相關的變更,也需要通知,否則使用者還是在使用舊資料。

3.2、將變更通知類物件,納入全域性配置服務物件中進行管理

​ 全域性配置服務類GlobalConfigService,負責管理全域性的配置服務物件,服務介面類程式碼如下:

package com.abc.questInvest.service;

/**
 * @className		: GlobalConfigService
 * @description		: 全域性變數管理類
 * @summary		:
 * @history		:
 * ------------------------------------------------------------------------------
 * date			version		modifier		remarks                   
 * ------------------------------------------------------------------------------
 * 2021/06/02	1.0.0		sheng.zheng		初版
 *
 */
public interface GlobalConfigService {
	
	/**
	 * 
	 * @methodName		: loadData
	 * @description		: 載入資料 
	 * @return		: 成功返回true,否則返回false
	 * @history		:
	 * ------------------------------------------------------------------------------
	 * date			version		modifier		remarks                   
	 * ------------------------------------------------------------------------------
	 * 2021/06/02	1.0.0		sheng.zheng		初版
	 *
	 */
	public boolean loadData();
	
	//獲取TableCodeConfigService物件
	public TableCodeConfigService getTableCodeConfigService();	
	
	//獲取SysParameterService物件
	public SysParameterService getSysParameterService();
	
	//獲取FunctionTreeService物件
	public FunctionTreeService getFunctionTreeService();

	//獲取RoleFuncRightsService物件
	public RoleFuncRightsService getRoleFuncRightsService();
	
	//獲取ChangeNotifyService物件
	public ChangeNotifyService getChangeNotifyService();
	
}

​ 服務實現類GlobalConfigServiceImpl,程式碼如下:

package com.abc.questInvest.service.impl;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Service;

import com.abc.questInvest.service.ChangeNotifyService;
import com.abc.questInvest.service.FunctionTreeService;
import com.abc.questInvest.service.GlobalConfigService;
import com.abc.questInvest.service.RoleFuncRightsService;
import com.abc.questInvest.service.SysParameterService;
import com.abc.questInvest.service.TableCodeConfigService;

/**
 * @className		: GlobalConfigServiceImpl
 * @description		: GlobalConfigService實現類
 * @summary		:
 * @history		:
 * ------------------------------------------------------------------------------
 * date			version		modifier		remarks                   
 * ------------------------------------------------------------------------------
 * 2021/06/02	1.0.0		sheng.zheng		初版
 *
 */
@Service
public class GlobalConfigServiceImpl implements GlobalConfigService{
	
	//ID編碼配置表資料服務
	@Autowired
	private TableCodeConfigService tableCodeConfigService;
	
	//系統參數列資料服務
	@Autowired
	private SysParameterService sysParameterService;
	
	//功能樹表資料服務
	@Autowired
	private FunctionTreeService functionTreeService;
	
	//角色許可權表資料服務
	@Autowired	
	private RoleFuncRightsService roleFuncRightsService;
	
	//變更通知服務
	@Autowired	
	private ChangeNotifyService changeNotifyService;
	
	
	/**
	 * 
	 * @methodName		: loadData
	 * @description		: 載入資料 
	 * @return		: 成功返回true,否則返回false
	 * @history		:
	 * ------------------------------------------------------------------------------
	 * date			version		modifier		remarks                   
	 * ------------------------------------------------------------------------------
	 * 2021/06/02	1.0.0		sheng.zheng		初版
	 *
	 */
	@Override
	public boolean loadData() {
		boolean bRet = false;
		
		//載入table_code_config表記錄
		bRet = tableCodeConfigService.loadData();
		if (!bRet) {
			return bRet;
		}
		
		//載入sys_parameters表記錄
		bRet = sysParameterService.loadData();
		if (!bRet) {
			return bRet;
		}
		
		//changeNotifyService目前沒有持久層,無需載入
		//如果服務重啟,資訊丟失,也沒關係,因為此時Session也會失效
		
		//載入function_tree表記錄
		bRet = functionTreeService.loadData();
		if (!bRet) {
			return bRet;
		}
		
		//載入role_func_rights表記錄
		//先設定完整功能樹
		roleFuncRightsService.setFunctionTree(functionTreeService.getFunctionTree());
		//然後載入資料
		bRet = roleFuncRightsService.loadData();
		if (!bRet) {
			return bRet;
		}
		
		return bRet;
	}
	
	//獲取TableCodeConfigService物件
	@Override
	public TableCodeConfigService getTableCodeConfigService() {
		return tableCodeConfigService;
	}
	
