百度360必应搜狗淘宝本站头条
vue dispatchspring gatewayorder by ascidea eval resetupdate canceled
当前位置:网站首页 > 技术分类 > 正文

SpringBoot动态权限校验终极指南:3种高赞方案让老板主动加薪!

ztj100 2025-05-08 08:10 4 浏览 0 评论

“上周用这套方案重构权限系统,CTO当着全组的面摔了祖传代码!” 一位脉脉匿名网友的血泪经验:还在用硬编码写Shiro过滤器?RBAC模型搞出200张表?是时候用Spring Security+动态路由+注解驱动,让你的权限系统优雅到飞起了!

一、权限校验的三大致命痛点(你中几个?)

  1. 硬编码地狱:每加个接口就要改代码重启服务
  2. 性能黑洞:每次请求都查数据库,QPS上200就崩
  3. 权限颗粒度失控:按钮级权限用if-else写到吐

二、动态权限三叉戟方案(总有一款适合你)

方案1:Spring Security + 动态路由(中小项目首选)

java

// 动态路由核心代码  
@Bean  
public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {  
    http.authorizeRequests()  
        .antMatchers("/admin/**").access("@rbacService.check(request,authentication)")  
        .anyRequest().authenticated();  
    return http.build();  
}  

// 自定义权限校验服务  
@Service  
public class RbacService {  
    public boolean check(HttpServletRequest request, Authentication auth) {  
        String url = request.getRequestURI();  
        return auth.getAuthorities().stream()  
            .anyMatch(role -> roleRepository.checkPermission(role, url));  
    }  
}

优势:URL级权限动态更新,10行代码实现热加载

方案2:@PreAuthorize注解 + 表达式引擎(微服务最爱)

java

// 方法级细粒度控制  
@PreAuthorize("@permissionCheck.hasPermission('order:delete')")  
@DeleteMapping("/order/{id}")  
public void deleteOrder(@PathVariable Long id) {  
    // 业务代码  
}  

// SpEL表达式处理器  
@Component  
public class PermissionCheck {  
    public boolean hasPermission(String permissionCode) {  
        return SecurityContextHolder.getContext().getAuthentication()  
            .getAuthorities().contains(permissionCode);  
    }  
}

技巧:配合Redis缓存权限标签,TPS提升5倍实测有效

方案3:AOP + 自定义注解(极致灵活)

java

@Retention(RetentionPolicy.RUNTIME)  
@Target(ElementType.METHOD)  
public @interface Permission {  
    String value();  
}  

@Aspect  
@Component  
public class PermissionAspect {  
    @Around("@annotation(permission)")  
    public Object check(ProceedingJoinPoint joinPoint, Permission permission) throws Throwable {  
        String requiredPerm = permission.value();  
        if(!currentUserHasPerm(requiredPerm)) {  
            throw new AccessDeniedException("权限不足");  
        }  
        return joinPoint.proceed();  
    }  
}

适用场景:需要动态组合权限逻辑(如:部门+角色+时间)

三、性能优化核弹级方案(百万级用户验证)

1. 三级缓存架构

请求 → Redis权限缓存(60s) → Caffeine本地缓存(10s) → DB

效果:数据库查询次数下降99.8%

2. 权限变更实时推送

java

// 使用Spring事件机制  
@Transactional  
public void updateRolePermissions(Role role) {  
    roleRepository.save(role);  
    applicationContext.publishEvent(new PermissionUpdateEvent(role.getId()));  
}  

@EventListener  
public void handlePermissionUpdate(PermissionUpdateEvent event) {  
    redisTemplate.delete("perms:" + event.getRoleId());  
    caffeineCache.invalidate("local_perms:" + event.getRoleId());  
}

四、避坑指南(血与泪的教训)

  1. Swagger接口全裸奔

java

// 安全配置必须排除文档路径!!  
.antMatchers("/v3/api-docs/**", "/swagger-ui/**").permitAll()
  1. 前后端分离的CORS陷阱
Access-Control-Allow-Headers必须包含Authorization
  1. JWT令牌过期引发的灵异事件

java

// 刷新令牌方案  
if (tokenExpiredButRefreshTokenValid()) {  
    String newToken = refreshTokenService.refresh(oldToken);  
    response.setHeader("New-Access-Token", newToken);  
}

五、实战效果(真实数据说话)

优化项

优化前

优化后

权限校验耗时

120ms/次

3ms/次

权限变更生效延迟

重启服务

实时生效

系统吞吐量

300QPS

2800QPS

技术总监评价:“这套方案让我们的权限系统从拖拉机变成了超跑!”

