java全家桶之13：springmvc接口权限如何指定加载

在SpringMVC中实现接口权限的“可指定加载”，核心是通过灵活配置将权限验证逻辑动态绑定到特定接口。以下是五种主流实现方案及其具体操作：

⚙️ 一、注解驱动权限控制（主流方案）

1. 自定义注解 + 拦截器

   • 定义注解：创建注解（如@RequirePermission），标注需权限验证的接口。

     @Retention(RetentionPolicy.RUNTIME)
     @Target(ElementType.METHOD)
     public @interface RequirePermission {
         String value(); // 权限标识符，如"user:delete"
     }
     

   • 拦截器实现：通过HandlerInterceptor解析注解并验证权限。

     public class AuthInterceptor implements HandlerInterceptor {
         @Override
         public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) {
             if (handler instanceof HandlerMethod) {
                 HandlerMethod method = (HandlerMethod) handler;
                 RequirePermission anno = method.getMethodAnnotation(RequirePermission.class);
                 if (anno != null) {
                     String requiredPerm = anno.value();
                     // 从当前用户权限列表中检查是否包含requiredPerm
                     if (!currentUserPerms.contains(requiredPerm)) {
                         throw new AccessDeniedException("权限不足");
                     }
                 }
             }
             return true;
         }
     }
     

   • 配置拦截路径：在Spring配置中指定拦截范围：

     <mvc:interceptors>
         <bean class="com.example.AuthInterceptor">
             <mvc:mapping path="/api/**"/> <!-- 仅拦截/api路径下的接口 -->
         </bean>
     </mvc:interceptors>
     

2. Spring Security注解

   • 启用全局注解：配置类添加@EnableGlobalMethodSecurity(prePostEnabled=true)。

   • 方法级控制：直接在接口方法上使用注解：

     @GetMapping("/user/{id}")
     @PreAuthorize("hasAuthority('user:read')") // 仅允许有user:read权限的用户访问
     public User getUser(@PathVariable Long id) { ... }
     

   • 支持动态表达式：如@PreAuthorize("hasRole('ADMIN') or #userId == authentication.name")。

🔗 二、路径匹配权限控制

适用于RESTful接口，通过URL模式动态匹配权限：

• 数据库存储权限规则：将URL路径（如/api/user/{id}/**）与权限标识关联。

• 动态验证逻辑：拦截请求时，用AntPathMatcher匹配当前请求路径与权限规则：

  public class DynamicAuthFilter extends OncePerRequestFilter {
      @Override
      protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) {
          String requestURI = request.getRequestURI();
          String method = request.getMethod();
          // 从数据库或缓存中加载权限规则，匹配当前URI和请求方法
          if (!permissionService.checkPerm(requestURI, method, currentUser)) {
              throw new AccessDeniedException();
          }
          chain.doFilter(request, response);
      }
  }
  

🔧 三、拦截器与AOP结合

• 拦截器粗粒度控制：拦截所有请求，验证基础登录态。

• AOP细粒度控制：通过切面针对特定Service层方法进行权限校验：

  @Aspect
  @Component
  public class PermissionAspect {
      @Before("@annotation(com.example.RequirePermission)")
      public void checkPermission(JoinPoint joinPoint) {
          MethodSignature signature = (MethodSignature) joinPoint.getSignature();
          RequirePermission anno = signature.getMethod().getAnnotation(RequirePermission.class);
          // 根据anno.value()验证权限
      }
  }
  

📦 四、动态加载策略

1. 权限规则热更新

   • 将权限规则存入数据库（如ums_resource表），通过缓存（Redis）加速读取。

   • 监听配置变更事件，动态刷新内存中的权限规则。

2. 按需加载注解配置

   • 使用Spring的@Conditional或Profile（如@Profile("prod")），控制权限注解仅在特定环境生效。

💎 方案对比与选型建议

⚠️ 避坑指南

1. 避免过度拦截：拦截器路径配置应精确（如/api/**而非/**），减少不必要的验证。

2. 权限规则缓存：动态规则需配合缓存（如Caffeine），防止频繁查询数据库。

3. 统一异常处理：权限校验失败时，返回标准错误码（如403）而非跳转登录页。

4. 测试覆盖：权限注解需结合Mock用户进行单元测试，验证不同角色的访问结果。

通过上述方案，可灵活实现“按需加载”的权限控制。对于新项目，推荐直接整合Spring Security；存量项目改造可采用自定义注解或路径匹配，逐步迁移权限逻辑。