	//獲取SysParameterService物件
	@Override
	public SysParameterService getSysParameterService() {
		return sysParameterService;
	}
	
	//獲取FunctionTreeService物件
	@Override
	public FunctionTreeService getFunctionTreeService() {
		return functionTreeService;
	}	
	
	//獲取RoleFuncRightsService物件
	@Override
	public RoleFuncRightsService getRoleFuncRightsService() {
		return roleFuncRightsService;
	}
	
	//獲取ChangeNotifyService物件
	@Override
	public ChangeNotifyService getChangeNotifyService() {
		return changeNotifyService;
	}

}
GlobalConfigServiceImpl類,管理了很多配置服務類,此處主要關注ChangeNotifyService類物件。

3.3、使用ServletContext,管理全域性配置服務類物件

​ 全域性配置服務類在應用啟動時載入到Spring容器中,這樣可實現共享,減少對資料庫的訪問壓力。

​ 實現一個ApplicationListener類,程式碼如下:

package com.abc.questInvest;

import javax.servlet.ServletContext;
import org.springframework.context.ApplicationListener;
import org.springframework.context.event.ContextRefreshedEvent;
import org.springframework.stereotype.Component;
import org.springframework.web.context.WebApplicationContext;

import com.abc.questInvest.service.GlobalConfigService;

/**
 * @className	: ApplicationStartup
 * @description	: 應用偵聽器
 *
 */
@Component
public class ApplicationStartup implements ApplicationListener<ContextRefreshedEvent>{
    //全域性變數管理物件,此處不能自動注入
    private GlobalConfigService globalConfigService = null;
    
    @Override
    public void onApplicationEvent(ContextRefreshedEvent contextRefreshedEvent) {
        try {
    	    if(contextRefreshedEvent.getApplicationContext().getParent() == null){ 
    	    	//root application context 沒有parent.
				
    	    	System.out.println("========定義全域性變數==================");
    	    	// 將 ApplicationContext 轉化為 WebApplicationContext
    	        WebApplicationContext webApplicationContext =
    	                (WebApplicationContext)contextRefreshedEvent.getApplicationContext();
    	        // 從 webApplicationContext 中獲取  servletContext
    	        ServletContext servletContext = webApplicationContext.getServletContext();
    	        
    	        //載入全域性變數管理物件
    	        globalConfigService = (GlobalConfigService)webApplicationContext.getBean(GlobalConfigService.class);
    	        //載入資料
    	        boolean bRet = globalConfigService.loadData();
    	        if (false == bRet) {
    	        	System.out.println("載入全域性變數失敗");
    	        	return;
    	        }        
    	        //======================================================================
    	        // servletContext設定值
    	        servletContext.setAttribute("GLOBAL_CONFIG_SERVICE", globalConfigService);  
    	        
    	    }
    	} catch (Exception e) {
    	    e.printStackTrace();
    	}        
    }
}

​ 在啟動類中,加入該應用偵聽器ApplicationStartup。

	public static void main(String[] args) {
    	SpringApplication springApplication = new SpringApplication(QuestInvestApplication.class);
        springApplication.addListeners(new ApplicationStartup());
        springApplication.run(args);  
	}
現在,有了一個GlobalConfigService型別的全域性變數globalConfigService。

3.4、發出變更通知

​ 此處舉2個例子,說明發出變更通知的例子,這兩個例子,都在使用者管理模組,UserManServiceImpl類中。

​ 1)管理員修改使用者資訊,可能導致許可權相關項發生變動,2)禁用使用者,發出變更過通知。

​ 發出通知的相關程式碼如下:

	/**
	 * 
	 * @methodName		: editUser
	 * @description		: 修改使用者資訊
	 * @param userInfo	: 使用者資訊物件
	 * @history		:
	 * ------------------------------------------------------------------------------
	 * date			version		modifier		remarks                   
	 * ------------------------------------------------------------------------------
	 * 2021/06/08	1.0.0		sheng.zheng		初版
	 * 2021/06/28	1.0.1		sheng.zheng		增加變更通知的處理
	 *
	 */
	@Override
	public void editUser(HttpServletRequest request,UserInfo userInfo) {
		//輸入引數校驗
		checkValidForParams("editUser",userInfo);
		