相关推荐

再见Swagger UI 国人开源了一款超好用的 API 文档生成框架,真香

背景最近,栈长发现某些国内的开源项目都使用到了Knife4j技术,看名字就觉得很锋利啊!...

Spring Boot自动装配黑魔法:手把手教你打造高逼格自定义Starter

如果你是SpringBoot深度用户,是否经历过这样的痛苦:每个新项目都要重复配置Redis连接池,反复粘贴Swagger配置参数,在微服务架构中为统一日志格式疲于奔命?本文将为你揭开Spring...

Spring Boot(十五):集成Knife4j(spring boot 集成)

Knife4j的简介Knife4j是一个集Swagger2和OpenAPI3为一体的增强解决方案,它的前身是上一篇文章中介绍的swagger-bootstrap-ui。swagger-bootstra...

swagger-bootstrap-ui:swagger改进版本,界面更美观易于阅读

swagger作为一款在线文档生成工具,用于自动生成接口API,避免接口文档和代码不同步,但原生的界面不是很友好,下面介绍一款改进版本swagger-bootstrap-ui,界面左右侧布局,可以打开...

界面美观功能强大,终于可以告别单调的swagger ui了——knife4j

介绍knife4j是为JavaMVC框架集成Swagger生成Api文档的增强解决方案(在非Java项目中也提供了前端UI的增强解决方案),前身是swagger-bootstrap-ui,取名kni...

从 0 到 1 实战 Spring Boot 3:手把手教你构建高效 RESTful 接口

从0到1实战SpringBoot3:手把手教你构建高效RESTful接口在微服务架构盛行的今天,构建高效稳定的RESTful接口是后端开发者的核心技能。SpringBoot凭...

SpringBoot动态权限校验终极指南:3种高赞方案让老板主动加薪!

“上周用这套方案重构权限系统,CTO当着全组的面摔了祖传代码!”一位脉脉匿名网友的血泪经验:还在用硬编码写Shiro过滤器?RBAC模型搞出200张表?是时候用SpringSecurity+动态路...

一个基于 Spring Boot 的在线考试系统

今天推荐一款超级美观的在线考试系统,感兴趣可以先去预览地址看看该项目。在线Demo预览,http://129.211.88.191,账户分别是admin、teacher、student,密码是ad...

SpringBoot API开发的十大专业实践指南

在SpringBoot应用开发领域,构建高效、可靠的API需遵循系统化的开发规范。本文结合实战编码示例,详细解析10项关键开发实践,助您打造具备工业级标准的后端接口。一、RESTful...

震碎认知!将原理融会贯通到顶点的SpringBoot实战项目

SpringBoot是什么?我们知道,从2002年开始,Spring一直在飞速的发展,如今已经成为了在JavaEE(JavaEnterpriseEdition)开发中真正意义上的标准,但...

Spring Boot 整合 Knife4j 实现接口文档编写?

Knife4j增强版的SwaggerUI实现,在Knife4j中提供了很多功能并且用户体验也随之有了很大的提升。Knife4j主要基于Swagger2.0构建的,主要的用途就是在SpringBo...

前端同事老是说swagger不好用,我用了knife4j后,同事爽得不行

日常开发当中,少不了前端联调,随着协同开发的发展,前端对接口要求也变得越来越高了。所以我使用了knife4j,同事用完觉得太舒服了。knife4j简介:Knife4j...

一个基于spring boot的Java开源商城系统

前言一个基于springboot的JAVA开源商城系统,是前后端分离、为生产环境多实例完全准备、数据库为b2b2c商城系统设计、拥有完整下单流程和精美设计的java开源商城系统https://www...

再见 Swagger!国人开源了一款超好用的 API 文档生成框架真香

Knife4j是为JavaMVC框架集成Swagger生成Api文档的增强解决方案,前身是swagger-bootstrap-ui,取名kni4j是希望她能像一把匕首一样小巧,轻量,并且功能强悍!...

Spring Boot整合MybatisPlus和Druid

在Java中,我比较ORM熟悉的只有...

取消回复欢迎 发表评论:

一周热门
最近发表
标签列表
Copyright Your WebSite.Some Rights Reserved.