		//獲取操作人賬號
		String operatorName = (String) request.getSession().getAttribute("username");
		userInfo.setOperatorName(operatorName);		

		//登入名和密碼不修改
		userInfo.setLoginName(null);
		userInfo.setSalt(null);
		userInfo.setPasswd(null);
		
		//獲取修改之前的使用者資訊
		Integer userId = userInfo.getUserId();
		UserInfo oldUserInfo = userManDao.selectUserByKey(userId);

		//修改使用者記錄
		try {
			userManDao.updateSelective(userInfo);			
		}catch(Exception e) {
			e.printStackTrace();
			log.error(e.getMessage());
			throw new BaseException(ExceptionCodes.USERS_EDIT_USER_FAILED);
		}
		
		//檢查是否有需要通知的變更
		Integer changeFlag = 0;
		if (userInfo.getRoles() != null) {
			if(oldUserInfo.getRoles() != userInfo.getRoles()) {
				//角色組合有變化,bit0
				changeFlag |= 0x01;
			}
		}
		if (userInfo.getDeptId() != null) {
			if (oldUserInfo.getDeptId() != userInfo.getDeptId()) {
				//部門ID有變化,bit3
				changeFlag |= 0x08;
			}
		}
		if (changeFlag > 0) {
			//如果有變更過通知項
			//獲取全域性變數
			ServletContext servletContext = request.getServletContext();
			GlobalConfigService globalConfigService = (GlobalConfigService)servletContext.getAttribute("GLOBAL_CONFIG_SERVICE");
			globalConfigService.getChangeNotifyService().setChangeNotifyInfo(userId, changeFlag);			
		}
	}

	/**
	 * 
	 * @methodName		: disableUser
	 * @description		: 禁用使用者
	 * @param params	: map物件,形式如下:
	 * 	{
	 * 		"userId"	: 1
	 * 	}
	 * @history		:
	 * ------------------------------------------------------------------------------
	 * date			version		modifier		remarks                   
	 * ------------------------------------------------------------------------------
	 * 2021/06/08	1.0.0		sheng.zheng		初版
	 * 2021/06/28	1.0.1		sheng.zheng		增加變更通知的處理
	 *
	 */
	@Override
	public void disableUser(HttpServletRequest request,Map<String,Object> params) {
		//輸入引數校驗
		checkValidForParams("disableUser",params);
		
		UserInfo userInfo = new UserInfo();
		
		//獲取操作人賬號
		String operatorName = (String) request.getSession().getAttribute("username");
		
		//設定userInfo資訊
		Integer userId = (Integer)params.get("userId");
		userInfo.setUserId(userId);
		userInfo.setOperatorName(operatorName);
		//設定禁用標記
		userInfo.setDeleteFlag((byte)1);
		
		//修改密碼
		try {
			userManDao.updateEnable(userInfo);			
		}catch(Exception e) {
			e.printStackTrace();
			log.error(e.getMessage());
			throw new BaseException(ExceptionCodes.USERS_EDIT_USER_FAILED);
		}		
		
		//禁用使用者,發出變更通知
		//獲取全域性變數
		ServletContext servletContext = request.getServletContext();
		GlobalConfigService globalConfigService = (GlobalConfigService)servletContext.getAttribute("GLOBAL_CONFIG_SERVICE");
		//禁用使用者:bit2
		globalConfigService.getChangeNotifyService().setChangeNotifyInfo(userId, 0x04);				
	}
本demo專案的角色相對較少,沒有使用使用者角色關係表,而是使用了bitmap編碼,角色ID取值為2^n,使用者角色組合roles欄位為一個Integer值。如roles=7,表示角色ID組合=[1,2,4]。
另外,如果修改了角色的功能許可權集合,則需要查詢受影響的使用者ID列表,依次發出通知,可類似處理。

3.5、修改Response響應訊息體

​ Response響應訊息體,為BaseResponse,程式碼如下:

package com.abc.questInvest.vo.common;

import lombok.Data;

/**
 * @className		: BaseResponse
 * @description		: 基本響應訊息體物件
 * @summary		:
 * @history		:
 * ------------------------------------------------------------------------------
 * date			version		modifier		remarks                   
 * ------------------------------------------------------------------------------
 * 2021/05/31	1.0.0		sheng.zheng		初版
 * 2021/06/28	1.0.1		sheng.zheng		增加變更通知的附加資訊
 *
 */
@Data
public class BaseResponse<T> {
    //響應碼
    private int code;

    //響應訊息
    private String message;
        
    //響應實體資訊
    private T data;

    //分頁資訊
    private Page page;

    //附加通知資訊
    private Additional additional;
}
BaseResponse類增加了Additional型別的additional屬性欄位,用於輸出附加資訊。

Additional類的定義如下:
package com.abc.questInvest.vo.common;

import lombok.Data;

/**
 * @className		: Additional
 * @description		: 附加資訊
 * @summary		:
 * @history		:
 * ------------------------------------------------------------------------------
 * date			version		modifier		remarks                   
 * ------------------------------------------------------------------------------
 * 2021/06/28	1.0.0		sheng.zheng		初版
 *
 */
@Data
public class Additional {
    //通知碼,附加資訊
    private int notifycode;

    //通知碼對應的訊息
    private String notification;
    
    //更新的token
    private String token;
    
    //更新的功能許可權樹
    private String rights;

}
附加資訊類Additional中,各屬性欄位的說明:
  • notifycode,為通知碼,即可對應通知訊息的型別,目前只有一種,可擴充套件。

  • notification,為通知碼對應的訊息。

    通知碼,在ExceptionCodes列舉檔案中定義:

    //變更通知資訊
    USER_RIGHTS_CHANGED(51, "message.USER_RIGHTS_CHANGED", "使用者許可權發生變更"),
	;  //end enum

    ExceptionCodes(int code, String messageId, String message) {
        this.code = code;
        this.messageId = messageId;
        this.message = message;
    }
  • token,用於要求前端更新token。更新token的目的是確認前端已經收到許可權變更通知。因為下次url請求將使用新的token,如果前端未收到或未處理,仍然用舊的token訪問,就要跳到登入頁了。
  • rights,功能樹的字串輸出,是樹型結構的JSON字串。

3.6、AOP鑑權處理

​ AuthorizationAspect為鑑權認證的切面類,程式碼如下:

package com.abc.questInvest.aop;

import java.util.List;

import javax.servlet.ServletContext;
import javax.servlet.http.HttpServletRequest;

import org.aspectj.lang.annotation.AfterReturning;
import org.aspectj.lang.annotation.Aspect;
import org.aspectj.lang.annotation.Before;
import org.aspectj.lang.annotation.Pointcut;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.core.annotation.Order;
import org.springframework.stereotype.Component;
import org.springframework.web.context.request.RequestContextHolder;
import org.springframework.web.context.request.ServletRequestAttributes;

import com.abc.questInvest.common.constants.Constants;
import com.abc.questInvest.common.utils.Utility;
import com.abc.questInvest.dao.UserManDao;
import com.abc.questInvest.entity.FunctionInfo;
import com.abc.questInvest.entity.UserInfo;
import com.abc.questInvest.exception.BaseException;
import com.abc.questInvest.exception.ExceptionCodes;
import com.abc.questInvest.service.GlobalConfigService;
import com.abc.questInvest.service.LoginService;
import com.abc.questInvest.vo.TreeNode;
import com.abc.questInvest.vo.common.Additional;
import com.abc.questInvest.vo.common.BaseResponse;

/**
 * @className		: AuthorizationAspect
 * @description		: 介面訪問鑑權切面類
 * @summary		: 使用AOP,進行token認證以及使用者對介面的訪問許可權鑑權
 * @history		:
 * ------------------------------------------------------------------------------
 * date			version		modifier		remarks                   
 * ------------------------------------------------------------------------------
 * 2021/06/06	1.0.0		sheng.zheng		初版
 * 2021/06/28	1.0.1		sheng.zheng		增加變更通知的處理,增加了afterReturning增強
 *
 */
@Aspect
@Component
@Order(2)
public class AuthorizationAspect {
	@Autowired
    private UserManDao userManDao;
	
	//設定切點
    @Pointcut("execution(public * com.abc.questInvest.controller..*.*(..))" +
    "&& !execution(public * com.abc.questInvest.controller.LoginController.*(..))" + 
    "&& !execution(public * com.abc.questInvest.controller.QuestInvestController.*(..))")    
    public void verify(){}
    
    @Before("verify()") 
    public void doVerify(){ 
		ServletRequestAttributes attributes=(ServletRequestAttributes) RequestContextHolder.getRequestAttributes();

		HttpServletRequest request=attributes.getRequest(); 
		
		// ================================================================================
		// token認證
		
		//從header中獲取token值
		String token = request.getHeader("Authorization");
		if (null == token || token.equals("")){ 
			//return;
			throw new BaseException(ExceptionCodes.TOKEN_IS_NULL); 
		} 
    	
		//從session中獲取token和過期時間
		String sessionToken = (String)request.getSession().getAttribute("token");
		
		//判斷session中是否有資訊,可能是非登入使用者
		if (null == sessionToken || sessionToken.equals("")) {
			throw new BaseException(ExceptionCodes.TOKEN_WRONG);
		}
    	
		//比較token
		if(!token.equals(sessionToken)) {
			//如果請求頭中的token與存在session中token兩者不一致
			throw new BaseException(ExceptionCodes.TOKEN_WRONG);			
		}
		
		long expireTime = (long)request.getSession().getAttribute("expireTime");
		//檢查過期時間
		long time = System.currentTimeMillis();
		if (time > expireTime) {
			//如果token過期
			throw new BaseException(ExceptionCodes.TOKEN_EXPIRED);
		}else {
			//token未過期,更新過期時間
			long newExpiredTime = time + Constants.TOKEN_EXPIRE_TIME * 1000;
			request.getSession().setAttribute("expireTime", newExpiredTime);
		}
		
		// ============================================================================
		// 介面呼叫許可權
		//獲取使用者ID
		Integer userId = (Integer)request.getSession().getAttribute("userId"); 
		//獲取全域性變數
		ServletContext servletContext = request.getServletContext();
		GlobalConfigService globalConfigService = (GlobalConfigService)servletContext.getAttribute("GLOBAL_CONFIG_SERVICE");
		
		//===================變更通知處理開始==============================================
		//檢查有無變更通知資訊
		Integer changeNotifyInfo = globalConfigService.getChangeNotifyService().getChangeNotifyInfo(userId);
		//設定成員屬性為false
		boolean rightsChangedFlag = false;		
		if (changeNotifyInfo > 0) {
			//有通知資訊
			if ((changeNotifyInfo & 0x09) > 0) {
				//bit0:修改使用者的角色組合值,從而導致許可權變更
				//bit3:使用者調整部門,從而導致資料許可權變更
				//mask 0b1001 = 0x09 
				//都需要查詢使用者表,並更新資訊;合在一起查詢。
				UserInfo userInfo = userManDao.selectUserByKey(userId);
				//更新Session
		    	request.getSession().setAttribute("roles", userInfo.getRoles());
		    	request.getSession().setAttribute("deptId", userInfo.getDeptId());	
		    	if ((changeNotifyInfo & 0x01) > 0) {
		    		//許可權變更標誌置位
		    		rightsChangedFlag = true;
		    	}
			}else if((changeNotifyInfo & 0x02) > 0) {
				//bit1:修改角色的功能值,從而導致許可權變更
	    		//許可權變更標誌置位
	    		rightsChangedFlag = true;
			}else if((changeNotifyInfo & 0x04) > 0) {
				//bit2:使用者禁用,從而導致許可權變更
				//設定無效token,可阻止該使用者訪問系統
				request.getSession().setAttribute("token", "");
				//直接丟擲異常,由前端顯示:Forbidden頁面
				throw new BaseException(ExceptionCodes.ACCESS_FORBIDDEN);
			}
			if (rightsChangedFlag == true) {
				//寫Session,用於將資訊傳遞到afterReturning方法中
				request.getSession().setAttribute("rightsChanged", 1);
			}
		}
		//===================變更通知處理結束==============================================
				
		//從session中獲取使用者許可權值
		Integer roles = (Integer)request.getSession().getAttribute("roles");
		//獲取當前介面url值
		String servletPath = request.getServletPath();
				
		//獲取該角色對url的訪問許可權
		Integer rights = globalConfigService.getRoleFuncRightsService().getRoleUrlRights(Utility.parseRoles(roles), servletPath);
		if (rights == 0) {
			//如果無許可權訪問此介面,丟擲異常,由前端顯示:Forbidden頁面
			throw new BaseException(ExceptionCodes.ACCESS_FORBIDDEN);
		}		
    }    
    
    @AfterReturning(value="verify()" ,returning="result")
    public void afterReturning(BaseResponse result) {
    	//限制必須是BaseResponse型別,其它型別的返回值忽略
    	//獲取Session
        ServletRequestAttributes sra = (ServletRequestAttributes)RequestContextHolder.getRequestAttributes();
        HttpServletRequest request = sra.getRequest();
    	Integer rightsChanged = (Integer)request.getSession().getAttribute("rightsChanged");
    	if (rightsChanged != null && rightsChanged == 1) {
    		//如果有使用者許可權變更,通知前端來重新整理該使用者的功能許可權樹
    		//構造附加資訊
    		Additional additional = new Additional();
    		additional.setNotifycode(ExceptionCodes.USER_RIGHTS_CHANGED.getCode());
    		additional.setNotification(ExceptionCodes.USER_RIGHTS_CHANGED.getMessage());
    		//更新token
    		String loginName = (String)request.getSession().getAttribute("username");
    		String token = LoginService.generateToken(loginName);
    		additional.setToken(token);
    		//更新token,要求下次url訪問使用新的token
    		request.getSession().setAttribute("token", token);
    		//獲取使用者的功能許可權樹
    		Integer roles = (Integer)request.getSession().getAttribute("roles");
    		ServletContext servletContext = request.getServletContext();
    		GlobalConfigService globalConfigService = (GlobalConfigService)servletContext.getAttribute("GLOBAL_CONFIG_SERVICE");
        	//獲取使用者許可權的角色功能數
    		List<Integer> roleList = Utility.parseRoles(roles);
        	TreeNode<FunctionInfo> rolesFunctionTree = 
        			globalConfigService.getRoleFuncRightsService().
        			getRoleRights(roleList);
        	additional.setRights(rolesFunctionTree.toString());
    		//修改response資訊
        	result.setAdditional(additional);
    		//移除Session的rightsChanged項
    		request.getSession().removeAttribute("rightsChanged");
    	}
    }
}
AuthorizationAspect類定義了切點verify(),@Before增強用於鑑權驗證,增加了對變更通知資訊的處理。並利用Session,用rightsChanged屬性欄位記錄需要通知前端的標誌,在@AfterReturning後置增強中根據該屬性欄位的值,進行一步的處理。

@Before增強的doVerify方法中,如果發現角色組合有改變,但仍有訪問此url許可權時,會繼續後續處理,這樣不會中斷業務;如果沒有訪問此url許可權,則返回訪問受限異常資訊,由前端顯示訪問受限頁碼(類似403 Forbidden 頁碼)。

在後置增強@AfterReturning中,限定了返回值型別,如果該請求響應的型別是BaseResponse型別,則修改reponse訊息體,附加通知資訊;如果不是,則不處理,會等待下一個url請求,直到返回型別是BaseResponse型別。也可以採用自定義response的header的方式,這樣,就無需等待了。

generateToken方法,是LoginService類的靜態方法,用於生成使用者token。

至於Utility的parseRoles方法,是將bitmap編碼的roles解析為角色ID的列表,程式碼如下:
	//========================= 許可權組合值解析 ======================================    	
    /**
     * 
     * @methodName		: parseRoles
     * @description		: 解析角色組合值
     * @param roles		: 按位設定的角色組合值
     * @return			: 角色ID列表
     * @history			:
     * ------------------------------------------------------------------------------
     * date			version		modifier		remarks                   
     * ------------------------------------------------------------------------------
     * 2021/06/24	1.0.0		sheng.zheng		初版
     *
     */
    public static List<Integer> parseRoles(int roles){
    	List<Integer> roleList = new ArrayList<Integer>();

    	int newRoles = roles;
    	int bit0 = 0;
    	int roleId = 0;
    	for (int i = 0; i < 32; i++) {
    		//如果組合值的餘位都為0,則跳出
    		if (newRoles == 0) {
    			break;
    		}
    		
    		//取得最後一位
    		bit0 = newRoles & 0x01;
    		if (bit0 == 1) {
    			//如果該位為1,左移i位
    			roleId = 1 << i;
    			roleList.add(roleId);
    		}
    		
    		//右移一位
    		newRoles = newRoles >> 1;
    	}
    	return roleList;
    }	
getRoleRights方法,是角色功能許可權服務類RoleFuncRightsService的方法,它提供了根據List<Integer>型別的角色ID列表,快速獲取許可權許可權樹的功能。

相關文章